Foto: alexskopje - shutterstock.com
Wenn Internet-Anwendungen und -Services nicht mehr erreichbar sind, kann das zu Umsatzverlusten und Imageschäden führen. Vor allem Dienste, die einen großen Vertrauensvorsprung genießen, wie Online-Banking-Portale oder Apps von Versicherungen, können dieses Vertrauen bei einer Störung schnell einbüßen. Gleichzeitig sind Unternehmen zunehmend auf den Datenverkehr über das Internet angewiesen. Standorte werden miteinander vernetzt und geschäftskritische Anwendungen oder Services zu jeder Zeit erreichbar sein. Für viele Unternehmen ist das Internet jedoch eine Art Black Box, in die sie keine Einblicke haben, und wenn es zu Störungen kommt, sind IT-Teams oft nicht in der Lage, die Quelle schnell zu identifizieren und entsprechend zu reagieren.
Einige Ausfälle sind auf die Struktur des Internets zurückzuführen. Andere kommen durch Fehler und unbeabsichtigtes Verhalten zustande. Ein Teil lässt sich aber auch auf Angriffe und Sabotage zurückführen, auf die sich IT-Verantwortliche vorbereiten sollten. Die wichtigsten finden sich in der nachfolgenden Aufzählung.
BGP Hijacking
Das Border Gateway Protocol (BGP) sorgt dafür, dass die im Hintergrund ausgeführten Anwendungen im Internet reibungslos funktionieren. Dazu zählen zum Beispiel der Browser, der Router und die Verbindung zur Zieladresse. Es wird auch als Adressverzeichnis des Internets bezeichnet, da Anfragen durch das BGP gezielt an den richtigen Adressaten weitergeleitet werden.
Beim BGP Hijacking machen sich Cyberkriminelle dieses System zunutze, indem sie IP-Präfixe im Internet verändern und falsch annoncieren, um den Datenverkehr zu einem anderen Ziel umzuleiten. So können Daten in größerer Menge gestohlen werden. So konnten Cyberkriminelle im Jahr 2018 durch einen Angriff auf das BGP den Internetdatenverkehr des Open-Source Wallet-Services MyEtherWallet auf einen eigenen Server umleiten und so Einheiten der Kryptowährung Ether stehlen. Die Wallet enthielt damals Ether im Wert von etwa 16 Millionen Dollar. Beim Angriff auf den Service, der von Amazon AWS gehostet wird, wurde Ether im Wert von 13.000 US-Dollar entwendet.
Die Zahl der BGP-Hijacking-Angriffe hat zugenommen. Route Origin Authorizations (ROAs) bietet eine Möglichkeit, autorisierte Systeme zu erkennen und unerlaubte Umleitungen zu verhindern. Allerdings hat sich dies noch nicht überall durchgesetzt.
DDoS-Angriffe
Bei Distributed-Denial-of-Service (DDoS)-Attacken werden Dienste durch eine große Anzahl von Anfragen überlastet.. Dadurch können die Angreifer die Web-Infrastruktur ihres Ziels vom Netz nehmen, gleichzeitig aber auch die Netzwerke von Service Providern überlasten, was zu Paketverlusten führen kann. DDoS-Angriffe erfolgen aus unterschiedlichen Gründen: Neben Sabotage eines bestimmten Unternehmens aus politischen Motiven zielen Attacken auch darauf ab, den Wettbewerb zu schädigen. Die enorme Tragweite von DDoS-Angriffen macht sie zu einer unkalkulierbaren Gefahr, die großen Schaden verursachen kann.
Im Jahr 2016 gab es einen gewaltigen DDoS-Angriff auf das US-Unternehmen Dyn - stundenlang waren Dienste wie Twitter, Spotify, Airbnb und eBay nicht erreichbar, da diese mit Anfragen überlastet wurden. Dabei machten sich die Angreifer das Internet der Dinge (IoT) zunutze: Die Anfragen kamen von Millionen von vernetzten Geräten wie Sicherheitskameras, Kühlschränken und Thermostaten, die als ein Botnet fungierten und ohne Wissen ihrer Besitzer von den Cyberkriminellen kontrolliert wurden.
