Use #itsaexpo #itsa365

25. - 27. Oktober 2022 // Nürnberg, Germany

Überblick verschaffen, Lage einschätzen

it-sa Security Newsletter Nr. 10 / 2016

Überblick verschaffen, Lage einschätzen

Bei Ausfällen und Störungen im Netz brauchen Sicherheitsspezialisten schnell einen Überblick über die Bedrohungslage. Im Internet stehen dafür verschiedene Online-Tools bereit.

Mehrere breit angelegte DDOS-Angriffe sorgten kürzlich für Aufmerksamkeit durch massive Ausfälle. Betroffen waren zuletzt große Internet-Unternehmen, von Amazon über Paypal bis Twitter. DDOS, also „Distributed Denial of Service“, bedeutet für die Opfer, dass die Website oder der Internet-Zugang durch Bombardierung mit Datenpaketen blockiert wird und schlimmstenfalls nicht mehr erreicht werden kann.

Cyber-Kriminelle betreiben diese Attacken als gewinnbringendes Geschäftsmodell: Sie infizieren PCs mit Malware, um von diesen über die ganze Welt verteilten Geräten Angriffe zu starten, die sich in der Summe enorm potenzieren. Neuerdings verwenden sie dafür auch immer öfter weniger auffällige Geräte mit Internet-Zugang, wie WLAN-Router, IP-Kameras oder Videorekorder.

Angesichts der Angriffe und Ausfälle rücken Tools in den Fokus, die einen Überblick über aktuelle Bedrohungs- und Angriffslagen geben können. Wenn Internet-Dienste nicht mehr erreichbar sind und Unternehmen Transaktionen nicht mehr abwickeln können, müssen Betroffene schnell wissen, was los ist.

Landkarten mit Live-Überblick

Eine interessante Übersicht liefert die Digital Attack Map: Sie visualisiert momentane DDOS-Angriffe in Echtzeit auf einer Landkarte. Zu jedem Angriff können verschiedene Details eingeblendet werden, wie die maximale Datenrate oder der Typ des Angriffs. Die Webseite kann sogar zeitlich zurückliegende Attacken zeigen, um Vergleiche anzustellen und Besonderheiten zu analysieren.

Einen ähnlichen Ansatz bietet die Karte des Real-Time Web-Monitors, die verdeutlicht, welche Regionen besonders betroffen sind und wo deshalb mit Störungen zu rechnen ist. Sie kann aber nicht nur Angriffe anzeigen, sondern auch die allgemeine Auslastung von Teilstrecken und liefert damit Hinweise auf Engpässe und Verlangsamung. Ein Rückgriff auf vergangene Ereignisse ist jedoch nicht möglich.

Stark an den Kinofilm War Games erinnert eine Karte der Firma Norse, die ihre Daten von einer weltweiten Honeypot-Infrastruktur bezieht. Honeypots dienen als Köder, um Angreifer anzulocken, indem ihnen ein interessantes Angriffsziel vorgetäuscht wird. Das kann vom iPhone bis zum Geldautomaten reichen. Dadurch können die Vorgehensweisen und Methoden der Angreifer analysiert werden. Daher kann die Karte mit detaillierten Angaben zu laufenden Angriffen aufwarten.

Nicht alle Ausfälle basieren auf Angriffen. Eine Karte mit aktuellen Unterbrechungen aller Art bietet der Outage Analyzer. Die Live-Übersicht kann auch nach Störungen innerhalb einer Domain suchen. Darüber lässt sich ein Rückblick auf vergangene Ausfälle darstellen. Zu den betroffenen Regionen werden zusätzlich Statistiken und Meldungen angezeigt.

Ursachenforschung

Landkarten mit visualisierten Echtzeitanalysen klären, ob Probleme im Netz vorliegen. Anschließend suchen Fachleute zumeist nach den Ursachen. Ein Computer Emergency Response Team, CERT, dient häufig als erste Anlaufstelle. Hier finden sich Meldungen und weiterführende Informationen zur aktuellen Sicherheitslage. Verschiedene Einrichtungen in aller Welt betreiben ein CERT. Diese Expertengruppen waren ursprünglich an Universitäten angesiedelt und unterstehen heute üblicherweise staatlichen Institutionen.

Das bekannte US-CERT untersteht dem Department of Homeland Security. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik, BSI, zuständig. Dessen BSI-CERT beschreibt sein Ziel, „als zentrale Anlaufstelle für präventive und reaktive Maßnahmen mit Bezug auf sicherheits- und verfügbarkeitsrelevante Vorfälle in Computersystemen zu wirken“. Während sich diese Webseite des BSI vorrangig an öffentliche Einrichtungen wendet, informiert und warnt das Bundesamt mit dem Bürger-CERT „Bürger und kleine Unternehmen“.

Schädlinge eliminieren

Wenn ein konkreter Verdacht für einen Angriff vorliegt, beginnt die Suche nach dem Schädling. Verdächtige Dateien lassen sich ebenso wie verdächtige Webseiten durch den Online-Scanner von VirusTotal überprüfen. Virustotal nutzt mehrere verschiedene Anti-Virus-Engines, um Viren, Trojaner und Malware zu identifizieren.

Angreifer dringen oft über schwache Passwörter in Systeme ein. Die simplen Passwörter vieler WLAN-Router, IP-Kameras oder Videorekorder führten jüngst dazu, dass die Geräte zum Teil eines Botnets wurden und für DDOS-Angriffe missbraucht werden konnten. In Zweifelsfällen ist es daher sinnvoll, die Sicherheit eines Passworts zu überprüfen, etwa mit dem Yet Another Password Meter. Die Seite analysiert das eingegebene Passwort und liefert nützliche Hinweise für die Gestaltung sicherer Passwörter.

Links:

Sie kennen weitere Webtools?

Die genannten Karten und Webtools liefern im Ernstfall nützliche Hinweise. Die Dynamik des Internet lässt jedoch ständig neue Tools entstehen, so dass diese Auflistung nicht abschließend sein kann. Sollten Sie weitere interessante Webtools kennen, freuen wir uns über eine Nachricht mit der entsprechenden URL und einer kurzen Beschreibung der besonders interessanten Eigenschaften an:
news@it-sa.de.

Fotos: Black Binoculars © Kiss Botond / istockphoto.com
top