Süddeutsche Zeitung

IT-Sicherheit:Das Internet der Dinge greift an - die Gegenwehr läuft

  • Nachdem ein DDoS-Angriff (Distributed Denial of Service) große Webseiten in den USA für Stunden lahmlegte, warnen IT-Sicherheitsforscher vor weiteren Angriffen.
  • Das Internet der Dinge (IoT) habe die Wirkkraft von DDoS-Angriffen massiv erhöht, sagen sie.
  • Diskutiert werden drei Wege, um solche Angriffe abzuschwächen.

Von Hakan Tanriverdi, New York

Für Gavin Brown werden die Rekorde derzeit deutlich zu schnell geknackt. "Die Angriffe werden viel schneller viel massiver", sagt er. "Früher dauerte es ein Jahr, bis ein Rekord gebrochen wurde. Jetzt geht das von Woche zu Woche."

Brown ist Technikchef bei Centralnic, die Firma verwaltet Internet-Adressen, die auf .xyz enden. Brown bezeichnet sich selbst als DNS-Geek. DNS steht für Domain Name System, es wird als "Telefonbuch des Internets" bezeichnet. Das DNS-System stellt sicher, dass Internet-Nutzer www.sueddeutsche.de eingeben können und von dort aus auf die IP-Adresse 52.58.25.19 verwiesen werden.

Brown interessiert sich also für jenen Teil des Internets, der Ende vergangener Woche durch einen dieser massiven und Rekorde brechenden Angriffe lahmgelegt wurde. Dabei wurde der Dienstleister Dyn angegriffen. In der Folge waren Dienste mit Hunderten Millionen Nutzern, zum Beispiel Amazon, Playstation Network und Twitter, teils stundenlang nicht zu erreichen.

Grund dafür sind DDoS-Angriffe, bei denen Webseiten und ihre Anbieter mit so vielen Anfragen bombardiert werden, dass sie unter der Last zusammenbrechen. Die neuen Rekorde beziehen sich auf die Datenmengen, die Angreifer aufbringen können, um Server lahmzulegen. Mittlerweile ist die Bandbreite so groß, dass mit einem DDoS-Angriff ganze Nationen vom Netz abgeschnitten werden könnten. "Hinter solchen Angriffen müssen keine Staaten mehr stecken. Es reicht eine Einzelperson, die zornig ist", sagt Brown.

Kontrolle per Botnetz

Für IT-Sicherheitsforscher ist spätestens damit ein Szenario eingetreten, vor dem sie seit Jahren warnen. Das sogenannte Internet der Dinge - Kühlschränke, Kameras oder Videorekorder mit Internetanschluss - basiert zu einem großen Teil auf Geräten, die technisch unzureichend abgesichert sind.

Für Angreifer genügt es oft, im Internet nach Modellen zu suchen, auf denen das voreingestellte Passwort nicht geändert wurde (oder für normale Nutzer nicht zu ändern ist). Diese Geräte können von den Angreifern übernommen und kontrolliert werden. Man spricht dann von einem Botnetz. Auf diese Weise geht zum Beispiel das Mirai-Botnetz vor, das für mehrere Angriffe in den vergangenen Wochen verantwortlich war.

"Solche Angriffe werden zur Norm" sagt Gabriel Guzman vom Unternehmen RSA, das auf Netzwerksicherheit spezialisiert ist. Guzman leitet die Abteilung für Cyberintelligence. Schlecht gesicherte IoT-Geräte seien nur durch einen Neustart von einem Botnetz zu trennen. Doch das bringe nur kurzfristigen Schutz. Binnen Minuten sei das Gerät erneut infiziert. Auf IoT ausgerichtete Botnetze kann man selbst nachbauen oder anmieten, wie Guzman sagt.

Für 4600 Dollar gibt es 50 000 Bots, für 7500 Dollar 100 000. Bis zu 1 Terabit pro Sekunde seien möglich. Das ist jene Rekord-Dimension, die in den vergangenen Wochen erreicht wurde. Binnen einer Stunde sei das Botnetz angriffsbereit.

In den ersten Tagen war über die Einzelheiten des Angriffs auf Dyn wenig bekannt, sagt Christian Rossow. Er lehrt an der Universität des Saarlandes und arbeitete mit dem FBI zusammen, um ein Botnetz namens "Gameover Zeus" auszuheben. Zuerst versuchten die Angreifer, die Bandbreite des Anbieters zu überlasten und griffen anschließend direkt die Infrastruktur an.

Es sei nicht einfach, die genauen Angriffsquellen ausfindig zu machen, sagt Rossow. Das zeige sich auch an der Analyse von Dyn: "Zunächst behauptete Dyn, dass mehr als zehn Millionen Systeme Teil des Mirai-Botnetzes seien. Unseren Informationen zufolge ist das Botnetz jedoch sehr viel kleiner. Später revidierte Dyn diese Aussage und schätzt das Botnetz auf circa 100 000 Systeme."

Damit ein Angriff wie dieser in Zukunft abgewehrt oder zumindest abgeschwächt werden kann, nennen Experten vor allem drei Lösungen.

