Zeitung Heute : Dem Kollaps nah

Die jüngste Attacke auf das Rückgrat des Internet hätte fast den gesamten Datenverkehr lahm gelegt. Dabei waren nur neun Server betroffen

Kurt Sagatz

Allzu viel hatte nicht gefehlt. Wären der Attacke auf das Nervenzentrum des Internet am Wochenanfang nur einige Server mehr zum Opfer gefallen, hätte es den ersten großflächigen Zusammenbruch nahezu des gesamten Datenverkehrs im weltumspannenden Netz gegeben. Selbst das Weiße Haus sah sich zum Eingreifen genötigt. Ari Fleischer, Sprecher des US-Präsidenten, kündigte umgehend Untersuchungen darüber an, woher die Angriffe kamen und wer dafür verantwortlich ist. Ermittelt wird nun sowohl vom FBI als auch vom neu eingerichteten „Office of Homeland Security“.

Im Zentrum der Attacken standen gerade einmal neun Systeme. Neun von insgesamt 13 Servern aber, von denen es abhängt, ob das Internet funktioniert oder den Dienst quittiert. Bei den angegriffenen Systemen handelt es sich um jene Server, auf denen die wichtigsten Daten überhaupt vorgehalten werden: Das Domain Name System (DNS). Jedes Mal, wenn ein Internet-Nutzer eine Internet-Adresse in seinen Computer eingibt – beispielsweise www.tagesspiegel.de – sucht eines der DNS-Systeme den entsprechenden technischen Code heraus, der für die Herstellung der eigentlichen Verbindung zwischen dem Internet-Surfer und der Tagesspiegel-Homepage benötigt wird. Nur wenn das DNS–System die Tagesspiegel-Adresse in die IP-Adresse übersetzt, startet die Übertragung: Sonst müsste man anstatt www.tagesspiegel.de den kaum zu merkenden Zahlenblock 195.170.124.147 eintippen .

Die Art des Angriffs auf das Internet-Rückgrat ist im Prinzip nicht neu. Von mehreren hundert, möglicherweise einigen Tausend Internet-Rechnern wurden zeitgleich unzählige Anfragen auf die DNS-Systeme „abgefeuert“. In der Fachsprache der Internet-Experten wird von so genannten „Distributed Denial of Service“-Angriffen (DDOS) gesprochen. Die Betreiber der Systeme, von denen die Angriffe ausgehen, wissen dabei nicht einmal, wozu ihre dauerhaft mit dem Internet verbundenen Rechner missbraucht werden, denn die für den Angriff verantwortlichen Programme werden vom eigentlichen Angreifer zuvor so in den Rechnern versteckt, dass sie erst einmal gar nicht auffallen. Erst wenn sie ferngesteuert und zeitgleich ihren Angriffsbefehl erhalten, wird die Absicht des Angreifers sichtbar. Doch dann ist es meist zu spät.

Bei der aktuellen Attacke brachen neun der 13 Server unter der Last der Nachfragen, die von den „Zombie“-Rechnern ausgingen, zusammen. Die Auswirkungen auf den Internet-Verkehr blieben dennoch verhältnismäßig gering, da die verbliebenen Systeme die Aufgaben der ausgefallenen DNS-Server übernahmen. Allein mit technischen Mitteln war dem Angriff jedoch nicht beizukommen. Erst als Techniker entsprechende Abwehrmaßnahmen einleiteten, bekam man die Attacken in den Griff.

Nicht erst die aktuelle DDOS-Attacke hat erneut deutlich gemacht, dass ein rein technischer Schutz nicht ausreicht, um elektronische Kommunikationssysteme wie das Internet abzusichern. Selbst die besten Sicherheitseinrichtungen mit Anti-Viren-Programmen, Firewall-Schutzsystemen und Intrusion-Detection-Einrichtungen zur Angriffserkennung können keinen hundertprozentigen Schutz bieten, da sie vorwiegend darauf ausgelegt sind, automatisierte und damit anonyme Gefährdungen abzuwehren. Oftmals sind es am Ende eher menschliche Experten, die Schlimmeres verhindern. Bogdan Pelc, Leiter des Berliner Security Operations Center (SOC) von Symantec, macht dies am Beispiel eines mittelständischen Unternehmens deutlich. Das Unternehmen, das zwanzig Rechner in einem mit dem Internet verbundenen Netzwerk einsetzt, ist zwar auch über die technische Lösung des integrierten Sicherheitskonzept von Symantec geschützt. Doch wenn es ernst wird, hilft häufig nur menschliches Eingreifen. Vielfach zeigt erst die Analyse der Logfiles, dass überhaupt ein Angriff stattfindet. Zur Veranschaulichung: Jeden Monat protokolliert das System des Mittelständlers 9,5 Millionen Besonderheiten. Bei weit über 99 Prozent davon handelt es sich um harmlose Dinge wie falsche Adresseingaben, Vertipper bei Passworteingaben oder ähnliches. Bei rund 620 Anlässen wurde jedoch ein Security Event erzeugt, den sich dann ein Symantec-Mitarbeiter im zentralen SOC in Alexandria anschaut. Dort wird dann über das weitere Vorgehen entschieden. In immerhin 55 Fällen legten die Logfile-Analytiker ihrem Kunden über das regelmäßige Protokoll eine Kontrolle des Systems nahe. In zwei Fällen wurde der Kunde sofort kontaktiert. Die Angriffe erfolgten nicht nur gezielt, sondern waren auch noch so geartet, dass ein Erfolg der Attacke nicht ausgeschlossen werden konnte. Dabei kann ein erfolgreicher Angriff ausreichen, um erheblichen betriebswirtschaftlichen Schaden anzurichten, ja das gesamte Unternehmen lahm zu legen. Symantec will darum künftig nicht nur in den USA die Logfiles analysieren, sondern auch in Europa. Als Standort für den neuen Aufgabenbereich ist unter anderem Berlin im Gespräch.

Die Bedrohungen des Internets werden zunehmen, da sind sich die Experten sicher. Mit Technik allein lässt sich der Kollaps des Systems nicht vermeiden, der Mensch spielt weiter eine wichtige Rolle.

Hintergründe und Expertisen zu aktuellen Diskussionen: Tagesspiegel Causa, das Debattenmagazin des Tagesspiegels.

Hier geht es zu Tagesspiegel Causa!

0 Kommentare

Neuester Kommentar