18.02.2021 16:49 |

Server überlastet

DDoS: Wieso A1-Kunden stundenlang offline waren

Der zweistündige österreichweite Internetausfall im Festnetz von A1 am Donnerstag war nach Angaben des Unternehmens einer sogenannten DDoS-Attacke geschuldet. Dabei handelt es sich um einen simplen Cyberangriff, bei dem der Angreifer die Server mit so vielen Anfragen „bombardiert“, dass diese den Dienst quittieren. Die Hintergründe.

„DDoS-Attacken gibt es immer wieder, meist werden sie aber automatisch abgewehrt“, berichtet A1-Sprecherin Livia Dandrea-Böhm nach der Attacke vom Donnerstag gegenüber krone.at. Warum die Attacke diesmal nicht abgewehrt werden konnte? „Wir sind dazu noch in der Analyse.“ Man optimiere aber zum Schutz vor solchen Angriffen laufend das Netzwerk, um es nachhaltig abzusichern.

Angriffe kommen von gekaperten Geräten
DDoS steht für „Distributed Denial of Service“ und bedeutet, dass ein Server mit so vielen Anfragen überschwemmt wird, dass er unter der Last zusammenbricht. Die Angriffe gehen in der Regel von Netzwerken gekaperter PCs oder anderer mit dem Internet verbundener Geräte aus. Häufig handelt es sich etwa um vernetzte Überwachungskameras und andere schlecht gesicherte Smart-Home-Technik, die von Kriminellen übernommen und in ein sogenanntes Botnetz eingegliedert wird. Erhalten die Geräte vom Kommando-Server den Befehl, starten sie zu Tausenden den Angriff auf ihr Ziel. Ihr Besitzer merkt das in der Regel gar nicht.

Hintermänner gehen arbeitsteilig vor
Botnetze werden neben DDoS-Attacken auch für den Spam-Versand, Banking- oder Werbebetrug genutzt, sind also vielfältig einsetzbar und eine lukrative Geldquelle für Cyberkriminelle. Bei der Erschaffung der Netzwerke gehen die Kriminellen arbeitsteilig vor: Im nur über Anonymisierungsdienste zugänglichen Darknet koordinieren sich Botnet-Betreiber, Virenspezialisten und die „Kunden“, von denen die Angriffsziele vorgegeben werden.

Virenspezialisten verlangen von den Botnetz-Betreibern Geld für jedes erfolgreich infizierte Gerät, die Betreiber von den Kunden wiederum für das Ausführen einer Attacke. Häufig seien Hunderte Kriminelle am Aufbau eines Botnetzes beteiligt, schätzen Forscher der Universität Twente in den Niederlanden. Die IT-Security-Industrie ihrerseits bekämpft die Netzwerke, indem sie nach den Kommando-Servern sucht und diese abschaltet. Hier werden immer wieder Erfolge vermeldet, gleichzeitig kapern Kriminelle neue Geräte. Ein Katz- und Mausspiel.

Motive reichen von Sabotage bis Erpressung
Die Motive für eine DDoS-Attacke sind unterschiedlich. Oft gehen die Attacken mit Erpressungsversuchen einher: Die Hintermänner fordern Geld, damit der Angriff aufhört. In der Vergangenheit kam DDoS aber auch als digitale Waffe verfeindeter Unternehmen oder - dank frei zugänglicher Tools wie „LOIC“ - als Rachewerkzeug wütender Internetnutzer zum Einsatz.

So geschehen bereits 2010 bei der „Operation Payback“, bei der WikiLeaks-Unterstützer die Server der Zahlungsdienstleister Mastercard, Visa und PayPal angriffen, nachdem diese ihre Geschäftsbeziehung zur Whistleblower-Plattform eingestellt hatten.

„Mirai“, eines der mächtigsten Botnetze aller Zeiten, das vor einigen Jahren in Deutschland Hunderttausende Internetrouter lahmlegte, hatte seinen Ursprung laut dem IT-Security-Forscher Brian Krebs in einem Unternehmen, das sich ausgerechnet auf den Schutz vor DDoS-Attacken spezialisiert hatte. Es bot seine Tools Betreibern von Multiplayer-Servern des Spiele-Hits „Minecraft“ an - und führte selbst DDoS-Attacken auf die Kunden aus, damit diese die Schutzdienste auch in Anspruch nahmen.

Welche Motive der jüngste DDoS-Angriff auf A1 hatte, ist noch nicht bekannt. Einen Erpressungsversuch habe es nicht gegeben, so der Provider. Der erfolgreiche Angriff auf die an sich gut gegen solche Attacken geschützten Server des Netzbetreibers zeigt aber, dass DDoS-Überlastungsangriffe, obwohl gut erforscht und gegen Bezahlung vergleichsweise simpel ausführbar, auch 2021 noch eine ernst zu nehmende Bedrohung sind.

Kommentare

Liebe Leserin, lieber Leser,

die Kommentarfunktion steht Ihnen ab 6 Uhr wieder wie gewohnt zur Verfügung.

Mit freundlichen Grüßen
das krone.at-Team

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Sonntag, 26. September 2021
Wetter Symbol