Angriffe auf das Internet: Wie realistisch ist der Totalausfall?

Das Internet hat durchaus Schwachstellen, die Cyberterroristen Angriffspunkte bieten, das gesamte Netz de facto unbrauchbar zu machen. ZDNet zeigt, wo unerwartete Gefahren lauern und wie man sie weiter reduzieren kann.

Elf Millionen Deutsche nutzen das Internet als Verkaufsplattform, sieben Millionen kaufen regelmäßig in Web-Apotheken ein, drei Millionen Bürger bestellen Blumen über das Web und jeder Internet-User ist durchschnittlich zwei Stunden pro Tag online. Bereits diese vom Bitkom^[1] veröffentlichten Statistiken zeigen eindrucksvoll, dass das Internet für viele Menschen ein selbstverständlicher Bestandteil ihres Alltags ist. Den Marktforschern von TNS Infratest^[2] zufolge setzen derzeit zwei Drittel der Bundesbürger das Web zu privaten oder beruflichen Zwecken ein - Tendenz weiterhin steigend.

Ein teilweiser Ausfall des Internets hätte jedoch weitaus größere Folgen, als um ein paar Tage verzögerte Überweisungen und Online-Steuererklärungen. Große Unternehmen kommunizieren heute fast ausschließlich über das Internet. Bestellungen, Rechnungen und Logistikaufträge für Spediteure werden über EDV-Systeme abgewickelt, die automatisiert über das Internet kommunizieren. Es käme schlicht und einfach zu Versorgungsproblemen. Mit Telefon und Fax ließe sich der Warenfluss im Just-in-Time-Zeitalter nur schwer aufrechterhalten.

Durch den Ausfall einer oder mehrerer physischer Verbindungswege lässt sich das Internet nicht lahmlegen. Das IP-Protokoll in Verbindung mit intelligenten Routern sorgt dafür, dass Datenpakete den Weg des geringsten Widerstands wählen. Die IP-Ebene verschickt Daten in einzelnen Paketen, die bei Engpässen oder Ausfällen alternative Routen nehmen. Die darüber liegende TCP-Ebene berücksichtigt die daraus resultierenden unterschiedlichen Laufzeiten und setzt die Pakete für die Anwendung in der richtigen Reihenfolge wieder zusammen. Ebenso fordert die TCP-Ebene "verlorengegangene" IP-Pakete beim Absender neu an.

Das TCP-Protokoll ist für bestimmte zeitkritische Anwendungen wie VoIP jedoch ungeeignet: Es würde zu lange auf ein verlorenes oder verspätetes Paket warten. In diesem Fall nutzen Anwendungen das UDP-Protokoll, bei dem die Anwendung entscheiden muss, nach welcher Zeit sie nicht länger auf ein Paket wartet, sondern mit dem nächsten weitermacht. Bei VoIP bedeutet das eine Qualitätsverminderung des Gesprächs - vergleichbar mit einem Handygespräch bei schlechtem Empfang.

Obwohl das Netz sich nicht so einfach durch den Ausfall von Leitungen abschalten lässt, kommt es dadurch zu erheblichen Einschränkungen. Es entstehen Bottlenecks, die sich dadurch bemerkbar machen, dass viele Dienste langsam laufen. So muss man eventuell sehr lange auf den Aufbau einer Webseite warten. Andere Dienste, etwa das Anschauen eines YouTube-Videos, können gar nicht genutzt werden, da der nötige Datendurchsatz nicht mehr erreicht wird. Gleiches gilt für VoIP-Gespräche.

Eine physische Leitung kann beispielsweise durch Naturkatastrophen wie Erdbeben, Überschwemmungen oder Blitzeinschläge ausfallen. Davon können sowohl Leitungen als auch die Vermittlungsstellen mit ihren Routern betroffen sein. Wie stark die Auswirkungen sind, hängt vor allem davon ab, wie viel Datenverkehr über einen Übertragungsweg normalerweise abgewickelt wird und wie viele Alternativrouten zur Verfügung stehen.

Zu erheblichen Einschränkungen kann es beispielsweise bei einer Beschädigung von Unterseekabeln kommen, die Internet-Knoten zwischen Kontinenten verbinden, und über die ein erheblicher Teil des Traffic läuft. Zwischen Europa und den USA verlaufen besonders viele dieser Unterseekabel. Ein Beispiel: Das "Apollo" getaufte und 2003 in Betrieb genommene Kabel ist mehr als 12.000 Kilometer lang und für eine Bandbreite von 3,2 TBit/s ausgelegt.

Was passiert, wenn ein solches Unterseekabel tatsächlich beschädigt wird, fanden Internet-User in Indien, Ägypten und seinen Nachbarländern Anfang 2008 unfreiwillig heraus. Der Datenstrom dieser Länder wird zum großen Teil über ein im Mittelmeer zwischen Palermo und Alexandria verlegtes Kabel abgewickelt. Vermutlich durchtrennte ein Schiffsanker seinerzeit dieses Kabel. Der Datenverkehr brach in der betroffenen Region um bis zu 60 Prozent ein. Rund 70 Prozent des örtlichen Netzes fielen aus. Ansässige Börsenhändler konnten keine internationalen Orders mehr platzieren, Unternehmen klagten über Verdienstausfälle und viele Orte waren vom Internet abgeschnitten.

