Im Herbst 2016 war die Website des US-Journalisten Brian Krebs wegen eines gigantischen Überlastungsangriffs, einer sogenannten DDoS-Attacke, nicht mehr erreichbar. Ein Leser von Krebs verglich das damals mit einem Angriff des Todessterns aus "Krieg der Sterne" auf ein einzelnes Raumschiff: Eine unvorstellbar große Kanone beschießt ein geradezu winziges Ziel. Und so wie im Film "Die Rückkehr der Jedi-Ritter" ein zweiter, noch größerer Todesstern auftaucht, gibt es nun eine noch größere DDoS-Kanone. Unbekannte haben damit in den vergangenen Tagen mehrere Übungsschüsse abgefeuert.

So war vergangene Woche die weltweit größte Software-Entwicklungsplattform GitHub für insgesamt zehn Minuten nicht aufrufbar , als ihre Server mit Nonsensanfragen in der zuvor unerreichten Größenordnung von 1,35 Terabit pro Sekunde überlastet wurden.

Neue Angriffe stellen bisherige in den Schatten

Zum Vergleich: Das ist mehr als doppelt so viel wie beim Angriff auf Krebs' Website. Außerdem ist der Angriff gewaltiger als jener auf den Internetdienstleister Dyn, der im Oktober 2016 dafür sorgte, dass unter anderem an der US-Ostküste so große Angebote wie Twitter, Netflix und Amazon über Stunden nicht erreichbar waren. Noch im Jahr 2015 galten Attacken mit 50 Gigabit pro Sekunde als besonders schwer, das ist nicht einmal ein Fünfundzwanzigstel dessen, was GitHub jetzt überstehen musste.

GitHub war nur deshalb nach so kurzer Zeit wieder erreichbar, weil es eine Art Notfallplan hatte und seinen Netzwerkverkehr über einen Dienstleister umleiten konnte, der sich unter anderem auf das Filtern und Abwehren solcher Angriffe spezialisiert hat.

Was ist eine DDoS-Attacke?
Websites, Dienste und Server lassen sich mit sogenannten Distributed-Denial-of-Service-Attacken, kurz DDoS-Attacken, zeitweise unbenutzbar machen. Durch einen massenhaften Aufruf eines Internetangebots oder eines ganzen Servers soll das Ziel überlastet und so lahmgelegt werden.

Kriminelle versuchen mit dieser Methode unter anderem, Schutzgeld von großen Unternehmen zu kassieren, die unter einem längeren Ausfall ihrer Netzpräsenz finanziell leiden würden und deren Ruf dadurch auf dem Spiel stehen könnte.

1,7 Terabit pro Sekunde: Neuer Weltrekord

Diese Woche nun traf es einen Kunden - also den Anbieter einer Website oder eines anderen Internetdienstes -, der die Server eines nicht genannten US-Providers nutzt. Nach Angaben von Arbor Networks, einem ebenfalls auf DDoS-Abwehr spezialisierten US-Unternehmen, das solche Attacken beobachtet, war der DDoS-Angriff in diesem Fall noch massiver: In der Spitze waren es 1,7 Terabit pro Sekunde. Das Technikportal "ZDNet" spricht von einem "Weltrekord" .

Erfolgreich war der Angriff allerdings nicht, es gab keinen Ausfall der attackierten Seiten. Der Provider, auf dessen Servern der angegriffene Dienst gehostet ist, muss nach Einschätzung von Arbor Networks  vorbildliche Abwehrmöglichkeiten eingerichtet haben.

Dass eine Firma, die mit Abwehrtechniken ihr Geld verdient, die Abwehraktion lobend hervorhebt, mag nicht verwundern. Aber ähnliche Attacken könnte es in den kommenden Wochen erneut geben, denn die Methode wird laut Arbor Networks mittlerweile auch als Dienstleistung von Kriminellen angeboten.

Chance zur Erpressung

Außerdem kursieren seit dieser Woche Beispielcodes im Netz, die auch von technisch nicht übermäßig versierten Internetvandalen oder Kriminellen verwendet werden können, die populäre Websites oder wirtschaftlich bedeutende Internetdienste angreifen und die Betreiber erpressen wollen. Hosting-Provider und deren Kunden, die Betreiber von Websites also, die nicht vorbereitet sind, dürften dem wenig entgegenzusetzen haben.

Karsten Desler ist Geschäftsführer von Link11, einem Frankfurter Unternehmen, das DDoS-Angriffe für seine Kunden - darunter SPIEGEL ONLINE - abwehrt und die aktuellen Attacken genau beobachtet. Er geht davon aus, dass sich "vielleicht die Hälfte der wichtigeren Internetdienste Gedanken über schwere DDoS-Angriffe gemacht hat und vorbereitet ist".

Das Besondere an der neuen Angriffsmethode ist nicht nur ihre Größenordnung. Es ist vor allem die Tatsache, dass die Täter anders als früher keine riesigen Botnetze aus Hunderttausenden heimlich gekaperten Rechnern oder vernetzten Geräten übernehmen müssen, um ihr Ziel mit Anfragen aus dem Internet zu überschütten. Stattdessen machen sie sich sogenannte Memcached-Server zunutze . Die werden benutzt, um Daten im Arbeitsspeicher eines Servers vorzuhalten, anstatt auf einer Festplatte. Das beschleunigt die Nutzung von Websites, die an große Datenbanken angeschlossen sind.

Zigtausende anfällige Server im Internet

Eine von mehreren Eigenheiten der Memcached-Software ist, dass man so einem Server eine wenige Byte kleine Anfrage stellen und eine im Extremfall um den Faktor 50.000 größere Antwort bekommen kann. Kombiniert mit der üblichen DDoS-Methode, die Absenderadresse der Anfrage zu fälschen und so die Antwort des Servers nicht an sich selbst, sondern an das Angriffsziel zu schicken, ergibt das die Riesenkanone. Amplification-Attacke heißt so etwas: Der Memcached-Server wird zum Verstärker gemacht. Sofern sich die Angreifer solche Server aussuchen, die sehr große Datenmengen verschicken können, reichen vergleichsweise wenige Maschinen für massive Attacken aus.

Normalerweise sollten Memcached-Server hinter einer Firewall liegen und nicht ohne Authentifizierung von außen ansprechbar sein. Doch mit einer geeigneten Suchmaschine lassen sich Zigtausende Maschinen finden, deren Administratoren ihre Firewalls aus irgendeinem Grund sozusagen hinter die Server gestellt haben statt davor.

Laut Arbor Networks findet nun eine Art Wettlauf statt. Sicherheitsexperten versuchten derzeit, die offen erreichbaren Server abzusichern beziehungsweise deren Betreiber zu warnen. Ein Experte der Firma sagt aber auch, die schiere Anzahl an ungesicherten Memcached-Serven werde wohl dazu führen, "dass die Schwachstellen lange erhalten bleiben und von Angreifern ausgenutzt werden".

Karsten Desler schätzt, "dass wir in drei Monaten noch immer die Hälfte der ungesicherten Memcached-Server im Netz sehen werden."