Neue Herausforderungen durch IPv6
DDoS-Abwehr im IoT-Zeitalter
Der Umstieg auf Version 6 des Internet-Protokolls (IPv6) hat es in sich für die IT-Sicherheitsstrukturen in Unternehmen. Denn jedes weitere vernetzte Gerät - Stichwort Internet of Things (IoT) - ist ein Einfallstor mehr für Angreifer: DDoS-Angriffe (Distributed Denial of Service) haben heute schon Hochkonjunktur, mit IPv6 könnten sie ungeahnte Ausmaße annehmen. Aus diesem Grund sind neue Abwehrstrategien gefragt.
Die Anzahl der mit dem Internet verbundenen Geräte steigt exponentiell. Noch in diesem Jahr könnte es laut Berechnungen von Gartner [1] mehr als sechs Milliarden vernetzter "Dinge" geben. Für das Jahr 2020 prognostiziert das Analystenhaus nicht weniger als 20 Milliarden solcher Geräte - und sie alle erhalten eine IP-Adresse. Dabei sind es in Zukunft nicht nur die klassischen IT-Komponenten, die es zu schützen gilt: Zu den IoT-Geräten zählen vielmehr auch Geräte wie IP-Kameras, Gebäudeautomationslösungen oder Fernseher. In der Wirtschaft wie der industriellen Fertigung oder bei Logistikunternehmen wiederum geht es unter anderem um teure Scanner oder Produktionsmaschinen.
Zwar unterstützen diese Geräte derzeit noch beinahe ausschließlich IPv4. Weil aber keine neuen IPv4-Adressen mehr vergeben werden können, neigt sich das Zeitalter dieser Geräte langsam, aber sicher dem Ende entgegen. Neuanschaffungen in Sachen Internet of Things müssen zwangsläufig IPv6-kompatibel sein. Das Problem dabei: Viele Geräte speichern Benutzerdaten, die mit IPv6 von außen leichter angreifbar sind. Dabei kann es sich sogar um sensible Informationen wie Bewegungsprofile, Drucker- oder Videodaten handeln. Allerdings gibt es nach wie vor keine ernstzunehmenden Versuche seitens der IT-Industrie, wirksame Sicherheitskonzepte zu erarbeiten. Sollte Gartner mit seiner Prognose also richtig liegen, ergeben sich in wenigen Jahren mit jedem einzelnen Gerät auch insgesamt 20 Milliarden neuer Angriffspunkte.
Die Rede ist dabei oft von DDoS. Dabei handelt es sich um eine Methode, mit der Hacker die Kontrolle über eine große Zahl infizierter Computer oder IoT-Geräte übernehmen, um ein Zielsystem mit unsinnigen Anfragen zu überfluten. So entsteht ein "Botnet", also ein Zusammenschluss übernommener Computer, dessen Elemente fremdgesteuert, zeitgleich und ohne Vorwarnung zuschlagen können. Angegriffene Ziele sind in der Regel schnell überfordert - der Zugriff ist dann nur eingeschränkt oder gar nicht mehr möglich, weil das System im schlimmsten Fall unter der schieren Daten- und Rechenlast zusammengebrochen ist. Häufig wollen Angreifer ihre Opfer damit erpressen: Die Überflutung mit Daten wird so lange fortgesetzt, bis das Unternehmen einlenkt und Schutzgeld zahlt, in der Regel in Form der digitalen Kryptowährung Bitcoin. Nicht selten beißen erpresste Firmen dann lieber in den sauren Apfel, als die Angriffe länger als nötig ertragen zu müssen.
Fernsteuerung leichtgemacht - für Hacker
Die Zahl solcher Angriffe hat im vergangenen Jahr deutlich zugenommen: Laut Verizons Data Breach Investigations Report [2] hat sich die Zahl der Vorfälle im Jahr 2015 gegenüber dem Vorjahr regelrecht verdoppelt. Rund 371 Stunden, also mehr als 15 Tage lang, dauerte ein von Kaspersky Lab [3] festgestellter Angriff durch gleich mehrere Botnets auf einmal. Das operative Geschäft eines Unternehmens kann solch ein Angriff messbar in Mitleidenschaft ziehen. Erst Anfang Februar etwa fiel das Mobilfunknetzwerk des österreichischen ITK-Anbieters A1 einem DDoS-Angriff zum Opfer - die Kunden liefen Sturm [4].
Meist sind solche Angriffe erfolgreich, weil sie gerade auf schlecht gesicherte Dienste abzielen, zum Beispiel das Network Time Protocol (NTP), Domain Name System (DNS) und Simple Service Discovery Protocol (SSDP). Sie sind besonders gefährdet, da sie so gut wie jedes Gerät benötigt oder benutzt, um dem Anwender die Nutzung zu erleichtern. Zudem werden diese Services nicht aktiv wahrgenommen und stehen dementsprechend kaum im Fokus. Angriffe fallen deshalb meist erst sehr spät oder gar nicht auf.
