Das IT-Sicherheitsjahr 2016 aus Sicht von CERT.at und GovCERT Austria

Die Computer Emergency Response Teams, kurz CERTs, sind nationale Ansprechpartner rund um das Thema IT-Sicherheit. Die österreichischen ExpertInnen von CERT.at leisten als Informationsdrehscheibe wichtige Präventions- und Aufklärungsarbeit rund um aktuelle sicherheitstechnische Themen. Dazu gehören Alarmmeldungen (Alerts), Warnungen und auch Empfehlungen – speziell für kleine und mittlere Unternehmen. Gleichzeitig leisten die ExpertInnen von CERT.at auch in akuten Fällen Hilfestellung bei IT-sicherheitstechnischen Angriffen im privatwirtschaftlichen Sektor. Zu den damit verbundenen Aufgaben gehören insbesondere die Koordination und das Informieren der Netzbetreiber (z.B. ISPs) sowie der zuständigen lokalen Security Teams.

CERT.at und GovCERT Austria führen im Zuge ihrer Arbeit umfangreiche Statistiken, die einen Überblick über die aktuelle Internet-Sicherheitslage Österreichs und die wichtigsten Daten des vergangenen Jahres ermöglichen. Auf diese wird in Folge eingegangen.

CERT.at Jahresstatistiken

Das Team von CERT.at führt seit dem Jahr 2008 Gesamt-Jahresstatistiken. Diese beinhalten die Zahl der relevanten Reports, Incidents und Investigations (nachfolgend eingehend erklärt) sowie auch Fehlalarme. Über den gesamten Zeitverlauf – von 2008 bis 2016 – zeigt die Grafik die Intensivierung der Arbeit von CERT.at zur kontinuierlichen Verbesserung der Cyber Sicherheit in Österreich.

Wie in der Abbildung 1 ersichtlich ist, nimmt die Zahl der Investigations durch CERT.at kontinuierlich seit Jahren zu. Im langfristigen Vergleich ist auch das Niveau bei den relevanten Reports und Incidents gestiegen. Im Vergleich zum Vorjahr nahmen sowohl die Reports, Incidents, Investigations als auch die Zahl der Fehlalarme zu.

Abbildung 1: CERT.at Jahresstatistik mit Übersicht über Reports, Incidents und Investigations im Zeitverlauf, Quelle: CERT.at

Die wichtigsten einzelnen Kennzahlen sind Reports, Incidents und Investigations.

"Reports" bezeichnen eingehende Meldungen an CERT.at. Nicht alle davon beschreiben einen Sachverhalt, der von CERT.at als relevanter Vorfall (sog. Incident) eingestuft wird und eine aktive Behandlung erfordert. Typische Gründe für eine Beurteilung als irrelevanter Vorfall (Fehlalarm) sind etwa:

  • Meldungen zu Problemen, die bereits bereinigt wurden
  • Falschmeldungen von einfachen Suchalgorithmen
  • mangelnde Zuständigkeit von CERT.at (z.B. die gemeldete IP-Adresse ist nicht in Österreich)
  • generische Anfragen (etwa Konferenzeinladungen, Frage zu den Mailinglisten etc.)
  • andere E-Mail-Irrläufer/Spam

Abbildung 2 zeigt die relevanten Reports, die im Jahr 2016 an CERT.at gesendet wurden. Die Anzahl der Reports wird pro Monat angegeben und ermöglicht dadurch einen guten Jahresvergleich in den 15 größten Kategorien. Im Schnitt waren es rund 1300 Meldungen pro Monat. Aus den Schwankungen zwischen den Monaten ist nicht viel herauszulesen, der Rückgang gegen Jahresende hängt mit einer Systemumstellung (siehe weiter unten) zusammen.

Abbildung 2: Klassifizierung der relevanten Reports nach Bedrohungsformen im Zeitverlauf, Quelle: CERT.at

Als "Incidents" werden jene Fälle eingestuft, die tatsächlich ein Sicherheitsrisiko darstellen. Bei diesen schreitet CERT.at ein und informiert beispielsweise betroffene Unternehmen, Organisationen oder PrivatanwenderInnen über IT-Sicherheitsbedrohungen und unterstützt in besonderen Fällen gegebenenfalls auch bei der Problemlösung.

Die Zahl der Incidents liegt immer sehr nahe an der Zahl der relevanten Reports, da nur selten zum gleichen Incident mehrere unabhängige Hinweise (Reports) einlangen.

Abbildung 3: Klassifizierung von Incidents nach Bedrohungsformen im Zeitverlauf, Quelle: CERT.at

Die Kontaktaufnahme mit den betroffenen Unternehmen, Organisationen oder PrivatanwenderInnen wird im CERT.at Ticketsystem als "Investigation" bezeichnet.

Abbildung 4 zeigt die Zahl der Investigations im Jahr 2016. Eine Investigation ist üblicherweise eine E-Mail an den Netzbetreiber, Webhoster oder Domaininhaber. CERT.at verschickt also an einem typischen Arbeitstag rund 400 E-Mails. Da in vielen Incidents Daten zu mehreren Netzbetreibern enthalten sind, kommen auf einen Incident im Schnitt rund acht Investigations.

Abbildung 4: Klassifizierung der von CERT.at durchgeführten Investigations nach Bedrohungsformen im Zeitverlauf, Quelle: CERT.at

Im Laufe von 2016 hat CERT.at einen Großteil der alten Scripts zur halbautomatischen Verarbeitung von Informationen über Infektionen und Fehlkonfigurationen durch ein neues System namens IntelMQ ersetzt. IntelMQ (https://github.com/certtools/intelmq) wird als gemeinsames Projekt von mehreren europäischen CERTs als Open Source Software entwickelt, und wurde darüber hinaus im Rahmen der Förderung der EU für CERTs (Connecting Europe Facility Telecom, Cyber Security Call 2+3) als zentrale Komponente erkannt. Im Zuge dieser Umstellung wurde auch die Zuordnung von Einzelereignissen ("events": z.B. Zugriff eines PCs auf einen Malware-Kontrollserver, positiver Test eines Servers auf eine Schwachstelle, …) zu diesen Tickets geändert. Dies ist in den Graphen gut zu erkennen.

Früher wurden alle Datenquellen (etwa Ergebnisse der Scans von ShadowServer, oder Daten von Microsofts Digital Crime Unit) unabhängig voneinander bearbeitet. Da diese typischerweise einmal pro Tag einen Datensatz liefern, ergab sich so pro Quelle ein Report, ein Incident und dann pro vorkommendem Netzbetreiber eine Investigation.

