Vom Umgang mit dem Cyber-Terror

Die Distributed-Denial-of-Service-Attacken der letzten Tage versetzen die gesamte E-Commerce-Branche in Angst und Schrecken. Die erfolgreichen Angriffe auf Mega-Sites wie Yahoo und Amazon haben gezeigt, dass Denial-of-Service-Angriffe (DoS) auch für große Internet-basierende Konzerne eine ernsthafte Gefahr darstellen. Dass Betreiber von kleineren Sites sehr viel leichter geschädigt werden können, liegt auf der Hand.

Die amerikanischen Behörden haben schnell reagiert: Das FBI ermittelt, die amerikanische Justizministerin Janet Reno hat den Fall zur Chefsache erklärt. Sogar der amerikanische Präsident Bill Clinton hat sich mittlerweile eingeschaltet: Beobachter gehen davon aus, dass er sich mit Reno und anderen Verantwortlichen aus Politik und Wirtschaft treffen wird, um die Lage zu erörtern.

Soweit bekannt ist, haben DoS-Angriffe bislang keinen deutschen Sites gegolten. Man sollte meinen, dass die Verantwortlichen in Deutschland die Angriffe aber nicht untätig abwarten, sondern schleunigst Verteidigungsstrategien entwickeln. Antworten auf Anfragen bei den zuständigen Behörden, den Wirtschaftsverbänden und einzelnen Unternehmen sind aber eher ernüchternd.

Sowohl aus dem Ministerium für Wirtschaft und Technologie, als auch vom Bundesamt für Sicherheit in der Informationstechnik war nur zu erfahren, dass man sich der Gefahr, die von DoS-Angriffen ausgeht, bewusst sei. Offensichtlich sind aber in keiner dieser Behörden bislang Arbeitsgruppen oder Expertenteams konkret mit dem Problem befasst. Man halte sich zurück, um keine Panik zu verbreiten. Ausserdem sei vor allem die Wirtschaft gefragt, sagten Sprecher der Behörden.

Harald Summa vom Electronic Commerce Forum, einem Zusammenschluss diverser Internet-Provider und Anbieter aus der E-Commerce-Branche, sieht den Handlungsbedarf in der Tat primär auf Seiten der Wirtschaft. Allerdings beklagte er zugleich ein generell fehlendes Gespür der deutschen Politik für die mit der Kommerzialisierung des Internet verbundenen Probleme. Intern habe man bereits ein Meeting mit potenziell betroffenen Mitgliedern abgehalten und Möglichkeiten der Prävention besprochen. Resultate gebe es aber noch nicht.

Noch keine Handlungsbedarf sieht Gregor Fuchs vom Deutschen Multimedia Verband (dmmv). Der dmmv versteht sich als Interessenvertretung deutscher Anbieter der Online- und Offline-Multimedia-Branche. Aus den Reihen seiner Mitglieder sei bislang keine einzige Anfrage zum Thema DoS gekommen, berichtete Fuchs. Auch von Seiten des Verbandes sei keine Initiative geplant.

In der Wirtschaft ist die Brisanz des Themas und die Gefahr, die von den DoS-Attacken ausgehen kann, offenbar noch nicht überall bekannt. Die Nachfrage bei Institutionen, die Internet-Banking anbieten, ergab ein gemischtes Bild: Während die Deutsche Bank noch nicht von konkreten Präventionsmaßnahmen berichten konnte, hat man sich bei der Commerzbank zumindest in der technischen Abteilung schon mit Problemen eines DoS-Angriffs auseinandergesetzt. Ein Sprecher der Commerzbank räumte allerdings ein, dass auch die Internet-Dienste des eigenen Instituts von DoS-Angriffen lahmgelegt werden könnten. Genauso wie sein Kollege von der Deutschen Bank betonte er aber die Sicherheit der Kundendaten.

Sogar bei IBM Deutschland hat man sich noch nicht konkret dem Problem DoS zugewandt. Big Blue bietet unter anderem komplette E-Commerce-Systeme an, könnte also selber und über seine Kunden empfindlich unter DoS-Attacken zu leiden haben.

Es wird wohl noch einige Zeit verstreichen, bis ein Mechanismus gefunden ist, DoS-Attacken abwehren kann -- wenn es überhaupt gelingt. Denn die Verteidiger der Systeme sehen sich mit einer paradoxen Situation konfrontiert: Jeder zusätzliche Filter, der eingehende Anfrage auf Authentizität prüft, verlangsamt das System. Und genau das begünstigt die Attacken. In diesem Sinne ist also ein besonders gut geschütztes System besonders anfällig. Bekannte Sicherheitskonzepte greifen nicht mehr: Schließlich geht es den Angreifern gar nicht darum, in ein System einzudringen, sondern darum, das System lahm zu legen. Gegen Eindringlinge können Computersysteme mittlerweile sehr gut abgeschottet werden -- moderne Verschlüsselungstechniken sind, wenn überhaupt, nur noch mit großer Mühe zu knacken. Gegen Zugriffe aus aller Welt wollen Anbieter ihre System aber gerade nicht schützen. Sie sind bestrebt, ihr Angebot bestmöglich erreichbar zu machen. Und genau das begünstigt die Attacken.

Bleibt die Frage nach den Motiven der Angreifer. Eindringlinge in Computersysteme können sich beispielsweise direkte finanzielle, wirtschaftliche oder politsche Vorteile erhoffen -- nicht aber Initiatoren eines DoS-Angriffs. Hier können die Vorteile nur indirekter Natur sein. Es hat sich gezeigt, dass die Aktienkurse der in Amerika betroffenen Unternehmen, etwa Yahoo oder Amazon, nach Bekanntwerden der erfolgreichen Attacken für kurze Zeit stark abgesackt sind. Anschließend stiegen sie wieder auf annähernd den gleichen Wert, den sie vor den Attacken hatten. Kriminelle Spekulanten könnten sich diesen Effekt gezielt nutzbar machen. Auch staatliche Institutionen können auf diesem Wege ihre Unverzichtbarkeit demonstrieren: Die Mittelerhöhungen für das FBI und den Geheimdienst NSA nwurde genehmigt, nachdem sich diese Behörden in den Fall der DoS-Attacken eingeschaltet hatten.

Es ist wie im richtigen Leben: Dort, wo es viele Freiheiten gibt, gibt es auch viele Möglichkeiten zum Missbrauch der Freiheiten. Bislang konnte die Internet-Community den Missbrauch des Internet in Schranken halten. Mechanismen, mit denen Internet-Rowdys abgestraft werden können, gibt es genug. Auch die offene Struktur des Internet konnte bis heute -- zum Teil gegen staatlichen Regulierungsdrang -- bewahrt werden. Auf die jüngsten Attacken aber hat auch die Internet-Community bislang keine passende Antwort. Sie sieht sich auf ihre härteste Bewährungsprobe gestellt. (chr)