Anzeige
Cyberangriffe legen Server und Dienste lahm. Quelle: RND-Illustration/Patan

Experte zu Hackerangriffen: „Die Gefahr ist bombastisch gestiegen“

Im Zuge des russischen Angriffskriegs auf die Ukraine verzeichnen deutsche Behörden und Unternehmen immer mehr Cyberangriffe – meist handelt es sich um sogenannte DDoS-Attacken. Sebastian Schreiber von der IT-Sicherheitsfirma Syss erklärt im Interview, für wen die Gefahr durch DDoS-Attacken am höchsten ist – und warum Deutschland noch nicht ausreichend vor Cyberattacken geschützt ist.

Herr Schreiber, wie schätzen Sie die aktuelle Gefahr durch Cyberattacken in Deutschland ein?

Die Gefahr ist bombastisch gestiegen. Wir haben es aktuell mit rivalisierenden Hackergruppen zu tun, die sich den Cyberkrieg erklärt haben. Aufseiten des Westens agiert das Hackerkollektiv Anonymous, aufseiten Russlands Killnet. Wir beobachten auch in Deutschland vermehrt Aktivitäten, die manchmal von Killnet ausgingen, sich aber teilweise auch noch nicht ganz verorten lassen. Es ist also oft noch unklar, ob diese Attacken von russischen Hackerinnen und Hackern ausgeführt werden. Die Frage ist auch: Wer sind russische Hackerinnen und Hacker? Sind das russische Staatsangehörige oder russische Organisationen? Wir wissen noch nicht genau, wer für eine Attacke verantwortlich ist – und welche Intention dahintersteckt.

In den vergangenen Wochen haben deutsche Behörden und Unternehmen vermehrt von sogenannten DDoS-Attacken auf ihre Websites berichtet. Was passiert bei solchen Cyberangriffen?

Bei einer DDoS-Attacke versuchen Täterinnen und Täter, ein im Internet exponiertes System durch Überlastung lahmzulegen. Meist wird dabei eine Website durch zu viele Anfragen überlastet, sodass sie nicht mehr verfügbar ist. DoS heißt zunächst „Denial of Service“, ein Dienst wird also verhindert. Wenn man vor dem DoS noch ein „Distributed“ (zu Deutsch: verteilt, Anm. d. Red.) ergänzt, hat man DDoS. Das heißt, dass ein System mit mehreren Systemen angegriffen und das Zielsystem durch übermäßig viele Anfragen von der Arbeit abgehalten wird. Denn jedes System hat eine gewisse Lastgrenze, es kann also nur eine bestimmte Anzahl an Anfragen pro Sekunde bearbeiten. Täterinnen und Täter können die Ressourcen des Servers also komplett konsumieren.

Was haben Hackerinnen und Hacker davon, eine Website lahmzulegen?

Das hängt von der Intention ab. Manche wollen ein politisches Zeichen setzen, indem sie etwa eine Behördenwebsite angreifen. Andere wollen dagegen Unternehmen erpressen – und fordern sogenannte Ransom – also Lösegeld als Gegenleistung dafür, dass sie mit den Attacken aufhören. Bei Protestaktionen wollen die Täterinnen und Täter dagegen nur zeigen, dass sie nicht mit den Tätigkeiten ihres Angriffsziels einverstanden sind. Dann ist die Attacke wie ein Farbbeutel, der gegen ein Gebäude geworfen wird: Es wird ein Zeichen gesetzt, allerdings entsteht kein echter Schaden.

Können DDoS-Attacken auch mehr als Websites außer Gefecht setzen?

DDoS-Attacken beschränken sich grundsätzlich auf Systeme, die im Internet exponiert sind: Webseiten, Mailserver, Firewalls etc. Hackerinnen und Hacker können theoretisch aber auch gezielt andere Systeme mit einer DoS-Attacke angreifen – etwa eine Krankenhaus-IT oder Stromversorgersysteme. Das setzt aber voraus, dass der Täter bereits Zugriff auf interne Systeme hat – und von diesen aus dann andere interne Systeme attackiert. Wir sprechen dann nicht mehr von DDoS – sondern schlicht von einem Sabotageangriff. Auch darauf müssen wir aufpassen, denn diese Angriffe könnten dazu führen, dass eine Klinik nicht mehr auf die Akten ihrer Patientinnen und Patienten zugreifen kann oder Energieversorger keinen Strom mehr herstellen können.

Für wen sind DDoS-Attacken besonders gefährlich?

Meist werden Unternehmen angegriffen, die vom Internet abhängig sind – also ihr Geschäft über ihre Website machen. Je nachdem, wie lange die Website nicht erreichbar ist, kann der zeitweise Umsatz schon deutlich wegbrechen. Wenn Unternehmen oder Behörden dagegen eine Website betreiben, die primär als Visitenkarte dient, ist ein zeitweiser Ausfall meist kein größeres Problem. Die Telefonnummer oder Adresse kann schließlich auch über andere Wege in Erfahrung gebracht werden. Angreiferinnen und Angreifer wollen in solchen Fällen meist eher ein Zeichen setzen, statt ihrem Angriffsziel nachhaltig zu schaden. Hotelbuchungsplattformen oder Onlineshops können es allerdings mit besonders aggressiven Täterinnen und Tätern zu tun haben, die immer wieder versuchen, ihre Systeme lahmzulegen.

Wie können die betroffenen Institutionen ihre Systeme von solchen Angriffen befreien?

Bei besonders schweren Angriffen lässt sich der Schaden mitunter auch gar nicht beheben – aggressive Täterinnen und Täter können in der Lage sein, Behörden und Unternehmen nachhaltig zu stören. Manchmal bleibt den Betroffenen nichts anderes übrig, als die Website zu spiegeln und über einen anderen Server zu betreiben. Damit sie künftig besser gegen DDoS-Attacken geschützt sind, können sie ihre Systeme über sogenannte CDNs, also Content Delivery Networks, betreiben lassen. Denn CDNs sorgen dafür, dass nicht nur ein System vorhanden ist, von dem man komplett abhängig ist. In CDNs sind die Daten auf mehreren Systemen gespeichert.

Ist Deutschland Ihrer Meinung nach ausreichend vor DDoS-Attacken – und auch Cyberangriffen anderer Art – geschützt?

Leider nicht, das muss man schon so deutlich sagen. Das merken wir immer wieder, wenn wir bei unseren Kundinnen und Kunden Penetrationstests durchführen. Das heißt, dass wir in ihre IT-Systeme eindringen, um ihre Abwehr zu testen und Sicherheitslücken zu finden. Stand jetzt durchdringen wir ihre Systeme so gut wie jedes Mal. Unternehmen können sich aktuell also überhaupt nicht in Sicherheit wiegen.

Also muss sich in Sachen IT-Sicherheit hierzulande noch einiges ändern.

Ja. Ich appelliere an alle Unternehmen und Behörden, deutlich mehr für ihre IT-Sicherheit zu machen. Die Budgets wurden zwar schon stark erhöht, die Anstrengungen reichen aber nicht aus. Beispielsweise könnten sie ihre bestehenden Systeme durch sicherere Systeme ablösen. Denn die Sicherheit eines Systems erodiert mit der Zeit, indem immer wieder neue Services installiert werden. Wenn ein System frisch aufgesetzt ist, ist es aber erst mal relativ sicher. Wir erwarten, dass in den kommenden Wochen und Monaten noch einiges an Attacken stattfinden wird. Gerade jetzt ist also eine gesteigerte Wachsamkeit erforderlich.

Laden Sie sich jetzt hier kostenfrei unsere neue RND-App für Android und iOS herunter

Von Ben Kendal/RND