Die neue IP-Version 6 weist zudem ganz eigene Gefährdungspotenziale auf: Da die zugrundeliegende Netzwerkinfrastruktur erst in den Kinderschuhen steckt, sind viele Betreiber noch gar nicht in der Lage, Anfragen aus DDoS-Angriffen von herkömmlichen Anfragen zu unterscheiden. Zwar sind viele Monitoring-Systeme, die den eingehenden Datenverkehr überwachen, bereits auf IPv6 ausgelegt; einige dieser Lösungen arbeiten jedoch mit Netzwerk-Suchprogrammen, die ganze Netzwerksegmente durchsuchen und die gefundenen Server in das Monitoring überführen. Da Unternehmensnetzwerke mit IPv6 größer dimensioniert sind als unter IPv4 und sich automatisches Monitoring aufwändiger gestaltet, dauert die Suche erheblich länger. Schließlich sind die Monitoring-Systeme oft noch nicht darauf vorbereitet, dass die Antwort eines Servers unter IPv6 nicht mehr nur ein Pong auf einen Ping ist, sondern auch "ICMPv6 Packet Too BIG" als Antwort erhalten kann.
Hinzu kommt, dass Router IPv4 zu IPv6 übersetzen müssen. Im Zuge dessen speichern Gateways viele Statusinformationen zum Datenaustausch - und genau das macht sie anfällig. In der Summe entsteht damit also ein wahres Alptraumszenario für jeden Netzwerkadministrator, weil Botnets von bisher ungeahnten Ausmaßen entstehen können.
Zonen gegen den Zusammenbruch
Wie können sich Unternehmen dagegen schützen? Es existieren leistungsfähige Hardware-Software-Kombinationen für die Abwehr von DDoS-Angriffen, die den gesamten eingehenden Datenverkehr rund um die Uhr überwachen. Sie sind flexibel und skalierbar und werden so der sich stets wandelnden Natur von DDoS-Angriffen gerecht. Ein mehrstufiges Konzept mit sogenannten DDoS-Zonen stellt den leistungsfähigsten Ansatz dar. Grundlage ist die Deep Packet Inspection (DPI), mit der sich das gesamte ankommende Datenvolumen unter die Lupe nehmen lässt. Sofern die Situation unverdächtig erscheint, leitet das System alle Daten ungehindert an das Ziel weiter. Treten jedoch Anomalien auf, wird zunächst eine Warnmeldung abgegeben und der Schutzlevel erhöht.
Abhängig von Art und Ausmaß der Anomalien könnte der Anwender zudem Verteidigungsmaßnahmen einleiten, also beispielsweise Pakete verwerfen oder bestimmte IP-Adressen wie auch einzelne Angreifer in eine Blacklist eintragen lassen. Prinzipiell sollte der Nutzer bereits im Vorfeld detailliert festlegen können, bei welchem Angriffsszenario beziehungsweise welchem Ausmaß bestimmte Maßnahmen zu ergreifen sind.
Idealerweise sollte der Anbieter eines solchen DDoS-Abwehrkonzepts mit einem großen Dienstleister für Website-Sicherheit kooperieren. Erhält dieser vom System eine Warnung, dass ein Angriff stattfindet oder stattgefunden hat, kann der Partner unterstützend unter die Arme greifen. Ein möglicher Abwehrmechanismus könnte darin bestehen, den eingehenden Datenverkehr mittels BGP oder DNS abzuleiten und ihn auf diese Weise zu reinigen ("Scrubbing"). Das hätte den Vorteil, dass legitime Anfragen weiterhin ohne Probleme bearbeitet werden könnten, das System also lauffähig bleibt.
Auf diese Weise lässt sich bestimmen, wie stark der Angriff und welches Vorgehen angemessen ist. Idealerweise bietet das neue Zonenkonzept für die Level einen Lernmodus, der den Anwender bei der Einrichtung unterstützt und mit dessen Hilfe er dynamisch Schwellenwerte setzen kann. Lassen sich alle Funktionen und Befehle über ein REST-API programmieren, lässt sich die Konfiguration flexibel verändern und dem Angriff anpassen. Für kleinere Unternehmen können je nach Leistungsfähigkeit des Netzwerks andere Methoden sinnvoll sein. So gibt es etwa die Möglichkeit, mit Stichproben zu arbeiten oder gespiegelte Datenpakete zur Analyse heranzuziehen. Unternehmen sollten zügig handeln, denn nicht nur das Internet der Dinge öffnet Hackern Tür und Tor.
Lesen Sie mehr zum Thema
