Die Web-Attacken der zweiten Februarwoche haben die E-Commerce-Branche das Fürchten gelehrt. Das Netz hat sich als mächtiger erwiesen als seine neuen Herren - zumindest für ein paar Stunden. Aber stellen die Vorfälle wirklich das Web als globalen Marktplatz in Frage?
Fassungslos mussten einige der mächtigsten E-Commerce-Site-Betreiber in der zweiten Februarwoche zusehen, wie ihre Systeme unter einer Flut von sinnlosen Anfragen für mehrere Stunden zusammenbrachen. Die verteilten Denial-of-Service-Attacken, die möglicherweise unter der Kontrolle von Teenies standen, hinterließen nach einigen Stunden Systemausfall bleibende Schäden - zwar nicht in der Computer-Hard- und -Software, wohl aber am Selbstvertrauen der Macher und bei der allgemeinen Goldgräberstimmung im E-Commerce.
| Bei verteilten Denial-of-Service-Attacken arbeiten die Angreifer nicht unmittelbar vom eigenen Computer, sondern nutzen ein mehrstufiges Netzwerk von infiltrierten Rechnern (siehe auch c't 2/2000, Seite 45). |
Dabei haben sich die Opfer nicht einmal selbst Versäumnisse anzukreiden. Es gab keine Einbrüche in ihre Rechner und mehr als das Zwanzigfache der normalen Systemlast kann wohl kein ökonomisch denkendes Unternehmen als Reserve vorsehen. Die Betroffenen mussten vielmehr unter der mangelnden Sicherheit von anderen Systembetreibern leiden: Um eine derart massive Netzlast zu verursachen, dass man die Größten der Branche in die Knie zwingen konnte, mussten die Angreifer zuvor etliche Computersysteme mit guter Internet-Anbindung unter ihre Kontrolle bringen.
Wahrscheinlich haben die Angreifer noch nicht einmal alles aufgefahren, was Netzpartisanen zur Verfügung steht: Im Internet Relay Chat (IRC) gibt es Gruppen, die infiltrierte Rechner missbrauchen, um kurzfristig Server oder Provider lahm zu legen - während dieser Auszeiten übernehmen sie dann Chat-Kanäle, die vorher unter der Kontrolle ihrer Opfer standen. Die virtuellen Angriffsnetze, so genannte Floodnets, sollen teilweise aus mehr als 1000 Computern bestehen. Die Bandbreite derart großer Floodnets betrüge ein Vielfaches dessen, was beispielsweise Yahoo überlastet hatte.
Während die Floodnets im IRC ein klares Ziel haben, kann über die Motivation der Web-Attacken zunächst nur spekuliert werden. Weder bei den terrorisierten E-Commerce-Sites noch beim FBI gingen Bekennerschreiben ein, sodass ein organisierter Protest gegen die Kommerzialisierung des Internet vermutlich ausscheidet. Möglicherweise handelt es sich nur um das Muskelspiel von Halbstarken, die im Cyberspace-Untergrund Eindruck schinden wollen. In dieser Richtung äußerte sich der deutsche Hacker Mixter gegenüber c't kurz nach den Angriffen: ‘Es scheint, als wären die Angreifer ziemlich ahnungslose Leute, die machtvolle Ressourcen und Programme für sinnlose Aktivitäten missbrauchen, einfach nur weil sie es können. Das hat nichts mit Hacken oder 'Hacktivismus' zu tun.’
Im Prinzip könnten hinter solchen Angriffen aber auch Kriminelle, Wirtschaftsunternehmen oder Regierungen stecken. Die Aktienkurse der in den USA betroffenen Unternehmen, etwa Yahoo oder Amazon, sind nach dem Bekanntwerden der erfolgreichen Attacken für kurze Zeit stark abgesackt. Anschließend stiegen sie wieder auf annähernd den gleichen Wert, den sie vor den Attacken hatten. Kriminelle Spekulanten könnten sich solche Effekte gezielt zu Nutze machen. Außerdem könnte ein Unternehmen einen Konkurrenten während der ‘heißen Phase’ einer Ausschreibung per Denial-of-Service elektronisch mundtot machen. Und das Lahmlegen unliebsamer Bürgerrechtsserver wäre für staatliche Stellen sicherlich keine unlösbare Aufgabe. Diese könnten zudem per Web-Attacke ihre Wichtigkeit untermauern: Nachdem sich das FBI und der US-Geheimdienst NSA in den Fall der Web-Attacken eingeschaltet hatten, bekamen sie neue Finanzspritzen bewilligt.