Das neue System basiert auf Events, die jeweils eine einzelne Beobachtung bzw. Messung darstellen. Diese werden täglich pro Kategorie als ein Incident zusammengefasst und verarbeitet. Die dahinterstehende Taxonomie geht ebenfalls aus einer europäischen Zusammenarbeit hervor. Damit soll erreicht werden, dass sowohl der Datenaustausch zwischen den CERTs, als auch ein länderübergreifender Vergleich der Statistiken, einfacher wird.

Den Effekt in den Graphen der Investigations gut erkennbar: So wurden die getrennten Investigations zu DDoS-Reflektoren per SNMP, NTP oder SSDP in Mails zu verwundbaren Systemen ("Vulnerable") zusammengefasst. Da es zwischen den Infektionsdaten-Quellen immer wieder Überschneidungen gibt, ermöglicht diese Vorgehensweise eine Vermeidung mehrfacher Einträge in Investigations und somit eine einfachere Verarbeitung durch die Netzbetreiber.

Da IntelMQ nicht mehr auf tägliche Reports per E-Mail angewiesen ist, ermöglicht dieses System erstmals eine Verarbeitung und Verteilung der Sensordaten in Echtzeit. Es ist geplant, den Netzbetreibern ein Webportal zur Verfügung zu stellen, mit welchem diese die Beschaffenheit der bezüglich ihres Bereiches gesandten CERT-Meldungen selbst konfigurieren können.

Diese Umstellung wird die Vergleichbarkeit der zukünftigen Report/Incident/Investigation Zahlen mit den historischen Daten negativ beeinflussen. Dem ist jedoch entgegenzuhalten, dass die Zahl der E-Mails von CERT.at alleine seit Anbeginn nur bedingt etwas über den Sicherheitsstatus in Österreich ausgesagt hat. Grund dafür ist der Umstand, dass eine E-Mail mit lediglich einer Infektion in dieser Betrachtungsweise einem E-Mail mit tausenden IP-Adressen rechnerisch gleichgestellt wurde.

Aussagekräftigere Lageinformationen bekommt man aus den Daten zu Events, die den folgenden Graphen zugrunde liegen.

Botnetze in Österreich

Die vorhandene Datenbasis hinsichtlich der in Österreich verbreiteten Botnetze hängt sehr stark von der Möglichkeit ab, diese Daten auch erheben zu können. Bessere Daten sind daher vor allem für ältere Botnetze vorhanden, da diese bereits gut analysiert sind und entsprechende Sensoren ("Sinkholes") betrieben werden. Darüber hinaus verwenden verschiedene Quellen auch unterschiedliche Bezeichnungen für die gleiche Malware. Dadurch ist die Aggregation aller Quellen in ein konsistentes Bild nicht immer möglich. In der folgenden Grafik werden die Meldungen nach Botnetzen in Österreich dargestellt.

Abbildung 5: Klassifizierung der Meldungen nach Botnetzen im Zeitverlauf (Wochen) des Jahres 2016 bis Anfang 2017, Quelle: CERT.at

Über die vergangenen Jahre hinweg betrachtet zeigt sich folgender Trend:

Abbildung 6: Langfristige Entwicklung der Botnetze in Österreich, 2008-2016, Quelle: CERT.at

Da sich im Laufe der Jahre sowohl die verfügbaren Datenquellen von CERT.at, als auch deren Qualität stark verändert haben, ist das Ablesen eines langfristigen Trends nicht möglich. Mit 2017 wird CERT.at diese Datenbasis um einen weiteren Datenlieferanten ausbauen, was zu einem Sprung in dieser Statistik führen wird.

Die Quellen der Daten zu Infektionen

Die den Statistiken zu Botnetzen zugrundeliegenden Daten stammen aus unterschiedlichen Quellen. Durch die diversen Mess- und Erhebungsmöglichkeiten dieser Daten, die von Aktionen von Strafverfolgungsbehörden bis zu Spuren, die Täter selbst hinterlassen reichen, wird ein umfassender Blick auf die IT-Sicherheitslage in Österreich ermöglicht. Zu den diesbezüglichen Quellen gehören:

  • Aktionen von Strafverfolgungsbehörden: Diese Daten stammen aus der Beschlagnahmung von Domains oder Servern von Botnetzen. Dabei werden die Steuerserver der Botnetze (sog. "Command and Control Server") durch Sensoren (diese werden "Sinkholes" genannt) ersetzt, die mitprotokollieren, von wo aus infizierte PCs neue Befehle abholen wollen.
  • Analyse der Malware und Registrierung der verwendeten Domains: In vielen Fällen wird der "Command and Control Server" nicht über eine konstante Domain angesprochen, sondern über nur kurzfristig gültige Domains, die aus dem aktuellen Datum abgeleitet werden. Wenn eine Analyse der Malware diesen Algorithmus extrahiert, so besteht die Möglichkeit, die verwendeten Domains im Voraus zu berechnen und sie zu registrieren. Damit lassen sich Sinkholes betreiben.
  • Verwendet die Malware einen Peer-to-Peer (P2P) Mechanismus für die Kommunikation, so kann man durch eine Teilnahme am P2P Protokoll die Mitglieder des P2P-Netzes bestimmen.
  • In manchen Fällen gelingt es der Polizei, SicherheitsforscherInnen oder CERTs Zugang zu Servern der Angreifer zu erlangen. Die dort vorgefundenen Daten können sehr aufschlussreich sein.
  • Aktive Suche nach Sicherheitsproblemen: Manche Sicherheitsprobleme können "von außen" überprüft werden. Beispielsweise, ob eine IP-Adresse auf gewisse Protokoll-Anfragen antwortet und sich daher als DDoS-Verstärker missbrauchen lässt.
  • Suche mittels Suchmaschinen: Will man nach aktuellen Problemen verwundbarer Webseiten suchen, so kann man dazu auch gängige Suchmaschinen wie Google, Bing usw. benutzen, indem im Quellcode von Webseiten gezielt nach Spuren von eingeschleustem, schadhaften PHP Code gesucht wird (siehe Beispiel über Fake Pharmacy Hacks), was ein Indikator dafür ist, dass eine Webseite für böswillige Zwecke missbraucht wird.
  • Blacklisten: Von mehreren Internet Service Betreibern werden "Listen" von als bösartig oder gefährlich eingestuften IP-Adressen, Domains und URLs geführt. Der/Die einfache Internet-NutzerIn sieht den Effekt dieser Blacklists vor allem dann, wenn der Browser vor einem Besuch einer Phishing-Seite warnt.
  • Die Täter selber: So melden etwa einige der Einbrecher in Webseiten ihre "Defacements" bei zone-h.org. Gestohlene Daten aus Datenbankeinbrüchen landen auch oft auf "pastebin".

