(Distributed) Denial of Service: DoS und DDoS
Denial of Service (DoS)-Angriffe bezeichnen Angriffe deren Ziel es ist, eine legitime Nutzung eines Dienstes, Netzwerkes, Systems oder einer Webseite zu verhindern. Prinzipiell können diese in zwei Kategorien unterschieden werden, solche die einen Dienst zum Absturz bringen oder gänzlich unbrauchbar machen und jene die Dienste mit der Menge an Anfragen überfluten bzw. überlasten.
In diesem Sinne ist auch, überspitzt gesagt, das Ziehen des Steckers am heimischen Router eine DoS Attacke, auch wenn dieser Begriff heute eher im Kontext von infizierten Maschinen verwendet wird, die mit massenhaften Anfragen eine Website lahmlegen. Den Fall, dass ein Angriff von sehr vielen Systemen gleichzeitig auf ein Ziel durchgeführt wird, bezeichnet man als Distributed Denial of Service, kurz DDoS.
DoS und DDoS Angriffe können auf unterschiedlichen Ebenen durchgeführt werden und sowohl HTTP-Anwendungen wie Websites betreffen, als auch Angriffe auf darunter liegende Netzwerkschichten sein, wie z.B. eine sogenannte SYN Flood Attacke, die den Verbindungsaufbau angreift. Auch wenn DoS und DDoS Angriffe erst mit den größeren Vorfällen der letzten Jahren vermehrt in den Fokus der Öffentlichkeit gerückt sind, sind diese doch lange bekannte Angriffs-Szenarien in der IT-Security.
Die erste Attacke dieser Art, die öffentliche Berichterstattung erhielt, war genau solch ein SYN Flood Angriff, der auf einen Internetdienstanbieter aus New York am 6. September 1996 durchgeführt wurde. In einem lesenswerten kurzen Beitrag, zu finden im Archiv der New York Times wird der Angriff auf den Provider namens Panix kurz geschildet und beteiligte IT-Security Mitarbeiter*Innen äußern sich besorgt darüber, dass zukünftig deutlich mehr Angriffe dieser Art zu erwarten seien. Sie sollten recht behalten, wie die folgenden nächste Jahre mit zahlreichen großen DDoS Angriffen auf verschiedene Ziele illustrierten. Auch der zwanzig Jahre später stattfindende Angriff auf zahlreiche Telekom Kunden im November 2016 ist hier einzuordnen. (Diesen Vorfall und das damit zusammenhänge Mirai Botnetz, wird in einem gesonderten Beitrag diskutiert.)
Da ein DDoS Angriff ein System mit Anfragen überschüttet, ist es sehr schwierig, diese Anfragen von den legitimen Anfragen regulärer Nutzer zu unterscheiden. Oder anders ausgedrückt, manchmal fällt es schwer einen DDoS Angriff von einem bloß sehr großen Interesse an einer Ressource oder Webseite zu unterscheiden. Genau dies ließ sich beim Zusammenbruch von mehreren schulischen Lernplattformen zu Beginn der Corona-Pandemie, oder am ersten Tag nach den Ferien beobachten. Nicht alles worüber dort zunächst im Kontext eines vermeintlichen Angriffes berichtet wurde, erwies sich im Nachhinein auch als solcher, da viele Lernplattformen schlicht für die Menge an legitimen Anfragen nicht ausreichend mit Ressourcen versehen waren.
Reichte es in den frühen Jahren des Internets noch aus, einige wenige Maschinen zusammenzuschließen, um einen Dienst erfolgreich anzugreifen, so entwickelt sich dies im Laufe der Jahre immer mehr zu großen Netzen, in denen tausende bis hunderttausende Maschinen koordiniert Ziele mit Anfragen überfluteten. Dies wurde gerade durch die mangelnde Sicherheit von einigen IoT (Internet of Things) Geräten wie Kühlschränken oder Überwachungskameras noch weiter verstärkt. Die Erfahrung hat gezeigt das gerade solche Geräte einfach unter Kontrolle gebracht werden können, was sie zu idealen Kandiaten für diese Angriffs-Netze macht. Mittlerweile beobachtet man zusätzlich noch Cloud-basierte Angriffe, bei denen Nutzerkonten von Cloud-Anbietern wie AWS oder Azure (und damit auch deren verbundene Ressourcen) kompromittiert und zur Durchführung von DDoS Angriffen in Bot-Netze eingebunden werden.
Diese seit nunmehr Dekaden immer wieder aufkommenden Denial of Service Angriffe sind kontinuierlich mit dem Internet und dessen Technologien mitgewachsen und werden uns voraussichtlich auch die nächsten Jahre noch weiter intensiv beschäftigen. Ob es hier im IoT-Bereich zu einem Wandel und einer deutlichen Verbesserung im Security-Bereich kommen wird, oder ob zukünftig in der voranschreitenden Vernetzung weiter Masse statt Klasse gelten wird, wird man in den kommenden Jahren sehen. Gerade in Planspielen um 5G-Technologien und vernetzte intelligente Städte, könnte man aber den Eindruck gewinnen das sich hier neue Möglichkeiten für riesige Botnetze für findige Angreifer bieten könnten und das zwar das Verständnis für IT-Security zugenommen hat, hier aber neben gut klingenden Buzzwords zukünftig noch mehr getan werden muss.