Wie wurde das Netz in den USA lahmgelegt?

Vor einer Woche hat es in den USA einen Angriff auf das Internet gegeben. Mehrere Online-Konzerne waren nicht mehr erreichbar, darunter Amazon, das Filmportal Netflix, die Webseiten der Sony Playstation und der Kurznachrichtendienst Twitter.

Verletzte hat es nicht gegeben, kein Leben war in Gefahr. Und doch hat dieser Angriff für enorme Unruhe gesorgt. Denn statt gegen Amazon hätte sich die Attacke auch gegen Banken und Börsen richten können, gegen Krankenhäuser oder Kernkraftwerke – mit potenziell unabsehbaren Folgen. Und das nur wenige Tage vor der US-Wahl. Manche Cyberexperten sprechen bereits von einem Probelauf für etwas Größeres. Man könnte auch sagen: Es war eine Machtdemonstration.

Technisch gesehen handelt es um eine bekannte Angriffstaktik, Distributed Denial of Service, kurz DDoS. Dabei lenken die Angreifer riesige Mengen an Datenverkehr auf ihr Opfer, bombardieren es mit so vielen Anfragen, dass die Computer des Attackierten nicht mehr in der Lage sind, sie zu verarbeiten. Hält das Bombardement an und ist es stark genug, kann eine Webseite über Stunden oder Tage nicht mehr erreichbar sein.

Im aktuellen Fall richtete sich der Angriff gegen eine Firma, die im Hintergrund für viele Digitalkonzerne arbeitet. Der Dienstleister Dyn betreibt große Rechenzentren und vermietet seine Computerleistung an Firmen und Behörden. Dass weder Dyn noch Amazon in der Lage waren, der Attacke standzuhalten, obwohl Amazon zu den technisch versiertesten und am besten ausgerüsteten Firmen der Erde gehört, vermittelt eine Ahnung vom Ausmaß des Angriffs.

Die Angreifer attackieren dabei nicht von eigenen Computern, sie kapern vielmehr Hunderttausende Geräte, die mit dem Internet verbunden sind. Traditionell sind das Computer. Die Täter übernehmen die Kontrolle und können dann über eine Million Geräte von einem einzelnen Computer aus steuern. So eine Konstruktion heißt Bot-Netz, und in den vergangenen Jahren haben zumeist organisierte Kriminelle solche Bot-Netze aufgebaut. Nach Informationen des renommierten IT-Sicherheitsexperten Brian Krebs wurden im jüngsten Fall aber keine Computer gekapert, sondern mehrere Millionen digitale Kameras, Festplattenrekorder und andere vernetzte Alltagsgegenstände. Diese Geräte haben eines gemeinsam: Bauteile eines chinesischen Elektronikkonzerns namens XiongMai Technology. Die mit dem Internet verbundenen Komponenten von XiongMai sind ab Werk mit Standardpasswörtern geschützt. Und offenbar werden die nur von wenigen Kunden geändert. Wer also das Standardpasswort kennt, kann in Millionen Geräte eindringen.

Dieses Bot-Netz, oder ein anderes, könnte theoretisch jederzeit erneut eingesetzt werden. Und wenn es beim nächsten Mal einen anderen Dienstleister im Herzen der digitalen Infrastruktur trifft, könnten die Folgen für die amerikanische Volkswirtschaft oder das politische System verheerend sein. Was wäre, wenn in zwei Wochen die Computer der US-Präsidentschaftswahl attackiert würden?

Wer steckt hinter der Attacke?

Auf wen die Angriffe auf Amazon und Co. zurückgehen, ist bislang unbekannt. Strafverfolgungsbehörden und IT-Konzerne jagen zwar seit vielen Jahren gemeinsam die Drahtzieher hinter Bot-Netzen. Doch die Angreifer verwischen in der Regel geschickt ihre Spuren. Sie verschleiern, wo ihr zentraler Kontrollcomputer steht. Und wenn die Ermittler ihn doch einmal identifizieren, steht der Kontrollrechner oft an irgendeiner Universität in Südostasien – und wurde auch seinerseits gekapert. Nur sehr selten führen von dort eindeutige Spuren zu den eigentlichen Urhebern.