Die Telekom und die Medien verarschen uns nach Strich und Faden

Angeblich sollen Router der Telekom bei den Usern zuhause irgendwelche Probleme bereiten. Es sei ein Softwareupdate unterwegs, welches das Problem beheben soll. Das ist totaler Quatsch. Es gab einfach eine gezielte Attacke auf die DNS-Server (u.a.) der Telekom. Und jetzt erkläre ich Ihnen daher mal wie das Internet funktioniert. Hoffentlich begreift das dann der DAU (dümmster anzunehmender User) endlich mal. Und es ruft mich nicht mehr jeder Hirni an, wenn er Probleme mit dem Internet hat.

Also:

Das Internet ist ein Kabel. Das guckt bei Ihnen aus der Wand raus. An dem Kabel hing früher ein Modem und heute zumeist irgendein Speedport, eine Fritzbox oder auch ein Modem, wie z.B. bei Unitymedia. Am Ende Ihrer Internetz-Leitung hängt heute auf jeden Fall immer ein sog. Router. Durch das Kabel kommen die Daten aus dem Internet zu Ihnen und dadurch schicken Sie auch Daten ins Internet. Bei dem Gegenüber, welches z.B. eine E-Mail von Ihnen bekommt, schaut es nicht anders aus. Das Gegenüber hat auch ein Kabel, welches aus der Wand rausschaut. (Und ja, liebe Klugscheißer, jetzt geht mir bitte nicht mit Gx und LTE auf den Keks.)

Nun fragen Sie sich bitte einmal, woher das Kabel wissen soll wo sich www.google.de denn befindet. Denn Computer kennen keine Buchstaben oder gar Worte. Sie kennen nur Zahlen, auch sog. IP-Adressen. Und wenn Sie sich jetzt mal den Spaß machen auf den Startknopf von Windows zu klickern, dann direkt darüber cmd einzugeben und anschließend die ENTER-Taste zu drücken, dann öffnet sich so eine schwarze DOS-Box. In die geben Sie jetzt einfach ping www.google.de ein. Und ich erhalte da z.B. das Ergebnis:

ping-google-w

Ping ist ein Datenpaket, welches ich zum Google-Server schicke. Und der antwortet mir darauf. Erinnern Sie sich noch an das „nur ein Ping“ aus dem Film „Jagd auf Roter Oktober„?

Wenn ich jetzt das gleiche Ping aus dem Netzwerk eines Kunden in Düsseldorf an Google schicke, dann erhalte ich folgende Antwort:

ping-google-d

Komisch, die Zahl im roten Kästchen ist eine völlig andere. Wie kann das sein?

Es hat was mit den sog. DNS-Servern zu tun. DNS steht für „Domain Name Service“ und bedeutet nichts anderes, als dass die Worte „www.google.de“ in IP-Adressen (also Zahlen) übersetzt werden. Und schon haben Sie gelernt, dass mein Internetanschluss von Unitymedia offenbar einen anderen DNS-Server und ergo auch ein anderes „Internetadressentelefonbuch“ nutzt, als der Telekom-Anschluss meines Düsseldorfer Kunden. Aber selbst wenn der auch einen Unitymedia-Anschluss hätte, müssten – trotz der geringen Entfernung von nur ca. 40 km zwischen mir und meinem Kunden – nicht die selben DNS-Server angesprochen werden. Denn das Internet soll ja so schnell wie möglich sein, also wird im Zweifelsfalle immer der am schnellsten verfügbare DNS-Server adressiert.

Bedeutet: Je schneller mein anfragender Rechner die Antwort von einem DNS-Server erhält, wer sich hinter www.google.de verbirgt, desto schneller können die Daten fließen. Da die Firma google.de natürlich mit ihren Servern hauptsächlich in den USA hockt, liegen zwischen Ihrer Anfrage und den voneinander abweichenden obigen Antworten natürlich noch ein paar mehr DNS-Server weltweit, die Ihre Anfrage an andere DNS-Server weiterleiten. Was erklärt, dass der eine bei sich www.google.de mit der 174 vorneweg führt und der andere mit 216. Das sind letztlich nichts anderes als „Inhaltsverzeichnisinformationen„. Und so wie die im Internet eben nicht statisch sind – schon aus Sicherheitsgründen nicht – wechseln sie eben ständig und müssen von daher auch immer wieder erneuert werden.

