BSI: Über Botnetze, DDoS und Zeit
erschienen in der Kategorie Alltag, am 22.01.2014
Wie die meisten ja sicherlich mitbekommen haben, ist es Kriminellen mithilfe von Botnetzen gelungen, mehrere Millionen Internet-Logins zu erbeuten.
Davon betroffen sind neben E-Mail-Konten auch Zugänge für Online-Dienste wie Facebook, Twitter und Co.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Webseite eingerichtet, auf der man unter Angabe seiner Mailadresse überprüfen kann, ob es einen erwischt hat oder nicht. Die Seite generiert einen Prüfcode und sendet einem, falls die eigene Mail-Adresse auch kompromittiert wurde, eine E-Mail, in welcher der Prüfcode als Betreff genannt wird.
In der Mail stehen dann Hinweise, was man tun sollte, um sich vor weiteren Zugriffen zu schützen. Es wird ein Virenscan des Rechners empfohlen und natürlich wird man dazu aufgerufen sämtliche, mit der erbeuteten Identität verknüpfte, Passwörter zu ändern.
Zweifelsfrei ist dies ein gut gemeinter Service, doch wenn man die Umsetzung mal nüchtern betrachtet, stellt man fest, dass gut gemeint nicht gleich gut gemacht ist. Durch die breite Medienberichterstattung kam es gestern dazu, dass die Prüfseite des BSI länger off- als online war. Die Server waren der großen Anzahl von Anfragen besorgter Internetnutzer nicht gewachsen und brachen so sie quasi unter einer DDoS-Attacke zusammen.
Da kann man jetzt natürlich argumentieren, dass dies schon mal passieren kann, immerhin hat das BSI ja schnell reagiert und im Handumdrehen den Service bereitgestellt - das ist ja eine beachtliche Leistung?! Falsch. "Schnell" lief da nämlich gar nichts. Schon im Dezember wusste das BSI über den Sachverhalt der erbeuteten Daten bescheid.
Der Vorwurf, die Warnung käme reichlich spät, ist also durchaus berechtigt.
Und so ist es auch ein wenig unverständlich, dass man es in dieser Zeit nicht geschafft hat, ein paar ordentliche Webserver bereitzustellen, immerhin konnte man doch davon ausgehen, dass es zu einigen Millionen Anfragen kommen wird.
Dass die Webseite des BSI in die Knie geht, ist aber nicht wirklich dramatisch. Die langsame Informationspolitik der Behörde hingegen schon. Es gehört zum Job des BSI, mit derartigen Ereignissen umzugehen und die Bevölkerung schnell zu informieren, damit diese sich schützen kann.
Als vor knapp drei Jahren das "Cyber-Abwehrzentrum" gegründet wurde, haben dies viele belächelt. Der nun vorliegende Fall zeigt, dass das Vorhandensein solcher Institutionen sinnvoller ist, als mancher dachte. Er zeigt aber auch, dass sie mit vielen Dingen noch maßlos überfordert sind.
Meldungen wie diese werden in Zukunft noch mehr werden. Folglich müssen die Behörden lernen mit dem Tempo des Internets mitzuhalten. Wenn zwischen dem Bekanntwerden von Sicherheitslücken und der Berichterstattung mehrere Wochen liegen, kann dies auch mal böse (teuer) enden.
Nachtrag: Lesenswert.
Davon betroffen sind neben E-Mail-Konten auch Zugänge für Online-Dienste wie Facebook, Twitter und Co.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Webseite eingerichtet, auf der man unter Angabe seiner Mailadresse überprüfen kann, ob es einen erwischt hat oder nicht. Die Seite generiert einen Prüfcode und sendet einem, falls die eigene Mail-Adresse auch kompromittiert wurde, eine E-Mail, in welcher der Prüfcode als Betreff genannt wird.
In der Mail stehen dann Hinweise, was man tun sollte, um sich vor weiteren Zugriffen zu schützen. Es wird ein Virenscan des Rechners empfohlen und natürlich wird man dazu aufgerufen sämtliche, mit der erbeuteten Identität verknüpfte, Passwörter zu ändern.