Am 30. November 2016 wurden durch eine breit angelegte Kooperation von Polizei (Europol, Eurojust, FBI...), Staatsanwälten und IT Sicherheitsorganisationen (BSI, Shadowserver, CERTs) die Server und Domains von Avalanche übernommen. Ausschlaggebender Grund dafür war Avalanches Beteiligung an mehreren großen Botnetzen. Dies war ein wichtiger Schritt in Richtung eines sichereren Cyber Raumes durch internationale Zusammenarbeit.

Dies war ein gutes Beispiel für "Aktionen von Strafverfolgungsbehörden", denn statt der echten Command and Control Server nehmen die infizierten PCs mit Sensoren ("Sinkholes") Kontakt auf, die von Sicherheitsforschern im Auftrag der Polizei betrieben werden. Die so erhaltenen Daten werden an CERT.at übermittelt, das sie wiederum an die Netzbetreiber weiterreicht. Anfänglich wurden mehr als tausend Infektionen in Österreich gemessen:

Abbildung 7: Daten aus dem Avalanche Takedown in Österreich, 2016 bis Anfang 2017, Quelle: CERT.at

Denial of Service-Attacken – DoS und DDoS

DoS (Denial of Service) und DDoS (Distributed Denial of Service) Attacken zählen derzeit zu den häufigsten und wirksamsten Cyber Attacken. Vor allem in der Industrie und dem Finanzwesen werden diese Angriffe eingesetzt, um Unternehmen unter Druck zu setzen und hohe Summen an Schutzgeld einzufordern. Auch im Bereich der Cyber Spionage gehören sie mittlerweile zum Standardrepertoire von Angreifern.

DDoS-Attacken legen Webserver oder ganze Netzwerke regelrecht lahm. Im Gegensatz zu einer einfachen DoS-Attacke haben DDoS-Angriffe eine wesentlich höhere Schlagkraft. Mehrere Computer greifen dabei gleichzeitig und im Verbund (beispielsweise über ein Botnetz) eine Webseite oder eine ganze Netzinfrastruktur an. Das angegriffene System wird mit (teils sinnlosen) Anfragen überflutet, die mit den dort zur Verfügung stehenden Ressourcen nicht mehr schnell genug abgearbeitet werden können. Typische DDoS-Angriffe zielen dabei regelmäßig auf die Überlastung der Internetanbindung, der Ressourcen der Netzwerkkomponenten sowie der Web- und Datenbankserver ab.

Zahlen des aktuellen "DDoS Intelligence Report" von Kasperky für das dritte Quartal 2016 zeigen, dass die DDoS-Attacken in und aus Westeuropa zugenommen haben. Das hat auch der durch einen DDoS-Angriff mit der Malware Mirai (siehe Absatz "Vorkommse 2016 mit Mirai und die Verbindung zu Botnets") über das Internet der Dinge ("Internet of Things" – IoT) auf den Internetdienstleister Dyn verursachte Ausfall von Online-Angeboten wie Amazon, Netflix, Twitter, Spotify, AirBnB oder Reddit am 21. Oktober 2016 gezeigt. Einzelne DDoS-Attacken können Schäden in Millionenhöhe verursachen. Acht von zehn betroffenen Unternehmen werden im Zeitraum eines Jahres sogar mehrfach angegriffen, wie eine weitere Studie (Quelle: "Corporate IT Security Risks") von Kaspersky Lab belegt, bei der mehr als 4.000 EntscheiderInnen aus kleinen, mittleren und Großunternehmen aus 25 Ländern zu IT-Sicherheitsthemen und in ihren Unternehmen aufgetretenen IT-Sicherheitsvorfällen befragt wurden. Die Zunahme der Angriffe in Westeuropa geht einher mit einer wachsenden Zahl von Command and Control Servern, welche die Botnetze steuern, die häufig für solche Attacken verwendet werden.

DDoS-Angriffe lassen sich im Wesentlichen in drei Gruppen kategorisieren:

  • quantitative Angriffe: Diese versuchen, das Zielsystem durch den Angriff zu überlasten. Dabei kommen in der Regel keine hochspezialisierten Angriffsvektoren zum Einsatz, sondern der gewünschte Effekt wird allein durch die Menge des zustandekommenden Datenverkehrs erzielt.
  • qualitative Angriffe: Diese versuchen primär, Schwachstellen in Systemen gezielt auszunutzen, um so die Erbringung dieses Dienstes für die dafür vorgesehenen BenutzerInnen einzuschränken oder gänzlich zu unterbinden. Solche Angriffe setzen zumeist ein höheres technisches Niveau der Angreifer voraus.
  • die Kombinationen daraus: Durch Verschränkung von quantitativen und qualitativen Angriffen können Systeme noch effizienter gestört werden.

DDoS-as-a-Service

Gegenwärtig ist in immer stärkerem Ausmaß die Entwicklung zu beobachten, dass DDoS-Angriffe im Internet einfach "eingekauft" werden können. So bieten im "Darknet" zahlreiche Anbieter gegen vergleichsweise geringes Entgelt die Möglichkeit, Angriffe nach Dauer und Volumen preislich gestaffelt zu ordern. Die Bezahlung erfolgt in den meisten Fällen auf Basis der Cryptowährung Bitcoin.

So funktioniert ein DoS/DDoS-Angriff im Detail

Bei DoS-Angriffen werden häufig Schwächen in Anwendungen, Betriebssystemen oder Webprotokollen ausgenutzt. Die Attacken können in verschiedenen Varianten durchgeführt werden:

