DoS-Attacken als Cyberwaffen /Teil 2 (Updates)

Level 3 outtage DDoS map from Downdetector.com
Level 3 outtage DDoS map from Downdetector.com
Seit einigen Wochen berichten Medien immer wieder von Cyberattacken, die mit Hilfe von sog. Distributed Denial of Service-Attacken (DoS) durchgeführt werden und erhebliche Beeinträchtigungen bei IT-Dienstleistern verursachen. Zuletzt traf es DNS-Anbieter Dyn.com (lokale Kopie), der unter anderem für die Dienste der US-Unternehmen  Twitter, Paypal, Netflix, Spotify aber auch Ebay und die New York Times verantwortlich ist, die über Stunden nicht oder nur schlecht erreichbar waren. (Update 23.10.2016: Mittlerweile gibt es eine erste Analyse der Angriffe auf Dyn, die deutlich macht, wie gezielt und in Wellen die Angriffe erfolgten um bestimmte Dienste zu unterbinden / lokale Kopie)

Das Grundprinzip von DoS-Attacken besteht stets darin, mit Hilfe vorher gekaperter Rechner zeitgleich millionenfache Anfragen an Zielsysteme zu richten und diese damit zu überfordern – sofern die Anfrage-Kapazitäten die Rechen- und Netzverwerk-Leistung des Zielsystems überschreiten. Derart angegriffene Systeme sind dadurch nicht mehr in der Lage ihre normalen Dienstleistungen im gewünschten Umfang (wie das Ausliefern von Webseiten oder DNS-Dienste, also die im Internet notwendige Zuordnung von Webseiten-Namen wie „ebay.de“ in die technisch notwendige IP-Adresse „66.211.181.235“ auszuführen) anzubieten oder brechen unter der Last zusammen. Genauere Details zu DoS-Attacken bzw. Distributed DoS-Attacken (DDoS) sowie zur Bedeutung des DNS-Systems kennt die Wikipedia.

DoS-Attacken sind in ihrer Form nichts Neues und haben in den vergangenen Jahren immer wieder für Unruhe gesorgt. Allerdings nehmen seit einigen Monaten die Kapazitäten über die DoS-Angreifer verfügen erheblich zu. Dies liegt mutmaßlich daran, dass im Zeitalter des Internet of Things (IoT) sehr viele kleine, vernetzte Geräte ans Internet angeschlossen aber in aller Regel eher mäßig gut gesichert und gewartet werden. Dazu zählen Internet- und DSL-Router, Smart-Home-Anlagen, Türöffner, Multimedia- Geräte,  Webcams und Smartphones. DoS-Angreifer bauen sich mit Hilfe solcher Geräte und nach auch mit klassischen PCs Botnetze auf, indem sie massenhaft Geräte über Sicherheitslücken mit digitaler „Schläfersoftware“ infizieren, um diese gleichzeitig auf Knopfdruck anzuweisen die Anfragen-Welle zu starten.  So wird bspw. hinter dem Angriff auf Dyn das Botnetz „Mirai“ vermutet, dass in großen Umfang IoT-Geräte umfasst:

Level 3 Communications, a large service provider located in Colorado, said that it was monitoring the attacks and that it believed 10 percent of the IP-enabled cameras, DVRs, home networking gear and other connected devices compromised by Mirai were involved in Friday’s attacks. (Q: Threatpost.com / lokale Kopie)

Anlässlich des aktuellen Reports des US-IT-Dienstleisters Verisign wurde bereits die steigenden Ressourcen bei DoS-Attacken analysiert und über systematische Tests mit solchen Angriffswerkzeugen berichtet. Nachfolgende Grafik aus dem Report verdeutlicht die rasante Entwicklung in der Bandbreite mit der DDoS-Attacken durchgeführt werden:

VERISIGN DISTRIBUTED DENIAL OF SERVICE TRENDS REPORT VOLUME 3, ISSUE 2 – 2ND QUARTER 2016
VERISIGN DISTRIBUTED DENIAL OF SERVICE TRENDS REPORT VOLUME 3, ISSUE 2 – 2ND QUARTER 2016
Ich möchte den hier beschriebenen Entwicklungen ein paar Überlegungen zur militärischen Nutzung von DoS-Attacken gegenüber stellen.

