Marktsicht

Deutschlands Internet-GAU

Alexander Tsolkas
089 923331-0 Alexander.tsolkas@expertongroup.com

D

as Bundesamt für Sicherheit in der

Informationstechnik (BSI) hat durch eine Reihe von Vorfällen Indizien gefunden, dass Hacker in der Welt versuchen, einen Zusammenbruch der deutschen Internetserver und damit der deutschen Internetinfrastruktur herbeizuführen.

November 2012 © Experton Group

www.experton-group.de

Der DNS-Changer spukte bereits vor mehreren Monaten herum, und die Deutsche Telekom hat Angriffe auf die DNS-Server gemeldet. Viele Provider haben das nicht getan, obwohl sie trotzdem Angriffsziel waren und auch angegriffen wurden. Provider, die solche Vorfälle aus Imagegründen nicht melden, sorgen nun dafür, dass ein Gesetzentwurf vorgelegt werden wird, der die Meldepflicht von Angriffen auf kritische Infrastrukturen vorsieht. Beim BITKOM kann man solche Angriffe mittlerweile anonym melden. Man kann davon ausgehen, dass Provider kritischer Infrastrukturen Ziel sein werden, die mit Urban Security zu tun haben oder auch Banken. Wenn die DNS-Server im Internet ausfallen, fällt auch das Internet aus, und kein Server wird mehr erreichbar sein, weil diese über Suchanfragen nicht mehr gefunden werden können. Hieran kann man wieder gut erkennen, wie Menschen gestrickt sind. Um was geht es wem wirklich? Um sinnvolle Vorschläge, was gegen die Angriffe unternommen werden kann, oder um weitere Gesetzesvorlagen, die darauf verweisen, dass Angriffe gefälligst gemeldet werden sollen? So könnten die Provider MPLS auch endlich mal richtig einsetzen. Die Provider wissen mittlerweile alle, dass durch den gezielten und richtigen Adressen Einsatz aus von MPLS gefakte Trägernetz IPeinem gefiltert

Kosten möchte lieber jeder verzichten. Doch erst dadurch kann man DDoS– (Distributed Denial of Service) Angriffe reduzieren oder gar eliminieren. Auf mein Heimnetzwerk habe ich auch keine Angriffe. Ich arbeite mit MacAdresssicherheit kombiniert mit festen IPAdressen. Und im Grunde genommen ist das in größeren Netzen vom Prinzip dasselbe, nur immens viel mehr Arbeit und teurer - aber machbar. Aber die Provider denken immer noch Device mehr gegen darüber lieber DDoS nach, ein (die ob sie auch den seit Endanwendern kostenpflichtiges nun

geraumer Zeit von allen möglichen Herstellern verkauft werden) oder einen kostenpflichtigen Service gegen DDoS anbieten sollen, anstatt ihre Hausaufgaben zu machen. So lange wie MPLS nicht in dieser Richtung bzw. nur trivial eingesetzt wird, so lange an werden der auch Meldepflichten nichts Sicherheit

verbessern. Warum spricht man über einen Gesetzesentwurf für Meldepflichten, anstatt das Übel tatsächlich an der Wurzel zu packen, mit einem Gesetz, das den maximalen Einsatz von Schutzmaßnahmen durch die Nutzung von vorhandenen vorschreibt? Zum Vergleich: Eine 70jährige Frau in Hamburg wurde verurteilt, weil sie einen WLAN-Router ungenügend abgesichert hat, über den ein Nachbar im Haus Musik und Kinderpornografie wenn sie zur heruntergeladen Verfügung nicht hat. Warum werden Provider dann nicht verurteilt, stehende aktivieren Sicherheitsfunktionalitäten Internetinfrastruktur kann? Sicherheitsfunktionalitäten

werden könnten. Dies bedeutet zwar Arbeit, denn man muss riesige Netze mit insgesamt 64 Mio. Internetnutzern bereinigen und auf die IP-Adressen reduzieren, die auch wirklich im Netzwerk sind. Technisch machbar ist das, zu automatisieren ist das auch, aber auf die

oder nicht einsetzen, wodurch eine ganze zusammenbrechen

Oktober 2012 © Experton Group

www.experton-group.de

Insbesondere vor dem Hintergrund, dass DNSServer in der Regel Angriffsziel Nummer eins sind, sind folgende Zahlen erschreckend: 96 Prozent aller Unternehmen eingesetzten verwenden DNS-Server die in veraltete

DNSSEC-Sicherheit und nur drei Prozent verwenden DNSCurve. Wen also wundert es, dass Hacker die DNS-Server des deutschen Internets attackieren? DNS-Systeme, die mit TSIG oder DNSSEC abgesichert sind, sind anfälliger als DNSSysteme, die mit DNSCurve aufgesetzt sind, da diese auf der Kurve und nicht manipulierbaren “Curve25519″ (im ein der elliptischen Authentizität Authentizität namens

basieren. DNSCurve schützt die Integrität, Vertraulichkeit Dazu Forwarder sind auf Gegenzug zu DNSSEC, das nur Integrität und schützt). sicherheitsmodifizierter

Serverseite und ein sicherheitsmodifizierter DNS-Cache auf der Client-Seite notwendig. Möchten Sie mehr erfahren über DNSSEC und DNSCurve, können Sie mich gerne unter Alexander.Tsolkas@experton-group.com kontaktieren.

Oktober 2012 © Experton Group

www.experton-group.de