Im konkreten Fall tippte das FBI aber bis zum Redaktionsschluss dieser Ausgabe auf pubertierende Einzeltäter: Im Visier der Ermittler standen der 17-jährige ‘Coolio’ aus den USA und der 15-jährige ‘Mafiaboy’ aus Kanada. Mafiaboy gilt nach Informationen von US-Medien als Nachahmer, habe aber in Internet Chat Rooms die Angriffe auf CNN.com und die Börsenmaklerfirma E*Trade angekündigt. Michael Lyle, technischer Leiter einer Internet-Sicherheitsfirma, hält den Jungen für einen der Täter: ‘In meinen Untersuchungen der Untergrundszene habe ich 30 bis 40 Leute gesehen, die für die Attacken verantwortlich sein wollten. Der einzig glaubwürdige Anspruch kam von Mafiaboy’, äußerte Lyle gegenüber dem kanadischen Online-Börsenmagazin globeinvestor.
Ob der oder die Täter sich mit ihren Aktionen im Untergrund aber wirklich beliebt gemacht haben, bleibt fraglich. Durch die fortgesetzten Angriffe dürften etliche infiltrierte Computer ‘aufgeflogen’ sein. Solange Hacker sich auf geknackten Rechnern relativ unauffällig verhalten, ist die Entdeckungschance vergleichsweise gering. Beim Einsatz für einen Denial-of-Service-Angriff steigt aber auch auf dem missbrauchten System deutlich die Netzwerklast, sodass mit jeder Aktivierung das Risiko der Entdeckung stark ansteigt. Daher ist auch nicht zu erwarten, dass breit angelegte Angriffe künftig zur Tagesordnung gehören werden.
Für die ‘richtigen’ Hacker, die selbst Tools entwickeln oder Sicherheitslücken ausloten, sind Mafiaboy und Konsorten ohnehin nur ‘Script Kiddies’: Leute, die mit den vorgefertigten Analysen anderer in Rechner eindringen und Angriffe nur mittels fertiger Tools fahren. Bei den aktuellen Angriffen soll Mafiaboy das Programm ‘Tribe Flood Network’ (TFN) des deutschen Hackers Mixter benutzt haben. Mixter hatte sich schockiert gezeigt und von den Attacken distanziert.
Das Ziel der Veröffentlichung von Hackertools ist nicht deren Einsatz zu Missbrauchszwecken, sondern die Aufklärung der (Fach-)Öffentlichkeit über die Durchführbarkeit von Angriffen oder die Demonstration bestehender Sicherheitslücken. Wer eine Sicherheitslücke zu kriminellen oder eigennützigen Zielen auskosten will, wird hingegen seine Erkenntnisse gerade nicht veröffentlichen, sondern im Verborgenen nutzen.
Es hat sich in der Vergangenheit immer wieder gezeigt, dass bloße Hinweise zu Sicherheitsproblemen auf taube Ohren stoßen, solange nicht zumindest offenkundig nachvollziehbar ist, wie einfach man sie ausnutzen kann. Trotz der damit verbundenen Gefahren ist die straflose Veröffentlichung von Hackertools oder Anleitungen zum Sicherheitsbruch daher wichtig.
Auch die jüngsten Vorfälle belegen das: In Sicherheitskreisen wurde bereits Anfang Dezember vor dem gehäuften Auftauchen von Trojanischen Pferden für Solaris-Rechner gewarnt, die Agents für verteilte Denial-of-Service-Tools installieren. Kostenlose Suchprogramme, um die gefährlichen Programme zu finden, standen ebenfalls zur Verfügung. Offenbar hat die Warnung aber nicht genug Systemadministratoren erreicht oder einfach nicht gefruchtet. Jedenfalls waren zwei Monate später offensichtlich noch genug Agents unentdeckt.
Ganz allgemein steht es schlecht um die Sicherheit von Servern im Netz. Mixter vermutete im c't-Interview: ‘Man muss sicherlich von einer fünfstelligen Zahl tatsächlich kompromittierter Systeme ausgehen und mindestens 50 Prozent aller Computer mit Fernzugang dürften Sicherheitsprobleme aufweisen, die sie angreifbar machen.’ Auch längst bekannte Lücken werden häufig nicht geschlossen. Solange aber etliche Systembetreiber ihre Server mehr oder weniger wissentlich zum Tummelplatz für Hacker und Cracker machen, bleiben konzertierte Angriffe möglich.
Es gibt zwar einige Möglichkeiten, um bei den Angriffszielen bestimmte Attacken auszuschließen, vollständigen technischen Schutz kann es aber auf Opferseite systembedingt nicht geben - schließlich soll der Server ja Anfragen annehmen ... Die Verteidiger sehen sich mit einer paradoxen Situation konfrontiert: Jeder zusätzliche Filter, jeder Mechanismus, der eingehende Anfragen auf Authentizität prüft oder ungewöhnliche Intensität aufspüren soll, verlangsamt das System und bedeutet zusätzlichen Aufwand - besonders dann, wenn viele Anfragen einlaufen. Und genau das begünstigt die Attacken wiederum; ein besonders gut ‘geschütztes’ System würde damit fast zwangsläufig besonders anfällig.
