Beschäftigungstherapie für böse Hacker

Das IT-Security-Start-up Mykonos aus San Francisco hat eine neuartige Abwehrtechnik entwickelt, die sich um jeden einzelnen Angreifer kümmern kann.

Fast jeden Tag geraten mehr oder minder spektakuläre Internet-Angriffe in die Schlagzeilen. Firmen geben mittlerweile enorm hohe Beträge aus, um ihre Infrastruktur abzusichern. Das IT-Security-Start-up Mykonos aus San Francisco hat nun eine neuartige Abwehrtechnik entwickelt, die über normale Firewalls und Softwarelösungen hinausgeht: Die Firma verfolgt Angreifer direkt und persönlich.

Gedacht ist die Methode für Websites, die vor allem von weniger ambitionierten Hackern besucht werden, sogenannten Script Kiddies. Sie versuchen mit verschiedenen Standardmethoden und Software aus dem Internet, in die Online-Angebote von Banken, E-Commerce-Shops, sozialen Netzwerken und anderen Institutionen einzudringen. Sobald die Mykonos-Technik dies erkennt, wird auf dem Computer des Angreifers ein sogenanntes Supercookie abgelegt, ein digitaler Fingerabdruck, der sich aus der Ferne auslesen, aber nur extrem schwer löschen lässt.

Darüber läuft dann die eigentlich Abwehrstrategie: Das Mykonos-System legt jedem Angreifer sein eigenes zu hackendes Angebot vor, sobald er (oder sie) später wiederkommt. Das kann eine unnötige Verschlüsselung ebenso sein wie eine falsche Login-Seite. So wird die Arbeit des Hackers verlangsamt. "Ein Scan, der sonst vielleicht fünf Stunden dauern würde, benötigt dann vielleicht 30", sagt Mykonos-Chef David Koretz.

Als Werbegag hat Mykonos Server ins Netz gestellt, die sich als besonders attraktive Hacker-Honigtöpfe erweisen sollen. Hier werden die Angreifer dann nach ein paar Versuchen etwa auf eine Google-Karte umgelenkt, in der Strafverteidiger in ihrer Region verzeichnet sind.

Noch funktioniert Mykonos vor allem bei weniger geschulten Hackern. Fortgeschrittene nutzen oft ganz andere Hintertüren. Zudem sind sich nicht alle IT-Security-Experten sicher, ob die Radikalabwehr nicht Ärger nach sich zieht: "Es ist vorstellbar, dass ein Angreifer, der merkt, dass er auf den Arm genommen wird, später Rache an dem System nimmt", sagt Sven Dietrich, Professor am Stevens Institute of Technology in Hoboken. Aus diesem Grund sei es extrem wichtig, die Sicherheitstechnik von produktionsrelevanten Servern zu trennen, auf denen sich die Angreifer dann austoben könnte.

Bei Mykonos sieht man diese Gefahr nicht, schließlich könne man auch dann nochmals mit Abwehrmaßnahmen reagieren. Außerdem seien die Hürden, die die Software nach einem erkannten Angriff künstlich aufbaue, kaum von normalen Problemen bei Hacks zu unterscheiden. Firmenchef Koretz meint, viele Angreifer würden das dann als schlichtes Pech abtun und sich dann einem anderen Ziel widmen. "Es gibt nur eine endliche Anzahl an Hackern. Wenn man diese ganze Automatisierung bei Angriffen stoppt, hat man es plötzlich mit viel weniger Leuten zu tun." Servereinbrüche würden so zu etwas, das man leichter managen könne. "Das ist dann wie bei Bankraub, auf den Banken vorbereitet sind."

Die Idee der Mykonos-Entwickler scheint in der Branche offenbar anzukommen: Vor wenigen Tagen übernahm der Netztechnikspezialist Juniper Networks, der unter anderem sogenannte Intrustion-Detection-Systeme zur Einbruchserkennung auf Internet-Servern verkauft, die Sicherheitsfirma. Immerhin 80 Millionen US-Dollar in Cash ließ man sich den Aufkauf kosten. Die Intrusion-Detection-Lösung von Juniper soll nun mit Mykonos' personalisierter Anti-Hacker-Technik kombiniert werden.

"Wir möchten den Return on Investment solcher Angriffe verändern. Hacking soll teuer, zeitaufwändig und anstrengend für die Täter werden", so ein Sprecher. Dabei wollen Juniper und Mykonos explizit auf falsche Daten und Hönigtöpfe setzen, mit denen böse Hacker an der Nase herumgeführt werden. Man müsse auch einmal von konventionellen Ideen Abstand nehmen, meinte dazu Nawaf Bitar, Bereichsleiter für das Sicherheitsgeschäft bei Juniper. (bsc)