- DoS und DDoS
Bei Denial-of-Service-Angriffen (DoS) versuchen Cyber-Kriminelle den Internetauftritt eines Unternehmens durch Überlastung der Systeme zu beinträchtigen oder völlig lahmzulegen. Das Zielsystem kann zwischen "echten" und "bösartigen" Anfragen nicht unterscheiden. Es versucht alles zu verarbeiten, wird immer langsamer und muss schließlich wegen Überlastung seiner Ressourcen die Arbeit einstellen. Herkömmliche Angriffe dieser Art sind mittlerweile relativ leicht zu erkennen und zu bekämpfen, doch hat sich mit Distributed-Denial-of-Service-Angriffen (DDoS) eine besonders tückische Variante etabliert. Hier verwendet der Angreifer eine große Anzahl von Clients, über die er sich zuvor unrechtmäßig Kontrolle verschafft hat - beispielsweise über ein Bot-Netz mit vielleicht 100.000 gekaperten Rechnern. - Smart-TVs sind besonders beliebt
Smart TVs sind ideale Werkzeuge für DDoS-Angriffe. Aufgrund der hohen Verbreitung, einer breitbandigen Anbindung und des Betriebs durch unerfahrene Nutzer ist die Wahrscheinlichkeit groß, dass von ihnen massive Angriffe ausgehen werden. Es könnte dann zu der paradoxen Situation kommen, dass ein Angriff sich genau der Geräte bedient, deren Service er anschließend einschränkt oder unterbindet. Dann greifen Tausende von Smart TVs Netflix an, und können selbst kein Programm mehr zeigen. - Consumer-Gadgets sind meistens der Ausgangspunkt
IoT-Systeme, die für Bot-Netze missbraucht werden, kommen derzeit vorwiegend aus dem Consumer-Umfeld - beispielsweise schlecht abgesicherte Webkameras oder auch Home Router. Auch industrielle IoT-Geräte, die in Produktionsanlagen oder der Logistiksteuerung eingesetzt werden, sind zunehmend Ziel von DDoS-Attacken. Solche Devices können aber selbst zum Angriffsziel werden, indem etwa Messwerte verfälscht oder Daten entwendet werden. In Finnland wurden zum Beispiel im letzten Herbst Heizungsanlagen angegriffen und manipuliert. Akamai beobachtet zudem bei den Cyber-Attacken vermehrt Kampagnen, die auf Erpressung mit entsprechenden Geldforderungen abzielen. (Michael Tullius, Akamai)
DNS Hijacking und Cache Poisoning
Das Domain Name System (DNS) wird als "Telefonbuch des Internets" bezeichnet. Im DNS kann nach Computernamen gesucht werden, um zugehörige IP-Adressen in Erfahrung zu bringen. Mit der IP-Adresse kann anschließend eine Verbindung zu einem Server aufgebaut werden. Der Name Server ermöglicht dann eine "Namensauflösung", um Bezeichnungen von Rechnern oder Services in eine vom Computer bearbeitbare Adresse aufzulösen. DNS-Einträge und der dafür bestimmte Online-Datenverkehr lassen sich in der Regel auf zwei Arten kompromittieren: durch Hijacking oder Cache Poisoning. In beiden Fällen kann umgeleiteter Datenverkehr verwendet werden, um DDoS-Angriffe auszuführen, Malware zu installieren und Passwörter via Phishing zu stehlen.
Beim Hijacking wird der DNS-Server oder die Registrierung selbst kompromittiert, in der Regel durch einen Phishing-Angriff oder ein gestohlenes Kennwort. Der Hijacker erhält administrativen Zugriff auf das DNS-Konto, um die DNS-Einträge direkt zu ändern. Normalerweise ändert ein Hijacker den Name-Server (NS)-Eintrag, um zukünftige DNS-Abfragen an einen solchen Server unter seiner Kontrolle zu leiten.
2019 hatten Nutzer von Gmail, Netflix und PayPal Schwierigkeiten, auf die echten Seiten der Anbieter zu gelangen. Cyberkriminelle hatten die DNS-Einträge auf verschiedenen Router-Modellen manipuliert. Die User gelangten auf gefälschte Websites, die auf den ersten Blick unauffällig wirkten, die eingegebenen Zugangsdaten wurden allerdings von den Cyberkriminellen abgegriffen.
Cache Poisoning tritt dagegen bei DNS-Resolvern auf, die über Netzwerke verteilt sind, die das Internet kompromittieren. Ein DNS-Resolver ist ein Name Server, der auf Anfrage von Rechnern die Namen in IP-Adressen auflöst. Ein Angreifer fügt einen gefälschten DNS-Eintrag in einen DNS-Resolver ein, um eine gültige Rückmeldung zu erhalten oder durch eine Brute-Force-Methode weniger sichere DNS-Konfigurationen zu erzwingen. Die gefälschten Einträge leiten zukünftige DNS-Abfragen an den Name Server des Angreifers weiter, der dann einen autoritativen Datensatz nach Wahl des Angreifers bereitstellt.
Ausfälle ohne Angriff
Dass Ausfälle wichtiger Dienste nicht nur durch mutwillige Angriffe entstehen können, hat die unerwartete Auslastung beispielsweise durch die gesteigerte Nutzung von Homeoffice und Videokonferenzen im ersten Halbjahr 2020 gezeigt. Die beschriebenen Grundstrukturen des Internets, wie BGP und DNS, aber auch die Arbeit von Internet Service Providern, gelangten hier schnell an ihre Grenzen. Das hatte zusätzliche Internetausfälle zur Folge. Neben dem Blick auf Cyberkriminelle, die mit ihren Attacken interne Unternehmensnetzwerke zum Erliegen bringen können, müssen Verantwortliche sich daher auch mit strukturellen Schwächen und Überlastungsspitzen auseinandersetzen.
Dazu benötigen Unternehmen umfassende Einblicke in das gesamte Internet. Es gilt deshalb: Ausfälle, ganz gleich welcher Art, lassen sich zwar schwer vermeiden, die Vorbereitung auf diese liegt mit den entsprechenden Plänen zur Netzwerküberwachung, flexibler Verwaltung der Verbindungen und effektiven Notfallplänen zur Wiederherstellung aber sehr wohl in der Hand der Unternehmen. (jd)