News

DDoS-Attacken als Cyberwaffe?

Der renommierte IT-Sicherheits-Experte Bruce Schneier hat unlängst in einem längeren Blogartikel auf Beobachtungen seiner Kunden hingewiesen, bei denen es sich allem Anschein nach um sukzessive Belastungstests der DNS-Rootserver durch externe – und den nötigen Ressourcen nach zu schließen – staatliche Akteure handelt. DNS-Rootservern sind globale Register, die jeweils den gesamten Namensraum für eine oder mehrere Endung im Internet (wie .com, .net oder .de) verwalten und für die Zuordnung einer Adresse wie tagesschau.de zu der tatsächlich physisch relevanten und für den Webseiten-Zugriff notwendigen IP-Adresse verantwortlich sind. Bei einem Ausfall dieser Dienste wäre u.U. der gesamte Webseiten-Bereich mit der entsprechenden Endung aufgrund der fehlenden Zuordnungs-Möglichkeit nicht mehr erreichbar (es sei denn man verwendet von Vorhinein die IP-Adressen). Bruce Schneier berichtet in seinem Beitrag (lokale Kopie) von sog. DDoS-Attacken gegen einige dieser Root-Server (für die Bereich .com und .net) bei denen durch sukzessives Austesten und Ausweiten der Angriffsstärke die Abwehr-Ressourcen und Belastungsgrenze der Server ausgetestet worden ist. Bei derartigen DDoS (Distributed Denial of Service) werden Internetdienste mit eigentlich regulären Anfragen zeitgleich überschwemmt, sodass die dahinter stehenden Server-Infrastrukturen zusammenbrechen und damit zeitweise außer Dienst gesetzt werden.

Aufgrund der für derartige Attacken notwendigen Infrastrukturen, bei denen es im wesentlichen darauf ankommt über mehr Übertragungskapazitäten als das angegriffene System zu verfügen, vermutet der Sicherheitsexperte, dass hier Staaten gezielt potentielle Ziele austesten und ihre eigenen Kapazitäten darauf ausrichten. Allerdings sind solche Attacken oder deren Versuche selten spurlos durchführbar, da aufgrund der Vielzahl von benötigten Angriffs-Systemen in aller Regel rückverfolgbare Spuren auf einigen Systemen entdeckt und forensisch ausgewertet werden können.

Im vorliegenden Fall sind offensichtlich solche Spuren entdeckt worden, die jedoch bisher noch nicht eindeutig einem Angreifer zugeordnet werden konnten. Der Umstand dass dies im Zuge scheinbarer „Tests“ möglich war könnte – sofern es sich tatsächlich im einen staatlichen Akteur handelt – entweder um ein politisch motiviertes Muskelspiel, um ein technisches Versehen beim Angreifer oder um eigene Belastungstest handeln.

Auch wenn die Mutmaßung von staatlich militärischen Aktivitäten sich nicht bewahrheiten sollten, so legen die beobachteten Tests einige besorgniserregende Implikationen nahe. Zum einen scheiden derartige Angriffe als subtile Cyberwaffe aufgrund der – im Vergleich zu den sonst sehr guten Verschleierungs-Möglichkeiten im Cyberspace – hohen Attributionswahrscheinlichkeit aus. Sofern sie allerdings als Mittel innerhalb eines bestehenden Konflikts – bei dem die Konfliktlinien ohnehin bereits klar sind – eingesetzt werden, könnte eine solche Attacke durchaus gegnerische Netze (und die davon abhängigen Dienste) kurzfristig lähmen und entscheidende infrastrukturelle Dienstleistungen unterbinden. Auch wenn eine Beeinträchtigung solcher Services aufgrund der oft engen Verflechtung auch über die Grenzen des potentiellen Ziels hinaus Auswirkungen hätten, wäre es aufgrund der stark länderspezifischen DNS-Zuständigkeiten tatsächlich relativ zielgenau einsetzbar. Aus Sicht des Völkerrechts und den Regeln bewaffneter Konflikte würden mit der sehr breitflächigen Beeinträchtigung innerhalb des angegriffenen Staates aber in fast jedem Fall auch zivile Einrichtungen, IT-Dienstleistungen und damit Zivilpersonen betroffen.  Eine nähere Analyse wert wären in diesem Kontext (und diese Fragen werden sich sicher potentielle Angreifer stellen) wie zentralisiert oder dezentral verteilt die DNS-Infrastrukturen bestimmer Root-Zonen aufgebaut sind (also wieviele Server man zeitgleich überschwemmen muss), wie bandbreitenstark diese Systeme in der Summe angebunden sind und ob diese von dem DNS-System abhängig sind. Möglicherweise existieren in einem Land für Teilbereiche die aus militärischer Sicht besonders Ziel-relevant sind eigene DNS-Systeme, auf die Angriffe konzentriert würden und die entsprechend besonders geschützt werden müssen. Akteure die entsprechende Maßnahmen entwickeln und für den Einsatz bereit halten wollen müssen darüber hinaus jeweils aktuelle technische Entwicklungen bei der Abwehr von DDoS-Attacken sowie dem allgemeinen Bandbreitenausbau und ihre Angriffsmöglichkeiten entsprechend kontinuierlich aufstocken. Das eine solche Entwicklung bereits vollzogen wird belegen unter anderem die regelmäßigen Berichte des US-Dienstleisters Verizon (lokale Kopie der Version Q2/2016) die einen deutliche Aufwärtstrend bei der verwendeten Bandbreite und der Diffusion von DDoS-Attacken verzeichen.

Selbst wenn die Beobachtungen Bruce Schneiers und die daraus abgeleiteten Schlüsse nicht zutreffen sollten, muss der beschriebene Trend und das gefährliche Potential dieser Entwicklung weiter kritisch betrachtet und verfolgt werden. Gerade weil eine solche Angriffsmöglichkeit im Vergleich zum technischen Aufwand einer gezielten Attacke im Stile von Stuxnet relativ „einfach“ zu bewerkstelligen ist – sofern man kurzzeitig über die nötigen Bandbreitenressourcen verfügt – und DDoS-Attacken theoretisch stets möglich sind könnten solche Attacken für militärische Angriffe oder selbst für terroristische Attacken eine verführende Option darstellen.

Share Button