Cebit 2018: Forscher entlarven Täter hinter Internet-Massenangriffen

Professor Christian Rossow erforscht mit seiner Arbeitsgruppe am CISPA Helmholtz- Zentrum in Saarbrücken Angriffe, die nicht nur Unternehmen, sondern auch Staaten das Fürchten lehren. Im Fachjargon heißen diese Angriffe „Distributed Denial-of-Service Attacks“, kurz DDoS, weil sie Datenfluten an Online-Dienste senden und diese dadurch unbrauchbar machen. Rossow und seine Forschergruppe entwickeln Methoden und Werkzeuge, um diese Angriffe zu analysieren und zu stoppen. Auf diese Weise schaffen sie es sogar, die Täter hinter den Angriffen ausfindig zu machen. Ihre neuesten Ergebnisse präsentieren sie nun auf der Computermesse Cebit am Stand F68 in Halle 27.

Webstresser.org ist berüchtigt. Denn dort kann man kaufen, was man für einen erfolgreichen Massenangriff im Internet benötigt. Laut Europol ist die Online-Plattform der vermutlich weltgrößte Marktplatz für DDoS-Angriffe. Die Opfer sind Banken, Online-Händler und Regierungen. Vor wenigen Wochen schlugen daher die europäischen Strafverfolger zu und teilten kurz darauf auf ihrer Homepage mit, dass die Plattform nun vom Netz sei.

Vor ihrer Online-Razzia hatten die Ermittler Zugriff auf die Forschungsergebnisse von Professor Christian Rossow erhalten. Rossow, der am CISPA Helmholtz-Zentrum i.G. forscht und an der Universität des Saarlandes lehrt, analysiert bereits seit Jahren den Modus Operandi von Cyberkriminellen.

In den vergangenen Jahren galt seine besondere Aufmerksamkeit einem Spezialfall von DDoS- Angriffen, der so genannten „amplification attack”.

„Stellen Sie sich vor, Sie haben Geburtstag, der Grill brennt und ein paar Freunde sind schon zu einem kleinen Umtrunk anwesend. Doch ein bösartiger Zeitgenosse hat eine falsche Anzeige in Umlauf gebracht, in der Sie angeblich Karten für die kommende Fußball-WM zu einem Schnäppchenpreis anbieten. Nun werden Sie den ganzen Abend auf Ihrem Festnetzanschluss angerufen, den Umtrunk in kleiner Runde können Sie vergessen“, erklärt Rossow das Prinzip des Angriffes. Das besonders perfide bei dieser Angriffsart sei, dass der Angreifer mit wenig Einsatz maximale Wirkung erreiche, so Rossow.

Daher hat er mit seinen Doktoranden von der Universität des Saarlandes und Kollegen aus Japan eine Art digitalen Köder für solche Angriffe entwickelt. Dabei nutzen die Wissenschaftler die Erkenntnis aus, dass die Angriffe in zwei Phasen aufgeteilt sind. In der ersten Phase scannen die Täter nach Rechnern, die sie für ihren Angriff einspannen können. In der zweiten Phase führen sie dann mit diesen den Massenangriff durch. Rossow und seine Kollegen konnten so 1,5 Millionen Angriffe dokumentieren. In einer weiteren Arbeit hat Rossow zusammen mit Johannes Krupp und Michael Backes, Gründungsdirektor des CISPA Helmholtz-Zentrum i.G., die jeweiligen Erkundungsversuche mit einer eindeutigen Markierung versehen. So konnten die Forscher die Angriffe mit den Erkundungsversuchen verknüpfen und dadurch auch die Hintermänner ermitteln. „Das ist vermutlich unsere größte Leistung“, erklärt Rossow, „denn die Täter hinter den Angriffen bleiben meist verborgen.” Insgesamt 34 Netzwerke konnten die Saarbrücker Informatiker mit einer Wahrscheinlichkeit von 98 Prozent als Quelle von Angriffen identifizieren.

Im vergangenen Jahr konnten die Wissenschaftler darauf aufbauen und zusammen mit Kollegen von Google und der New York University nachweisen, welche Angriffe über Online- Marktplätze wie webstresser.org organisiert wurden. Durch eine über zwei Jahre laufende, großflächige Datenanalyse konnten sie zudem mit Forschern der Universität von Kalifornien in San Diego und der Universität Twente aufzeigen, wie groß die Angebotspalette für DDoS- Angriffe und damit auch die Bedrohung durch sie ist. „Wir brauchen in Zukunft noch mehr Daten, die über eine längere Zeitspanne reichen. Nur so können wir fundiert etwas über die Gesundheit des Internets aussagen“, erklärt Rossow die Richtung zukünftiger Forschungsprojekte.