Zweifelsfrei ist dies ein gut gemeinter Service, doch wenn man die Umsetzung mal nüchtern betrachtet, stellt man fest, dass gut gemeint nicht gleich gut gemacht ist. Durch die breite Medienberichterstattung kam es gestern dazu, dass die Prüfseite des BSI länger off- als online war. Die Server waren der großen Anzahl von Anfragen besorgter Internetnutzer nicht gewachsen und brachen so sie quasi unter einer DDoS-Attacke zusammen.
Da kann man jetzt natürlich argumentieren, dass dies schon mal passieren kann, immerhin hat das BSI ja schnell reagiert und im Handumdrehen den Service bereitgestellt - das ist ja eine beachtliche Leistung?! Falsch. "Schnell" lief da nämlich gar nichts. Schon im Dezember wusste das BSI über den Sachverhalt der erbeuteten Daten bescheid.
Der Vorwurf, die Warnung käme reichlich spät, ist also durchaus berechtigt.
Und so ist es auch ein wenig unverständlich, dass man es in dieser Zeit nicht geschafft hat, ein paar ordentliche Webserver bereitzustellen, immerhin konnte man doch davon ausgehen, dass es zu einigen Millionen Anfragen kommen wird.
Dass die Webseite des BSI in die Knie geht, ist aber nicht wirklich dramatisch. Die langsame Informationspolitik der Behörde hingegen schon. Es gehört zum Job des BSI, mit derartigen Ereignissen umzugehen und die Bevölkerung schnell zu informieren, damit diese sich schützen kann.
Als vor knapp drei Jahren das "Cyber-Abwehrzentrum" gegründet wurde, haben dies viele belächelt. Der nun vorliegende Fall zeigt, dass das Vorhandensein solcher Institutionen sinnvoller ist, als mancher dachte. Er zeigt aber auch, dass sie mit vielen Dingen noch maßlos überfordert sind.
Meldungen wie diese werden in Zukunft noch mehr werden. Folglich müssen die Behörden lernen mit dem Tempo des Internets mitzuhalten. Wenn zwischen dem Bekanntwerden von Sicherheitslücken und der Berichterstattung mehrere Wochen liegen, kann dies auch mal böse (teuer) enden.
Nachtrag: Lesenswert.
Geschnatter
2 Kommentare, selbst mitschnattern
phantomaniac, am 22.01.2014 um 20:02 Uhr
Naja, geknackt ist vermutlich der falsche ausdruck.
War eher ein Keylogger....
War eher ein Keylogger....
Antwort: Stimmt. Das war ungünstig formuliert. Danke für den Hinweis.
Hansi, am 26.01.2014 um 15:48 Uhr
Besonders erwähnenswert ist meines Erachtens vorallem die Tatsache, dass man nach Eingabe der Mailadresse nur dann eine Benachrichtigung bekommt, wenn die eigene Mailadresse kompromittiert ist.
Bekommt man keine Benachrichtigung, dann ist man entweder nicht betroffen, oder die Benachrichtigung hat einen einfach nicht erreicht (da Webseite überlastet, oder die Mail vom Angreifer gelöscht).
Immer schön, wenn das Ausbleiben einer Bestätigung die Bestätigung selbst ist, frei nach dem Motto: "Wenn Sie keine Nachricht erhalten, dann ist entweder alles in Ordnung oder genau das Gegenteil ist der Fall...".
Vor dem Hintergrund kann man sich eine Überprüfung der Mailadresse wirklich schenken.
btw:
Ich glaube irgendwie nicht wirklich an die Keylogger Theorie. Scheint wohl doch eher ein Leak bei einem Provider zu sein. Vorallem die Verfügbarkeit der Hashwerte von betroffenen Mailadressen ist für ein Botnet eher untypisch. Kann mir kaum vorstellen, dass ein Angreifer seine Beute unverschlüsselt lässt.
Man müsste sich mal umhören, wer alles betroffen ist, um Rückschlüsse ziehen zu können, welche Anbieter in den Fall verwickelt sind.
