Wenn das Netz zusammenbricht

Die häufigsten Internet-Angriffe

05.12.2020
Von 
Mathias Widler ist Vice President Central EMEA bei ThousandEyes.
Je mehr sich Unternehmen vernetzen, desto anfälliger sind sie für Angriffe über das Internet. Wir zeigen Ihnen die häufigsten Attacken aus dem Web.
Fallen Internet-Services aus, können neben strukturellen Störungen und Fehlverhalten auch Angriffe die Ursache sein. Wir zeigen Ihnen die häufigsten Web-Attacken.
Fallen Internet-Services aus, können neben strukturellen Störungen und Fehlverhalten auch Angriffe die Ursache sein. Wir zeigen Ihnen die häufigsten Web-Attacken.
Foto: alexskopje - shutterstock.com

Wenn Internet-Anwendungen und -Services nicht mehr erreichbar sind, kann das zu Umsatzverlusten und Imageschäden führen. Vor allem Dienste, die einen großen Vertrauensvorsprung genießen, wie Online-Banking-Portale oder Apps von Versicherungen, können dieses Vertrauen bei einer Störung schnell einbüßen. Gleichzeitig sind Unternehmen zunehmend auf den Datenverkehr über das Internet angewiesen. Standorte werden miteinander vernetzt und geschäftskritische Anwendungen oder Services zu jeder Zeit erreichbar sein. Für viele Unternehmen ist das Internet jedoch eine Art Black Box, in die sie keine Einblicke haben, und wenn es zu Störungen kommt, sind IT-Teams oft nicht in der Lage, die Quelle schnell zu identifizieren und entsprechend zu reagieren.

Einige Ausfälle sind auf die Struktur des Internets zurückzuführen. Andere kommen durch Fehler und unbeabsichtigtes Verhalten zustande. Ein Teil lässt sich aber auch auf Angriffe und Sabotage zurückführen, auf die sich IT-Verantwortliche vorbereiten sollten. Die wichtigsten finden sich in der nachfolgenden Aufzählung.

BGP Hijacking

Das Border Gateway Protocol (BGP) sorgt dafür, dass die im Hintergrund ausgeführten Anwendungen im Internet reibungslos funktionieren. Dazu zählen zum Beispiel der Browser, der Router und die Verbindung zur Zieladresse. Es wird auch als Adressverzeichnis des Internets bezeichnet, da Anfragen durch das BGP gezielt an den richtigen Adressaten weitergeleitet werden.

Beim BGP Hijacking machen sich Cyberkriminelle dieses System zunutze, indem sie IP-Präfixe im Internet verändern und falsch annoncieren, um den Datenverkehr zu einem anderen Ziel umzuleiten. So können Daten in größerer Menge gestohlen werden. So konnten Cyberkriminelle im Jahr 2018 durch einen Angriff auf das BGP den Internetdatenverkehr des Open-Source Wallet-Services MyEtherWallet auf einen eigenen Server umleiten und so Einheiten der Kryptowährung Ether stehlen. Die Wallet enthielt damals Ether im Wert von etwa 16 Millionen Dollar. Beim Angriff auf den Service, der von Amazon AWS gehostet wird, wurde Ether im Wert von 13.000 US-Dollar entwendet.

Die Zahl der BGP-Hijacking-Angriffe hat zugenommen. Route Origin Authorizations (ROAs) bietet eine Möglichkeit, autorisierte Systeme zu erkennen und unerlaubte Umleitungen zu verhindern. Allerdings hat sich dies noch nicht überall durchgesetzt.

DDoS-Angriffe

Bei Distributed-Denial-of-Service (DDoS)-Attacken werden Dienste durch eine große Anzahl von Anfragen überlastet.. Dadurch können die Angreifer die Web-Infrastruktur ihres Ziels vom Netz nehmen, gleichzeitig aber auch die Netzwerke von Service Providern überlasten, was zu Paketverlusten führen kann. DDoS-Angriffe erfolgen aus unterschiedlichen Gründen: Neben Sabotage eines bestimmten Unternehmens aus politischen Motiven zielen Attacken auch darauf ab, den Wettbewerb zu schädigen. Die enorme Tragweite von DDoS-Angriffen macht sie zu einer unkalkulierbaren Gefahr, die großen Schaden verursachen kann.

