Proaktive IT-Sicherheit
 

DOS-Ereignisse

2009-01-30 [Betrachtung zu Malware, Sicherheitsbestimmungen, Trends & Prognosen]

Einführung

Der Titel bezieht sich nicht, wie vielleicht zu vermuten wäre, auf das frühere PC-Betriebssystem DOS. Es handelt sich vielmehr um einen dieser Neologismen, die heutzutage immer häufiger anzutreffen sind. Kaum ein anderer Bereich bringt so viele Wortneuschöpfungen hervor wie die IT-Sicherheit.

Der Begriff „DoS-Ereignis“ bezieht sich im Kontext dieses Sicherheitshinweises auf ein spezielles Ereignis, das zu einem Denial of Service (DoS) führen kann.

Eine noch präzisere Abkürzung dafür ist „DDoS-Ereignis“ – Distributed Denial of Service. Diese wird im Folgenden verwendet. Der Begriff beschreibt ein Ereignis, bei dem Systeme und Netzwerkdienste so attackiert werden, dass einige oder sogar alle Systeme, die mit diesem Ereignis in Zusammenhang stehen, durch Überlastung ausfallen. Diese Überlastung entsteht normalerweise durch eine übergroße Zahl von Aufrufen verschiedenster Art und unterschiedlichen Ursprungs. Deshalb wurde das Akronym um ein „D“ für „distributed“ erweitert.

Typische DDoS-Ereignisse

Wahrscheinlich hat jeder von uns schon einmal ein DDoS-Ereignis erlebt. Die meisten von uns waren sicherlich unschuldig Beteiligte bei einem solchen „Angriff“.

Beispiele für mögliche DDoS-Ereignisse:

  • Beliebte Sportveranstaltungen, für die Eintrittskarten von einer (oder wenigen) Vorverkaufsstelle(n) zeitlich sehr befristet verkauft werden.
    Die Zentrale ist dabei durch die vielen eingehenden Anrufe überlastet.
  • Konzerte bekannter Künstler, für die die Tickets zu einer bestimmten Zeit über ein Online-Bestellsystem vertrieben werden.
    Die Webserver können die zahlreichen Webanfragen nicht verarbeiten.
  • Silvester/Neujahr
    Jeder möchte seinen Angehörigen und Freunden ein gutes neues Jahr wünschen. Das SMS-System kann die riesige Anzahl an Nachrichten nicht bewältigen. (Folge sind beispielsweise erhebliche Verzögerungen beim Versand.).
  • Große politische Ereignisse (z. B. der Amtseid von US-Präsident Barack Obama).
    Sehr hohe Auslastung und möglicher Zusammenbruch von Mobilfunknetzen, Nichtverfügbarkeit von Websites usw.
  • Katastrophen, die auf großes internationales Interesse stoßen und in bestimmten Medien überproportional verfolgt werden.
    Die Medien, die nach Meinung der Zuschauer über die beste und aktuellste Berichterstattung verfügen, können möglicherweise den Anforderungen in Bezug auf Bandbreite nicht mehr gerecht werden.

Bei den meisten der oben aufgeführten DDoS-Szenarien tritt vor dem eigentlichen Ereignis höchstwahrscheinlich eine hohe Auslastung der verschiedenen Systeme auf. Die für die ausfallgefährdeten Systeme verantwortlichen Unternehmen werden Maßnahmen ergreifen, um die Infrastruktur zu stärken, zum Beispiel:

  • befristete Einstellung von zusätzlichen Mitarbeitern
  • Kauf oder Leasing von zusätzlichen Computerkomponenten für eine höhere Verarbeitungsleistung
  • Kooperation mit anderen Unternehmen, um die Last zum Zeitpunkt des Ereignisses gleichmäßiger zu verteilen

Diese Lösungen sind normalerweise nur temporär und daher recht kostspielig. Infolgedessen wird der Bedarf an zusätzlicher Infrastruktur meist eher zu niedrig eingeschätzt.

Konsequenzen für die Systemsicherheit

Ein DDoS-Ereignis kann jedoch auch Auswirkungen auf die Sicherheit des Unternehmens haben, die für das System verantwortlich ist. Da viele mögliche DDoS-Ereignisse schon Monate oder sogar Jahre im Voraus absehbar sind, bietet sich für Personen oder Organisationen, die es auf ein bestimmtes Unternehmen abgesehen haben, eine ideale Gelegenheit für eine konzertierte Aktion.

Die Gründe für einen DoS-Angriff auf die Systeme eines Unternehmens können vielfältig sein. Es gab bereits einige Fälle, in denen es um reine Erpressung ging. Der Tenor der Nachricht an das betroffene Unternehmen klingt dann so oder ähnlich: „Wenn Ihr uns nicht viel Geld zahlt, legen wir Euer Online-Bestellsystem lahm, wenn Ihr das neue Produkt zum Herunterladen zur Verfügung stellt.“. Es sind Fälle bekannt, in denen Firmen dieses Risiko nicht eingehen wollten und den erpresserischen Forderungen nachgaben.

Ein Unternehmen, bei dem ein DDoS-Ereignis zu befürchten ist, ist sehr viel anfälliger für eine Vielzahl von Angriffen vor und insbesondere während des Ereignisses. Die Hauptaufmerksamkeit gilt dem Ereignis; daher leidet leicht die Sorgfalt in anderen Bereichen – auch bei der Sicherheit.

Hier einige Beispiele für Schwachstellen:

  • Zeitarbeiter sind empfänglicher für Social Engineering-Angriffe, da die neuen Mitarbeiter die Kollegen und die Unternehmenskultur nicht so gut kennen wie normale Angestellte.
  • Reguläre Sicherheitsroutinen und Programmaktualisierungen werden möglicherweise wegen des Ereignisses aufgeschoben, um über mehr Ressourcen für die Vorbereitung und Umsetzung von Schutz- bzw. Gegenmaßnahmen zu verfügen.
  • Da wahrscheinlich die Kapazitätsgrenzen der Hard- und Software des Unternehmens erreicht werden, sind die Erfolgsaussichten für einen herkömmlichen Distributed Denial of Service-Angriff in dieser Zeit deutlich besser.
  • Malware-Angriffe können erfolgreicher sein, da die Aufmerksamkeit der Benutzer im Zielunternehmen geringer ist und/oder den Systemen zum Schutz vor Malware möglicherweise nicht die ihnen eigentlich zustehende Priorität zugewiesen wurde.

Generell sollten Unternehmen, die für ein künftiges DDoS-Ereignis in Frage kommen, nicht alle Ressourcen dafür abstellen. Personen oder Organisationen, die es – aus welchen Gründen auch immer – auf ein solches Unternehmen abgesehen haben, bietet sich vor und während des Ereignisses die ideale Gelegenheit für einen Angriff. Zumindest sollte ein Unternehmen, das Sicherheitsschwächen aufweist, die Sicherheitsvorkehrungen ausbauen, wenn ein DDoS-Ereignis ins Haus steht.