Stellen Sie sich mal vor Google.com wäre immer unter der gleichen IP-Adresse erreichbar. Da würden dann einfach ein paar Millionen Rechner eines sog. Botnetzes mal ein Dauerping draufballern. Nennt sich DoS-Attacke (Denial of Service-Attacke). Das ist so ähnlich wie kleine, plärrende Kinder. Mit einem davon kommen Sie noch zurecht. Spätestens wenn es 5 gleichzeitig sind wird es schwierig. Und bei 50 würde jede noch so erfahrene Kindergärtnerin laut schreiend davonlaufend. Und nun stellen Sie sich bitte 50 Millionen gleichzeitig auf Sie einplärrende Hosenscheißerterroristen vor. Und genauso kapituliert auch jeder noch so leistungsfähige Router irgendwann vor so einer Dauerattacke.

Woher weiß ich das alles eigentlich? Ganz einfach. Ich habe besagten Kunden in Düsseldorf mit einem Telekom-Anschluss. Der bietet einer befreundeten Kanzlei über die DSL-Leitung die Anbindung ihrer zwei Standorte über das Internet via VPN (virtuelles privates Netzwerk). Alle drei Standorte konnten schon vor einer Woche über das Internet wunderbar miteinander kommunizieren und arbeiten, kamen aber alle nicht ins Internet.

HÄ?!!!

Ganz einfach. Die Standorte haben statische IP-Adressen. Die Router gehen also an der ganzen DNS-Systematik vorbei und haben damit untereinander auch keinerlei Verbindungsprobleme. Will aber einer ins „Internet“ braucht es eben die Namensauflösung über DNS. Und da kommen jetzt wieder die attackierten DNS-Server (u.a.) der Telekom ins Spiel. Da die nicht funktionieren, gibt es eben teilweise keine oder eben auch nur eine sehr langsame Verbindung ins „Internet„. Um „drin“ zu sein, wie Boris Becker einst so erfreut feststellte, brauchen Sie dieses doofe DNS. Um nur miteinander zu einem Netzwerk verbunden zu sein hingegen nicht. Solange Sie statische IP-Adressen nutzen.

Ich wusste daher schon ca. zwei Wochen aufgrund der Problematik bei meinen Kunden, dass da eine massive Attacke auf diverse DNS-Server weltweit stattgefunden hat. Und musste daher ziemlich breit grinsen als dies heute in der ganzen Presse ein großes Thema war, aber kein sog. „Sicherheitsexperte“ überhaupt erklären konnte (oder wollte), was da eigentlich passiert ist.

DNS ist nichts weiter als ein „Übersetzer“. Sie können zu einem Chinesen eine fabelhafte Telephonleitung aufgebaut haben. Solange der Übersetzer nicht funktioniert, Sie aber kein Chinesisch sprechen und der Chinese kein Deutsch, hilft Ihnen selbst die allerschnellste Leitung nicht. Sie werden nicht miteinander kommunizieren können.

Und noch etwas:

Ihr Browser zeigt Ihnen beim Laden von Seiten wie z.B. www.wieistmeineip.de ganz unten links gaaaaaaaaanz viel an. So eine normale Seite besteht z.T. aus mehreren hundert Informationen, die von anderen Seiten gezogen werden (Vorzugsweise Werbung und G-Analytics). Und wenn auch nur eine davon gerade nicht erreichbar ist, weil eben der DNS-Server sie nicht mehr kennt oder nicht schnell genug auf die Anfrage reagiert, sitzen Sie da und warten, warten und warten.

Dann ist das Internet vermeintlich „langsam„, der Router kaputt und der IT-Administrator der Arsch. Nein, bedanken Sie sich bitte einfach bei den Konstrukteuren des Internets dafür, dass diese das seinerzeit nicht ausreichend gut durchdacht haben. Und bitte ebenso bei den deutschen Internetprovidern. Denn gerade hier in Deutschland verfügen wir über so gut wie keinerlei Redundanz was das DNS-System betrifft. Genausowenig wie wir als eines der Industrieländer schlechthin über wirklich schnelle Leitungen verfügen. Das wird noch zu gewaltigen Problemen führen und man kann nur hoffen, dass unsere überalterten und technisch überforderten Dummschwätzer in Regierung und den damit befassten Ämtern hier endlich reagieren.

Das was das BSI heute zu der Thematik von sich gab ist für einen IT-Pro einfach nur hochnotpeinlich.

Wenn ich z.B. nicht via Fernbetreuung arbeiten könnte, müsste ich jeden Tag wieder dazu beitragen die Straßen zu verstopfen und zum Klimawandel beizutragen. Und wenn der C63 AMG dann im Stau mal 30 Liter und mehr durchhaut, z.B. im Winter, weil sonst die Heizung nicht funktioniert, dann kann mich die Merkel mit ihrem Klimaschutz mal kreuzweise am Culo lecken.

Ist sie es mit Ihrer Politik doch schuld, dass Deutschland ein IT-Entwicklungsland ist.