  • Syn Flooding
    Soll eine TCP-Verbindung - etwa zum Abruf einer Webseite - aufgebaut werden, führt dies zu einem Austausch von SYN- und ACK-Datenpaketen zwischen Client und Server (Handshake). Im Falle eines Syn Flooding-Angriffs werden von den Angreifern viele SYN-Pakete losgeschickt die jeweils eine gefälschte Absender-IP-Adresse enthalten. Das Zielsystem antwortet auf diese mit entsprechenden SYN-ACK-Paketen, nur gehen diese Antworten natürlich an die gefälschten IP-Adressen. Dabei wird jeweils etwas Rechenleistung und für eine gewisse Zeit Speicherkapazität in Anspruch genommen. Je höher die Rate der empfangenen SYN-Pakete ist, umso mehr erfolglose Antwortanfragen werden losgeschickt und Ressourcen gebunden. Sind die Verbindungskapazitäten (TCP State Table) ausgeschöpft, dann kann das System keine weiteren Verbindungen mehr annehmen und ist damit auch für legitime Anfragen nicht mehr erreichbar. Für effektive SYN Flooding Angriffe reichen oft schon Bandbreiten im Bereich von wenigen Mbit/s. Mittels SYN Cookies, welche die Bindung von Ressourcen auf einen späteren Zeitpunkt im Handshake verschieben, lassen sich diese Angriffe allerdings gut abwehren.
  • Reflected-DoS-Angriff
    Diese Angriffsvariante zielt auf die Überlastung von Leitungskapazitäten und nutzt legitime, aber schlecht konfigurierte UDP-basierte Server im Internet als Reflektoren/Verstärker von Paketen. Der Angreifer schickt viele (kleine) Anfragen an diese Server, wobei er aber die IP-Adresse des Opfers als Absenderadresse einträgt (IP-Spoofing). Die Server halten diese Anfragen für legitim und beantworten sie mit großen oder mehreren Antwortpaketen. Diese werden aufgrund des IP-Spoofing jedoch an das Opfer anstelle des eigentlichen Senders zugestellt.

    Dadurch hat der Angreifer folgende Vorteile:

    • Seine Angriffsbandbreite wird durch die Reflektoren verstärkt.
    • Nutzt er viele verschiedene Server als Reflektoren, so sieht das Opfer breit verteilte Angreifer, die sich nicht einfach mit einer Filterliste ausblenden lassen.
    • Der Standort des Angreifers, bzw. die Quelle der gefälschten Pakete ist schwer auszuforschen.

    Für eine solche DoS-Reflection lassen sich mehrere Protokolle zweckentfremden:

    Primär sind das UDP-basierte Protokolle, da hier nicht auf Transportebene mittels eines Handshakes die IP-Adresse des Clients validiert wird. Aktuell sind DNS (Domain Name Service), NTP (Network Time Protocol), SSDP (Simple Service Discovery Protocol) die am häufigsten missbrauchten Protokolle. Aber auch SNMP (Simple Network Management Protocol), portmapper, chargen und sogar LDAP (Active Directory Pings über UDP) wurden schon bei Angriffen gesehen.

    CERT.at informiert laufend die heimischen Netzbetreiber über Server in deren Netzen, die sich für solche Angriffe ausnutzen lassen. Wie Abbildung 8 zeigt, ist es ein langwieriger Prozess, das Netz bezüglich dieser Gefahr zu säubern. Um reflected-DoS zu unterbinden, ist eine globale Anstrengung nötig, denn das Problem ist mit dem Umweltschutz oder der globalen Erwärmung vergleichbar: nur wenn alle an einem Strang ziehen, kann sich die Lage nachhaltig verbessern.

  • Angriffe auf Applikationslayer
    Sowohl gegen Webserver, als auch gegen Nameserver wurden in der letzten Zeit spezifische Angriffsmuster beobachtet.

    Ähnlich wie Reflection-Attacks funktionieren Angriffe auf Basis der Wordpress-Pingback Funktion. Dies funktioniert folgendermaßen: Blogs verweisen auf Artikel anderer Blogger, was gerne mit einem Retour-Link ("Folgende Blogs zitieren diesen Artikel") beantwortet wird. Im Hintergrund notifiziert der zitierende Blog die Quelle, das dortige Wordpress verifiziert das und setzt erst dann den Pingback Link. Dieses Verifizieren ist jedoch ein Problem: Wenn ein Angreifer tausenden von Wordpress-Installationen mitteilt, dass die Webseite des Opfers gerade einen Link gesetzt hat, dann versuchen sie alle, das zu verifizieren und lösen so Überlast beim Opfer aus.

    Angriffe auf das Domain Name System werden ebenfalls regelmäßig registriert. Aktuell beobachtet man "Random Subdomain Requests" als größte Bedrohung: Hierbei werden aus einem Botnet heraus sehr viele Anfragen zu zufällig gewählten Subdomains des Opfers an beliebige Nameserver gestellt. Diese Randomisierung hebt den Effekt von Caches auf, wodurch eine Flut von Anfragen die Nameserver des Opfers erreicht.

Im Jahr 2016 hat CERT.at die Netzbetreiber in Österreich informiert, welche IP-Adressen in den jeweiligen Netzen für eine DDoS Angriffsverstärkung verwendet werden können. Die Entwicklung wird in Abbildung 8 dargestellt.

Abbildung 8: Zahl der IP-Adressen als potentielle Angriffsverstärker nach den jeweiligen Netzen im Zeitverlauf, Quelle: CERT.at

Österreichische Unternehmen als Opfer von DDoS-Attacken

In den letzten zwei Jahren hat sich der Kreis der DDoS-Opfer auch in Österreich stark erweitert, vor allem durch das Aufkommen von damit einhergehenden Erpressungen. So gerieten zuletzt etwa auch österreichische Firmen ins Blickfeld der Hacker-Gruppe DD4BC (DDoS for Bitcoins). Initial richteten DD4BC ihre Attacken auf Bitcoin-Webseiten, dann auf Finanzdienstleister, E-Commerce Webseiten und Internet Service Provider. Im Dezember 2015 konnten im Zuge einer Aktion von Europol – unter Federführung des österreichischen Cybercrime-Competence-Centers (C4) im Bundeskriminalamt – die Angreifer gefasst werden.

Auch 2016 gab es Attacken auf österreichische Unternehmen und Organisationen. Prominente Opfer: A1, das Außenministerium, das Bundesheer, die OeNB und der Flughafen Wien. Bei A1 war das Motiv Geld. In einem Erpresserschreiben wurden 100.000 Euro in Bitcoins verlangt. Erst als die Erpresser erkannten, dass die Techniker von A1 imstande waren, den Angriff abzuwehren, gaben sie auf. Die Suche nach den Angreifern gestaltete sich jedoch schwierig, da diese aus mehreren Ländern operierten, unter anderem aus Osteuropa und China. In anderen Fällen waren die Angriffe politisch/nationalistisch motiviert.

Entwicklungen von DoS/DDoS-Angriffen im Zeitverlauf

Lange galt eine Attacke, die 2013 von einem damals 16-jährigen Briten durchgeführt wurde, als größter DDoS-Angriff. Er brachte es ExpertInnen zufolge auf etwa 300 Gigabit pro Sekunde. Im September 2016 wurde eine Attacke bekannt, die diesen Wert deutlich übertraf. Das Opfer war der französische Hoster OVH, der mit bis zu 1,1 Terabit pro Sekunde angegriffen wurde.

