Cyberkriminellen auf der Spur
Wie Netzwerkanalyse das Internet rettet
Fortsetzung des Artikels von Teil 1
Cyberkriminelle nutzen Ressourcen zu ihren Gunsten
Für Cyberkriminelle ist dieser Aufbau des Internets und die zugrundeliegende Infrastruktur eine willkommene Möglichkeit eigene Interessen zu verfolgen und mittels gewiefter Methoden Schaden zu verursachen. Neben den bekannten Formen der Computerkriminalität, wie Schadsoftware, die Zugriff auf heimische private PCs gewährt, oder Ransomware, die dem Nutzer den Zugriff auf eigene Daten versperrt und Lösegeld für die Entschlüsselung fordert, nutzen Cyberkriminelle auch groß angelegte Strategien. Damit wollen sie Unternehmen oder Nutzern den größtmöglichen Schaden zuzufügen.
Zwei dieser Methoden sollen im Weiteren näher beleuchtet werden: DDoS-Attacken und Hijacking. Bei DDoS-Angriffen handelt es sich vereinfacht gesagt um groß angelegte Zugriffswellen auf einzelne Server oder Webseiten. Durch die immer größer werdende Zahl an vernetzten Geräten besteht für die Kriminellen ein hohes Potential, ebendiese Geräte unter die eigene Kontrolle zu bringen. Viele Hersteller, beispielsweise vernetzter Glühbirnen, ergreifen keine Maßnahmen, ihre Geräte ausreichend vor einem Zugriff durch Hacker zu schützen. Aber auch Geräte von Nutzern können unbemerkt in die Gewalt von Cyberkriminellen geraten. Durch die so entstehenden Botnets können die Kriminellen dann gezielte und koordinierte Angriffe starten. Ein Beispiel hierfür stellt der Angriff auf Wikipedia dar.
Beim Hijacking hingegen versuchen Angreifer die erwähnten Adressen innerhalb des BGP zu fälschen und Nutzer durch diese falschen Angaben an die von ihnen gewünschte Stelle im Internet zu lotsen. Dadurch, dass sich die Kommunikation im Internet am BGP orientiert, ist ein entsprechender Angriff zwar schwieriger durchzuführen, er kann aber schwerwiegende Folgen nach sich ziehen. Auch bei fehlerhaften Einstellungen oder Updates durch ISPs können sich Fehler einschleichen. So haben solche Fehler in der Vergangenheit bereits dazu geführt, dass Nutzer statt beim gewünschten Cloudservice-Anbieter auf den Servern eines unbeteiligten Dritten landeten. Kriminelle nutzen diese Strategie, um an Daten von Nutzern, wie beispielsweise IP-Adressen, zu gelangen oder um sich Zugriff auf die jeweiligen Rechner zu verschaffen.
Zustandsbeschreibung in Echtzeit: Vorzüge der Netzwerkanalyse
Die zahlreichen Strategien von Cyberkriminellen zeigen, dass sinnvolle Abwehrmaßnahmen eine Grundvoraussetzung für ein funktionierendes Internet sind. Allerdings können Rechenzentren nur zu einem gewissen Grad vor DDoS-Attacken geschützt werden und Fehler im BGP oder Hijacking durch Cyberkriminelle können immer wieder erfolgen. Zudem können die Strategien selbst von Experten oftmals nur schwer von normalen Ereignissen im Internet unterschieden werden. Ob wirklich ein krimineller Vorgang bei einem Fehler im BGP vorliegt, oder nur ein fehlerhaftes Update erfolgt ist, lässt sich auf den ersten Blick kaum erkennen und erhöhte Zugriffszahlen müssen nicht immer automatisch eine DDoS-Attacke bedeuten.
Besonders hilfreich ist es hierbei, wenn man mithilfe von Netzwerkanalyse Licht ins Dunkel bringt. Es gibt Dienste zur Netzwerkanalyse, die jederzeit einen genauen Zustand des Internets und der darin vorhandenen Verbindungen aufzeigen. Diese Abbildung lässt sich über den Einsatz von weltweit verteilten Cloud Agents erstellen. Dabei fungieren diese Agents als Informationsquelle, die eine Aussage über die Verbindungsqualität zu jeweils anderen Agents erlauben. Diese Informationen können am Schluss zu einem großen Bild zusammengefasst werden. Bleibt man bei dem Bild, dass das Internet ein großes Straßensystem ist, kann die Netzwerkanalyse anhand dieser Technologie als eine Art Landkarte des Internets bezeichnet werden. Auf diese Weise lassen sich etwa die Verkehrsströme und Staus erkennen, aus denen sich wiederum Rückschlüsse ziehen lassen, sobald eine Verbindung ausfallen sollte.
Der entscheidende Vorteil, den die Netzwerkanalyse dabei für Unternehmen bietet, um Cyberkriminellen das Handwerk zu legen, ist die Möglichkeit Maßnahmen für den jeweiligen Fall sehr schnell einleiten zu können. Handelt es sich bei der zunehmenden Zahl an Anfragen, die an eine Website gestellt werden, tatsächlich um das bekannte Muster einer DDoS-Attacke, können herkömmliche Mittel zur Mitigation dieser Attacken direkt eingeleitet werden. Sind bei dem Verbindungsaufbau zu einem Cloud-Anbieter merkwürdige Zwischenschritte bemerkt worden, die die gewohnte Verbindung über ISPs auf der ganzen Welt führen, handelt es sich möglicherweise um Hijacking und entsprechende Gegenmaßnahmen können eingeleitet werden.
Während man ohne Netzwerkanalyse-Tools mitunter Stunden oder Tage benötigt, um validierte Aussagen treffen zu können, sind Handlungsempfehlungen mithilfe dieser Tools bereits innerhalb weniger Minuten möglich. Und das ist essentiell, denn eines haben alle Formen der Cyberkriminalität gemein: Bei ihrer Bekämpfung zählt jede Sekunde!
Stefano Marmonti, Regional Sales Manager DACH bei ThousandEyes
- Wie Netzwerkanalyse das Internet rettet
- Cyberkriminelle nutzen Ressourcen zu ihren Gunsten
Lesen Sie mehr zum Thema
