<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=664062317274151&amp;ev=PageView&amp;noscript=1">

Nehmen Sie Koktakt auf

Security

Kampf den Botnetzen

In Ihrem Netzwerk teilen:
    

Erstellt: 24.07.2018

online-series-security-part-10

Sie bestehen aus Millionen Geräten und verhalten sich wie unbezwingbare Ungeheuer: Botnetze lassen sich nur mühsam bekämpfen. Wird ein Bot entfernt, wachsen Tausende nach.


Plötzlich war ein Teil des Internets verschwunden: Über Stunden schienen an diesem verregneten Tag im Oktober 2016 plötzlich Internetriesen wie Amazon, CNN, Guardian, Netflix, Spotify und Twitter wie aus dem Netz radiert. Der Grund: Eine Attacke auf den Internetdienstleister Dyn, der Zugriffe auf die Webserver der Unternehmen regelt. Der Angreifer: das Botnetz Mirai. Also ein Zusammenschluss aus rund 600 000 Computern und vernetzten Geräten wie Router oder IP-fähigen Kameras.

Überlastung durch DDoS-Angriffe

Die Attacke erfolgte über sogenannte DDoS-Angriffe (Distributed-Denial-of-Service), bei denen die von Cyberkriminellen gekaperten Geräte innerhalb weniger Stunden so viele Anfragen gleichzeitig auf die Dyn-Server schickten, dass diese schlicht überlastet waren und zusammenbrachen. Und selbst wenn sich einzelne Geräte davon befreien lassen, kommen – einer Hydra gleich – in Kürze abertausende neue, per Schadsoftware infizierte Geräte hinzu.

Verlockende Sicherheitslücken

Die kriminellen Rechnernetze sind schwer zu bekämpfen. Konventionelle Virenscanner oder Antivirenprogramme sind mit der Abwehr von Botnetz-Malware schnell überfordert. Wegen der Vielzahl an gekaperten Geräten ist es kaum möglich, mittels Virenschutz alle Virenherde auszuschalten. Ausserdem entwickeln Cyberkriminelle Schadsoftware in der Regel zügig weiter und nutzen  immer neue Sicherheitslücken aus: So auch beim Mirai-Botnetz, das vorwiegend fehlkonfigurierte Geräte ohne benutzerdefiniertes Kennwort infiziert hat. Diese Lücke ist zwar inzwischen weitgehend geschlossen. Doch Mirai-Nachfolger Satori nutzt längst andere Hintertüren.

Infizierte Server lokalisieren

Doch es gibt eine Möglichkeit, der Gefahr durch Botnetze Herr zu werden: Jedes dieser Netze hat einen oder mehrere Server, die für die Fernsteuerung und immer neue Infektionen sorgen. Durch genaue Analyse der Malware und des Datenverkehrs, den ein infiziertes Gerät erzeugt, lassen sich diese Server lokalisieren und ausschalten. Klingt allerdings einfacher als es ist. So war im Jahr 2015 das koordinierte Vorgehen von Sicherheitsanbietern sowie der internationalen Polizeibehörde Interpol notwendig, um ein Botnetz zu zerstören, das aus gut 770.000 Bots und diversen Kontroll-Servern in 14 Ländern bestand.

Honigtöpfe und Hackerfallen

Kein einfaches Unterfangen: Zunächst einmal gilt es, den Datenverkehr der Botnet-Software zu analysieren. Damit dabei keine echten Schäden entstehen, nutzen Experten für IT-Sicherheit dafür Honeypots (Honigtöpfe). Also Computer, die Geräte mit Sicherheitslücken simulieren, um Angriffe von Cyberkriminellen auf sich zu lenken. Eine aufwändige Angelegenheit, die fachkundiges Personal in Sachen Cyberkriminalität erfordert. Etwas einfacher geht es mit einem Sensor-Netzwerk, das die einzelnen Honigtöpfe auf möglichst viele gefährdete Teilnetze verteilt und die Daten selbst an einen zentralen Server weiterleitet. Diesen Ansatz nutzt das Projekt Honeysens, dass die TU Dresden in Zusammenarbeit mit T-Systems für die Landesverwaltung Sachsen entwickelt hat.

 Hacker anlocken

Diese Hackerfalle ist ein unauffälliger Kasten mit zwei Antennen obendrauf. Die Boxen werden gleichmässig in einem LAN oder WLAN verteilt, sind aber selbst nicht daran angeschlossen. Sie sollen über ihre Internetverbindung lediglich Hacker anziehen. Dadurch fliessen sehr viele, für Sicherheitsexperten interessante Informationen, mit denen sich die Kontroll-Server, aber auch die Vorgehensweisen der Hacker schnell aufdecken lassen. So ist es sogar möglich, Cyberkriminellen den Zugriff auf die Kontroll-Server zu entreissen.

Von Cyberkriminellen lernen

Dafür benutzen Sicherheitsexperten zum Teil dieselben Tricks wie die Hacker auch: Sie leiten die Steuerdaten von und zu den Bots um, sodass sie keine illegalen Aktionen mehr ausführen können. Doch für einen endgültigen Erfolg ist es wichtig, die Kriminellen selbst ausfindig zu machen. Das ist eine langwierige Sache, denn die Betreiber von Botnetzen treten ausschliesslich anonym auf und sind oft erst nach monatelangen, akribischen Recherchen zu ermitteln. Bei den Hintermännern, die das Mirai-Botnetz betrieben haben, ist das nach wochenlangen Ermittlungen gelungen: Hinter den Attacken standen drei US-Studenten. Ihre Strafe: fünf Jahre Haft.

Lesen Sie mehr über Security Themen in unserer Online Serie "Security".

Kontakt
Alex Reusch
Cyber Security Sales Specialist T-Systems Schweiz
Serie: Security  Nur mit einer Sicherheitsarchitektur (Security by Design) sowie wirksamen  Schutzmechanismen können Unternehmen digitale Geschäftsmodelle nachhaltig  umsetzen. Mehr erfahren
Alex Reusch

Kontakt: Alex Reusch

Cyber Security Sales Specialist T-Systems Schweiz