Infowar"Wir haben DDoS-Angriffe unterschätzt"

Norbert Pohlmann ist Professor für Internetsicherheit. Gegen Angriffe wie die Blockade von Visa könne man das Netz schützen, sagt er. Und das sei auch dringend nötig. von 

ZEIT ONLINE: Herr Pohlmann, Sie haben an Ihrem Institut ein Lagezentrum für Internetsicherheit und beobachten Angriffe im Netz. Was sehen Sie derzeit dort?

Norbert Pohlmann: Wir sehen, dass insgesamt der Verkehr stärker ist, nicht nur wegen der Angriffe, sondern vor allem, weil die Leute wissen wollen, was passiert und Informationsseiten ansurfen. Wir sehen also mehr indirekte Auswirkungen.

Anzeige

ZEIT ONLINE: Haben Sie sich auch die Attacken der Wikileaks-Sympathisanten angeschaut?

Norbert Pohlmann

Pohlmann leitet an der Fachhochschule Gelsenkirchen das Institut für Internetsicherheit, das einen gleichnamigen Masterstudiengang anbietet. Das Lagezentrum des Instituts dient als Frühwarnsystem für Bedrohungen im Netz und zur Erforschung derselben.

Pohlmann: Sicher. Vor allem haben wir uns gefragt, warum die Unternehmen verwundbar waren.

ZEIT ONLINE: Warum waren sie es?

Pohlmann: Das waren sogenannte Distributed-Denial-of-Service-Angriffe (DDoS), daher wurden die Server der Firmen mit Müll zugeschüttet, sodass sie nicht mehr erreichbar waren. Das Problem ist, dass sich bei den Firmen offensichtlich noch niemand Gedanken gemacht hat, wie man solche Angriffe verhindern kann.

ZEIT ONLINE: Ich dachte, das geht durch Filterung der IP-Adressen – wenn von einer viele Anfragen kommen, wird die IP blockiert, oder nicht?

Was ist WikiLeaks?

"We open governments", ist das Motto von WikiLeaks: "Wir machen Regierungen transparent". Die Organisation bietet eine eine Internetseite, über die sogenannte Whistleblower, Informanten also, geheime Akten und Daten an die Öffentlichkeit bringen können. WikiLeaks verspricht ihnen dabei dank verschlüsselter Kommunikation und nicht abhörbarer Server Anonymität. Gleichzeitig veröffentlicht WikiLeaks das Material auf seiner Seite und macht es damit für jeden zugänglich. Derzeit sind allerdings keine neuen Eingaben möglich.

Die Organisation hat dabei zum Grundsatz, Dokumente nur zu veröffentlichen, wenn sie zuvor auf Plausibilität und Wahrheitsgehalt geprüft wurden.

Cablegate

Eine besonders spektakuläre Veröffentlichung auf WikiLeaks ist unter dem Namen Cablegate bekannt geworden: Im November 2010 hat WikiLeaks mit der Veröffentlichung von etwa 250.000 Berichten US-amerikanischer Diplomaten begonnen.

Neben Depeschen, die US-Botschafter über internationale Politiker angefertigt hatten, kamen dabei auch weitere Informationen zu den von Amerika geführten Kriegen ans Licht, aber auch Einschätzungen zur Situation Nordkoreas, den Staaten Südamerikas und dem iranischen Atomprogramm

Am 7. Dezember 2010 wurde der Gründer der Seite, Julian Assange, in England verhaftet, weil gegen ihn ein Haftbefehl aus Schweden vorliegt. Dort wird ihm Vergewaltigung vorgeworfen. Assange bestreitet den Vorwurf. Die schwedische Justiz sagt, dass der Haftbefehl in keinem Zusammenhang mit den Veröffentlichungen durch Assanges Projekt steht. Er selbst behauptet, es handele sich nur um einen Vorwand, um WikiLeaks von der Veröffentlichung weiterer Dokumente abzuhalten.

