IT-Sicherheit:So könnte die Verteidigung aussehen

In den ersten Tagen war über die Einzelheiten des Angriffs auf Dyn wenig bekannt, sagt Christian Rossow. Er lehrt an der Universität des Saarlandes und arbeitete mit dem FBI zusammen, um ein Botnetz namens "Gameover Zeus" auszuheben. Zuerst versuchten die Angreifer, die Bandbreite des Anbieters zu überlasten und griffen anschließend direkt die Infrastruktur an.

Es sei nicht einfach, die genauen Angriffsquellen ausfindig zu machen, sagt Rossow. Das zeige sich auch an der Analyse von Dyn: "Zunächst behauptete Dyn, dass mehr als zehn Millionen Systeme Teil des Mirai-Botnetzes seien. Unseren Informationen zufolge ist das Botnetz jedoch sehr viel kleiner. Später revidierte Dyn diese Aussage und schätzt das Botnetz auf circa 100 000 Systeme."

Damit ein Angriff wie dieser in Zukunft abgewehrt oder zumindest abgeschwächt werden kann, nennen Experten vor allem drei Lösungen.

Erstens: Den Angriffen werden viele Ressourcen entgegengestellt, zum Beispiel Bandbreite. Dabei handelt es sich jedoch um ein konstantes Wettrennen, bei dem mal Angreifer vorne liegen und mal Verteidiger.

Zweitens: Große Webseiten verlassen sich nicht mehr ausschließlich auf einen Dienstleister, sondern auf mehrere. Heutzutage ist es der Normalfall, dass Hunderte oder Tausende Webseiten von einem Dienstleister betreut werden, sagt Rossow. "Ein Ausfall zieht also eine große Kettenreaktion nach sich." Wenn die Last aber auf mehrere DNS-Dienstleister verteilt wird, müssen Angreifer eine deutlich höhere Kapazität aufbringen.

Dass sich Seiten wie Twitter auf einen Dienstleister verlassen, dürfte zwei Gründe haben. Zum einen ist es eine Frage des Geldes. Doppelter Schutz kostet doppelt so viel. Zum anderen unterschieden sich die Angebote der Dienste, sagt Brown, der DNS-Geek. Für eine Seite wie Twitter kann es zum Beispiel sinnvoll sein, Nutzer aus Europa auf Server umzuleiten, die in Europa liegen. Sei man Kunde bei nur einem Dienstleister, sei so etwas problemlos möglich, bei mehreren wird das schwieriger, weil die Angebote der verschiedenen Dienstleister nicht kompatibel zueinander seien. "Entweder man entscheidet sich für mehrere Dienstleister und verzichtet auf die speziellen Angebote", sagt Brown, "oder aber man nimmt sie in Anspruch, ist dann aber auch von einem einzelnen Dienstleister abhängig."

Eine dritte Lösung könnte sein: Webseiten erhöhen die Gültigkeitsdauer (Time to Live, also TTL), wenn es zu einem Angriff kommt. Diesen Vorschlag nennt Bert Hubert, der Software für DNS-Server schreibt.

Diese Gültigkeitsdauer legt fest, wie lange DNS-Informationen einer Webseite aktuell sind. Vergleichen kann man das mit der Wiederwahl-Taste beim Telefon. Solange die Nummer, die man erreichen will, noch gespeichert ist, muss man sie nicht im Telefonbuch nachschlagen.

TTL im Regelfall niedrig

Je höher diese Zahl ist, desto länger dauert es, bis Änderungen, die zum Beispiel Twitter einführt, bei allen Nutzern ankommen, da die Nutzer auf eine veraltete Version zugreifen. Webseiten wollen aber, dass Updates sich schnell verbreiten. Daher ist die TTL im Regelfall niedrig.

Kommt es nun zum Angriff, sagt Hubert, sollen die Webseiten ihre TTL erhöhen. "Die Wirkkraft des Angriffs wird dadurch dramatisch reduziert", sagt Hubert. Wenn das Botnet noch nicht auf voller Kapazität läuft, können viele Nutzer, die die Seite ansurfen, sie dann auch weiterhin erreichen, da sie die Information lokal gespeichert haben.

"Mit Schnellschüssen vorsichtig"

Frank Michlick ist Gründer von DomainCocoon, einem Dienst, der technische Hilfe rund um Domainnamen anbietet. Die TTL zu erhöhen, findet auch er sinnvoll. "Solange der Angriff auf einen Nameserver geht (also zum Telefonbuch-Eintrag; Anm. d. Red.), kann das funktionieren. Mehr Leute können die Seite weiterhin erreichen, einen Teil der Auswirkungen könnte man so verhindern."

Dabei komme es darauf an, wie schnell die Seiten reagieren. Denn bis sich ein Befehl im gesamten Botnetz verbreitet hat, dauert es eine kurze Zeit. "Es ist zwar schnell, aber eben nicht sofort verfügbar", sagt Michlick. Wertvolle Zeit, um den Angriff abzuschwächen.

Doch die TTL zu erhöhen, birgt auch Nachteile, wie Rossow, der Forscher von der Universität des Saarlandes, anmerkt: "Die Nutzer halten die Namensauflösung für sehr lange Zeit im Cache. Ist dann die Domain angegriffen (also Twitter.com und nicht der Dienstleister Dyn; Anm. d. Red.), dann wünscht man sich wieder kleine TTL-Zeiten zurück, damit man den Angriff umleiten kann. Ergo wäre ich hier mit Schnellschüssen vorsichtig."

Sieben Vorschläge des BSI

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mittlerweile auf die Angriffswelle am Wochenende reagiert. "Der Fall zeigt anschaulich, dass die Digitalisierung ohne Cyber-Sicherheit nicht erfolgreich sein wird", erklärt BSI-Präsident Arne Schönbohm in einer Pressemitteilung.

Statt die Sicherheit von IoT-Geräten ausschließlich dem Nutzer zu übertragen, müssten Hersteller einfache Wege bieten, um den Schutz zu erhöhen. Sieben Maßnahmen nennt das Amt, eine davon: Passwörter für Geräte müssen bei der Installation des Gerätes neu eingegeben werden. Eine simple Maßnahme wie diese hätte das automatisierte Suchen von Mirai unterbinden können.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Süddeutsche Zeitung
  • Twitter-Seite der SZ
  • Facebook-Seite der SZ
  • Instagram-Seite der SZ
  • Mediadaten
  • Newsletter
  • Eilmeldungen
  • RSS
  • Apps
  • Jobs
  • Datenschutz
  • Kontakt und Impressum
  • AGB