Mit künstlicher Intelligenz gegen Hacker

Die Firma von Jens-Philipp Jung schützt Firmen vor Cyber-Kriminellen.

«Jeder Angriff, der abgewehrt wird, macht das System besser», sagt Jens-Philipp Jung. Foto: Nick Soland (Keystone)

«Jeder Angriff, der abgewehrt wird, macht das System besser», sagt Jens-Philipp Jung. Foto: Nick Soland (Keystone)

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Jens-Philipp Jung muss noch mal schnell zurück in sein Büro. Der USB-Stick, den er in den Konferenzraum seiner Firma Link11 in Frankfurt mitgebracht hat, ist leer. Und vom Besprechungszimmer aus kann er nicht auf den Firmenserver zugreifen - aus Sicherheitsgründen. Geschützt ist auch die Türe zum eigentlichen Bürotrakt: Sie lässt sich nur mit codierten Zugangskarten öffnen. Nicht einmal Jungs eigene Karte sperrt alle Türen auf - dabei ist er der Geschäftsführer.

Welche Geheimnisse hütet eine Firma, die solch strenge Sicherheitsmassnahmen für nötig hält?

Link11 schützt Behörden und Unternehmen vor Angriffen aus dem Netz, die vor allem eines im Sinn haben: Die Rechner der Opfer lahmzulegen. Von zwei identisch ausgestatteten Büros aus - eines in Frankfurt, eines in Hamburg - dirigieren die Mitarbeiter von Link11 acht über die Welt verteilte Rechenzentren. Wird ein Kunde angegriffen, erkennt das System das und leitet den Verkehr ins nächstgelegene Rechenzentrum um. In eine Steuerzentrale mit solch sensiblen Aufgaben soll natürlich kein Unbefugter eindringen können.

Das zweite schützenswerte Geheimnis liegt darin, wie Link11 das macht. Die Firma hat ein Verfahren entwickelt, das den Datenverkehr eines Angriffs mittels künstlicher Intelligenz automatisch analysieren kann und dabei ständig dazulernt. Das Computersystem durchsucht 100'000 Verbindungen gleichzeitig. «Jeder Angriff, der abgewehrt wird, macht das System besser», sagt Jung.

Doch wie hat man sich einen solchen Angriff überhaupt vorzustellen, wer macht so etwas und warum? Link11 beschäftigt sich ausschliesslich mit sogenannten DDOS-Attacken. DDOS, das steht für distributed denial of service, also für verteilte Attacken mit dem Ziel, die angegriffenen Server lahmzulegen. Und diese können von vielen einzelnen Geräten kommen, daher spricht man von verteilten Attacken. Am häufigsten steckten hinter solchen Angriffen Kriminelle, die Geld erpressen wollen, sagt Heiko Löhr, Referatsleiter Cybercrime beim Bundeskriminalamt (BKA) in Wiesbaden, «das ist das massgebliche Motiv».

Wie auch in anderen Bereichen der Internetkriminalität hat sich längst eine Arbeitsteilung etabliert. Um als Online-Erpresser Geld zu verdienen, muss man keineswegs Hacker-Fähigkeiten besitzen, es reicht, sich auf die dunkle Seite des Internets zu begeben, in sogenannte Darknets. Oft braucht es nicht einmal das. Schon eine gewöhnliche Google-Suche fördert Anbieter zu Tage, bei denen man solche Dienste mieten kann, meist getarnt als Stresstest. Eine kleine Attacke bekommt man schon für zehn bis 20 Dollar.

Der grösste anzunehmende Unfall

Oft haben sich diese Anbieter mit schädlicher Software wie etwa Trojanern Zugang zu Computern ahnungs- oder sorgloser Nutzer verschafft. Weil sich die gekaperten Rechner über das Internet wie willenlose Roboter steuern lassen, werden sie Bots genannt. Zusammengeschlossen werden sie zum Botnetz, einer Armada von Computer-Zombies, die auf Befehl ihrer heimlichen Herrscher unzählige Spam-Mails versenden oder eben auch Attacken ausführen, die Server lahmlegen sollen. Der Preis für einen solchen Angriff richtet sich danach, wie gross das Botnetz sein und wie lange die Attacke dauern soll. Es gibt Botnetze, die Hunderttausende oder sogar Millionen von Rechnern unter ihrer Kontrolle haben.