Die Debatte um WikiLeaks

Fest steht, dass die Cablegate-Veröffentlichungen weltweit Interesse erregten. Vor allem in den USA riefen sie heftige Proteste der Regierung hervor und konservative Politiker forderten, Assange dafür einzusperren. In vielen Ländern führten sie zu einer Diskussion über den Nutzen von WikiLeaks und über die Zukunft der Diplomatie: Was geschieht mit den internationalen Beziehungen, wenn im Zweifel jedes geheime Dokument an die Öffentlichkeit gelangen könnte?

Dabei werden von einigen Kritikern auch die Absichten von Julian Assange und seiner Organisation in Zweifel gezogen. Sie sind der Meinung, dass Transparenz kein Selbstzweck sein dürfe, WikiLeaks also nicht ausnahmslos alle ihm zugespielten Dokumente ohne Rücksicht auf die Folgen veröffentlichen dürfe.

Wobei WikiLeaks selbst immer wieder betont hatte, dass genau das nicht geschieht und dass aus den Dokumenten beispielsweise Namen herausgefiltert würden, um Menschen nicht zu gefährden. Assange bezeichnet sich deshalb inzwischen auch als Chefredakteur, als jemand mit journalistischem Selbstverständnis, wozu gehört, nicht jede Information auch zu veröffentlichen. Mit der nun erfolgten Veröffentlichung aller unbearbeiteten US-Botschaftsdepeschen ist WikiLeaks aber zum ersten Mal von den eigenen Grundsätzen abgewichen.

Frühere Leaks

Gegründet wurde die Plattform von Assange im Jahr 2006. Im Jahr darauf erlangte sie weltweite Bekanntheit, als sie die Richtlinien des US-Militärs veröffentlichte, aufgrund derer im Gefangenenlager Guantánamo Bay die Insassen behandelt und gefoltert wurden.

Im Juli 2010 veröffentlichte die Organisation zuerst geheime Militärdokumente aus dem Afghanistan-Krieg (die Afghan War Diaries) und im Oktober Dokumente aus dem Irakkrieg (Iraq War Logs).

Berichte über WikiLeaks und die Debatte um die Veröffentlichungen haben wir nach Themen sortiert auf einer Übersichtsseite für unser Projekt ZEIT für die Schule zusammengestellt. Die gesamten veröffentlichten Artikel zu WikiLeaks finden Sie auch auf der Schlagwortseite.

Pohlmann: Damit lösen Sie das Problem nicht. Die Tatsache, dass Sie die IP überhaupt sehen, heißt, dass von dieser IP schon ein Paket bei Ihnen angekommen ist und ihnen Bandbreite wegnimmt. Und sie müssen ja bei jedem Datenpaket erst schauen, was ankommt, bevor sie entscheiden können, ob sie es blocken – ihre Bandbreite ist also trotzdem verstopft.

ZEIT ONLINE: Mit anderen Worten: Zur Zeit gibt es keine wirksame Waffe gegen DDoS?

Pohlmann: Doch. Ihr Provider könnte das verhindern, dazu müssten Sie mit demjenigen zusammenarbeiten, von dem sie die Leitung mieten. Und man kann sogenannte autonome Systeme nutzen. Dazu wird die Kommunikation der Seite auf ein zweites, autonomes System ausgelagert und der Verkehr zwischen dem angegriffenen Server und dem autonomen Server gefiltert. So können sie die Angriffe blocken. Das ist aufwändig, aber effektiv. 

Leserkommentare
    • uhuznaa
    • 14. Dezember 2010 19:29 Uhr

    Der hat dazu vielleicht etwas ganz anderes dazu sagen, das auch interessant wäre.

    (Wenn man Verkehrssicherheitsexperten fragen würde, wie man Auswirkungen von Demonstrationen minimiert, darf man sich über die Antworten auch nicht wundern.)

