Denial of Service Attacks und Love Letters

Salve All,

helle Aufregung herrschte im Februar bei einigen namhaften Webseiten-Betreibern als ihre E-Commerce Angebote und Informationsinhalte im Internet durch Distributed Denial of Service Attacks (DDoS) für den Anwender nicht mehr nutzbar waren. Die Systeme der Anbieter brachen geradezu unter einer Flut von automatisch generierten und völlig sinnlosen Anfragen für mehrere Stunden bis hin zu einem Tag total zusammen. Die Systeme konnten einfach die Menge der Anfragen nicht mehr bearbeiten. Es passierte genau das, was in der englischen Ausgabe des Information Security Bulletin in der Dezember 1999 Ausgabe von Eugene Schultz beschrieben wurde.

Dieser Vorfall eröffnet bei genauerer Analyse die Probleme der neuen Online-Welt und zeigt die Verwundbarkeit von E-Commerce sehr deutlich auf, was die Marketingstrategen auf der CeBIT ihrer Kundschaft geflissentlich verschweigen, wenn es um den Verkauf neuer Systemstrategien und Techno-Gizmos geht. Mit dem bekannt werden der DDoS Attacks durch die Massenmedien war die Schar der "Datensicherheitsfachleute" groß, die vor laufenden Kameras der verschiedenen Fernsehsender verkündeten, es müßten sofort Schutzmaßnahmen gegen solche Angriffe getroffen werden und ihr Unternehmen könne eine solche Schutzmaßnahme anbieten.

Auch die Politik war schnell bei der Hand mit medien- und werbewirksamen Auftritten und Aussagen. US President Clinton ludt Hacker zu Gesprächen ins Weiße Haus ein und Bundesinnenminister Otto Schilly will ein Task Force gründen, die sich mit solchen Sicherheitsproblemen auseinandersetzt. Auf die Nachfrage, wo denn die Bundesregierung gedenkt die Sicherheitsfachleute herzunehmen wenn schon in der Wirtschaft ein Fachkräftemangel herrscht, wie diese Leute besoldet werden sollen und wie die genaue Konzeption und der Aufgabenbereich der Task Force aussehen soll wurde bisher keine Antwort gegeben. So schein es eher, als würde man mit operativer Hektik versuchen die eigene Konzeptionslosigkeit zu vertuschen.

Die wirtschaftlichen Folgen für E-Commerce Unternehmen sind fatal. Betrachtet man sich die Börsenkurse der betroffenen Unternehmen, so konnte noch am gleichen Tag ein Kursrückgang bei den Aktien festgestellt werden. Auch unter Berücksichtigung, daß E-Commerce erst in den Kinderschuhen steckt, waren die Umsatzausfälle von den betroffenen Unternehmen nicht zu beziffern. Legt man einen solchen DDoS Angriff auf das derzeitige Börsenfieber in Deutschland um, so kann man damit nicht nur die Kurse von angegriffenen Unternehmen manipulieren sondern auch verhindern, daß Anleger über das Internet zu einem gegebenen Zeitpunkt Aktien ankaufen oder verkaufen indem gezielt die Internet/Onlinebanking-Möglichkeiten ebenfalls angegriffen werden. Damit würden nicht nur betroffene Unternehmen einen Schaden erleiden, sondern der Kreis der Geschädigten würde sich auf die Kunden ausweiten.

Schaut man sich die relativ einfache Technik eines DDoS Angriffs an, und berücksichtigt die Tatsache, daß mit den geeigneten DDoS-Programmen fast jeder in der Lage ist einen solchen Angriff durchzuführen, so muß man zu der Schlußfolgerung kommen daß mit relativ einfachen Softwaremitteln mittlerweile erheblichen volkswirtschaftlichen Schaden anrichten kann. Erstmals wurde mit dem DDoS Angriff auf breiter Basis und einem breiten Publikum die Wirksamkeit von Information Warfare Konzepten sehr anschaulich demonstriert. Dabei wurden Information Warefare Konzepte in den letzten neun Jahren nur in Fachkreisen diskutiert und von Unternehmensverantwortlichen als unerheblich abgetan und weder in ihrem Datenschutzkonzept noch im allgemeinen Unternehmenskonzept berücksichtigt.

Und jetzt, als neueste Errungenschaft der Datenunsicherheit, bekommt man es auch noch mit Liebesbriefen zu tun. Nämlich das Visual Basic Script Loveletter als das aktuellste Beispiel aus dem Malware-Bereich. Mit diesem Liebesbrief besonderer Art wurden wieder einmal die Mailserver in Deutschland erfolgreich überlastet und heruntergefahren. Der Visual Basic Script (VBS) Makrovirus Loveletter überschwemmte fast lawinenartig die an das Internet angeschlossenen E-Mail Systeme. Einige große Unternehmen wurden so stark von dem Script-Virus betroffen, daß sie zeitweise sogar ihre E-Mail Server herunterfahren mußten um das Problem in den Griff zu bekommen.

Doch trotz aller Medienreaktion auf den Virus darf nicht vergessen gehen, daß er nicht der erste seiner Art ist, hier sein nur an den W97M/Melissa Virus erinnert, der die gleichen Auswirkungen weltweit hatte, nur halt einige Jahre früher. Darüber hinaus nutzen diese Viren keine direkte Sicherheitslücke sondern vielmehr nur die vom Betriebssystem/Anwendungssoftware zur Verfügung gestellte Funktionalität. Als ob das nicht schon ausreichen würde, wurde in einem Feature-Wahn der letzten Jahre jedem noch so kleinen und scheinbar unwichtigen Programm die Funktionalität zum automatischen Ausführen aktiver Inhalte implementiert, bis hin zu so zweifelhaften Dingen wie der Windows Scripting Host. Doch wer braucht die Funktionalität des Windows Scripting Host wirklich?

Best regards,

Howard