Mit der Kraft der anderen

Botnets, E-Mail-Versand für Phishing, Spam und Ransomware (s. S. 62), Distributed Denial-of-Service-Angriffe (DDoS, s. S. 50), Krypto-Mining, Passwörter brechen und vieles mehr – all das macht Cyberkriminellen am meisten Spaß, wenn sie dafür die Ressourcen anderer nutzen können, die darauf nicht genug achtgeben. Und davon gibt es leider mehr als genug – sowohl im privaten als auch im professionellen Bereich. Alles, was sich missbrauchen lässt, wird missbraucht: heimische PCs, Smartphones, vergessene Server, Systeme aus der „Schatten-IT“, Internet-Router und andere „Dinge“ im IoT, ungenügend gesicherte Cloud-Ressourcen und so weiter und so endlos fort.

Forscher der University of Maryland und der University of Colorado Boulder haben unlängst in einem Paper beschrieben, wie sich auch Internet-Zensursysteme als DDoS-Angriffsvektor für HTTP-Reflection/Amplification-Attacks nutzen ließen. Ursächlich seien „suboptimal Design and Implementation Decisions“, die gefälschte Anfragen ermöglichen, welche den Versand erheblicher Datenmengen auslösen. Rund 18 Millionen IP-Adressen solcher Systeme, die sowohl Regierungsorganisationen als auch ISPs betreiben, könnten demnach Angreifern mit einem Verstärkungsfaktor von 2:1 bis hin zu 700 000:1 ungewollt zur Hand gehen (Letzteres über sogenannte Infinite Routing Loops).

Wieder einmal heißt die nahe liegende und fern erscheinende Lösung „Security by Design and by Default“. An der prinzipiellen Situation wird sich wohl nur dann etwas ändern, wenn mehr oder minder alle Systeme von Natur aus so wenig Angriffsfläche bieten, dass es zu aufwendig ist, sie für missbräuchliche Zwecke zu kapern – und sie bereits im Auslieferungszustand „sicher“ konfiguriert sind. Denn die Alternative wäre, Milliarden von Menschen dazu zu bringen, ihre privaten Systeme aufmerksam zu administrieren – und alle Organisationen zu verpflichten, jegliche Schatten-IT zu unterbinden und ihre offizielle IT professionell unter Security-Aspekten zu verwalten. Beides erscheint utopisch – nun ja, die Verpflichtung der Hersteller und Anbieter leider irgendwie auch. Vorläufig bleibt vermutlich nur, weiterhin „an allen Fronten“ unermüdlich für mehr Sicherheit zu kämpfen – und da sind wir Profis auch im privaten Umfeld gefragt!