Im Visier von Killnet: Dieses Frühwarnsystem schützt euch vor DDoS-Attacken
„Beginnt einen Angriff auf die deutsche Netzwerkinfrastruktur!“, so lautete eine am 4. Mai öffentlich geteilte Aufforderung prorussischer Cyberaktivist:innen. Als Ziele wurden die Websites mehrerer Landespolizeibehörden genannt. Nur wenige Tage später hatten die Angreifer:innen ihr Ziel erreicht: Die Websites waren vorübergehend nicht mehr erreichbar. So erging es auch den Websites des Bundestages, des Innenministeriums und der Bundespolizei.
In ganz Europa ereignen sich ähnliche Vorfälle, denn der Ukraine-Krieg hat längst auch das Internet erreicht. Prorussische Gruppen wie Killnet entstanden nach Ansicht des Verfassungsschutzes als Antwort auf die sogenannte „Ukrainian Cyber Army“ und überziehen Behörden und Unternehmen seit ihrer Gründung mit gezielten Denial-of-Service-Attacken (DoS). Dabei werden Webserver mit Anfragen überflutet, bis sie nicht mehr erreichbar sind.
Um die nötige Schlagkraft aufzubauen, müssen sich diese Gruppen koordinieren. Dazu verwenden sie öffentliche Telegram-Gruppen, Chat-Kanäle oder Internet-Foren, wie Tim Schughart herausgefunden hat. Schughart ist der CEO des Cybersicherheitsunternehmens Prosec, das unter anderem auch mehrere europäische Regierungen zu Fragen der Internetsicherheit berät. Vor einigen Monaten hatte sich Schughart auf Anfrage von Regierungsstellen erstmals mit Killnet beschäftigt, und dabei die dahinter stehenden Telegram-Kanäle und Foren entdeckt. Dennoch kamen die eingangs erwähnten Angriffe für die betroffenen Stellen unerwartet, denn für manuelle Überwachung der Quellen fehlt es den Behörden Schughart zufolge schlicht an Personal und Zeit. Es musste also eine andere Lösung her.
Killnet und Co: Wie koordinierte DDoS-Angriffe vorab erkannt werden können
Als Lösung für das Problem hat Schughart mit seinem Team ein Online-Tool geschrieben, das permanent die einschlägigen Kommunikationskanäle und Foren überwacht. Das Tool macht die Angriffspläne der Gruppen über ein einfaches Web-Interface auffindbar und extrahiert auch gleich die Web-Adressen der anvisierten Ziele. Mit diesen Informationen bekommen die potenziellen Ziele die Möglichkeit, sich bereits in der Anbahnung der Aktionen auf die Angriffe vorzubereiten. Denn bis zur eigentlichen Attacke vergehen im Schnitt drei bis fünf Tage. „Das ist ja nicht eine Person, die das macht. Das sind wirklich mehrere tausend Menschen, die sich organisieren müssen“, so Schughart. „Dieser Zeitraum, den die zur Organisation brauchen, der reicht locker aus, um sich zu schützen.“
Das Tool wird nach Angaben von Schughart bereits von einigen westlichen Nachrichtendiensten eingesetzt, um Behörden und Betreiber kritischer Infrastrukturen vor Angriffen zu warnen. Dabei soll es aber nicht bleiben. Schughart und sein Partner Immanuel Bär haben ihr Tool jetzt auch öffentlich zugänglich gemacht. Damit haben alle Website-Betreiber:innen ab sofort die Möglichkeit, sich auf drohende Angriffe einzustellen. Denn Killnet und Konsorten attackieren längst nicht mehr nur staatliche Ziele und Strukturen.
Die Angriffspläne von Killnet und Co im Blick: Das DDoS-Frühwarnsystem von Prosec. (Screenshot: Prosec / t3n)
Bisweilen geraten Unternehmen sogar ins Fadenkreuz beider Seiten. Als Beispiel nennt Schughart ein mittelständisches Pharmaunternehmen. Weil das Unternehmen Medikamente an Russland und die Ukraine liefert, entschlossen sich Sympathisanten beider Kriegsparteien zu Angriffen auf deren Server.
DDoS-Frühwarnsystem: Macher hoffen auf Unterstützung durch die Community
Im Gespräch machen Schughart und Bär mehrfach klar, dass sie mit ihrem Tool kein Geld verdienen wollen. Stattdessen soll das Ganze als kostenlose Ressource für Firmen dienen, um sich vor Angriffen durch Killnet und ähnlichen Gruppen zu schützen. Dabei hoffen die Macher auch auf Unterstützung durch die Community. Die könnte, so Schughart, beispielsweise weitere Quellen aufdecken, um noch mehr potenzielle Ziele vorab erkennen zu können. Auch zusätzliche Funktionen lassen sich dann leichter integrieren. Möglich wäre beispielsweise eine Alarmfunktion für Website-Betreiber:innen
Gleichzeitig geht es den beiden Cybersecurity-Experten aber auch darum, dass dem Thema Früherkennung endlich mehr Beachtung geschenkt wird. Das sei zwar schon vor dem Ukraine-Krieg ein Problem gewesen, meint Bär, aber jetzt gebe es nun mal eine ganz andere Angriffslage. „Wir müssen anfangen, das Thema in die Gesellschaft und in die Diskussion zu tragen, darum geht es uns.“
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team