DDoS – das neue Service-Angebot im Internet
Denial of Service (DoS) Angriffe kennt inzwischen wohl leider jeder. Es sind derart viele bekannte Unternehmen und große Organisationen bereits davon betroffen gewesen, dass alle Medien darüber berichtet haben. Weniger bekannt sind die sogenannten Distributed Denial of Service Attacken (DDoS) und über DDoSaaS hat bisher kaum jemand nachgedacht. Dabei ist es heutzutage ein Leichtes, dass Opfer zu (Mit)Tätern werden.
Jedes System, das Dienste anbietet, skaliert entsprechend den Erwartungen an die Nutzung des Dienstes. Liegt die Nutzung des Dienstes über den Grenzen der Skalierbarkeit, kann der Dienst nicht mehr erbracht werden. Das passiert manchmal sogar unbeabsichtigt, wenn sich beispielsweise der Publisher eines neuen Spieles bzgl. des Interesses verschätzt hat, wird aber häufig absichtlich herbeigeführt. DoS-Angriffe dienen dazu, einen Dienst so zu blockieren, dass dieser die regulären Anfragen nicht mehr bedienen kann.
Ist mehr als eine Quelle an diesem Angriff beteiligt, spricht man von einer Distributed Denial of Service-Attacke. Das Prinzip ist zwar weder neu noch ungewöhnlich, die Entwicklung in diesem Bereich lässt jedoch in den letzten Monaten das Risiko, an einem DDoS teilzunehmen oder von einem DDoS betroffen zu sein, deutlich steigen. Manche der Angegriffenen werden dabei ungewollt zu Mittätern. Das Internet der Dinge (IoT) macht dies möglich, was enorme Auswirkungen nach sich ziehen kann.
Denn DDoS ist keine technisch hochkomplexe Attacke für Angreifer mit umfassendem Zugriff auf Ressourcen und Know-how. Die heutigen Angriffe gefährden mittels DDoSaaS – also Angriff „as a Service“ in Verbindung mit IoT – die Meinungs- und Geschäftsfreiheit im Internet.
Wie läuft ein DDoS-Angriff ab?
In der Vergangenheit bedurfte es nicht unerheblicher technischer Kompetenz sowie entsprechender Ressourcen, um einen Dienst wirksam anzugreifen. Und es gab entsprechend wirksame Gegenmaßnahmen. Beide Seiten – Angreifer und Diensteanbieter – rüsteten immer weiter auf. Mehr und mehr gewerbliche Anbieter kaen mit Produkten zur Bekämpfung von DDoS-Angriffen auf den Markt.
Das prinzipielle Problem eines Angreifers ist es, derartig viele Anfragen auf das Ziel zu lenken, dass dieses keine regulären Anfragen mehr annehmen kann. Standen dafür nicht genügend eigene Ressourcen zur Verfügung, bediente man sich bei Systemen, die einen solchen Angriff verstärken konnten. Dafür wurden unter Ausnutzung einer Sicherheitslücke die vom Angreifer gesendeten Pakete vervielfacht und an das Ziel weitergeleitet. Die Abwehr solcher Angriffe basiert im Wesentlichen darauf, diese sogenannten Verstärker zu identifizieren und aus dem Datenstrom zum Ziel hin zu entfernen. Hier springen gewöhnlich die Internet-Service-Provider mit passenden Lösungen ein.
Was passiert aber, wenn der Angreifer genügend eigene Ressourcen zur Verfügung stellt bzw. die Anfragen von derartig vielen verschiedenen Quellen kommen, dass selbst große Dienstleister in die Knie gehen?
Wenn der Ernstfall eintritt, ist die Seite offline
Dann ist der Angriff erfolgreich und der Dienst geht vom Netz.
So geschehen am 21.9.2016 bei der recht bekannten Seite „krebsonsecurity.com“. Durch den Angriff eines Botnetzes wurde ein Datenstrom mit bis zu 620 GBit/s auf das Ziel gelenkt. Akamai, ein bedeutender Anbieter von Schutzsystemen gegen DDoS-Angriffe und mit großem Backbone, der normalerweise über die notwendigen Ressourcen verfügt, solchen Angriffen zu begegnen, konnte dem nicht standhalten.
Wie war das möglich? Das Besondere bei diesem Angriff war, dass viele sogenannte IoT-Geräte (wie beispielsweise IP-Kameras) involviert waren. Zahlreiche Geräte von völlig unbeteiligten Firmen wurden so zu Mittätern gemacht. Es handelte sich um den bis dahin größten DDoS-Angriff in der (öffentlichen) Geschichte des Internets. Verschiedene Unternehmen boten daraufhin an, die Seite für einen Betrag von $ 130.000 bis $ 200.000 monatlich zu schützen. Aktuell steht sie unter dem Schutz von Google Shield, einem Service u.a. für Reporter zur Wahrung der Meinungsfreiheit im Netz.
Dieser traurige Rekord wurde jedoch bereits am 29.9.2016 eingestellt. An diesem Tag kam es in Frankreich zu einem weiteren dramatischen DDoS-Angriff, diesmal mit 1,1 TBit/s – und wiederum unter Beteiligung von IoT-Systemen (https://www.heise.de/security/meldung/Rekord-DDoS-Attacke-mit-1-1-Terabit-pro-Sekunde-gesichtet-3336494.html).
Auch der Angriff professionalisiert sich – es besteht Handlungsbedarf
Auf den Punkt gebracht: Neben der Kommerzialisierung des Schutzes ist auch eine Kommerzialisierung des Angriffes zu beobachten. Große Botnetze warten auf ihre Mieter und die Hersteller von IoT-Lösungen machen es den Angreifern relativ leicht, schnell größere Mengen an Systemen in das Botnetz zu integrieren. Es ist eine traurige Tatsache, dass das Schutzniveau des IoT in den meisten Fällen weit unter dem von Standardsystemen liegt und – sind wir mal ehrlich – das lässt ebenfalls zu wünschen übrig. Die meisten IoT-Systeme beinhalten ein vollständiges Betriebssystem. Hier besteht also dringender Handlungsbedarf – gerade vonseiten derjenigen, die nicht ungewollt zu Tätern werden wollen.
Bevor also Ihre IP-Kameras, Steuerungssysteme oder digitalen Videorekorder aus Ihrem Netzwerk heraus Angriffe starten oder Ihr Dienst vom Netz genommen wird, lassen Sie uns miteinander reden. Danach schauen wir uns gemeinsam an, was zu tun ist.
Sie wollen mehr über das Thema DDoS erfahren? Dann besuchen Sie unseren Stand auf der ProSecurITy in Fürstenfeldbruck – unsere Experten klären mit Ihnen die wichtigsten Fragen dazu!