Cebit 2018: Forscher entlarven Täter hinter Internet-Massenangriffen
**Professor Christian Rossow erforscht mit seiner Arbeitsgruppe am CISPA Helmholtz-
Zentrum in Saarbrücken Angriffe, die nicht nur Unternehmen, sondern auch Staaten das
Fürchten lehren. Im Fachjargon heißen diese Angriffe „Distributed Denial-of-Service
Attacks“, kurz DDoS, weil sie Datenfluten an Online-Dienste senden und diese dadurch
unbrauchbar machen. Rossow und seine Forschergruppe entwickeln Methoden und
Werkzeuge, um diese Angriffe zu analysieren und zu stoppen. Auf diese Weise schaffen sie
es sogar, die Täter hinter den Angriffen ausfindig zu machen. Ihre neuesten Ergebnisse
präsentieren sie nun auf der Computermesse Cebit am Stand F68 in Halle 27.
Webstresser.org ist berüchtigt. Denn dort kann man kaufen, was man für einen erfolgreichen
Massenangriff im Internet benötigt. Laut Europol ist die Online-Plattform der vermutlich
weltgrößte Marktplatz für DDoS-Angriffe. Die Opfer sind Banken, Online-Händler und
Regierungen. Vor wenigen Wochen schlugen daher die europäischen Strafverfolger zu und
teilten kurz darauf auf ihrer Homepage mit, dass die Plattform nun vom Netz sei.
Vor ihrer Online-Razzia hatten die Ermittler Zugriff auf die Forschungsergebnisse von
Professor Christian Rossow erhalten. Rossow, der am CISPA Helmholtz-Zentrum i.G. forscht
und an der Universität des Saarlandes lehrt, analysiert bereits seit Jahren den Modus
Operandi von Cyberkriminellen.
In den vergangenen Jahren galt seine besondere Aufmerksamkeit einem Spezialfall von DDoS-
Angriffen, der so genannten „amplification attack”.
„Stellen Sie sich vor, Sie haben Geburtstag, der Grill brennt und ein paar Freunde sind schon
zu einem kleinen Umtrunk anwesend. Doch ein bösartiger Zeitgenosse hat eine falsche
Anzeige in Umlauf gebracht, in der Sie angeblich Karten für die kommende Fußball-WM zu
einem Schnäppchenpreis anbieten. Nun werden Sie den ganzen Abend auf Ihrem
Festnetzanschluss angerufen, den Umtrunk in kleiner Runde können Sie vergessen“, erklärt
Rossow das Prinzip des Angriffes. Das besonders perfide bei dieser Angriffsart sei, dass der
Angreifer mit wenig Einsatz maximale Wirkung erreiche, so Rossow.
Daher hat er mit seinen Doktoranden von der Universität des Saarlandes und Kollegen aus
Japan eine Art digitalen Köder für solche Angriffe entwickelt. Dabei nutzen die
Wissenschaftler die Erkenntnis aus, dass die Angriffe in zwei Phasen aufgeteilt sind. In der
ersten Phase scannen die Täter nach Rechnern, die sie für ihren Angriff einspannen können.
In der zweiten Phase führen sie dann mit diesen den Massenangriff durch. Rossow und seine
Kollegen konnten so 1,5 Millionen Angriffe dokumentieren. In einer weiteren Arbeit hat
Rossow zusammen mit Johannes Krupp und Michael Backes, Gründungsdirektor des CISPA
Helmholtz-Zentrum i.G., die jeweiligen Erkundungsversuche mit einer eindeutigen
Markierung versehen. So konnten die Forscher die Angriffe mit den Erkundungsversuchen
verknüpfen und dadurch auch die Hintermänner ermitteln. „Das ist vermutlich unsere größte
Leistung“, erklärt Rossow, „denn die Täter hinter den Angriffen bleiben meist verborgen.”
Insgesamt 34 Netzwerke konnten die Saarbrücker Informatiker mit einer Wahrscheinlichkeit
von 98 Prozent als Quelle von Angriffen identifizieren.
Im vergangenen Jahr konnten die Wissenschaftler darauf aufbauen und zusammen mit
Kollegen von Google und der New York University nachweisen, welche Angriffe über Online-
Marktplätze wie webstresser.org organisiert wurden. Durch eine über zwei Jahre laufende,
großflächige Datenanalyse konnten sie zudem mit Forschern der Universität von Kalifornien in
San Diego und der Universität Twente aufzeigen, wie groß die Angebotspalette für DDoS-
Angriffe und damit auch die Bedrohung durch sie ist. „Wir brauchen in Zukunft noch mehr
Daten, die über eine längere Zeitspanne reichen. Nur so können wir fundiert etwas über die
Gesundheit des Internets aussagen“, erklärt Rossow die Richtung zukünftiger
Forschungsprojekte.