    12 Leserempfehlungen
    • tr4e
    • 14. Dezember 2010 19:29 Uhr

    ... schon in der Kopfzeile zu lesen: "Und dass sei auch dringend nötig".
    Bitte korrigieren ;)

    Eine Leserempfehlung
    • peto1
    • 14. Dezember 2010 19:31 Uhr

    "Gegen Angriffe wie die Blockade von Visa könne man das Netz schützen, sagt er."

    ...sagt er !

  1. indem man an jeder wichtigen Ecke schwer bewaffnete und schussbereite Soldaten hinstellt. Unfassbar, dass der Interviewer nicht nachhakt was genau der Preis für so einen Schutz wäre. Ich bin da eher skeptisch. Ansonsten Zustimmung zu #1 der Interviewte argumentiert zu einseitig.

    2 Leserempfehlungen
  2. Bei solchen Themen poppt immer irgendwo ein ganz Schlauer aus dem Boden und markiert den dicken Maxe. So auch hier: Wenn ein Teil des Verkehrs ausgelagert wird, werden aben diese Ziele angegriffen.
    Ein DDOS ist im Moment eine wirkungsvolle und einfache Waffe, wird diese wirkungslos gemacht, greift man eben mit anderen Waffen an, auch wenn diese dann etwas aufwändiger sind.
    Villeicht will der Mann einfach nur gut ins Geschäft kommen/bleiben ;-)

    3 Leserempfehlungen
    • dp80
    • 14. Dezember 2010 20:41 Uhr

    Ich seh das Problem an DDOS nicht so wirklich. Eine Webseite ist mal ein paar Stunden down, aha. Finde ich nicht so weltbewegend schlimm.

    Ich behaupte: Wer was in einem Onlineshop kaufen will und durch DDOS daran gehindert wird, der versucht es ein paar Stunden später auch gerne noch Mal. Oder sind wir schon so psychisch vom Highspeed-Gefühl abhängig? Dass wir am liebsten die Tastatur zertrümmern würden, wenn unser Facebook mal ein wenig länger zum Laden braucht? Wirkt das Gefühl eigentlich wie eine Droge? Oder auch: Haben wir keine Offline-Leben mehr?

    Außerdem: Ein Intenetunternehmen muss meiner Ansicht nach so vorsichtig kalkulieren, dass es eine gewisse Downtime überleben kann. Alles andere wäre eine falsche Risikoabschätzung und man hätte zu wenig Rücklagen gebildet. Das wäre wie wenn eine Fabrik pleite geht, nur weil mal ein paar Stunden Stromausfall ist.

    Der Hype um DDOS ist daher finde ich übertrieben. Es kann aber natürlich schlimmer kommen, wenn erst mal jemand richtig hackt...

    6 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    • GDH
    • 16. Dezember 2010 12:51 Uhr

    Zitat "Ich behaupte: Wer was in einem Onlineshop kaufen will und durch DDOS daran gehindert wird, der versucht es ein paar Stunden später auch gerne noch Mal. "

    Das mag in den meisten Fällen stimmen. Angreifer, die echten Schaden anrichten wollen, wissen das aber auch und können das Timing anpassen:
    Wird z.B. ein Versandhändler wie Amazon an den Tagen vor Weihnachten angegriffen, bestellt der Kunde eben woanders (es gibt schließlich andere Versandhändler die gerade nicht down sind) und diesen Umsatz holt der angegriffene Konzern auch in den Folgetagen nicht wieder rein.

    Das ist gerade für Unternehmen gefährlich, deren Dienste für den Kunden völlig austauschbar sind (das exakt gleiche Buch kann man bei vielen Händlern kaufen).

