Anfang April 2023 wurden durch einen vermutlich koordinierten Cyberangriff pro-russischer Hacker Webseiten von Behörden in mindestens sieben Bundesländern lahmgelegt (Tagesspiegel Background berichtete). Cyberangriffe dieser Art – sogenannte Denial-of-Service-Angriffe – gibt es schon seit mindestens Mitte der 1990er Jahre, aber seit Beginn des Ukraine-Krieges im Februar 2022 hat ihre Häufigkeit weltweit deutlich zugenommen.
In den meisten Fällen sind die Angriffe politisch motiviert und werden von „Hacktivisten” oder regierungsnahen Hackergruppen durchgeführt. Derzeit besonders aktiv sind Gruppen aus Russland,China und derUkraine. Beispielsweise kündigte die prorussische Hackergruppe „Killnet“ im Mai 2022 Cyberangriffe gegen 10 pro-ukrainische Staaten an, darunter auch Deutschland. „Killnet“ dürfte auch tatsächlich für viele der seit Kriegsbeginn stattgefundenen Denial-of-Service-Angriffe gegen pro-ukrainische Länder verantwortlich sein.
Nach diesen Angriffen hörte man zwei ganz unterschiedliche politische Einschätzungen. Die positive Sicht: Wir sind gut aufgestellt, denn es ist ja nichts Schlimmes passiert und die Angriffe wurden letztlich erfolgreich abgewehrt. Die negative Sicht: Wir sind verwundbar, müssen sehr viel mehr in Cybersicherheit investieren. Beide Sichtweisen sind nicht ganz richtig, aber auch nicht ganz falsch.
Haben wir die Angriffe erfolgreich abgewehrt?
Auf der einen Seite kann man nicht wirklich sagen, dass wir die Angriffe erfolgreich abgewehrt hätten, denn tatsächlich haben die Angreifer ihr Ziel ja erreicht: Die Webseiten waren für einige Zeit lahmgelegt, mehr war vermutlich überhaupt nicht beabsichtigt. Es ist durch diese Ausfälle zwar kein signifikanter Schaden entstanden, aber die Auswahl der Ziele legt nahe, dass die Angreifer auch keinen wirklichen Schaden anrichten wollten.
Vermutlich ging es den Angreifern eher darum, ihre Fähigkeiten zu demonstrieren und ein Unsicherheitsgefühl in der Bevölkerung und Politik zu erzeugen. Die Menschen sollen ihr Vertrauen in die Abwehrfähigkeiten des eigenen Staates verlieren. Diese vermeintliche Harmlosigkeit von Denial-of-Service-Angriffen dürfte der Hauptgrund sein, weshalb sie bislang im Gegensatz etwa zu Ransomware-Angriffen nur relativ wenig Beachtung in der Politik gefunden haben.
Tatsächlich können aber auch Denial-of-Service-Angriffe erheblichen Schaden verursachen. Angriffe auf andere Ziele, zum Beispiel Verkehrs- oder Finanzsysteme könnten durchaus große Schäden verursachen. Beispielsweise wurden im Oktober 2022 in den USA auf ähnliche Weise die Webseiten mehrerer großer Flughäfen angegriffen.
Haben die Angriffe die Verwundbarkeit unserer Infrastruktur gezeigt?
Auf der anderen Seite kann man aber auch nicht sagen, dass diese speziellen Angriffe die Verwundbarkeit unserer IT-Infrastruktur bewiesen hätten. Tatsächlich gibt es Möglichkeiten, diese Art von Angriffen besser abzuwehren. Entsprechende Dienste werden etwa von großen Content Delivery Netzen (CDN) angeboten. Allerdings sind diese Dienste teuer und aufwändig. Viele webbasierte IT-Angebote sind nicht zeitkritisch, selbst wenn sie für ein paar Stunden ausfallen, entsteht kein wesentlicher Schaden. Also spart man sich die zusätzlichen Kosten und verzichtet auf diesen Schutz, was im Sinne von Risikomanagement und verantwortungsvollem Einsatz von Ressourcen auch richtig ist. Ganz falsch ist die negative Sicht aber trotzdem nicht, denn auch CDNs können nicht alle Denial-of-Service-Angriffe abwehren.
Wo die Gefahren liegen
Erstens trägt jeder Überlastschutz nur bis zu einer bestimmten Überlast und prinzipiell ist es für den Angreifer sehr viel einfacher, die Überlast zu erhöhen, als für den CDN-Anbieter den Schutz entsprechend nach oben zu schrauben.