DoS/DDos Attacken: Wie man sich schützt und bei Angriffen verhalten sollte

Für Denial of Service oder Distributed Denial of Service Attacken gilt im Grunde dieselbe ernüchternde Tatsache wie in jedem Bereich von IT-Security: Einen vollständigen Schutz gibt es nicht. Wer aber einige grundsätzliche Maßnahmen ergreift, reduziert die Chance auf erfolgreiche Angriffe jedoch deutlich. Umso wichtiger ist es daher, sich frühzeitig vorzubereiten und nicht erst nach einer etwaigen Attacke, mit Überlegungen dazu anzufangen.

Die wichtigsten und wirksamsten Maßnahmen sind:

  • Anforderungsanalyse: Grundlage für das Ergreifen von Sicherheitsmaßnahmen ist eine exakte Kenntnis, welche Verfügbarkeitsanforderungen für welche Dienste (Webserver, Email, Internetzugang, …) gelten. Eine Business Impact Analyse, die auch konkrete Schadenssummen bei Ausfällen beziffert, ist nötig, damit die Kosten für die Gegenmaßnahmen im Verhältnis zu dem damit abgewehrten Schaden stehen.
  • Bestandsaufnahme: Eine gute Kenntnis der eigenen IT-Infrastruktur und vor allem des Netzwerks und dessen Leistungsgrenzen sind für gezielte Verbesserungen unerlässlich. In vielen Fällen kann erst durch Lasttests bestimmt werden, welche Komponente einen Engpass darstellt.
  • Strategie: Alle Personen, die mit dem Netzwerk und letztendlich der gesamten IT-Infrastruktur zu tun haben, müssen anhand einer genau definierten Strategie Hand in Hand daran arbeiten, diese umzusetzen. Gerade bei IT-Security sind individuelle Guerilla-Aktionen oder unkoordiniertes Vorgehen gefährlich.
  • Aktives Monitoring: Alle laufenden Prozesse müssen von einem Monitoring-System überwacht werden, idealerweise 24 Stunden am Tag, sieben Tage die Woche. Mittlerweile gibt es Anbieter, die mit Managed Monitoring aus der Cloud eine günstige, einfach skalierbare und sehr schnell einsetzbare Lösung anbieten und auch etwaige Alarme vorsortieren, damit CIOs oder IT-LeiterInnen nicht mit Fehlalarmen unnötig Zeit verlieren.
  • Härten der Peripherie: Alle Komponenten der IT-Infrastruktur und des Unternehmensnetzwerkes müssen einem technischen Mindeststandard entsprechen oder auf diesen gebracht werden. Hierbei spricht man vom "Härten der Infrastruktur". Das gilt für die Hardware ebenso wie für die Software. Alle Anwendungen sollten immer auf dem neuesten Release-Stand sein und alle Patches und Updates regelmäßig installiert werden. Ob die Konfiguration aller Systeme auch bzgl. DoS-Angriffen optimal ist, kann nur durch Tests festgestellt werden.
  • Partnersuche: Eine Organisation kann im eigenen Haus keine DDoS-Angriffe abwehren, die bereits ihre Anbindung an das Internet überlasten. Dafür ist entweder die Mithilfe der ISPs, oder einer Cloud-basierten Lösung nötig. Auch das sollte man schon im Vorfeld vertraglich vereinbaren und testen.

Wie schon erwähnt, ist es trotz aller präventiven Maßnahmen nicht möglich, einen Vorfall komplett auszuschließen oder zu verhindern. Sollte es dennoch zu einem Vorfall kommen, ist es vor allem wichtig, schnell und koordiniert vorzugehen. Dann gibt es eine gute Chance, dass sich der Schaden in Grenzen hält und schnell behoben werden kann. Auch dieser Angriffsfall sollte in eine umfassende Security-Strategie einfließen. Doch laut einer Studie von F5 Networks verfügt über ein Drittel aller befragten Unternehmen nicht einmal über einen Notfallplan.

Bei den Sofortmaßnahmen im Falle eines Angriffs muss zwischen quantitativen und qualitativen Angriffen unterschieden werden. Erstere haben nicht nur einen Ursprung sondern mehrere, um ein erforderliches Volumen zu generieren. In diesem Fall müssen alle Datenpakete, die sich eindeutig dem Angriff zuordnen lassen, priorisiert, limitiert oder blockiert werden. Bei einem qualitativen Angriff ist die Chance groß, dass der Angriff lediglich von einer begrenzten Anzahl von IP-Absender-Adressen oder überhaupt nur einer einzigen erfolgt. Bei rechtzeitiger Erkennung sollte die entsprechende Adresse vom Router oder der Firewall gefiltert werden.

Mögliche Folgen von DoS/DDoS-Attacken

Die Folgen eines DoS oder DDoS-Angriffs können sehr vielfältig sein und hängen von der Art des Angriffs, der Verwundbarkeit des Systems, dem attackierten Unternehmen und seiner IT- und Netzwerkumgebung ab. In vielen Unternehmen wird noch immer die landläufige Meinung, dass sich mit längeren Ladezeiten oder dem Ausfall eines Dienstes/einer Website der Schaden erledigt hat, vertreten.

Untersuchungen von Kaspersky Lab zufolge kostet eine DDoS-Attacke ein mittelständisches Unternehmen durchschnittlich 50.000 US-Dollar. Großunternehmen müssen nach einem DDoS-Angriff hingegen mit bis zu 417.000 US-Dollar weit mehr aufwenden. Etwaige Folgekosten für externe IT-ExpertInnen, Consultants oder AnwältInnen sind hier noch nicht einberechnet. Natürlich entstehen einem Unternehmen auch Nachteile, die sich nicht unmittelbar finanziell messen lassen wie ein Imageverlust, negative Berichterstattung und damit verbundener Vertrauensverlust.

Neben den finanziellen Folgen müssen Unternehmen aber auch damit rechnen, während einer DoS/DDoS-Attacke ihrer Geschäftstätigkeit nicht wie gewohnt nachgehen zu können: Laut einer weiteren Kaspersky-Studie aus dem Jahr 2014 hatten 61 Prozent der Unternehmen während einer DDoS-Attacke damit zu kämpfen, dass sie zeitweise keinen Zugang zu kritischen Unternehmensinformationen hatten. 38 Prozent glauben, dass die Attacken negative Folgen für die Reputation des Unternehmens hatten., was sich bei 26% auch in steigenden Versicherungsprämien niederschlug.