Nachfolgend ein Beitrag der DATEV zu der Thematik:

https://www.datev.de/web/de/aktuelles/trends-und-innovationen/gefahr-fuer-das-ganze-internet/

Artikel vom 11.11.16

DDoS-Angriffe

Gefahr für das ganze Internet

Der DDoS-Angriff auf dem amerikanischen DNS-Dienst Dyn brachte das ganze Internet zum Beben. In den USA waren zeitweise die Dienste unter anderen von Twitter, Netflix und AirBnB für Stunden nicht verfügbar. Ein genauer Blick zeigt, dass sich solche Angriffe in Zukunft häufen werden und Deutschland nicht davor gefeit ist.

Der DDoS-Angriff auf den DNS-Dienst Dyn in den Vereinigten Staaten macht eines deutlich: Das Internet ist dank zahlreicher Hacker und Cyberangriffe extrem labil geworden. Nachdem in den letzten Monaten mehr und mehr Botnetze aufgetaucht sind, sprechen DDoS-Schutzexperten wie Link11 mehr Warnungen aus als je zuvor. Die DDoS-Angriffe auf den Security Blogger Brian Krebs und wenig später auf den französischen Hoster OVH belegen eindeutig, dass sich DDoS im Jahr 2016 stark gewandelt hat.

Schon längst ist diese Form des Cyberkriegs nicht so archaisch, wie es die frühzeitigen DDoS-Angriffe waren. Die Veröffentlichung des Source Codes des Mirai-Botnetzwerks und die fortwährende Verbreitung von IoT-Geräten stellen eine große Aufgabe für Sicherheitsunternehmen dar. Aus einer aktuellen Studie von Link11 und TeleTrust (Bundesverband IT-Sicherheit e.V.) geht hervor, dass gerade einmal ein Drittel der befragten Unternehmen ausreichend auf DDoS-Angriffe vorbereitet sind. Inzwischen hat sich sogar die Bundesregierung das Thema auf die Fahne geschrieben. Das Cybersicherheitsgesetz, das in Zusammenarbeit mit der EU entstanden ist, sieht eindeutig vor, dass sich kritische Unternehmen vor den neuen digitalen Gefahren schützen müssen und im Falle eines Angriffs zur Meldung verpflichtet werden. Doch die Erfahrung zeigt, dass nur wenige Unternehmen ausreichend geschützt sind.

Eine Analyse des Link11 Security Operation Center (LSOC) hat ergeben, dass in Deutschland ein Ausfall wie jüngst in den USA jederzeit passieren könnte. Zwar sind nicht viele dieser Dienste an einem einzigen DNS-Dienstleister angebunden, aber ihre TTL (Time-to-Live) ist sehr niedrig. Diese hohe Anfragelast würde dafür sorgen, dass während eines DDoS-Angriffs über die Hälfte der meistbesuchten Seiten in Deutschland bereits nach 5 Minuten ausfallen würde. Außerdem unterstützen gerade einmal 35 Prozent eine Anycast-DNS-Infrastruktur. Anycast sorgt im Falle einer Überlastung des DNS-Servers dafür, dass ein weiterer Serverstandort mit den gleichen Daten und Informationen angesteuert wird, sodass Besucher der Webseiten keine Latenzen bemerken.

Der komplexe Angriff auf Dyn zeigt der westlichen Welt jedoch auf, dass die Digitalisierung und die Industrie 4.0 völlig neuen Gefahren ausgesetzt sind. Die jüngsten Angriffe über Internet-of-Things-Botnetzwerke sind nicht nur dank der wachsenden Verbreitung von IoT-Geräten so gefährlich. Bisher lässt sich hinter diesen Angriffen keine klare Motivation erkennen. Während es den vielen Erpressern um das knallharte Geschäft mit Bitcoins geht, sind sich die Experten noch nicht sicher, warum gerade jetzt mehr Angriffe auf wichtige Infrastrukturen des Netzes gefahren werden. Sie geschehen völlig unerwartet und ohne jegliche Ankündigung.

In einem Essay Mitte September nimmt IT-Security-Blogger Bruce Schneier beispielsweise an, dass diese neue Welle von Attacken mit über einem Tbit/s nur der Anfang seien. Stattdessen „fühle es sich an, als würde die Cyberabteilung eines Militärs ihre Waffen für den Fall eines Cyberkriegs bereits kalibrieren“, sagt Schneier.