Zweitens ist die Erzeugung von Überlasten im Netzwerk nur eine Möglichkeit, es gibt aber auch andere Möglichkeiten, um digitale Dienste lahmzulegen. Angreifer können beispielsweise Schwachstellen in Anwendungen, Servern und Netzwerkgeräten ausnutzen, um einzelne Dienste oder ganze Netze „abstürzen” zu lassen. Statt einer Überlast genügen dafür einige wenige Nachrichten. Ein Beispiel sind „XML-Bomben”, deren Verarbeitung eine so hohe Last erzeugt, dass das Zielsystem nicht mehr verfügbar ist oder gänzlich abstürzt. Das Aufdecken und Verhindern solcher Angriffsmöglichkeiten ist einer der Schwerpunkte unserer Forschung in Athene.
Beispielsweise zeigten wir schwachstellenbasierte Denial-of-Service-Angriffe gegen das weltweit von vielen Forschungseinrichtungen genutzte Eduroam-Netzwerk und gegen von vielen Haushalten und Unternehmen genutzte Router. Das vielleicht extremste Beispiel aus unserer Forschung ist ein Angriff, bei dem durch eine einzelne Nachricht eine Vielzahl von BGP-Routern – also Router, die ein ganzes Netzwerk mit dem Internet verbinden – zum Absturz gebracht und so die verbundenen Netze vom Internet getrennt werden können,
In unserer Forschung konnten wir auch zeigen, dass Denial-of-Service-Angriffe dazu dienen können, komplexere Sicherheitsmechanismen zu umgehen und so andere Cyberangriffe zu ermöglichen. Beispielsweise zeigten wir im Jahr 2021, wie unter Zuhilfenahme eines Denial-of-Service-Angriffs „Let’s Encrypt”, ein sehr beliebter Herausgeber von Web-Zertifikaten, dazu gebracht werden kann, falsche Web-Zertifikate auszustellen.
Im Jahr 2022 konnten wir zeigen, wie ein schwachstellenbasierter Denial-of-Service-Angriff einen Mechanismus zur Absicherung des Routings im Internet umgangen werden kann. Schwachstellen können auch unbeabsichtigt zu einem Ausfall führen. Im Jahr 2016 wurdenKundennetze der Deutschen Telekom lahmgelegt, weil die Router mit einer fehlerhaft programmierten Schadsoftware infiziert waren. Die infizierten Router stürzten ab, die betroffenen Kunden wurden vom Netz getrennt. Das eigentliche Ziel war es, die infizierten Router für ein Botnetz zu verwenden.
Um zu verstehen, wie man Denial-of-Service-Angriffe in Zukunft besser abwehren kann, genügt es deshalb nicht, nur die einfachste Variante zu betrachten. Stattdessen muss man verstehen, welche Ziele die Angreifer verfolgen und welche prinzipiellen Angriffsmöglichkeiten sie haben. Hieraus kann man ein mittel- und langfristiges Maßnahmenpaket ableiten, mit dem das Problem deutlich systematischer und umfassender angegangen werden kann.
Strategie für mehr Cybersicherheit: Was gibt es, und was würde funktionieren?In der Praxis gibt es eine ganze Reihe von Ansätzen, um Distributed Denial-of-Service-Angriffe abzuwehren, die allerdings alle ihre Probleme haben. Sogenannte Scrubbing Centers analysieren den Verkehr, bevor er an einen Server ausgeliefert wird, und versuchen, Angriffsquellen und -nachrichten automatisiert zu erkennen und herauszufiltern. Dies ist jedoch nicht immer möglich, und da die Angriffe immer ausgefeilter werden, wird dieser Ansatz auch immer schwieriger.
Andere Ansätze versuchen, der Nachrichtenflut mittels einer speziellen und durch starke Überdimensionierung sehr robusten Infrastruktur zu begegnen. In diese Kategorie gehören redundante Verbindungen für den Notfall, Content Delivery Networks (CDNs) wie Cloudflare und Cloud-Anbieter wie Amazon Web Services. Alle diese auf Überdimensionierung basierenden Ansätze erhöhen allerdings lediglich die Schwelle für erfolgreiche Cyberangriffe, und die Erfahrung der letzten Jahre zeigt, dass jede noch so hohe Schwelle irgendwann überschritten wird.
Tatsächlich ist damit zu rechnen, dass Distributed Denial-of-Service-Angriffe in Anzahl und in Stärke zukünftig noch stark zunehmen werden. Begünstigt wird dies durch die allgemeine Entwicklung – zunehmende Digitalisierung, die Verbreitung von IoT-Geräten und 5G-Netze –, die es immer einfacher macht, auf die notwendigen hohen Datenvolumen zu kommen und auch durch das Ökosystem der Cyberkriminellen. Botnetze und Distributed Denial-of-Service-Angriffe werden im Darknet als Dienstleistungen angeboten, manche schon für unter hundert US-Dollar.