Aktuell sprechen bereits einige Staaten von der Entwicklungen offensiver militärischer „Wirkmittel“ für den Cyberspace. Allerdings ist in internationalen Debatten weder klar, wie genau eine solche „Cyberwaffe“ aussieht, noch welches Bedrohungs- und Zerstörungspotential sieht haben und in welcher Form Militärs dem Cyberspace eine strategische Rolle zusprechen bzw. welche Regeln des internationalen Rechts ihnen dabei Grenzen setzen. Im direkten Vergleich sind die dafür zugrunde liegenden Analysen zum militärischen Bedrohungspotential bei klassischen Waffentechnologien insofern leichter, weil bspw. wie bei Raketen die technischen Spezifika wie Reichweite, Nutzlast und das sich daraus ableitende maximale Zerstörungspotential deutlich definierbar lassen. Da sich solche technischen Parameter für im Cyberspace verwendete Schadsoftware kaum sinnvoll zusammentragen und auswerten lassen,  lässt sich die Frage nach der Ausprägung zukünftiger militärischer Cyberwaffen insofern wohl am besten mit Blick auf die mutmaßlichen Interessen, Motivationen und strategischen Planungsmodalitäten von Militärs beleuchten.

Grundsätzlich verfügen militärische Planer stets über eine begrenzte Menge an „Wirkmitteln“, also Ressourcen, die in aller Regel auf explizit ausgewählte, militärisch relevante Ziele ausgerichtet sind. Derartigen Cyberattacken  werden als „targeted attacks bezeichnet. Dem gegenüber ist die wahllose Auswahl des erstbesten verwundbaren IT-Systems bspw. mit Hilfe von Suchmaschinen wie „Shodan“ und ein Angriff desselben zu mindestens den völkerrechtlichen Regeln nach für militärische Kräfte verboten. Die Auswahl der Ziele und deren Identifikation als militärisch relevant erfolgt daher in aller Regel im Zuge der Lagebildaufklärung, die kontinuierlich aktualisiert und angepasst werden muss. Für mögliche militärische Ziele im Cyberspace und die dafür benötigten „Wirkmittel“ bedeutet dies zum einen die Notwendigkeit einer kontinuierlichen Ausspähung fremder IT-Systeme. Beispielsweise übernimmt diese Aufgabe den Snowden-Leaks zufolge die NSA im Auftrag des militärischen US-Cyber Command. Anhand einer Analyse der Schwachstellen eines Zielsystems müssen dann passende Angriffswerkzeuge entwickelt bzw. passende Exploits für die spezifischen Sicherheitslücken des Zielsystems herangezogen werden. Da eine militärische Planung in aller Regel zeitlich deutlich vor einem konkreten Angriff erfolgt, müsste bis zu einer möglichen Attacke diese Schwachstellen-Analyse über das Zielsystem fortgesetzt werden um ggf. auf Veränderungen des IT-Systems durch Software-Updates reagieren zu können. Diese Analysen müssen dabei verdeckt erfolgen um einen Gegner nicht auf die Anwesenheit fremder Cyberkräfte aufmerksam zu machen. Den Umfang einer solcher Operation lässt sich deutlich am Beispiel von Stuxnet nachvollziehen, die vermutlich mehrere Jahre und enorm spezifisches Fachwissen über die angegriffene Anlage im Iran erfordert hat, um den erwünschten Effekt der Sabotage auszuführen. Selbst wenn es den Angreifer „nur“ um die deutlich weniger verdeckte Zerstörung der Anlage gegangen wäre, würde sich der Ressourcen-Aufwand wie im Abschlußbericht von Ralph Langner (lokale Kopie) beschrieben kaum signifikant reduzieren. Unter diesen Gesichtspunkten erscheint es für den militärischen Einsatz von gezielten Cyberattacken fraglich, ob die Entwicklung solcher „targeted attacks“ aus Sicht der Entscheidungsträger als lohnend betrachtet wird, wenn man im Konfliktszenario vergleichbare militärische Wirkung ebenso mit konventionellen Mitteln wie Raketen oder Bomben erzielen kann, deren Wirkung deutlich besser vorhersagbar und gezielter anwendbar sind als dies Cyberattacken jemals sein können.  Möglicherweise ist dies auch einer der Gründe, warum sich Cyberattacken in Konflikten bisher eher im Bereich der Sabotage oder im Vorfeld von Konflikten in Form der Spionage abgespielt haben – in Situationen also, bei denen eine militärische Eskalation nicht vorlag oder explizit vermieden werden sollte.

