Für Furore sorgten in den letzten Tagen Beiträge in denen berichtet wurde, dass mehrere Millionen vernetzter Zahnbürsten durch Cyberkriminelle mittels Schadsoftware infiltriert wurden, um diese künftig für einen sogenannten DDoS-Angriff benutzen zu können. Mittlerweile ist klar, das konkrete Szenario ist nicht real. Laut Golem erwies sich das das dargestellte Szenario inzwischen nach Klarstellung durch das Cybersicherheitsunternehmen Fortinet als hypothetisches Beispielszenario: Die kompromittierten Zahnbürsten hätten durch einen Befehl des Angreifers gleichzeitig die Webseite einer Schweizer Firma aufgerufen. Die Seite sei daraufhin zusammengebrochen und vier Stunden lang nicht erreichbar gewesen. Dabei sei ein Schaden in Millionenhöhe entstanden.
Wir wollen aber dennoch den Fragen auf den Grund gehen, was eigentlich ein solcher DDoS-Angriff ist, wie realistisch ein Angriff vernetzter Geräte wirklich ist und wie man sich möglicherweise vor derartigen Angriffen schützen kann.
Was ist eigentlich ein DDoS-Angriff?
Zunächst richten wir den Blick auf die Frage, was ist eigentlich ein DDoS-Angriff? Vorgelagert müssen wir uns noch die Frage stellen, was ist noch gleich ein DoS-Angriff? Bei dieser Art von Angriffen geht es im Unterschied zu Angriffen mittels Schadsoftware – z.B. im Rahmen eine Ransomware-Angriffs – oder dem sogenannten Social Engineering, bei dem gezielt eine soziale Komponente ausgenutzt wird, darum ein IT-System lahmzulegen oder zu blockieren, jedenfalls so zu zur Überlastung zu bringen, dass das System für die Nutzer nicht mehr zur Verfügung steht. Diese geschilderte Grundform stellt einen sogenannten Denial-of-Service-Angriff (DoS-Angriff) dar.
Darüberhinausgehend versteht man unter einem sogenannten Distributed Denial-of-Service-Angriff (DDoS-Angriff), also einem verteilten DoS-Angriff, von einer Fallkonstellation, in der mehrere Rechner ein Ziel – beispielsweise einen bestimmten Server – gleichzeitig attackieren. Hierbei übernehmen die Angreifer im Vorfeld eines solchen Angriffs meist unbemerkt die Kontrolle über eine Vielzahl von Einzelrechnern, z.B. durch eine nochmals vorgelagerte Infektion mit Schadsoftware. Die Ausführung des DDoS-Angriffs erfolgt zumeist nicht in unmittelbarem Zusammenhang mit der Infektion durch die Schadsoftware. Vielmehr ist den Angreifern daran gelegen, mittels der infizierten Rechner ein sogenanntes Botnetz, also kurz gesprochen ein Netz von „Zombie-Rechnern“ aufzubauen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt die Begriffe DoS-Angriff bzw. DDoS-Angriff in seinem aktuellen Lagebericht wie folgt:
„Denial-of-Service-Angriffe (DoS-Angriffe) sind Angriffe auf die Verfügbarkeit von Internetdiensten. Häufig sind Webseiten Ziel solcher Angriffe. Die zugehörigen Webserver werden dabei so mit Anfragen überflutet, dass die Webseiten nicht mehr erreichbar sind. Wird ein solcher Angriff mittels mehrerer Systeme parallel ausgeführt, spricht man von einem Distributed-Denial-of-Service-Angriff (DDoS-Angriff).“
DoS- und DDoS-Angriffe stellen insoweit Angriffe auf das Schutzziel der Verfügbarkeit dar. Typische Szenarien bestehen beispielsweise bei Online-Shops, welche durch den Absturz des entsprechenden Webservers nicht mehr verfügbar sind. Das BSI geht in seinem Lagebericht auch darauf ein, dass DDoS-Angriffe eine Form der Schutzgelderpressung darstellen können, bei der Angreifer Geld vom Opfer fordern, um die Angriffe zu stoppen oder im Rahmen eines Ransomware-Vorfalls den Druck auf das Opfer zu erhöhen und ein Lösegeld für verschlüsselte Daten zu erpressen. Möglich ist zudem, dass DDoS-Angriffe genutzt werden, um von den eigentlichen Angriffs-Szenarien abzulenken.
