Suchen

Hijacking innerhalb des Border Gateway Protocols (BGP) und DDoS-Attacken Netzwerkanalyse als Schutz gegen Hijacking und DDoS

| Autor / Redakteur: Stefano Marmonti / Peter Schmitz

Viren und Trojaner sind schon lange nicht mehr die einzigen Bedrohungen in der digitalisierten Welt. Netzwerkprobleme stellen ein immer schwerwiegenderes Problem für digitale Infrastrukturen dar. Um diesen zu begegnen, kann mithilfe von Netzwerkanalysetools die umfassende Struktur des Internets analysiert werden.

Firmen zum Thema

Unternehmen müssen sich gegen Hijacking innerhalb des Border Gateway Protocols (BGP) und DDoS-Angriffe rüsten. Die Netzwerkanalyse kann hier helfen.
Unternehmen müssen sich gegen Hijacking innerhalb des Border Gateway Protocols (BGP) und DDoS-Angriffe rüsten. Die Netzwerkanalyse kann hier helfen.
(Bild: gemeinfrei / Pixabay )

Ausfälle in der digitalen Infrastruktur bedrohen nicht nur geregelte Abläufe in Unternehmen. Längst gehen diese mit gravierenden wirtschaftlichen Einbußen und Reputationsschäden einher. Während sich Unternehmen um die Verbindung zum Internet im allgemeinen Tagesgeschäft meist keine Gedanken machen, sind im Fall von Netzwerkproblemen oder bei einem kompletten Ausfall Weitsicht und tiefgreifende Einblicke in die Netzwerkstruktur des Internets gefragt. Dabei werden viel zu oft die Gefahren, die einen reibungslosen Ablauf unserer digitalen Kommunikation bedrohen, von Verantwortlichen nicht oder nur bedingt wahrgenommen. Mit den zugrundeliegenden Problemen beschäftigt man sich meist erst dann, wenn es bereits zu spät ist und durch einen Ausfall der empfindlichen Netzwerkarchitektur große Schäden entstanden sind. Zum Normalbetrieb zurückzukehren erfordert dann oft große Mühen.

Zum Schutz vor Cybergefahren wie Malware und Ransomware ergreifen die meisten Unternehmen mittlerweile umfassende Sicherheitsmaßnahmen. Unternehmen müssen sich aber auch gegen Hijacking innerhalb des Border Gateway Protocols (BGP) und DDoS-Angriffe (Distributed Denial of Service) rüsten und Vorkehrungen für den Fall treffen, dass es dadurch zu Ausfällen kommt.

Wenn die Internetadresse in die Irre führt – Hijacking

Für Unternehmen, die sich auf das Internet verlassen, ist es essentiell, dass die im Hintergrund ausgeführten Anwendungen, also beispielsweise der Browser, der Router, gegebenenfalls eigene Server und natürlich die Verbindung zur gewünschten Zieladresse, reibungslos funktionieren. Dafür sorgen verschiedene Protokolle und festgelegte Regeln. Eine der Grundschichten des Internets, die dafür sorgt, dass die Kommunikation im Internet diesen Regeln folgt, stellt das Border Gateway Protocol (BGP) dar. Es kann auch als Adressverzeichnis des Internets bezeichnet werden, da im BGP die Grundlagen der virtuellen Kommunikation festgelegt sind und dadurch Anfragen gezielt an den richtigen Adressaten weitergeleitet werden.

Natürlich ist aber auch das BGP nicht vor Beeinträchtigungen oder mutwilligen Attacken gefeit. Einen solchen Fehler kann man daran erkennen, dass die Internetverbindung nicht so funktioniert wie gewohnt und statt der gewünschten Website eine Fehlermeldung erscheint. Dabei muss man die Ursachen hierzu in zwei Gruppen unterteilen. Einerseits kann es vorkommen, dass durch menschliches Versagen bei einem Internet Service Provider (ISP) eine Serveradresse verwechselt wird. Wenn beispielsweise im Rahmen eines Updates die Serveradresse eines kleinen Betriebes mit der eines multinationalen Konzerns vertauscht wird, steigen die Zugriffszahlen bei dem kleinen Unternehmen rasch an und können vom Server vor Ort nicht mehr bedient werden.

Cyberkriminelle nutzen die Verwundbarkeit dieses Systems aber auch für ihre Zwecke. Fehlgeleitete Internetanfragen können von ihnen dazu genutzt werden, Nutzer auf falsche Websites zu führen und Daten in größerem Umfang zu stehlen. Adressen der meisten Anbieter sind im BGP öffentlich zugänglich und es ist daher für Kriminelle vergleichsweise einfach sich als Dienst oder Anwendung auszugeben, die schließlich Ziel ihrer Attacke werden. Diese Art der Cyberkriminalität, auch Hijacking genannt, wird in den nächsten Jahren voraussichtlich immer häufiger von Hackern genutzt werden. Wirksame Methoden, diese Form des Datendiebstahls zu unterbinden, fehlen aktuell allerdings noch.