    • Kuhlo
    • 14. Dezember 2010 20:52 Uhr

    Googlet man Hr. Pohlmann kurz findet man folgendes:
    "Seit April 1997 ist Pohlmann Vorstandsvorsitzender des Vereins TeleTrusT e.V., der sich die Etablierung von vertrauenswürdigen IT-Systemen zur Aufgabe gemacht hat"

    TeleTrust e.V. wiederrum besteht aus
    Siemens, Microsoft, SAP, PGP Corporation, Deutsche Bank, Rohde&Schwarz, aber auch Behörden, öffentliche Einrichtungen und Institutionen wie die Deutsche Bundesbank, mehrere Kassenärztliche Vereinigungen, das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundeskriminalamt (BKA) sowie Mittelstandsunternehmen wie DATEV, TC Trust Center, Secunet, Sirrix, Secorvo, usw.
    und hat als Ziel:
    " Ziel dieser Arbeitsgruppe ist, Rahmenbedingungen und Akzeptanz für den Einsatz von biometrischen Identifikationsverfahren zu schaffen und zu fördern."

    Aha und "Ihr Provider könnte das verhindern, dazu müssten Sie mit demjenigen zusammenarbeiten, von dem sie die Leitung mieten. Und man kann sogenannte autonome Systeme nutzen. Dazu wird die Kommunikation der Seite auf ein zweites, autonomes System ausgelagert und der Verkehr zwischen dem angegriffenen Server und dem autonomen Server gefiltert. So können sie die Angriffe blocken. Das ist aufwändig, aber effektiv." sprich Deep Packet Inspection and so on. Will ich das denn? Alle meine Daten werden angesehen auf einem autonomen System? Also ich nicht.

    23 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Das wäre eine höchst interessante Frage für verschlüsselte Verbindungen.

    Entweder hat mein "autonomes System" den entsprechenden RSA-Enschlüssellungs-Schlüssel oder Deep Packet Inspection bringt nichts.

    Allerdings würde dies die Sicherheit der Verschlüsselung gefährden - denn ich setze Voraus dass mein "autonomes System" genauso vertrauenswürdig ist wie mein Empfänger.

    Ich habe den Verdacht dass dies ein Minenfeld für die wenigen relativ sicheren Onlinedienste wäre.
    (relativ sicher denn im Netz ist nichts 100% sicher)

    • Khef
    • 14. Dezember 2010 23:27 Uhr

    na dann gute Nacht!

    Herr Pohlmann hat u.a. ein Buch über Firewallsysteme geschrieben. Ich verstehe in diesem Fall ein autonomes System als einen Webserver der hinter einer Firewall steht. Die Firewall filtert die Daten, der Webserver macht nur seine Arbeit. Gute Firewallsysteme sind sehr teuer, sie müssen nämlich sehr viel leisten. Provider haben da eine weitaus bessere Ausstattung als kleine oder mittelständische Firmen. Biometrische Verfahren in einem Firmennetzwerk sind vor allem für die User eine Erleichterung und erhöhen die Sicherheit enorm, sie müssen dann nämlich nicht alle paar Wochen ein neues komplexes Kennwort anlegen, das im Zweifel mit Post It unter die Tastatur geklebt wird. Dafür gibt es dann den Fingerabdrucksensor. Übrigens ist das Aufgabenfeld von Teletrust doch etwas größer. IT Sicherheit ist ein riesiges Thema, man sollte das nicht alles auf den Privatanwender beziehen.
    Ich sehe uns auch auf 1984 zusteuern, aber manche Dinge sehe ich etwas gelassener. ;-)

  3. Das wäre eine höchst interessante Frage für verschlüsselte Verbindungen.

    Entweder hat mein "autonomes System" den entsprechenden RSA-Enschlüssellungs-Schlüssel oder Deep Packet Inspection bringt nichts.

    Allerdings würde dies die Sicherheit der Verschlüsselung gefährden - denn ich setze Voraus dass mein "autonomes System" genauso vertrauenswürdig ist wie mein Empfänger.

    Ich habe den Verdacht dass dies ein Minenfeld für die wenigen relativ sicheren Onlinedienste wäre.
    (relativ sicher denn im Netz ist nichts 100% sicher)

    Antwort auf "Kurzes gegoogle"

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Lufthansa | Erpressung | IP-Adresse | Mastercard | PayPal | Provider
Service