Sie sind auf Seite 1von 3

Marktsicht

Deutschlands Internet-GAU

Alexander Tsolkas
089 923331-0 Alexander.tsolkas@expertongroup.com

as Bundesamt fr Sicherheit in der

Informationstechnik (BSI) hat durch eine Reihe von Vorfllen Indizien gefunden, dass Hacker in der Welt versuchen, einen Zusammenbruch der deutschen Internetserver und damit der deutschen Internetinfrastruktur herbeizufhren.

November 2012 Experton Group

www.experton-group.de

Der DNS-Changer spukte bereits vor mehreren Monaten herum, und die Deutsche Telekom hat Angriffe auf die DNS-Server gemeldet. Viele Provider haben das nicht getan, obwohl sie trotzdem Angriffsziel waren und auch angegriffen wurden. Provider, die solche Vorflle aus Imagegrnden nicht melden, sorgen nun dafr, dass ein Gesetzentwurf vorgelegt werden wird, der die Meldepflicht von Angriffen auf kritische Infrastrukturen vorsieht. Beim BITKOM kann man solche Angriffe mittlerweile anonym melden. Man kann davon ausgehen, dass Provider kritischer Infrastrukturen Ziel sein werden, die mit Urban Security zu tun haben oder auch Banken. Wenn die DNS-Server im Internet ausfallen, fllt auch das Internet aus, und kein Server wird mehr erreichbar sein, weil diese ber Suchanfragen nicht mehr gefunden werden knnen. Hieran kann man wieder gut erkennen, wie Menschen gestrickt sind. Um was geht es wem wirklich? Um sinnvolle Vorschlge, was gegen die Angriffe unternommen werden kann, oder um weitere Gesetzesvorlagen, die darauf verweisen, dass Angriffe geflligst gemeldet werden sollen? So knnten die Provider MPLS auch endlich mal richtig einsetzen. Die Provider wissen mittlerweile alle, dass durch den gezielten und richtigen Adressen Einsatz aus von MPLS gefakte Trgernetz IPeinem gefiltert

Kosten mchte lieber jeder verzichten. Doch erst dadurch kann man DDoS (Distributed Denial of Service) Angriffe reduzieren oder gar eliminieren. Auf mein Heimnetzwerk habe ich auch keine Angriffe. Ich arbeite mit MacAdresssicherheit kombiniert mit festen IPAdressen. Und im Grunde genommen ist das in greren Netzen vom Prinzip dasselbe, nur immens viel mehr Arbeit und teurer - aber machbar. Aber die Provider denken immer noch Device mehr gegen darber lieber DDoS nach, ein (die ob sie auch den seit Endanwendern kostenpflichtiges nun

geraumer Zeit von allen mglichen Herstellern verkauft werden) oder einen kostenpflichtigen Service gegen DDoS anbieten sollen, anstatt ihre Hausaufgaben zu machen. So lange wie MPLS nicht in dieser Richtung bzw. nur trivial eingesetzt wird, so lange an werden der auch Meldepflichten nichts Sicherheit

verbessern. Warum spricht man ber einen Gesetzesentwurf fr Meldepflichten, anstatt das bel tatschlich an der Wurzel zu packen, mit einem Gesetz, das den maximalen Einsatz von Schutzmanahmen durch die Nutzung von vorhandenen vorschreibt? Zum Vergleich: Eine 70jhrige Frau in Hamburg wurde verurteilt, weil sie einen WLAN-Router ungengend abgesichert hat, ber den ein Nachbar im Haus Musik und Kinderpornografie wenn sie zur heruntergeladen Verfgung nicht hat. Warum werden Provider dann nicht verurteilt, stehende aktivieren Sicherheitsfunktionalitten Internetinfrastruktur kann? Sicherheitsfunktionalitten

werden knnten. Dies bedeutet zwar Arbeit, denn man muss riesige Netze mit insgesamt 64 Mio. Internetnutzern bereinigen und auf die IP-Adressen reduzieren, die auch wirklich im Netzwerk sind. Technisch machbar ist das, zu automatisieren ist das auch, aber auf die

oder nicht einsetzen, wodurch eine ganze zusammenbrechen

Oktober 2012 Experton Group

www.experton-group.de

Insbesondere vor dem Hintergrund, dass DNSServer in der Regel Angriffsziel Nummer eins sind, sind folgende Zahlen erschreckend: 96 Prozent aller Unternehmen eingesetzten verwenden DNS-Server die in veraltete

DNSSEC-Sicherheit und nur drei Prozent verwenden DNSCurve. Wen also wundert es, dass Hacker die DNS-Server des deutschen Internets attackieren? DNS-Systeme, die mit TSIG oder DNSSEC abgesichert sind, sind anflliger als DNSSysteme, die mit DNSCurve aufgesetzt sind, da diese auf der Kurve und nicht manipulierbaren Curve25519 (im ein der elliptischen Authentizitt Authentizitt namens

basieren. DNSCurve schtzt die Integritt, Vertraulichkeit Dazu Forwarder sind auf Gegenzug zu DNSSEC, das nur Integritt und schtzt). sicherheitsmodifizierter

Serverseite und ein sicherheitsmodifizierter DNS-Cache auf der Client-Seite notwendig. Mchten Sie mehr erfahren ber DNSSEC und DNSCurve, knnen Sie mich gerne unter Alexander.Tsolkas@experton-group.com kontaktieren.

Oktober 2012 Experton Group

www.experton-group.de