Folgen einer DDoS-Attacke sind laut BSI zum einen finanzielle Schäden für Anbieter, wenn deren Dienste nicht erreichbar sind und zum anderen Imageschäden und gegebenenfalls Unsicherheit in der Bevölkerung folgen, wenn beispielsweise Webseiten von Banken oder der Polizei in ihrer Verfügbarkeit beeinträchtigt werden. Eines der bekannteren Beispiele von DDoS-Angriffen in unserem unmittelbaren Wirkkreis ereignete sich im Zusammenhang mit den Angriffen auf die Lernplattform LernSax. In einer gesellschaftlich angespannten Zeit nahmen die Angreifer die Lernplattform vermehrt ins Visier.
Der Hintergrund ist schnell erklärt: Zu einer Zeit in der Schulschließungen aufgrund der Corona-Pandemie auf der Tagesordnung standen, waren die Schülerinnen und Schüler auf andere Lernwege angewiesen. Eine dieser zentralen Alternativen stellt die Lernplattform LernSax des Freistaates Sachsen dar. Ziel der Angreifer war es mutmaßlich, die Gesellschaft an einem ohnehin verwundeten Punkt zu treffen. Forderungen nach Lösegeld o.ä. wie dies zuweilen im Rahmen von Angriffen mittels Schadsoftware der Fall sind, wurden nicht bekannt. Ebenso wurden weder Daten vom eigentlichen System entwendet noch Bestandteile der IT-Infrastruktur beschädigt. Mutmaßlich war das Ziel der Angreifer schlicht und ergreifend einen entsprechend notwendigen Dienst für das Funktionieren eines Teils der Gesellschaft „vom Netz zu nehmen“, sodass ein Rückgriff zumindest temporär nicht möglich war.
Wie realistisch ist ein Angriff der Smart-Home-Geräte?
Zurück zu unserem Ausgangsfall lässt sich feststellen, dass sich die Zahnbürsten nicht gegen Ihre Besitzer gewendet haben und auch nicht als Teil eines Botnetzes ein IT-System oder eine Anwendung bzw. einen Dienst zu Fall gebracht haben. Allerdings können wir nun die Frage aufwerfen, wie wahrscheinlich ist eine Invasion der Smart Home Geräte?
„Jedes Gerät, das mit dem Internet verbunden ist, ist ein potenzielles Ziel – oder kann für einen Angriff missbraucht werden“, warnte Fortinet angesichts des geschilderten Szenarios, „das treffe nicht nur auf Babyphones und Webcams zu, sondern ebenso auf elektrische Zahnbürsten“.
Die Liste der Geräte, welche Ziel eines solchen Angriffs sein können und anschließend als Teil des Botnetzes agieren kann beliebig weitergeführt werden: Smart-TVs, Kühlschränke, Waschmaschinen, Kaffeemaschinen, … .
Wie kann man sich vor DDoS-ANgriffen schützen?
Hier bestehen zuweilen Unterschiede im Vergleich zu den DoS-Angriffen. Diese lassen sich möglicherweise von Verantwortlichen der IT-Abteilungen in Unternehmen und Verwaltungen durchaus leicht erkennen, da diese Angriffe von einer bestimmten Internetprotokolladresse ausgehen. Daher lassen sich DoS-Angriffe unterbinden, indem beispielsweise die entsprechende Verbindung gekappt wird. Dies ist bei DDoS-Angriffen nicht ohne Weiteres möglich.
Seitens des BSI gibt es Empfehlungen zur präventiven Behandlung von DDoS-Angriffen. Zu den effektiven technischen Maßnahmen zählen zudem Netzwerksegmentierung und die Härtung von Systemen. Seitens der Anwender bzw. Nutzer kann DDoS-Angriffe insbesondere durch das Patchen, d.h. das Einspielen vorhandener Sicherheitsupdates begegnet werden. Ebenso können die Verwendung einer Antivirensoftware und die Überprüfung von Datenströmen hilfreich sein. Darüber hinaus gibt es seitens des BSI Empfehlungen zur Abwehr von DDoS-Angriffen.
Fazit
Sowohl DoS- als auch DDoS-Angriffe stellen keine Neuheiten im Bereich der Cybersicherheit dar. Vielmehr zeigt der Lagebricht des BSI, dass die Bedeutung dieser Angriffsart nicht unterschätzt werden darf. An den Beispielen der Smart-Home-Geräte geht eindrucksvoll hervor, welche Gefahren die zunehmende Vernetzung mit sich bringt, wenn bei der Verwendung dieser Geräte nicht auf die grundlegenden Sicherheitseigenschaften geachtet wird.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.