Erstens: Den Angriffen werden viele Ressourcen entgegengestellt, zum Beispiel Bandbreite. Dabei handelt es sich jedoch um ein konstantes Wettrennen, bei dem mal Angreifer vorne liegen und mal Verteidiger.

Zweitens: Große Webseiten verlassen sich nicht mehr ausschließlich auf einen Dienstleister, sondern auf mehrere. Heutzutage ist es der Normalfall, dass Hunderte oder Tausende Webseiten von einem Dienstleister betreut werden, sagt Rossow. "Ein Ausfall zieht also eine große Kettenreaktion nach sich." Wenn die Last aber auf mehrere DNS-Dienstleister verteilt wird, müssen Angreifer eine deutlich höhere Kapazität aufbringen.

Dass sich Seiten wie Twitter auf einen Dienstleister verlassen, dürfte zwei Gründe haben. Zum einen ist es eine Frage des Geldes. Doppelter Schutz kostet doppelt so viel. Zum anderen unterschieden sich die Angebote der Dienste, sagt Brown, der DNS-Geek. Für eine Seite wie Twitter kann es zum Beispiel sinnvoll sein, Nutzer aus Europa auf Server umzuleiten, die in Europa liegen. Sei man Kunde bei nur einem Dienstleister, sei so etwas problemlos möglich, bei mehreren wird das schwieriger, weil die Angebote der verschiedenen Dienstleister nicht kompatibel zueinander seien. "Entweder man entscheidet sich für mehrere Dienstleister und verzichtet auf die speziellen Angebote", sagt Brown, "oder aber man nimmt sie in Anspruch, ist dann aber auch von einem einzelnen Dienstleister abhängig."

Eine dritte Lösung könnte sein: Webseiten erhöhen die Gültigkeitsdauer (Time to Live, also TTL), wenn es zu einem Angriff kommt. Diesen Vorschlag nennt Bert Hubert, der Software für DNS-Server schreibt.

Diese Gültigkeitsdauer legt fest, wie lange DNS-Informationen einer Webseite aktuell sind. Vergleichen kann man das mit der Wiederwahl-Taste beim Telefon. Solange die Nummer, die man erreichen will, noch gespeichert ist, muss man sie nicht im Telefonbuch nachschlagen.

TTL im Regelfall niedrig

Je höher diese Zahl ist, desto länger dauert es, bis Änderungen, die zum Beispiel Twitter einführt, bei allen Nutzern ankommen, da die Nutzer auf eine veraltete Version zugreifen. Webseiten wollen aber, dass Updates sich schnell verbreiten. Daher ist die TTL im Regelfall niedrig.

Kommt es nun zum Angriff, sagt Hubert, sollen die Webseiten ihre TTL erhöhen. "Die Wirkkraft des Angriffs wird dadurch dramatisch reduziert", sagt Hubert. Wenn das Botnet noch nicht auf voller Kapazität läuft, können viele Nutzer, die die Seite ansurfen, sie dann auch weiterhin erreichen, da sie die Information lokal gespeichert haben.

"Mit Schnellschüssen vorsichtig"

Frank Michlick ist Gründer von DomainCocoon, einem Dienst, der technische Hilfe rund um Domainnamen anbietet. Die TTL zu erhöhen, findet auch er sinnvoll. "Solange der Angriff auf einen Nameserver geht (also zum Telefonbuch-Eintrag; Anm. d. Red.), kann das funktionieren. Mehr Leute können die Seite weiterhin erreichen, einen Teil der Auswirkungen könnte man so verhindern."

Dabei komme es darauf an, wie schnell die Seiten reagieren. Denn bis sich ein Befehl im gesamten Botnetz verbreitet hat, dauert es eine kurze Zeit. "Es ist zwar schnell, aber eben nicht sofort verfügbar", sagt Michlick. Wertvolle Zeit, um den Angriff abzuschwächen.

Doch die TTL zu erhöhen, birgt auch Nachteile, wie Rossow, der Forscher von der Universität des Saarlandes, anmerkt: "Die Nutzer halten die Namensauflösung für sehr lange Zeit im Cache. Ist dann die Domain angegriffen (also Twitter.com und nicht der Dienstleister Dyn; Anm. d. Red.), dann wünscht man sich wieder kleine TTL-Zeiten zurück, damit man den Angriff umleiten kann. Ergo wäre ich hier mit Schnellschüssen vorsichtig."

Sieben Vorschläge des BSI

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mittlerweile auf die Angriffswelle am Wochenende reagiert. "Der Fall zeigt anschaulich, dass die Digitalisierung ohne Cyber-Sicherheit nicht erfolgreich sein wird", erklärt BSI-Präsident Arne Schönbohm in einer Pressemitteilung.

Statt die Sicherheit von IoT-Geräten ausschließlich dem Nutzer zu übertragen, müssten Hersteller einfache Wege bieten, um den Schutz zu erhöhen. Sieben Maßnahmen nennt das Amt, eine davon: Passwörter für Geräte müssen bei der Installation des Gerätes neu eingegeben werden. Eine simple Maßnahme wie diese hätte das automatisierte Suchen von Mirai unterbinden können.

Bestens informiert mit SZ Plus – 4 Wochen kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.3222452
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
SZ.de/jab/vit
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.