Jens-Philipp Jung muss noch mal schnell zurück in sein Büro. Der USB-Stick, den er in den Konferenzraum seiner Firma Link11 in Frankfurt mitgebracht hat, ist leer. Und vom Besprechungszimmer aus kann er nicht auf den Firmenserver zugreifen - aus Sicherheitsgründen. Geschützt ist auch die Türe zum eigentlichen Bürotrakt: Sie lässt sich nur mit codierten Zugangskarten öffnen. Nicht einmal Jungs eigene Karte sperrt alle Türen auf - dabei ist er der Geschäftsführer.
Welche Geheimnisse hütet eine Firma, die solch strenge Sicherheitsmaßnahmen für nötig hält?
Link11 schützt Behörden und Unternehmen vor Angriffen aus dem Netz, die vor allem eines im Sinn haben: Die Rechner der Opfer lahmzulegen. Von zwei identisch ausgestatteten Büros aus - eines in Frankfurt, eines in Hamburg - dirigieren die Mitarbeiter von Link11 acht über die Welt verteilte Rechenzentren. Wird ein Kunde angegriffen, erkennt das System das und leitet den Verkehr ins nächstgelegene Rechenzentrum um. In eine Steuerzentrale mit solch sensiblen Aufgaben soll natürlich kein Unbefugter eindringen können.
Das zweite schützenswerte Geheimnis liegt darin, wie Link11 das macht. Die Firma hat ein Verfahren entwickelt, das den Datenverkehr eines Angriffs mittels künstlicher Intelligenz automatisch analysieren kann und dabei ständig dazulernt. Das Computersystem flöht 100 000 Verbindungen gleichzeitig. "Jeder Angriff, der abgewehrt wird, macht das System besser", sagt Jung.
Doch wie hat man sich einen solchen Angriff überhaupt vorzustellen, wer macht so etwas und warum? Link11 beschäftigt sich ausschließlich mit sogenannten DDOS-Attacken. DDOS, das steht für distributed denial of service, also für verteilte Attacken mit dem Ziel, die angegriffenen Server lahmzulegen. Und diese können von vielen einzelnen Geräten kommen, daher spricht man von verteilten Attacken. Am häufigsten steckten hinter solchen Angriffen Kriminelle, die Geld erpressen wollen, sagt Heiko Löhr, Referatsleiter Cybercrime beim Bundeskriminalamt (BKA) in Wiesbaden, "das ist das maßgebliche Motiv".
Wie auch in anderen Bereichen der Internetkriminalität hat sich längst eine Arbeitsteilung etabliert. Um als Online-Erpresser Geld zu verdienen, muss man keineswegs Hacker-Fähigkeiten besitzen, es reicht, sich auf die dunkle Seite des Internets zu begeben, in sogenannte Darknets. Oft braucht es nicht einmal das. Schon eine gewöhnliche Google-Suche fördert Anbieter zu Tage, bei denen man solche Dienste mieten kann, meist getarnt als Stresstest. Eine kleine Attacke bekommt man schon für zehn bis 20 Dollar.
Attacken gefährden zunehmend auch die vernetzte Produktion
Oft haben sich diese Anbieter mit schädlicher Software wie etwa Trojanern Zugang zu Computern ahnungs- oder sorgloser Nutzer verschafft. Weil sich die gekaperten Rechner über das Internet wie willenlose Roboter steuern lassen, werden sie Bots genannt. Zusammengeschlossen werden sie zum Botnetz, einer Armada von Computer-Zombies, die auf Befehl ihrer heimlichen Herrscher unzählige Spam-Mails versenden oder eben auch Attacken ausführen, die Server lahmlegen sollen. Der Preis für einen solchen Angriff richtet sich danach, wie groß das Botnetz sein und wie lange die Attacke dauern soll. Es gibt Botnetze, die Hunderttausende oder sogar Millionen von Rechnern unter ihrer Kontrolle haben.
Eine DDOS-Attacke kann jeden erwischen, zu jeder Zeit, sagt Jens-Philipp Jung, "es trifft Firmen aus dem Finanzbereich, aus Technologie und dem Handel." Wer dagegen nicht geschützt ist, dessen Webpräsenz ist in aller Regel nicht mehr erreichbar oder antwortet erheblich langsamer als üblich. Vor allem für Firmen, die ihre Dienstleistung ausschließlich im Netz anbieten, ist das der größte anzunehmende Unfall.
Hacker greifen immer öfter Websites politischer Gegner an - eine Art Zensur von unten. Konzerne wie Google bieten jetzt Hilfe gegen solche Übergriffe an.
Aber nicht bloß Webshops und Cloud-Firmen geraten unter Beschuss. "Mittlerweile ist auch die Produktion gefährdet", sagt Raymond Hartenstein von Link11, "zum Beispiel wenn durch eine DDOS-Attacke Lieferketten unterbrochen werden." Große Firmen seien zwar meist geschützt, sagt Hartenstein, "aber was ist mit den Zulieferern?" Es gebe viele Einfallstore, an die man zuerst nicht denkt. Gerade die vernetzte Produktion, Stichwort Industrie 4.0, biete "unheimlich viele Schwachstellen", sagt Hartenstein.