Die einzige sinnvolle Strategie, Denial-of-Service-Angriffe tatsächlich in den Griff zu bekommen, besteht darin, IT-Systeme insgesamt besser abzusichern und besser zu verteidigen, so dass sie erst gar nicht für Denial-of-Service-Angriffe missbraucht werden können. Die Hauptkomponenten zur Durchführung von Distributed Denial-of-Service-Angriffen sind gekaperte Zugangsdaten und anfällige Systeme, zum Beispiel Computer, Router, IoT-Geräte. Besonders IoT-Geräte werden sehr oft für Denial-of-Service-Angriffe ausgenutzt, da sie weit verbreitet und oft sehr verwundbar sind. Ein gutes Beispiel hierfür ist das Mirai-Botnetz, das eine Vielzahl von IoT-Geräten infizieren kann und oft von regierungsnahen und kriminellen Gruppen für Angriffe eingesetzt wird.
Die richtigen Schlussfolgerungen ziehen
ISPs müssen die Verantwortung dafür übernehmen, kompromittierte Geräte in ihren Netzwerken zu erkennen und zu blockieren. IT-Anbieter müssen die Sicherheit ihrer Produkte verbessern und erkannte Schwachstellen zügig patchen. Verwundbare Systeme müssen auch tatsächlich gepatcht werden, um zu verhindern, dass sie für Denial-of-Service-Angriffe ausgenutzt werden. In allen Netzen müssen Pakete blockiert werden, die von gefälschten IP-Adressen gesendet werden.
Damit wir möglichst vor den Cyberangreifern über mögliche Probleme in unserer IT Bescheid wissen und sie schließen können, bevor sie für Angriffe ausgenutzt werden, sollten Unternehmen, Behörden und andere Einrichtungen regelmäßig umfangreiche Schwachstellen-Scans durchführen. Dazu gehört auch, regelmäßig im Darknet und in den Telegram-Kanälen der Cyberkriminellen nach Anzeichen von Kompromittierungen zu suchen, zum Beispiel Angebote für kompromittierte Zugangsdaten oder Backdoor-Zugriffe. Viele kriminelle Gruppen veröffentlichen erfolgreiche Kompromittierungen im Darknet, manchmal bevor die Opfer selbst den Angriff festgestellt haben.
Eine bessere präventive Absicherung alleine genügt aber nicht. Das kriminelle Ökosystem, das Ressourcen für Denial-of-Service-Angriffe anbietet, hat mehrere Akteure und Komponenten. Sie verkaufen und vermieten Schadsoftware, kompromittierte Konten, Zugang zu Plattformen und infizierten Geräte, um umfangreiche Angriffe zu starten. Neben präventiven Maßnahmen und Threat-Intelligence ist es deshalb auch entscheidend, wirksame aktive Cyberabwehrfähigkeiten für die Strafverfolgungsbehörden zu entwickeln, mit denen kriminelle Infrastrukturen und Ressourcen ausgeschaltet werden können. Solche Maßnahmen können kriminelle Märkte und Infrastrukturen erheblich stören und nicht nur laufende, sondern auch zukünftige Angriffe verhindern, etwa wie im Fall der Abschaltung der Infrastrukturen von Emotet und Hive.
Diese Strategie ist nicht nur notwendig, um die Cybersicherheit unserer IT-Infrastruktur zu verbessern, sondern auch noch aus einem ganz anderen Grund: Sowohl die Distributed Denial-of-Service-Angriffe als auch ihre Abwehr durch Überdimensionierung verschlingen ohne jeden Mehrwert im großen Stil knappe Ressourcen – Energie und Material – und belasten dadurch in erheblichem Umfang unsere Umwelt. Für ein grünes Internet ist es daher unabdingbar, die Cybersicherheit unserer IT langfristig zu verbessern. Cybersicherheit sollte auch deshalb zu den Prioritäten aller politischen Parteien zählen.
Haya Shulman ist Professorin für Cybersicherheit am Institut für Informatik der Goethe-Universität Frankfurt am Main, Abteilungsleiterin am Fraunhofer-Institut für Sichere Informationstechnologie SIT in Darmstadt und Mitglied im Direktorium des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE.
Michael Waidner ist Professor für Sicherheit in der Informationstechnologie am Fachbereich Informatik der Technischen Universität Darmstadt, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie SIT und CEO des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE.
In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuvor von Shulman und Waidner im Background Cybersicherheit erschienen: Wieso MFA nicht genügt