Vor dem Hintergrund der aktuellen Entwicklungen im Bereich der DoS-Attacken werfen die obigen Überlegungen die besorgniserregende Frage auf, ob diese Art der Cyberattacken zukünftig auch für militärische Akteure interessant werden könnten. Zum einen gibt es immer wieder Berichte, dass sich die dafür benötigen Kapazitäten in Form von Bot-Netzen von kriminellen Akteuren mieten lassen (exemplarisch hier ein Bericht des Wall Street Journals von 2012 / lokale Kopie sowie aktuelle Angaben zu dem Mirai Botnetz / lokale Kopie) und angesichts des wachsenden kommerziellen Marktes für Cyber-Waffen könnten sich durchaus auch kommerzielle Anbieter für derlei Dienste bereit rekrutieren lassen. Darüber finden sich in den Leaks von Edward Snowden Hinweise, dass die Tailored Access Operations der NSA eigene Botnetze aufbaut bzw. bestehende kriminelle Botnetze unterwandert. Neben dieser relativ einfachen und u.U. auch kurzfristigen Verfügbarkeit von DoS-Ressourcen entfällt bei solchen Attacken im Vergleich zu gezielten Attacken zum einen die Notwendigkeit einer umfangreichen Lagebildaufklärung des Zielsystems sowie zum anderen die aufwendige Entwicklung und Persistenz maßgeschneiderter Wirkmittel und die dafür benötige langfristige strategische Planung. Um eine DoS-Attacke durchzuführen reicht die Kenntnis des Zielsystems sowie relativ genaue Informationen über dessen Netzwerk-Kapazitäten, um diese während der DoS-Attacke zu übertrumpfen. Insbesondere in Bezug auf diesen letzten Punkt belegen die Untersuchungen im oben verlinkten Verisign-Bericht sowie die Schlußfolgerungen Bruce Schneiders, dass es hierbei auch ausreicht als Angreifer über genügend DoS-Ressourcen zu verfügen um bei den Attacken die Angriffs-Bandbreite und die verschiedenen DoS-Angriffsmethoden bei Bedarf sukzessiv auszuweiten, solange, bis das Zielsystem die Möglichkeiten seiner Verteidigung ausgespielt hat und zusammenbricht. Sofern eine derartige DoS-Attacke wie im aktuellen Fall nicht gegen das DNS-System gerichtet ist und damit sehr weitreichende Beeinträchtigungen verursacht, sondern statt dessen gezielt gegen ein fremdes IT-System und dessen Dienste angewendet wird, ist es auch zielgenau und in seinen Wirkungen überschaubar einsetzbar. Damit könnte es, verbunden mit den relativ geringen Kosten und der raschen und flexiblen Einsatzfähigkeit immer stärker in den Fokus militärischer Cyberkräfte rücken. Dazu passt die von militärischen Entscheidungsträgern immer wieder geäußerte Sichtweise, dass Cyberattacken bereits ohnehin als Kosten-effektive Alternative zu klassischen Militäroperationen ohne die Notwendigkeit von „boots on the ground“ und den damit verbundenen politischen Kosten angesehen werden. Darüber hinaus ist es nur schwer bzw. in begrenztem Umfang möglich sich gegen DoS-Attacken abzusichern und erfordert erheblichen technischen Aufwand wie er bspw. von kommerziellen Firmen wie Akami oder Cloudflare angeboten wird. Insbesondere mit Blick auf die internationale Sicherheit und die Bedrohungen durch eine Militarisierung des Cyberspace kommt hinzu, dass sich bei DoS-Attacken, die eben fast immer über dritte, ferngesteuerte IT-Systeme erfolgen, die Urheberschaft des Angriffs nur sehr schwer nachvollziehen lassen und in Fällen akuter Krisen und Konflikten aufgrund des enormen Drucks durch eine laufende DoS-Attacke die Gefahr von Fehl-Attributionen und Fehl-Reaktionen erhöhen.

Angesichts der weiter zunehmenden Vernetzung von IT-Geräten und dem gerade erst beginnenden Boom der Internet of Things-Konzepte werden solche Vorfälle in Zukunft öfter und häufiger auftreten. Es bleibt abzuwarten in welchem Umfang zukünftig auch Meldungen über den Einsatz militärischer DoS-Attacken in der Presse auftauchen oder die Beschaffung entsprechender Mittel in politischen Debatten eine Rolle spielen werden.

Update 26.10.2016: Einer ersten ausführlicheren Analyse des IT-Sicherheitsunternehmens Flashpoint zufolge scheinen die DoS-Attacken auf Dyn.com das Werk von Hackern zu sein und nicht auf staatlicher oder militärischer Natur (Q: Flashpoint / lokale Kopie). Diese Einschätzung wird auch – allerdings in sehr vorsichtiger Form – von James Clapper, dem aktuellen Nationaler Geheimdienstdirektor der USA in einem Interview geteilt:

“That appears to be preliminarily the case (..) But I wouldn’t want to be conclusively definitive about that, specifically whether a nation state may have been behind that or not.” (Q: The Hill / lokale Kopie)