Vorkommnisse 2016 mit Mirai und die Verbindung zu Botnets

Mirai ist eine Schadsoftware für "Internet of Things"-Geräte, die unter speziellen Linux-Varianten laufen, mit deren Hilfe Botnetze aufgebaut werden können. Damit lassen sich beispielsweise gezielte Angriffe durch absichtliche Überlastungen von Netzen durch DoS oder DDoS-Attacken organisieren. Mirai befällt Internet-of-Things-Systeme und schaltet dann die infizierten Geräte mit anderen zu einem Botnet zusammen.

Gerade im letzten Quartal 2016 haben sich die Angriffe in Verbindung mit Mirai-Botnets stark gehäuft:

  • Der Internet-Dienstleister Dyn ist Mitte Oktober das Opfer einer Attacke mit zig-Millionen involvierter IP-Adressen geworden. Durch den Angriff auf Dyn waren Zugänge zu Diensten wie Twitter, Spotify, Paypal, Netflix, Airbnb oder Amazon für viele NutzerInnen in den USA, Europa, Japan und Australien mehrere Stunden lang nicht zu erreichen. Die Angreifer haben für die Attacke zu einem großen Teil mit dem Internet der Dinge (IoT) verbundene Geräte wie Webcams, Router, Drucker, TV-Festplatten-Receiver oder sogar Babyphones genutzt.
  • Ende November versuchte Mirai auch, über eine Sicherheitslücke der Wartungsprotolle TR-069 und TR-064 in Modems von DSL und Kabelkunden einzudringen. Im Falle der Deutschen Telekom führte das dazu, dass knapp eine Million Menschen ohne Internet waren, weil deren Modems von diesen Anfragen in ihrer Funktion gestört wurden.

ExpertInnen zufolge müssen EndanwenderInnen, aber auch Hersteller, ihre Einstellung zum Thema Sicherheit grundlegend überdenken. Man sollte keinesfalls davon ausgehen, dass die installierten IoT-Geräte sich selbständig um deren Wartung kümmern. Einige der Kameras, die im Zuge des Mirai-Angriffs auf Dyn gehackt wurden, hätten laut einhelliger Meinung der ExpertInnen allerdings auch niemals zum Verkauf zugelassen werden dürfen. Gerade Billigherstellern wird häufig unterstellt, unzureichende oder sogar keinerlei Schutzmechanismen in ihren Geräten eingeplant zu haben.

Es liegt in der Verantwortung der AnwenderInnen, die Standardeinstellungen zu ändern, für Verschlüsselung zu sorgen und regelmäßig nach Firmware-Updates zu suchen, wenn man Angreifern nicht Tür und Tor öffnen will, um ein verwundbares IoT-Gerät infiltrieren zu können. Auch Standardpasswörter in jeglichen netzwerktechnisch erreichbaren Geräten sind ein großes Problem und sollten immer – vor deren effektiven Einbringung in das Netzwerk - geändert werden, vor allem wenn die Geräte auch noch direkt aus dem Internet erreicht werden können.

Abbildung 9 gibt einen Überblick über die Infektionen in Verbindung mit Mirai-Botnets in Österreich seit Oktober 2016, wobei ein Anstieg gegen Ende des Jahres zu verzeichnen war.

Abbildung 9: Vorfälle in Verbindung mit Mirai seit Oktober 2016 (pro Tag) in Österreich. Quelle: CERT.at

Ransomware

Ransomware ist inzwischen der profitabelste Malware-Typ in der Geschichte der IT. Dabei erpressen Cyber Angreifer ComputernutzerInnen, indem sie ein Endgerät sperren oder die Daten auf dem Computer mit einer mehr oder weniger starken Verschlüsselung unlesbar machen und für die Herausgabe des Schlüssels Lösegeld, meist in Form von sogenannten Bitcoins, verlangen.

Auf internationaler Ebene wurden im Jahr 2015 fast 40 Prozent der Unternehmen Opfer eines Ransomware-Angriffs (Quelle: Report von Malwarebytes: "State of Ransomware"). Der Schaden durch die Ransomware variiert, er reicht von Schäden bei einzelnen Personen bis zur Notwendigkeit, auf Notfallsprozeduren umzusteigen, von Umsatzverlusten bis hin zur Unterbrechung der Geschäftstätigkeit. Die geforderten Summen schwanken ebenfalls, die Bandbreite reichte von 500 Euro bis hin zu 140.000 Euro. Die Bereitschaft, das Lösegeld zu bezahlen reichte global von 3% (USA), bis zu 75% (Kanada) - im Schnitt waren es 37%.

Wichtig zu wissen ist, dass keine Branche von Ransomware-Angriffen unbehelligt geblieben ist. In der ersten Jahreshälfte 2016 wurden Wohlfahrtsverbände, Nichtregierungsorganisationen sowie Elektronik-Unternehmen verstärkt angegriffen. Auch PrivatanwenderInnen werden immer wieder Opfer von Ransomware-Attacken (Quelle: Cisco 2016 Midyear Cybersecurity Report).

Entwicklung von Ransomware in Österreich

Anfang 2016 war auch in Österreich ein starker Anstieg an Ransomware zu verzeichnen. So hat das heimische Unternehmen IKARUS Security Software in dieser Zeit bis zu 25.000 Infektionsversuche durch Erpresser-Trojaner pro Tag registriert - vor allem E-Mails sind ein effizienter und beliebter Verbreitungsvektor. Im Sommer ist die Zahl der Angriffe derart angewachsen, dass das Bundeskriminalamt (BKA) mit "Clavis" eine Sonderkommission (SOKO) im Cybercrime-Competence-Center (C4) des Bundeskriminalamts eingerichtet hat. Die derzeit vier SOKO-MitarbeiterInnen übernehmen seit Gründung die Bearbeitung aller bundesweit angezeigten Ransomware-Fälle – aktuell sind es rund 30 neue Vorfälle pro Woche.

Bei den heimischen Vorfällen haben sich vor allem zwei Angriffsvektoren herauskristallisiert. Bei der als Bewerbungsschreiben getarnten Variante versendeten die Täter E-Mails mit schadhaftem Inhalt. Wurde eine Datei in einem Anhang oder ein Downloadlink geöffnet, installierte sich ein Ableger der Ransomware "Cerber". Die Folge: Die Daten auf sämtlichen Computern und Laufwerken wurden verschlüsselt und waren nicht mehr abrufbar.

Das gleiche passierte bei den Phishing-Mails, die als Online-Rechnung des Stromversorgers Verbund AG getarnt waren. Sie enthielten die Schadsoftware Cryptolocker, die Dateien auf dem PC verschlüsselt.