Genau genommen scheinen DDoS-Angriffe wie auf Dyn und OVH in erster Linie nur Tests zu sein, wie man das Internet am besten ausschalten könne. In der Regel lassen es sich Hackergruppen wie Lizard Squad und Anonymous nicht nehmen, sich nach einem immensen Angriff dieser Art mit den Lorbeeren zu schmücken. Derzeit sieht es aber für die beiden Gruppen nicht so rosig aus. Ehemalige Lizard-Squad-Hacker wurden in den USA und in den Niederlanden festgenommen und die einst gefeierten Hacktivisten von Anonymous zerfleischen sich inzwischen wegen Rassismusvorwürfen selbst untereinander.

Während Krisenzeiten, in denen sich Bürger und Militär heutzutage über moderne Kommunikationswege organisieren, kann der Zusammenbruch des Internets gleichzeitig den Zusammenbruch der Bevölkerung bedeuten. Nicht ohne Grund lassen Regierungen Dienste wie Twitter und Facebook temporär abschalten oder gar gänzlich verbieten. Der Angriff auf den Security Blogger Brian Krebs zeigt zudem, dass die Pressefreiheit durch DDoS-Angriffe bedroht ist. Ein Instrument, vor denen sich in Zukunft auch regierungskritische Institutionen und Journalisten fürchten müssen.

Die Auswahl der Opfer könnte sich in den kommenden Monaten noch einmal ausweiten. In Deutschland, wo der Begriff Industrie 4.0 entstanden ist, gibt es zahlreiche Bereiche, in denen ein DDoS-Angriff dieser Magnitude verheerend sein könnte. Das BBK und der BSI haben Cyberattacken als Sabotage unter den anthropogenen Gefahren in der KRITIS gelistet. Ein Schutz gegen solche Attacken wird eigentlich im Cybersicherheitsgesetz vorgeschrieben. Dennoch ist nur ein marginaler Teil der als kritisch eingestuften Infrastrukturen gesichert. Ein Angriff auf einen DNS-Dienst sorgt in erster Linie nur für die Unerreichbarkeit von Webseiten. Ein DDoS-Angriff auf potenzielle Opfer wie Stromnetzwerke und Telekommunikation würde Deutschland und Europa hingegen zeitweise in die Steinzeit zurückwerfen. So versuchte zum Beispiel Anfang September eine türkische Hackergruppe die Webseite des Wiener Flughafens mittels eines DDoS-Angriffs lahmzulegen, um damit den Flughafenverkehr zu stören. Glücklicherweise konnte der Angriff abgewendet werden. Erst Tage zuvor ist dem Flughafen eine Computerpanne unterlaufen, bei der zahlreiche Starts und Landungen ausgefallen sind. Eine Cyberattacke wurde damals noch ausgeschlossen. In den USA wurden mehrere Krankenhäuser Opfer von Cyberattacken, die zu ernsten Problemen führten, da die digitalen Krankenakten nicht mehr nachvollzogen werden konnten. Diese Fälle sind nur die Spitze des Eisbergs, belegen aber wie fragil die Digitalisierung unsere wichtigen Infrastrukturen macht.

Die Wahrnehmung von DDoS spielt derweil auch eine wesentliche Rolle in der Vorbereitung der eigenen Sicherheit. Erst, wenn solche große Angriffe geschehen, bekommen Medien und Bevölkerung aktiv mit, was DDoS-Attacken anrichten. Die Dunkelziffer ist auf der anderen Seite sehr hoch. Alleine in den letzten Monaten ist dem LSOC ein deutlicher Anstieg von DDoS-Attacken in der DACH-Region aufgefallen. Derzeit registriert die Link11 GmbH im Quartal 9.000 Attacken auf ihre Kunden, die abgewehrt wurden. Der BSI meldet sogar über 30.000 dieser Attacken auf deutsche Unternehmen. Viele dieser Ziele werden nicht von den vorher genannten DDoS-Erpressern angegriffen, die in 2016 zahlreiche Nachahmer gefunden haben. Oft geschehen Angriffe ohne Ankündigung und ohne ersichtlichen Grund. In vielen Fällen sind die Opfer Finanzinstitute und Behörden. Daher muss man derzeit auch davon ausgehen, dass auch Regierungen und Cyber-Terroristen für diese Form von Angriffen verantwortlich gemacht werden können. Ohnehin vermuten Sicherheitsexperten schon lange, dass die Aufstockung in die Cyber-Abteilungen einzelner Länder auch ein Indiz dafür sei. Ohne klare Bekenntnis der Angreifer sind diese jedoch nur Vermutungen. Fakt ist, dass angesichts dieser unberechenbaren Gefahr, Behörden und Unternehmen umdenken müssen, um einer solchen DDoS-Attacke überhaupt Herr zu werden. Ansonsten stehen uns im wahrsten Sinne des Wortes dunkle Zeiten bevor.

Redakteur: Peter Schmitz