Solange Angreifer noch fremde Rechner für Attacken missbrauchen können, bleibt den Opfern nur juristischer Schutz. Hier zu Lande gelten erfolgreiche Web-Attacken in der Regel als Computersabotage: Paragraph 303b StGB bedroht denjenigen mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe, der ‘eine Datenverarbeitung, die für einen fremden Betrieb ... von wesentlicher Bedeutung ist, dadurch stört, dass er ... eine Datenverarbeitungsanlage ... unbrauchbar macht ...’.
Die Formulierung des Gesetzes könnte zwar klarer sein, Rechtsanwalt und Online-Rechtler Stefan Jaeger hält den Paragraphen aber für anwendbar: ‘Man macht eine Datenverarbeitungsanlage auch unbrauchbar, wenn man dafür sorgt, dass sie ihren vorgesehenen Zweck für eine nicht unerhebliche Zeit nicht erfüllen kann. Wenn also durch eine Überflutung mit Datenmüll reguläre Kundenanfragen zurückgewiesen werden, ist das strafbar.’ Allerdings genüge es nicht, dem Anbieter nur eine Menge zusätzliche Arbeit aufzuhalsen: Wenn alle Anfragen durchkommen und das Problem nur im nachträglichen Aussortieren läge, wäre das kein Fall von Computersabotage.
Wer unwissentlich an einer solchen Attacke mitwirkt, weil sein Rechner geknackt und missbraucht wurde, hat vom Staatsanwalt nichts zu befürchten: Beihilfe scheidet auch bei grober Fahrlässigkeit in Sachen Sicherheitsadministration aus. Wer jedoch von dem Einbruch oder Missbrauch weiß, der sollte handeln, um Ersatzansprüche zu vermeiden. Man sollte aber den Eindringling nicht einfach aussperren und alle Spuren beseitigen. Eine Information an das Computer Emergency Response Team (CERT) des BSI ist dann willkommen - solche Hinweise werden vertraulich behandelt. Beim BSI-CERT gibt es gegebenenfalls auch Hilfe für die weitere Vorgehensweise.
Ob man letztendlich juristische Ansprüche durchsetzen kann, hängt vor allem davon ab, ob die Täter ermittelt werden. Bei den Strafverfolgern gibt es aber noch Defizite in Sachen Computerkriminalität. Nach Einschätzung des Bundes Deutscher Kriminalbeamter (BDK) liegt die Polizei hier zu Lande meilenweit hinter den Internet-Kriminellen zurück. Der BDK-Internet-Experte Werner Märkert sagte Mitte Februar im Saarländischen Rundfunk: ‘Wir haben bei weitem nicht die Möglichkeiten, die unser kriminelles Gegenüber hat.’ Die Kriminalpolizei müsse flächendeckend in die Lage versetzt werden, zu ermitteln, meinte Märkert. Es sei zwar bundesweit ein Trend zu erkennen, dass die Technik aufgestockt und das Personal geschult werde, der Kampf gegen die Internet-Kriminellen müsse aber auch auf europäischer Ebene angegangen werden.
Bundesinnenminister Otto Schily hat bereits kurz nach den Web-Attacken eine Task-Force gefordert, die ‘das Bedrohungspotenzial in Deutschland klären und Maßnahmen zur besseren Bekämpfung derartiger Angriffe vorschlagen und koordinieren soll’. Mitarbeiter des Bundesinnenministeriums (BMI), des Bundesamt für die Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamtes (BKA) sollen in dieser neuen ‘Eingreiftruppe’ zusammenarbeiten. Bis zur entsprechenden Pressemitteilung des BMI wusste man allerdings in den einschlägigen Referaten nicht Bescheid. Auf fachlicher Ebene hatte es zu diesem Thema keine Beratungen gegeben. ‘Das ist eine politische Entscheidung des Ministers’, kommentierte ein Beamter Schilys Entschluss (siehe ‘Schilys Cyberwar’ in Telepolis www.heise.de/tp/deutsch/inhalt/te/5797/1.html).
Dass die Politik in Deutschland reagiert - wenn auch mit einem nicht abgesprochenen Schnellschuss - ist gut und beruhigt hoffentlich die aufgewühlten Gemüter, die angesichts des ‘Cyberterrorismus’ wieder härtere Strafen und mehr Überwachung fordern könnten. Selbst in den USA hat sich die Justizministerin Janet Reno dafür ausgesprochen, die Geschehnisse nicht zum Anlass zu nehmen, die Freiheit des Internet zu beschneiden. (nl)
Version zum Drucken | Per E-Mail versenden | Heft bestellen
Permalink: http://heise.de/-287566
Das aktuelle Heft ist jetzt im Handel erhältlich.
Ältere Artikel können Sie über unser Zeitschriften-Archiv bestellen.
RSS
