Overkill ist eines dieser englischen Wörter, für die es keine einfache Übersetzung gibt. "Mit Kanonen auf Spatzen schießen" trifft es aber schon ganz gut, auch wenn es ein bisschen lang ist. Doch für die Art Overkill, die dem auf Computersicherheit spezialisierten Journalisten Brian Krebs gerade widerfahren ist, reicht der Kanonenvergleich schon nicht mehr aus.

Die Website von Krebs wurde vergangene Woche zum Ziel der bis dato wohl größten jemals registrierten DDoS-Attacke. DDoS steht für Distributed Denial of Service, dabei wird ein Server von vielen verschiedenen Adressen im Netz aus mit sinnlosen Anfragen überhäuft, bis er zusammenbricht. 620 Gigabit pro Sekunde waren es im Fall von Krebs, fast doppelt so viel wie bei der bisher massivsten derartigen Attacke. Die richtete sich damals allerdings gegen einen Teil der Internetinfrastruktur, nicht nur gegen eine einzige Website. Man bräuchte nur einen Bruchteil davon, um eine normale Seite für die Nutzer unerreichbar zu machen.

Ein Leser von Brian Krebs erdachte deshalb einen Vergleich: "Die DDoS-Attacke auf Brian Krebs wirkt so, als ob der Todesstern am Millenium-Falken ausprobiert wurde statt an Alderaan", schrieb er auf Twitter. Also als ob die mondgroße Superwaffe des bösen Imperiums aus dem Film Krieg der Sterne auf ein kleines Raumschiff statt auf einen bewohnten Planeten gefeuert hätte. Oder kürzer: Hier wurde mit einem Todesstern auf Spatzen geschossen.

Kaum Schutzvorkehrungen in vernetzten Alltagsgegenständen

Das besondere an dem Angriff neben seiner Größe war die Quelle. Erste Analysen legen laut Krebs nahe, dass die Massenabfragen von einem gigantischen Botnetz aus gekaperter vernetzter Haushaltstechnik kamen: Router, Überwachungskameras, digitale Videorekorder. Hunderttausende Geräte aus dem Internet der Dinge, die kaum gegen Hackerangriffe gesichert sind und sich deshalb leicht von außen infizieren und missbrauchen lassen, ohne dass ihre Besitzer es merken. Die Täter setzten offenbar nicht einmal Verstärkungstechniken ein, um den Angriff noch verheerender zu machen. Ihnen genügte die bloße Zahl an Computern, die sie kontrollierten.

Malware, die aus dem Internet der Dinge eine digitale Zombiearmee machen kann, ist bekannt. Schwachstellen in vernetzten Alltagsgegenständen wie hart codierte, immer gleiche Passwörter sind es ebenfalls schon lange. Aber täglich werden mehr Geräte ans Netz angeschlossen, das Internet der Dinge wächst rasant, Sicherheit spielt dabei nicht gerade die wichtigste Rolle. "Solche Geräte sind oft so gestaltet, dass Nutzer sie nach dem Einstöpseln und einem sehr einfachen Einrichtungsprozess vergessen können", heißt es in einem aktuellen Symantec-Bericht zu DDoS-Attacken über Geräte aus dem Internet der Dinge. Updates seien selten vorgesehen, weshalb Infektionen oft nicht bemerkt würden, was wiederum für Angreifer sehr verlockend sei.

Gefahr für Medien im Netz

Krebs selbst hält deshalb selbst ein Botnetz aus Hunderttausenden Dingen für klein und den Todesstern-Vergleich für unpassend. Er denkt eher an eine praktisch grenzenlos große Armee aus Stormtrooper-Klonen, die augenblicklich für einen Angriff zusammengestellt werden könne.

Der Angriff auf seine Seite sei wohl nur ein Racheakt für einen Artikel über die Betreiber eines Botnetzes gewesen, schreibt Krebs. Aber er zeige, wie einfach es ist, Medien auf diesem Wege lahmzulegen und damit zu zensieren. Denn auch größere Nachrichtenwebsites und -dienste im Netz wären wohl kaum in der Lage, derart massive Angriffe abzuwehren. Krebs selbst war in der glücklichen Lage, seine Seite kostenlos vom Unternehmen Akamai vor DDoS-Attacken schützen lassen zu können. Doch nach mehreren Stunden wurde die Angelegenheit so teuer, dass Akamai entschied, nicht länger große Teile seiner Ressourcen auf die Verteidigung von Krebs' Seite verwenden zu wollen und so seine anderen Kunden zu gefährden. Andere Firmen boten Krebs ihre Dienste an, doch ein vergleichbarer Schutz hätte ihn 150.000 bis 200.000 Dollar im Jahr gekostet. Das ist nicht für einen einzelnen freien Journalisten viel Geld, sondern auch für größere Medien und andere Organisationen.