Allein im vierten Quartal wehrte Link11 in Deutschland 11 500 DDOS-Angriffe ab, im gesamten Jahr waren es 30 000. Das BKA bestätigt zwar keine Zahlen. Die Ermittlungsbehörden führten dazu keine Statistiken. Aber, sagt Cybercrime-Experte Löhr, man beobachte durchaus einen kontinuierlichen Anstieg dieser Form von Angriffen.
Zum Glück seien die meisten der Angriffe eher primitiv, sagt Link11-Mann Hartenstein. Doch es gibt auch sehr ausgefeilte Attacken, die gar nicht so leicht zu erkennen sind. Sie tarnen sich als völlig legitime Anfragen. Manche Webseiten-Betreiber freuten sich sogar, sagt Jens-Philipp Jung, dass ihre Seite so viel Anklang findet - bis sie dann zusammenbricht. "Wir sehen solche Angriffe jetzt schon, das wird noch zunehmen."
Im vergangenen Jahr, in dem neue Rekorde bei der Größe von Attacken aufgestellt wurden, bedienten sich die Kriminellen öfters einer Technik, die Ähnlichkeit mit Ping-Pong hat. Dabei werden Anfragen an unverdächtige Server gestellt, allerdings mit gefälschter Absender-Adresse. Das bedeutet: Die Antworten gehen an die Opfer der Attacken. Das Dumme dabei: Die Anfragen an die unverdächtigen Server - das kann zum Beispiel eine Zeitabfrage sein - sind kurz, die Antworten aber ziemlich lang. So wird der Angriff in seiner Intensität stark gesteigert. Die bislang größte Attacke kam in der Spitze auf gigantische 142 Gigabit pro Sekunde. Ein weiterer Vorteil der Methode für die Angreifer: Der Angegriffene sieht erst einmal nicht, dass der Auslöser ein Botnetz war.
Bis alles wieder normal läuft, können manchmal auch Tage vergehen
Um solche Angriffe abzuwehren, baut Link11 um die Server ihrer Auftraggeber einen Schutzring aus Rechenzentren auf. Je nachdem, woher der Angriff kommt, wird die Flut in das nächstgelegene Rechenzentrum umgeleitet. Daher sind die Rechenzentren immer in unmittelbarer Nähe großer Netzknoten. In Frankfurt etwa befindet sich der DE-CIX, Deutschlands größtem Netzwerkknotenpunkt. Die verdächtigen Datenströme werden abgefangen und in den elektronischen Orkus geschickt. Zugleich wird eine Log-Datei geschrieben, mit deren Hilfe nach dem Angriff eine Analyse gefahren werden kann. Die normalen Anfragen werden dagegen weitergeleitet.
Besonders lange dauern müssen solche Angriffe nicht. Die meisten sind nach ein paar Minuten vorbei. Doch der Schaden, den sie anrichten, reicht weit darüber hinaus. Sind die Server erst einmal zusammengebrochen, kann es Stunden, manchmal auch Tage dauern, bis alles wieder normal läuft. Und wenn man Pech hatte, war die Attacke nur ein Ablenkungsmanöver für eine ganz andere Aktion, wie BKA-Mann Löhr sagt: "Bei so großen Datenströmen geht ein kleines infiziertes Datenpaket schon mal unter." Die Attacke könnte etwa dazu gedient haben, Spionage- oder Sabotage-Software einzuschleusen.
Aber auch ohne einen weiteren Angriff im Hintergrund ist der Schaden in der Regel groß. Ein Internethändler, den man nicht erreichen kann, verliert sehr schnell Kunden. Oder Cloudanbieter: Das Unternehmen Orderbird etwa vertreibt cloudbasierte Kassensysteme für Handel und Gastronomie. Das heißt also, die Kunden greifen über das Internet auf die Dienstleistung zu. Sie können dann zwar supermodern mit iPads abrechnen, doch wenn die Cloud nicht funktioniert, geht nichts mehr. Als die Firma von einer Attacke betroffen war, hieß es für ihre Kunden: warten. Diese Erfahrung machte vor wenigen Monaten auch die polnische Fluglinie LOT. Ihre Server wurden attackiert - auch dahinter steckten DDOS-Angriffe.
Die Ermittlungsbehörden haben es dabei nicht leicht. Sie können versuchen, erklärt Experte Löhr vom BKA, anhand der Logdateien den Urhebern sozusagen stromaufwärts entgegenzugehen. Doch die Angreifer verschleierten ihre Attacken oft, indem sie den Verkehr über mehrere sogenannte Proxy-Server leiteten. Wissenschaftler aus Saarbrücken und aus Japan haben ein Verfahren entwickeln, mit dem sie den Angriffs-Code markieren und ihn so zurückverfolgen können. Das hat auch schon zu Ermittlungserfolgen geführt.
Ermittler haben in einer großangelegten Aktion die wohl größte Infrastruktur für diese Waffe von Kriminellen ausgehoben. Aber was ist ein Botnetz überhaupt?
Oft sei es aber auch erfolglos, den Angriffen digital nachzuspüren, sagt Löhr. Eine andere Möglichkeit ist, "der Spur des Geldes zu folgen", wie der erfahrende Ermittler sagt. Und schließlich gibt es noch den "personalen Ermittlungsansatz". Bei einem großen Schaden werde auch schon mal mit verdeckten Maßnahmen gearbeitet. Doch Löhr weiß auch, dass vieles nicht aufgeklärt wird: "Im Bereich Cybercrime haben wir ein großes Dunkelfeld."