Sollten die Ermittler Zugriff auf die C&C Server haben um die Daten zu ermitteln, wäre es sicher einfacher, die Betroffenen über ihre IPs direkt per Provider anzuschreiben. Bei einem Leak hingegen wäre das Vorgehen des BSI eine ideale Möglichkeit die genaue Ursache des Angriffs zu verschleiern. Welcher Provider gibt schon gerne zu Opfer eines Leaks zu sein. Vorallem die Beschränkung auf DE spricht für diese Theorie. Im Falle eines Botnets wären die Daten sicher nicht nur Deutschlandweit missbraucht worden, sodass man zumindest Ermittlungen im europäischen Ausland erwarten würde.
Außerdem spricht der Ratschlag zur Passwortänderung deutlich für die Leak Theorie.
Bei einem Botnet wäre das primäre Ziel eher die Entfernung der Schadsoftware durch Kooperation mit Virenschutzherstellern, wozu man eigentlich keinen Mailabgleich benötigt, sondern die Nutzer direkt zum Download der entsprechenden Removal-Software auffordern könnte.
Der Angriff scheint also nicht von einer spezifischen Malware auszugehen und darüber hinaus auf deutsche Provider beschränkt zu sein. Das spricht meiner Ansicht nach doch sehr für einen Leak, den man jetzt ohne Imageschaden in den Griff bekommen will. Es bleibt spannend...
Bekommt man keine Benachrichtigung, dann ist man entweder nicht betroffen, oder die Benachrichtigung hat einen einfach nicht erreicht (da Webseite überlastet, oder die Mail vom Angreifer gelöscht).
Immer schön, wenn das Ausbleiben einer Bestätigung die Bestätigung selbst ist, frei nach dem Motto: "Wenn Sie keine Nachricht erhalten, dann ist entweder alles in Ordnung oder genau das Gegenteil ist der Fall...".
Vor dem Hintergrund kann man sich eine Überprüfung der Mailadresse wirklich schenken.
btw:
Ich glaube irgendwie nicht wirklich an die Keylogger Theorie. Scheint wohl doch eher ein Leak bei einem Provider zu sein. Vorallem die Verfügbarkeit der Hashwerte von betroffenen Mailadressen ist für ein Botnet eher untypisch. Kann mir kaum vorstellen, dass ein Angreifer seine Beute unverschlüsselt lässt.
Man müsste sich mal umhören, wer alles betroffen ist, um Rückschlüsse ziehen zu können, welche Anbieter in den Fall verwickelt sind.
Sollten die Ermittler Zugriff auf die C&C Server haben um die Daten zu ermitteln, wäre es sicher einfacher, die Betroffenen über ihre IPs direkt per Provider anzuschreiben. Bei einem Leak hingegen wäre das Vorgehen des BSI eine ideale Möglichkeit die genaue Ursache des Angriffs zu verschleiern. Welcher Provider gibt schon gerne zu Opfer eines Leaks zu sein. Vorallem die Beschränkung auf DE spricht für diese Theorie. Im Falle eines Botnets wären die Daten sicher nicht nur Deutschlandweit missbraucht worden, sodass man zumindest Ermittlungen im europäischen Ausland erwarten würde.
Außerdem spricht der Ratschlag zur Passwortänderung deutlich für die Leak Theorie.
Bei einem Botnet wäre das primäre Ziel eher die Entfernung der Schadsoftware durch Kooperation mit Virenschutzherstellern, wozu man eigentlich keinen Mailabgleich benötigt, sondern die Nutzer direkt zum Download der entsprechenden Removal-Software auffordern könnte.
Der Angriff scheint also nicht von einer spezifischen Malware auszugehen und darüber hinaus auf deutsche Provider beschränkt zu sein. Das spricht meiner Ansicht nach doch sehr für einen Leak, den man jetzt ohne Imageschaden in den Griff bekommen will. Es bleibt spannend...
Es gelten die Regelungen der Datenschutzerklärung.