Eine DDOS-Attacke kann jeden erwischen, zu jeder Zeit, sagt Jens-Philipp Jung, «es trifft Firmen aus dem Finanzbereich, aus Technologie und dem Handel.» Wer dagegen nicht geschützt ist, dessen Webpräsenz ist in aller Regel nicht mehr erreichbar oder antwortet erheblich langsamer als üblich. Vor allem für Firmen, die ihre Dienstleistung ausschliesslich im Netz anbieten, ist das der grösste anzunehmende Unfall.

Aber nicht bloss Webshops und Cloud-Firmen geraten unter Beschuss. «Mittlerweile ist auch die Produktion gefährdet», sagt Raymond Hartenstein von Link11, «zum Beispiel wenn durch eine DDOS-Attacke Lieferketten unterbrochen werden.» Grosse Firmen seien zwar meist geschützt, sagt Hartenstein, «aber was ist mit den Zulieferern?» Es gebe viele Einfallstore, an die man zuerst nicht denkt. Gerade die vernetzte Produktion, Stichwort Industrie 4.0, biete «unheimlich viele Schwachstellen», sagt Hartenstein.

«Das wird noch zunehmen»

Allein im vierten Quartal wehrte Link11 in Deutschland 11'500 DDOS-Angriffe ab, im gesamten Jahr waren es 30'000. Das BKA bestätigt zwar keine Zahlen. Die Ermittlungsbehörden führten dazu keine Statistiken. Aber, sagt Cybercrime-Experte Löhr, man beobachte durchaus einen kontinuierlichen Anstieg dieser Form von Angriffen.

Zum Glück seien die meisten der Angriffe eher primitiv, sagt Link11-Mann Hartenstein. Doch es gibt auch sehr ausgefeilte Attacken, die gar nicht so leicht zu erkennen sind. Sie tarnen sich als völlig legitime Anfragen. Manche Webseiten-Betreiber freuten sich sogar, sagt Jens-Philipp Jung, dass ihre Seite so viel Anklang findet - bis sie dann zusammenbricht. «Wir sehen solche Angriffe jetzt schon, das wird noch zunehmen.»

Im vergangenen Jahr, in dem neue Rekorde bei der Grösse von Attacken aufgestellt wurden, bedienten sich die Kriminellen öfters einer Technik, die Ähnlichkeit mit Ping-Pong hat. Dabei werden Anfragen an unverdächtige Server gestellt, allerdings mit gefälschter Absender-Adresse. Das bedeutet: Die Antworten gehen an die Opfer der Attacken. Das Dumme dabei: Die Anfragen an die unverdächtigen Server - das kann zum Beispiel eine Zeitabfrage sein - sind kurz, die Antworten aber ziemlich lang. So wird der Angriff in seiner Intensität stark gesteigert. Die bislang grösste Attacke kam in der Spitze auf gigantische 142 Gigabit pro Sekunde. Ein weiterer Vorteil der Methode für die Angreifer: Der Angegriffene sieht erst einmal nicht, dass der Auslöser ein Botnetz war.

Meist nur ein paar Minuten

Um solche Angriffe abzuwehren, baut Link11 um die Server ihrer Auftraggeber einen Schutzring aus Rechenzentren auf. Je nachdem, woher der Angriff kommt, wird die Flut in das nächstgelegene Rechenzentrum umgeleitet. Daher sind die Rechenzentren immer in unmittelbarer Nähe grosser Netzknoten. In Frankfurt etwa befindet sich der DE-CIX, Deutschlands grösstem Netzwerkknotenpunkt. Die verdächtigen Datenströme werden abgefangen und in den elektronischen Orkus geschickt. Zugleich wird eine Log-Datei geschrieben, mit deren Hilfe nach dem Angriff eine Analyse gefahren werden kann. Die normalen Anfragen werden dagegen weitergeleitet.