Funktionsweise und Verbreitung von Ransomware

Ransomware kann grundlegend in folgende zwei Kategorien unterteilt werden:

  • Bei Locker-Ransomware wird der Computer des Betroffenen gesperrt und kann nicht mehr verwendet werden, bis ein entsprechendes Lösegeld zur Entsperrung bezahlt wurde. Bekannteste Vertreter sind die seit ca. 2011 im Umlauf befindlichen "Polizeitrojaner" (auch als BKA Trojaner und GVU Virus bekannt).
  • Bei Crypto-Ransomware werden mittels kryptografischer Verfahren gezielt Dateien und Dokumente auf dem Computer des Betroffenen verschlüsselt. Aufgrund ihrer aggressiveren Natur haben sich in den vergangenen Jahren besonders Crypto-Ransomware-Varianten bei Cyber Angreifern durchgesetzt. Bekannte Vertreter sind Cryptowall, CryptoLocker, Locky und TeslaCrypt. Eine Übersicht über alle Ransomware-Varianten, die von Sicherheitsforschern gepflegt wird, steht mit Anfang 2017 bei über 200 Einträgen.

Um die Schadsoftware zu verbreiten, kommen mit präparierten E-Mails und Web-Seiten meist bewährte Taktiken zum Einsatz. Neben dem Ausnutzen von Schwachstellen in Programmen bedienen sie sich dabei auch des sogenannten "Social Engineering", indem NutzerInnen unter Vorgabe falscher Informationen dazu gebracht werden, ihre Systeme mit Malware zu infizieren. Trotz der Einfachheit der Mittel bleiben diese Taktiken schwer zu entdecken.

Ransomware-bezogene Spam-Nachrichten enthalten typischerweise bösartige Anhänge (Makros, JavaScript,…), die als Downloader für die tatsächliche Ransomware dienen.

Beispielsweise verwendet die CryptoLocker Kampagne einen bösartigen E-Mail Anhang, der ZeuS/ZBOT herunterlädt. Dieser Information Stealer lädt dann CryptoLocker auf das System und führt diesen aus.

Einige Crypto Ransomware-Familien nutzen Makros, auch um einfache Sandbox-Techniken zu vermeiden. Der Nutzer muss per Hand die in das bösartige Dokument eingebetteten Makros aktivieren, damit die Infektion des Systems gelingt. Hier spielen wiederum die bereits erwähnten Social Engineering-Köder und die menschliche Psyche eine entscheidende Rolle. Locky Crypto ("Locky") ist ein bekanntes Beispiel für den Einsatz von bösartigen Makro-Anhängen.

Auch JavaScript-Anhänge wurden gefunden, die automatisch Ransomware-Varianten herunterladen, so etwa XORBAT, ZIPPY, TeslaCrypt 4.0 oder CryptoWall 3.0. Die Angreifer nutzen ebenso VBScript, um Locky und Cerber zu verteilen. Damit kann die Schadsoftware einer Erkennung durch einfache Scanner entgehen.

Generell wenden die Angreifer bei E-Mails mit Ransomware einfache Maßnahmen an, um möglichst wenig aufzufallen. So vermeiden sie es etwa, die Inboxen mit einem Schwall an Spam zu überfluten und verschicken relativ kleine Mengen zu unterschiedlichen Tageszeiten. Damit können herkömmliche Spam-Filter keine verdächtigen Aktivitäten notieren.

Eine andere Strategie der Angreifer ist es, in möglichst viele Webseiten sogenannte Exploit Packs einzubetten, die den Browser der BesucherInnen angreifen. Sind der Browser oder eine Erweiterung des Browsers (z.B. Java, Flash oder PDF) veraltet und weisen eine Schwachstelle auf, so wird diese beim Besuch einer solchen Webseite ausgenützt, um eine Codeausführung auf dem jeweiligen System zu erreichen.

Schutz und Maßnahmen gegen Ransomware

Es gibt keine Wunderwaffe gegen Ransomware, daher ist es wichtig, mehrstufige und einander ergänzende Maßnahmen zu setzen. Welche konkret am besten sind, hängt stark von den jeweiligen Gegebenheiten ab. CERT.at hat mit dem Whitepaper "Empfehlungen zu Ransomware" die wichtigsten Gegenmaßnahmen zusammengefasst.

Proaktiver Schutz: Ransomware-Angriffe können eingedämmt werden, wenn die initiale Codeausführung verhindert wird. Folgende Strategien sind hilfreich:

  • Sicherheitsbewusstsein der User: Ein verdächtiges E-Mail, das ungelesen gelöscht wird, richtet keinen Schaden an.
  • Effektive Filterung von E-Mails: Im besten Fall werden E-Mails mit gefährlichem Inhalt erst gar nicht zugestellt, sondern bereits im Vorfeld am E-Mail Gateway aussortiert. Insbesondere alle Dateitypen, die neben reinen Daten auch Code enthalten können, sind gefährlich. Dabei geht es nicht nur um die offensichtlichen wie .exe und .bat, sondern (unter anderem) auch um .cpl, .dll, .ocx, .sys, .scr, .drv, .efi, .fon, .pif, .hlp, .lnk, .js, .chm, .vbs.
  • Schutz des Browsers: Dazu gehört etwa, dass die Software immer auf dem neuesten Stand ist. Zudem ist es sinnvoll, auf Erweiterungen wie Flash und Java, die für normales Surfen kaum mehr notwendig sind, vollständig zu verzichten. Darüber hinaus empfiehlt sich der Einsatz von Script-Blockern.
  • Automatische Ausführung von Makro-Code in Office-Programmen deaktivieren: Makros werden häufig in Office-Dateien eingesetzt. Es besteht somit Infektionsgefahr, wenn Office-Programme so eingestellt sind, dass sie Makro-Code ohne Nachfrage ausführen. Man sollte etwa in Outlook und Word das automatische Ausführen von Makro-Code daher deaktivieren.

Backup: Aktuelle, sichere, verfügbare und getestete Sicherheitskopien der Daten sind eines der wirkungsvollsten Mittel gegen die Auswirkungen von Ransomware.

  • Zu beachten ist, dass die Backups nicht von der Ransomware mitverschlüsselt werden können. So ist etwa eine dauerhaft an den PC/Server angesteckte USB-Platte für solche Fälle kein wirksames Backup.
  • Bei Backups in die Cloud muss sichergestellt werden, dass auch auf "alte" Versionen der gesicherten Dateien zugegriffen werden kann. Im schlimmsten Fall werden bei der Synchronisation mit der Cloud die Kopien durch die bereits von der Ransomware verschlüsselten Dateien überschrieben.
  • Die empfohlene Frequenz von Backups hängt vom Umfeld ab, für Firmen ist ein tägliches Backup in den meisten Fällen sinnvoll. Regelmäßiges Testen und Üben der Wiederherstellung von Daten gehören ebenso zu einer guten Backupstrategie wie längerfristiges Aufheben von einzelnen Backupständen.