Neuer Mobilfunkstandard 5G – Nährboden für DDoS-Attacken

Der ungehinderte Fluss von Datenströmen ist prinzipiell eine der wichtigsten Eigenschaften des Internets. Möchte man beispielsweise seine E-Mails abrufen, so wird über das BGP und einen ISP eine Verbindung zum Server des E-Mail-Anbieters hergestellt und man kann sich bei seinem jeweiligen Dienstleister anmelden. Auch alle anderen Dienste im Netz laufen grundsätzlich nach diesem Prinzip ab. Dienste, die häufiger angefragt werden, wie beispielsweise Google oder die Internetenzyklopädie Wikipedia, verfügen dabei über höhere Serverkapazitäten als beispielsweise ein lokales mittelständisches Unternehmen. Diese höheren Kapazitäten sind notwendig, um auch einer Vielzahl gleichzeitiger Anfragen nachkommen zu können.

Da aber selbst das leistungsstärkste Rechenzentrum bei zu vielen Anfragen keine Möglichkeit mehr hat alle Verbindungen zu realisieren, ist das Internet in Ausnahmefällen auch hier verwundbar. Durch verschiedene Strategien, wie beispielsweise riesige Botnets, können Cyberkriminelle genau diese Schwachstelle ausnutzen. Bei DDoS-Attacken wird die Datenautobahn Internet hin zu einem klar definierten Ziel mit teilweise mehreren Terabyte Daten pro Sekunde verstopft. Da die Menge an Abfragen von den Servern vor Ort nicht mehr hinreichend beantwortet werden kann, ist die Folge, dass der angegriffene Dienst für reguläre Nutzer nicht mehr erreichbar ist.

Insbesondere künftige und moderne Entwicklungen wie der neue Mobilfunkstandard 5G und das Internet der Dinge (IoT) führen hier in Zukunft zu einer weiteren Verschärfung der Lage. Durch immer mehr vernetzte Alltagsgegenstände haben Cyberkriminelle die Möglichkeit, auch immer mehr mit dem Internet verbundene Geräte unter ihre Kontrolle zu bringen. Eine schlecht abgesicherte Glühbirne kann so, von den Besitzern unerkannt, Teil eines Botnets werden. Die Zahl der Smart Home-Geräte wird in Zukunft noch weiter ansteigen und ermöglicht es Cyberkriminellen immer schwerwiegendere Angriffe zu starten. Die dafür notwendige Bandbreite und die Übertragungsraten können in Zukunft zudem durch schnellere Übertragungswege wie 5G geliefert werden. Die größten DDoS-Attacken der vergangenen Jahre werden im Gegensatz zu künftigen Angriffen deswegen vermutlich relativ klein wirken.

Schnelle Aufklärung von Ausfällen durch Netzwerkanalyse

Beide Beispiele moderner Cyberkriminalität haben eines gemein: Es gibt kaum Möglichkeiten sich effektiv gegen sie zu wappnen. Sollte es durch menschliches Versagen oder einen böswilligen Angriff zu einem Ausfall kommen, muss schnell reagiert werden. Dabei ist es entscheidend, dass Unternehmen wissen, womit sie es zu tun haben. Nur wenn die Ursachen bekannt sind, können sie weitere Schäden verhindern und gezielt gegen den Ausfall vorgehen. In der Vergangenheit hat sich hierbei die Netzwerkanalyse als eines der effektivsten Mittel zur Ursachenforschung herauskristallisiert.

Diese Technologie verspricht dabei nicht weniger als eine detaillierte Kartografie des Internets. Fehlerhafte Datenströme und falsch angelegte Verbindungen können mithilfe der Netzwerkanalyse schnell und effizient erkannt werden. Ermöglicht wird dies durch weltweit verteilte Cloud Agents, die beinahe in Echtzeit den globalen Zustand des Internets erfassbar machen und wichtige Hintergründe zu DDoS-Attacken oder Hijacking im BGP liefern. Ausfälle können so schnell erkannt und behoben werden.

Da immer mehr Unternehmen auf Cloud-Dienste und Online-Services vertrauen, ist eine funktionierende Internetverbindung essentiell. Durch diesen strategisch wichtigen Schritt, der Kosteneinsparungen und oftmals auch bessere Dienstleistungen bedeutet, sind Unternehmen aber auch verwundbarer durch Angriffe von außen, die nur die Netzwerkverbindung zum Ziel haben. Für Unternehmen sollte es deswegen umso wichtiger sein, jederzeit Einblicke in die Verbindungen zu haben, die den Datenaustausch zwischen externen Dienstleistern, interner Infrastruktur und Kunden ermöglichen. Neben dem Schutz durch Firewalls und Antivirenprogramme gilt in Sachen Cybersecurity heute also auch: Einsicht (ins Internet) ist besser als Nachsicht.

Über den Autor: Stefano Marmonti ist Regional Sales Manager DACH bei ThousandEyes.

(ID:46500893)