Hannover. Denial-of-Service-Angriffe auf Webserver nehmen zu - und das nicht nur aus kriminellen, sondern auch aus politischen Motiven.
Als im letzten Sommer ein bewaffneter Konflikt zwischen Russland und Georgien ausbrach, sah sich das kleinere Land gleichzeitig mit einer koordinierten Internet-Attacke konfrontiert. Eine Armee von PCs, die angeblich von russischen Hackergruppen koordiniert wurden, flutete georgische Websites mit fehlerhaften Anfragen, so dass es nahezu unmöglich für diese wurde, auf legitime Zugriffe zu reagieren. Die Angriffe erreichten zwischenzeitlich ein enormes Niveau: Bis zu 800 Megabit pro Sekunde an Daten gingen auf einzelne Server nieder.
Diese Art der politisch motivierten Internet-Attacken komme immer häufiger vor, meint Jose Nazario, Manager für den Bereich Sicherheitsforschung beim Netzwerkspezialisten Arbor Networks. "Das Problem verbreitet sich rasch und hat sich in den letzten Jahren verändert", sagt er während seiner Präsentation auf der Sicherheitskonferenz "SOURCE" in Boston Mitte März. Die Frequenz der Angriffe und die Zahl der Ziele seien dabei stetig gewachsen.
Die Angriffe, die die georgischen Websites trafen, nennt man "Distributed-Denial-of-Service", kurz DDoS. Zielrechner werden hierbei mit einer riesigen Anzahl von Anfragen überschwemmt, die oft von Computern auf der ganzen Welt ausgehen. Manchmal stammen sie von so genannten Zombie-PCs, die von Schadprogrammen infiziert wurden, manchmal gibt es aber auch Freiwillige, die ihre eigenen Rechner für DDoS-Aktionen bereitstellen. Während des Georgienkonflikts wurden unter anderem Server der Regierung, die von örtlichen Nachrichtenmedien sowie die einiger Firmen angegriffen, die versuchten, die Attacke abzuwehren.
Arbor Networks nutzt mehrere Techniken, um einen Überblick über die aktuelle DDoS-Weltlage zu erhalten. Die Firma bietet Werkzeuge für die Netzwerksicherheit von Internet-Providern und Großunternehmen an und Kunden können dabei einwilligen, Datenverkehrsmuster an den Hersteller weiterzuleiten, über die sich Angriffe in Echtzeit identifizieren lassen. Nazario meint, dass diese Informationen inzwischen rund 80 Prozent des globalen Internet-Backbone-Datenverkehrs abdeckten, damit also die wichtigsten Knoten enthalten. Arbor-Forscher setzen außerdem Software-Werkzeuge ein, mit denen es möglich ist, Kommandos abzuhören, die für die Steuerung von Zombie-PCs, die in so genannten Botnets zusammengefasst werden, vorgesehen sind. Außerdem kann der Netzwerkspezialist Veränderungen im Internet-Routing erfassen.
Laut Nazario haben sich die Hürden zur Durchführung von DDoS-Angriffen in den vergangenen Jahren deutlich abgesenkt. Bei Attacken auf estnische Websites im Jahr 2007, als es politische Spannungen zwischen Estland und Russland gab, wurden Botnets und Programme verwendet, die nichttechnisch orientierte Menschen kaum hätten einsetzen können, meint er. Heute könnten sich Interessierte Werkzeuge wie "Black Energy" oder "NetBot Attacker" kaufen, die von russischen beziehungsweise chinesischen Programmierern stammten und für unter 100 Dollar angeboten würden. Diese Kits erlauben es einem Angreifer, bereits fertigen Code über ein einfach zu bedienendes Interface zu nutzen – und damit Botnets zu kontrollieren, die man sich "mietet". Hacker haben inzwischen sogar Web-Schnittstellen entwickelt, mit denen Freiwillige ganz leicht an einem DDoS-Versuch teilnehmen können. So steigt die Zahl der Angreifer stetig.
Steven Bellovin, Professor für Computerwissenschaften an der Columbia University in New York und Experte für Netzwerksicherheit, sieht ebenfalls eine Zunahme bei politisch motivierten Online-Angriffen. Als Grund dafür sieht er, dass sie einfacher zu starten und insgesamt effektiver geworden seien. "Man kann keine DDoS-Attacke gegen einen Feind starten, der nicht vom Internet abhängig ist." Fehlten dem Angreifer die notwendigen Netzwerkressourcen, sei es ebenfalls unmöglich.
Ein großes Problem mit diesen politischen Attacken liegt laut Nazario darin, dass die Verantwortlichen nur schwer zu ermitteln seien. Zwar lässt sich ein Botnet hinter einer DDoS-Attacke schnell herausfinden, doch ist es wesentlich schwieriger, zu bestimmen, wer für dessen Nutzung zahlt. Wollten Regierungen später eine Entschädigung einfordern oder gar zurückschlagen, sei das fast unmöglich.
Derzeit werden DDoS-Attacken abgewehrt, indem der Datenverkehr des Angreifers so nah wie möglich an dessen Quelle "abgelenkt" wird. Zusätzlich versucht man, das Internet-Routing in Richtung des Ziels zu beeinflussen oder Angriffe auf andere Arten auf nicht relevante Maschinen umzubiegen. Das allein kann schon ein schwieriger Prozess sein. Regierungen können Experten einstellen und Werkzeuge kaufen, um mit den Angriffen umzugehen. Kleinere Organisationen wie Zeitungen oder Firmen müssten sich dagegen auf die Hilfe der Internet-Provider verlassen, sagt Nazario. "Die Technik zur Abwehr ist da, man muss nur einen Zugriff auf sie haben." So gefährlich DDoS-Angriffe aber auch sein mögen – im Vergleich zu echten Kriegsmaßnahmen wirken sie harmlos. "Das kann man nicht damit vergleichen, wenn Menschen auf einem Schlachtfeld sterben."