Besonders lange dauern müssen solche Angriffe nicht. Die meisten sind nach ein paar Minuten vorbei. Doch der Schaden, den sie anrichten, reicht weit darüber hinaus. Sind die Server erst einmal zusammengebrochen, kann es Stunden, manchmal auch Tage dauern, bis alles wieder normal läuft. Und wenn man Pech hatte, war die Attacke nur ein Ablenkungsmanöver für eine ganz andere Aktion, wie BKA-Mann Löhr sagt: «Bei so grossen Datenströmen geht ein kleines infiziertes Datenpaket schon mal unter.» Die Attacke könnte etwa dazu gedient haben, Spionage- oder Sabotage-Software einzuschleusen.

Aber auch ohne einen weiteren Angriff im Hintergrund ist der Schaden in der Regel gross. Ein Internethändler, den man nicht erreichen kann, verliert sehr schnell Kunden. Oder Cloudanbieter: Das Unternehmen Orderbird etwa vertreibt cloudbasierte Kassensysteme für Handel und Gastronomie. Das heisst also, die Kunden greifen über das Internet auf die Dienstleistung zu. Sie können dann zwar supermodern mit iPads abrechnen, doch wenn die Cloud nicht funktioniert, geht nichts mehr. Als die Firma von einer Attacke betroffen war, hiess es für ihre Kunden: warten. Diese Erfahrung machte vor wenigen Monaten auch die polnische Fluglinie LOT. Ihre Server wurden attackiert - auch dahinter steckten DDOS-Angriffe.

«Der Spur des Geldes folgen»

Die Ermittlungsbehörden haben es dabei nicht leicht. Sie können versuchen, erklärt Experte Löhr vom BKA, anhand der Logdateien den Urhebern sozusagen stromaufwärts entgegenzugehen. Doch die Angreifer verschleierten ihre Attacken oft, indem sie den Verkehr über mehrere sogenannte Proxy-Server leiteten. Wissenschaftler aus Saarbrücken und aus Japan haben ein Verfahren entwickeln, mit dem sie den Angriffs-Code markieren und ihn so zurückverfolgen können. Das hat auch schon zu Ermittlungserfolgen geführt.

Oft sei es aber auch erfolglos, den Angriffen digital nachzuspüren, sagt Löhr. Eine andere Möglichkeit ist, «der Spur des Geldes zu folgen», wie der erfahrende Ermittler sagt. Und schliesslich gibt es noch den «personalen Ermittlungsansatz». Bei einem grossen Schaden werde auch schon mal mit verdeckten Massnahmen gearbeitet. Doch Löhr weiss auch, dass vieles nicht aufgeklärt wird: «Im Bereich Cybercrime haben wir ein grosses Dunkelfeld.» (Süddeutsche Zeitung)

Erstellt: 20.04.2017, 09:19 Uhr

Artikel zum Thema

Türkische Hacker greifen Website der Badi Wülflingen an

Einige Websites von kleineren Schweizer Unternehmen wurden in den letzten Tagen von Hacktivisten für politische Propaganda missbraucht. Mehr...

Hacker wollen Inhalte von 300 Millionen iPhones löschen

Video Apple wird erpresst: Cyber-Kriminelle drohen, Millionen von iCloud-Accounts zu plündern. Unser Digitalredaktor sagt, was Sie gegen Datenklau tun können. Mehr...

Kommentare

Die Welt in Bildern

Polizei in Rosa: Demonstranten bewarfen die Ordnungshüter in Nantes (Frankreich) mit Farbe. (16. November 2017)
(Bild: Stephane Mahe) Mehr...