DDoS-Attacken«Angriff kam von vielen verschiedenen Adressen»
Unbekannte haben am Montag mehrere Schweizer Onlineshops lahmgelegt. Wie verlief die Attacke? Und was kann man dagegen tun? Eine Spurensuche.
- von
- pst/tob
Erste Attacken auf Schweizer Server gab es am Sonntag, am Montagmorgen folgten weitere Cyberangriffe.Die Websites mehrerer Onlinehändler waren teilweise für Stunden nicht erreichbar. Dahinter steckt offenbar eine gross angelegte DDoS-Attacke. Wer die Drahtzieher sind, ist derzeit unklar.
Bei einer DDoS-Attacke werden Websites von sogenannten Botnetzen regelrecht mit Anfragen bombardiert, bis diese unter der Last zusammenbrechen. Gesteuert werden diese Netzwerke aus der Ferne. Die Botnetze können aus Tausenden oder gar Millionen einzelner Rechner bestehen.
Den Absendern auf der Spur
Dass sich die Betreiber nur beschränkt gegen solche Angriffe zur Wehr setzen können, hat die jüngste Angriffswelle gezeigt. Bei Digitec etwa seien die Server mehrfach gegen solche Angriffe abgesichert, wie es auf Anfrage heisst. Das hat nicht geholfen: Den Angreifern gelang es, die Website und weitere Dienste der Firma lahmzulegen.
Zurzeit versucht Digitec herauszufinden, wer hinter den Angriffen steckt. «Die Attacke kam von sehr vielen unterschiedlichen IP-Adressen», sagt Stefanie Hynek, Sprecherin von Digitec. Auch bei den SBB laufen entsprechende Abklärungen.
DDoS- vs. DDoS-Web-Attacke
Dass eine Spurensuche äusserst schwierig, aber nicht unmöglich ist, bestätigt auch der IT-Sicherheitsexperte Marc Ruef von der Scip AG: «Das Ausmachen der Herkunft einer DDoS-Attacke ist naturbedingt schwierig, da zumindest bei einem Teil der Angriffstechniken mit gefälschten Absenderadressen gearbeitet wird».
Bei einer sogenannten DDoS-Webattacke, wie das vermutlich am Montag der Fall war, könnten die Angreifer leichter ausfindig gemacht werden, da sie keine gefälschten Absenderadressen verwenden können. Dies, weil dabei die Angriffs- und Opfer-Rechner miteinander kommunizieren müssen.
«Lückenlose Auswertung»
Die lückenlose Auswertung eines derartigen Cyberangriffs sei indes nur in Zusammenarbeit mit den involvierten Providern möglich. Beim Aufbau der Botnets seien Hacker darum bemüht, eine hohe geografische Diversifizierung zu erreichen, sprich die am Angriff beteiligten Rechner auf der ganzen Welt zu verstreuen.
Ein möglicher Ansatz, um zu den Drahtziehern zu gelangen, ist der zentrale Server, über den eine DDoS-Attacke gesteuert wird. «Dieser lässt sich durch eine forensische Auswertung eines Botnetz-Teilnehmers identifizieren», so der Sicherheitsexperte. Habe man dann den Server ausfindig gemacht, könne auch der Betreiber und ultimativ der Auftraggeber des Angriffs ausfindig gemacht werden.
DDoS-Attacke und Botnetz
Eine Distributed-Denial-of-Service-Attacke (DDoS; engl. für «Dienstblockade») legt Websites mittels Überlastung durch ein Botnetz lahm. Als Botnetz wird eine Gruppe von automatisierten Computerprogrammen bezeichnet. Die Angreifer zielen dabei auf Server, Rechner oder andere Komponenten in einem Datennetz ab. Die einzelnen Programme oder Bots (von engl. «Robot») werden von einem Botnetz-Operator überwacht und empfangen Befehle von ihm, wie beispielsweise, einen bestimmten Server mit Informationen zu überlasten.