„Womöglich stehen die ernsthaften Angriffe noch aus“

In der vergangenen Woche wurden Schritt für Schritt wichtige Internetseiten des öffentlichen Lebens in Tschechien lahmgelegt: Nachrichtenportale, E-Mail-Anbieter, Banken. Ein „DDoS“-Angriff soll es gewesen, eine ferngesteuerte Überlastung der Server also, die von infizierten Computern auf der ganzen Welt ausging. Aleš Špidla, einstiger Leiter der Abteilung für kybernetische Sicherheit am Innenministerium und Experte für Systemsicherheit, erklärt im Gespräch mit PZ-Redakteur Martin Nejezchleba, dass noch nicht einmal das sicher ist.

Wer steckt hinter den jüngsten „DDoS”-Angriffen auf die tschechischen Webseiten?
Špidla: Das kann Ihnen im Moment niemand sagen. Die letzten Informationen, die die Assoziation der cz-Domain-Betreiber CZ-NIC herausgegeben hat, lassen darauf schließen, dass der Angriff von einem recht begrenzten geographischen Gebiet in Russland aus geführt wurde. Aber das sind nur vorläufige Informationen.

Bedeutet das, dass es sich doch nicht um einen „DDoS“-Angriff handelt?
Špidla: Das würde auf einen „DoS“-Angriff schließen lassen. Ein Angriff also, der nicht von sogenannten Botnets, also von Computern, die auf der ganzen Welt verstreut sind, ausgeht, sondern von einem kleineren Gebiet aus. Dass also nicht hunderttausende Computer die Server lahmgelegt haben, sondern eine begrenzte Anzahl an Netzwerken.

Und weiß man noch etwas Konkreteres zu diesem Netzwerk?
Špidla: Das wird gerade analysiert. Der ganze Sachverhalt ist nicht ganz einfach, weil man auch nicht so ohne Weiteres jemanden beschuldigen kann. Die Beweise, die es dazu vorzulegen gilt, sind flüchtig. Es ist recht einfach zu sagen, dass der Angriff aus Russland kam, denn den geographischen Standpunkt kann man über die IP-Adresse erkennen. Aber es besteht immer die Gefahr, dass die Adressen geschickt getarnt wurden.

Es ist also auch möglich, dass der Angriff vom anderen Ende der Welt aus geführt und über das fragliche russische Gebiet geleitet wurde? Das wiederum wäre dann doch ein DDoS-Angriff.
Špidla: Möglich ist das ganz bestimmt. Im Moment haben wir keine genaueren Analysen als die Aussagen von CZ-NIC. Es ist wirklich kompliziert. Der Angriff wurde ziemlich geschickt geführt. Die Anfragen wurden nämlich zunächst an besonders leistungsfähige Server geschickt. Es wurde so getan, als würden die Server, die eigentlich Ziel des Angriffs waren, Anfragen an diese starken Server schicken. Erst die Menge der Antworten, die an Websites wie „ihned.cz“, „seznam.cz“ oder auch an die der Nationalbank zurückflossen, legten diese lahm.

Auch die Webseite des Tschechischen Fernsehens (ČT) brach kurz vor der letzten Ansprache von Präsident Václav Klaus zusammen. Bislang hat ČT keine Aussage dazu getroffen, ob auch das ein Angriff war. Wie stelle ich als Webseitenbetreiber fest, dass ich Opfer eines Hacker-Angriffs wurde? Vielleicht wollten ja nur besonders viele Menschen ein letztes Mal Präsident Klaus sehen.
Špidla: In erster Linie wird die Situation mit dem normalen Betrieb verglichen. Das nennt sich behaviorale Analyse. Man sucht nach Anomalien im Standard-Betrieb und dann sucht man nach den Gründen dieser Anomalie. Man schaut zum Beispiel, zu welchen Zeiten und aus welcher Region die Seite normalerweise angefragt wird. Natürlich kann man sagen, dass ein Nachrichtenportal eine derart interessante Reportage online gestellt hat, oder dass gerade eine Ansprache läuft, die keiner verpassen möchte. Wenn ich allerdings feststelle, dass die Ansprache von Herrn Klaus von mehreren Millionen Menschen aus China angefragt wurde, dann weiß ich, dass da etwas faul ist.

Weiß man denn nun, ob auch das Tschechische Fernsehen angegriffen wurde?
Špidla: Das muss in erster Linie das Tschechische Fernsehen für sich klären. Hier gilt die individuelle Verantwortung der Besitzer von Informationssystemen. Wenn dann der Dienstleister nicht mehr mit dem Problem umzugehen weiß, dann sollte er sich an das staatliche CERT (Computer Emergency Response Team, Teil des Nationalen Zentrums für Kybernetische Sicherheit, siehe Artikel oben, Anmerkung der Redaktion) wenden und dort um methodischen Rat fragen. Aber in erster Linie liegt die Verantwortung für die Sicherheit eines Systems bei seinem Eigentümer.

Zurück zu den Angriffen von letzter Woche: Haben sie eine Vorstellung davon, welche Motivation dahinter stecken könnte?
Špidla: Es kann natürlich sein – auch wenn ich nicht weiß, warum das so sein sollte – dass es sich um einen gezielten Angriff aus Russland handelt. Es kann aber auch sein, dass ihn sich jemand in Russland bestellt hat. Das ist heute überhaupt kein Problem. Was mich in Alarmbereitschaft versetzt, ist die Tatsache, dass sich keiner zu den Angriffen bekannt hat. Solche DDoS-Angriffe stammen meist von „Hacktivisten“ (Hacker mit einer politischen Motivation; Anm. d. Red.). Die bekennen sich aber natürlich zu ihrem Angriff. Die sagen dann zum Beispiel, wir waren das und das habt ihr nun davon, dass ihr die Preise für Tram-Tickets erhöht habt. Das ist nicht geschehen. In den USA wurde im vergangenen Jahr eine Bank mit „DDoS“ angegriffen, am Freitagabend, zu einer Zeit, wo auch die IT-Angestellten endlich ins Wochenende wollen. Sie haben also versucht, das Problem zu lösen und so nicht gemerkt, dass die Hacker soeben die Bank ausrauben. Es kann also sein, dass die neuesten Angriffe, die auch nicht alle an die Öffentlichkeit gekommen sind, eine Methode waren, um auszutarieren, welche Systeme anfällig sind. Ich hoffe natürlich, dass dem nicht so ist. Denn dann stünde der ernsthafte Angriff noch bevor.