Im Jahr 2016 gab es einen gewaltigen DDoS-Angriff auf das US-Unternehmen Dyn - stundenlang waren Dienste wie Twitter, Spotify, Airbnb und eBay nicht erreichbar, da diese mit Anfragen überlastet wurden. Dabei machten sich die Angreifer das Internet der Dinge (IoT) zunutze: Die Anfragen kamen von Millionen von vernetzten Geräten wie Sicherheitskameras, Kühlschränken und Thermostaten, die als ein Botnet fungierten und ohne Wissen ihrer Besitzer von den Cyberkriminellen kontrolliert wurden.

DNS Hijacking und Cache Poisoning

Das Domain Name System (DNS) wird als "Telefonbuch des Internets" bezeichnet. Im DNS kann nach Computernamen gesucht werden, um zugehörige IP-Adressen in Erfahrung zu bringen. Mit der IP-Adresse kann anschließend eine Verbindung zu einem Server aufgebaut werden. Der Name Server ermöglicht dann eine "Namensauflösung", um Bezeichnungen von Rechnern oder Services in eine vom Computer bearbeitbare Adresse aufzulösen. DNS-Einträge und der dafür bestimmte Online-Datenverkehr lassen sich in der Regel auf zwei Arten kompromittieren: durch Hijacking oder Cache Poisoning. In beiden Fällen kann umgeleiteter Datenverkehr verwendet werden, um DDoS-Angriffe auszuführen, Malware zu installieren und Passwörter via Phishing zu stehlen.

Beim Hijacking wird der DNS-Server oder die Registrierung selbst kompromittiert, in der Regel durch einen Phishing-Angriff oder ein gestohlenes Kennwort. Der Hijacker erhält administrativen Zugriff auf das DNS-Konto, um die DNS-Einträge direkt zu ändern. Normalerweise ändert ein Hijacker den Name-Server (NS)-Eintrag, um zukünftige DNS-Abfragen an einen solchen Server unter seiner Kontrolle zu leiten.

2019 hatten Nutzer von Gmail, Netflix und PayPal Schwierigkeiten, auf die echten Seiten der Anbieter zu gelangen. Cyberkriminelle hatten die DNS-Einträge auf verschiedenen Router-Modellen manipuliert. Die User gelangten auf gefälschte Websites, die auf den ersten Blick unauffällig wirkten, die eingegebenen Zugangsdaten wurden allerdings von den Cyberkriminellen abgegriffen.

Cache Poisoning tritt dagegen bei DNS-Resolvern auf, die über Netzwerke verteilt sind, die das Internet kompromittieren. Ein DNS-Resolver ist ein Name Server, der auf Anfrage von Rechnern die Namen in IP-Adressen auflöst. Ein Angreifer fügt einen gefälschten DNS-Eintrag in einen DNS-Resolver ein, um eine gültige Rückmeldung zu erhalten oder durch eine Brute-Force-Methode weniger sichere DNS-Konfigurationen zu erzwingen. Die gefälschten Einträge leiten zukünftige DNS-Abfragen an den Name Server des Angreifers weiter, der dann einen autoritativen Datensatz nach Wahl des Angreifers bereitstellt.

Ausfälle ohne Angriff

Dass Ausfälle wichtiger Dienste nicht nur durch mutwillige Angriffe entstehen können, hat die unerwartete Auslastung beispielsweise durch die gesteigerte Nutzung von Homeoffice und Videokonferenzen im ersten Halbjahr 2020 gezeigt. Die beschriebenen Grundstrukturen des Internets, wie BGP und DNS, aber auch die Arbeit von Internet Service Providern, gelangten hier schnell an ihre Grenzen. Das hatte zusätzliche Internetausfälle zur Folge. Neben dem Blick auf Cyberkriminelle, die mit ihren Attacken interne Unternehmensnetzwerke zum Erliegen bringen können, müssen Verantwortliche sich daher auch mit strukturellen Schwächen und Überlastungsspitzen auseinandersetzen.

Dazu benötigen Unternehmen umfassende Einblicke in das gesamte Internet. Es gilt deshalb: Ausfälle, ganz gleich welcher Art, lassen sich zwar schwer vermeiden, die Vorbereitung auf diese liegt mit den entsprechenden Plänen zur Netzwerküberwachung, flexibler Verwaltung der Verbindungen und effektiven Notfallplänen zur Wiederherstellung aber sehr wohl in der Hand der Unternehmen. (jd)