Rettung der Daten: Manchmal machen die Programmierer von Ransomware Fehler bei der Umsetzung der Verschlüsselung oder dem Schlüsselmanagement. Daher gelingt es Sicherheitsforschern immer wieder, Werkzeuge zur Datenrettung zu erstellen. Die zentrale Anlaufstelle dazu ist die Webseite https://www.nomoreransom.org/, die von Europol koordiniert wird. Zur Identifikation der Ransomware, deren Opfer man geworden ist, dient die Seite https://id-ransomware.malwarehunterteam.com/.

Weitere relevante Vorfälle 2016

Gefälschte Rechnungen bleiben eine beliebte Betrugsmasche

Neben dem Versuch, die technischen Schwachstellen in IT-Systemen gezielt aus den Angeln zu heben, bleibt auch der Mensch selbst das Ziel von Cyber Angriffen. Unternehmen sind dabei primär im Fokus. So gab es auch im Jahr 2016 einige prominente Opfer der Betrugsmasche durch gefälschte Rechnungen. Bei diesen Angriffsmethoden geht es den Angreifern vor allem darum, gefälschte Rechnungen raffiniert zu tarnen und in der Folge durch die getätigten Überweisungen Geld zu verdienen.

Zwei wesentliche Methoden welche sich des zuvor bereits erwähnten "Social Engineering" bedienen haben das Cyber Jahr 2016 geprägt: Die Variante des "Business E-Mail Compromises" und des "CEO-Fraud". Beim sogenannten Business E-Mail Compromise stellt ein Unternehmen zunächst per Mail eine "normale" Rechnung an ein anderes Unternehmen. Nach ein paar Stunden wird ein zweites E-Mail gesandt – diesmal von einem neu registrierten, gefälschten Domain-Namen, der sich oft nur durch einzelne Buchstaben unterscheiden lässt. Im Vorfeld haben die Angreifer somit bereits die bestehende Kommunikation zwischen den Unternehmen abgefangen. Die Folge-E-Mails zeichnen sich dadurch aus, dass sie mit dem vorherigen E-Mail ident sind, jedoch auf ein geändertes Empfängerkonto hinweisen, was in dem E-Mail auch begründet wird (beispielsweise wird eine Kontosperrung durch die Finanz aufgrund eines Audit angegeben). Kommt es in der Folge zu Rückfragen durch den Rechnungsempfänger, wird wiederum vom Angreifer mit gefälschten Dokumenten geantwortet. Sofern der Betrugsversuch durch den Rechnungsempfänger nicht erkannt wird, erfolgt eine Überweisung auf ein falsches Konto – das Konto des Angreifers.

Der sogenannte CEO-Fraud bedient sich einer "internen" Variante des Rechnungsbetruges. Hier geben sich Angreifer als Teil des Unternehmens – z.B. als Geschäftsführer oder Finanzvorstand – aus und fordern von MitarbeiterInnen eine dringende Überweisung, beispielsweise durch eine gefälschte E-Mail an die Buchhaltung. Auch hier wurde im Vorfeld bereits die firmeninterne Struktur zum Zwecke des Angriffs ausspioniert, sodass durch die Vorgabe umfangreicher Kenntnisse über das Unternehmen der Betrugsverdacht minimiert wird. Mit dem Hinweis auf die geheime und dringende Überweisung werden die MitarbeiterInnen zum Durchführen einer Überweisung auf ein falsches Konto gebracht.

Prävention und Maßnahmen bei gefälschten Rechnungen

Die wichtigste Frage ist in beiden Fällen die Kontrolle der Quelle und des Inhalts der E-Mails. Dazu gehören Komponenten wie die Absenderadresse oder Rechtschreibfehler beim Absender, die ein Indikator für eine Fälschung sein können, um den versuchten Diebstahl frühzeitig zu erkennen. Grundsätzlich ist es in Unternehmen von Bedeutung, ein Security Management einzuführen, das die Awareness der MitarbeiterInnen für diese und ähnliche Attacken hebt und u.a. auch strenge Regelungen für die Freigabe von Überweisungen beinhaltet.

Im Angriffsfall sollte umgehend Anzeige erstattet und die Bank informiert werden. Darüber hinaus ist die Cyber Crime Meldestelle des BM.I und das Team von CERT.at idealerweise zu informieren.

DROWN-Angriff bedrohte SSL Webserver

Anfang des Jahres 2016 fand die veraltete SSLv2-Verschlüsselung öffentliche Beachtung, da diese Schwachstelle durch die sogenannten DROWN-Angriffe (Decrypting RSA with Obsolete and Weakened eNcryption) ausgenutzt werden kann. Verwendet ein Server das obsolete SSLv2-Protokoll, können durch DROWN auch Clients angegriffen werden, die durch TLS 1.2 verschlüsselte Verbindungen nutzen. Durch ältere Versionen von OpenSSL können sich Angreifer zudem noch leichter einen Bug zunutze machen, um Verbindungen zu entschlüsseln. Bereits im März 2016 wurden durch CERT.at alle in Österreich betroffenen Netzbetreiber informiert. Seit 3. März 2016 testet CERT.at täglich alle Mail und Webserver von .at-Domains auf SSLv2-Support. Für Serverbetreiber ist hierbei vor allem von Bedeutung, im Bereich TLS Settings stets up-to-date zu sein bzw. laufende Aktualisierungen durchzuführen.

Nimmt man die rund 1,2 Millionen Domains unter .at als Datenbasis, so werden diese von rund 190.000 Webservern und 100.000 Mailservern betrieben. Ein laufender Test dieser Server auf die Verfügbarkeit der SSlv2-Protokolls findet die folgende Entwicklung:

Abbildung 10: DROWN unter .at: betroffene Server im Jahr 2016, Quelle: CERT.at

Der Sprung Ende September ergibt sich aus einer Aktualisierung der Domainliste und der Zuordnung von Domains auf IP-Adressen.

Heartbleed

Im April 2014 wurde der "Heartbleed" Bug in OpenSSL gefunden. CERT.at hat damals – genauso wie 2016 bei DROWN – Tests gestartet, um die Betroffenen zu warnen. Seit damals hat sich der Graph der betroffenen Server so entwickelt:

Abbildung 11: Heartbleed unter .at: betroffene Server, Mitte 2014 bis Anfang 2017, Quelle: CERT.at





<< Vorige Nächste >>