Solche Fälle gab es bisher jedoch nur selten. Lokale Ausfälle, etwa durch einen ungeschickten Baggerfahrer bei Straßenarbeiten, ärgern meist nur einen kleinen Teil der Internetnutzer. Nicht selten kommt es zu einem Ausfall durch Verkehrsunfälle, denen die grauen Verteilerstellen der Kabelanbieter am Straßenrand zum Opfer fallen. Gleiches gilt für die Outdoor-DSLAMs^[4] bei VDSL. Die häufigsten Ausfalle verursachen jedoch Softwarefehler, die meist beim Einspielen eines Updates von Routersoftware auftreten. Oft sind dann bundesweit die Dienste eines Providers mehrere Stunden nicht verfügbar^[5].

In der Regel erreichen die Provider allerdings eine Verfügbarkeit oberhalb von 99,9 Prozent. So führt etwa Hansenet (Alice DSL) auf seiner Webseite eine Statistik^[6] über die durchschnittlich erzielte Erreichbarkeit seiner Dienste. Danach lag die Internet-Verfügbarkeit zwischen März und April bei mindestens 99,98 Prozent. Das bedeutet einen Ausfall von acht Minuten und 40 Sekunden pro Monat. Andere Provider weisen ähnliche Verfügbarkeiten auf.

Die Provider tauschen ihre Datenpakete über Internet Exchange Points (IXP) aus. Diese so genannten Peering Points oder Internet-Knoten fungieren als Schnittstellen zwischen verschiedenen Rechnernetzwerken. An einem kommerziellen Internet-Knoten, auch Commercial Internet Exchange (CIX) genannt, sind Netzbetreiber wie Arcor oder T-Online mit ihren Backbones angeschlossen und vermitteln so zwischen Endanwender und Internet.

Weltweit gibt es mehr als 100 CIX. Einer der größten europäischen ist der DE-CIX^[7] in Frankfurt, der sehr hohe Übertragungsraten bereitstellt. Die durchschnittliche Auslastung zeigt der Betreiber auf seiner Webseite^[8]. Danach wurden im ersten Quartal 2009 teilweise mehr als 700 GBit/s übertragen. Im Mittel lag der Netzwerkverkehr bei immer noch stattlichen 350 GBit/s. Diese Datenmenge reicht theoretisch aus, um eine gewöhnliche Terabyte-Festplatte innerhalb von nur 23 Sekunden komplett zu füllen.

Ein Ausfall des DE-CIX würde eine erhebliche Einschränkung des Internetverkehrs bedeuten. Der DE-CIX betreibt nicht zuletzt aus Sicherheitserwägungen auch den ALP-IX in München und den WORK-IX in Hamburg. Diese beiden IXPs werden in der Regel jedoch nur für den regionalen Austausch genutzt und können den DE-CIX bei einem Ausfall nicht komplett ersetzen. Andere regionale IXPs, etwa der von Cable& Wireless betriebene INXS^[9] in München, müssten ebenfalls einspringen.

Die IXPs sind besonders gefährdet für Angriffe von Cyberterroristen. Eine Malware, die beispielsweise den DE-CIX für längere Zeit ausfallen lässt, könnte erheblichen Schaden anrichten. Eine besondere Gefahr sehen Experten darin, dass es durch die marktbeherrschende Stellung von Cisco bei Routern möglich sei, mehrere IXPs gleichzeitig auszuschalten. Dann käme das Internet in einer größeren Region oder gar weltweit zum Erliegen.

Eine ganz andere Gefahr liegt darin, dass bestimmte Infrastrukturdienste betriebsbereit gehalten werden müssen. Dazu zählt DNS. DNS arbeitet auf dem Prinzip einer verteilten Datenbank. Jeder DNS-Server muss sich darauf verlassen können, von den anderen korrekte Antworten zu bekommen. Fehler verbreiten sich in Sekundenschnelle auf viele andere Server.

Angriffe auf DNS-Server an zentraler Stelle, etwa auf die Root-Server oder Top-Level-Domains (TLD), können dazu führen, dass der reine IP-Datentransport zwar einwandfrei funktioniert, jedoch Domainnamen falsch oder gar nicht aufgelöst werden. Faktisch ist das mit einem Ausfall des Internets gleichzusetzen. Sicherheitsexperten wie Dan Kaminsky^[10] beschäftigen sich damit, DNS gegen mögliche Attacken zu schützen. In diesem Zusammenhang warnt die ICANN^[11] seit Jahren vor absichtlichen Eingriffen in die Integrität von DNS^[12], wie es manche Provider, etwa T-Online und Kabel Deutschland, praktizieren.

Um DNS vor Ausfall und Überlastung zu schützen, kümmern sich mehrere Root-Nameserver, von denen sich sieben in den USA befinden, um eine Namensauflösung der TLDs. Jeder Root-Server darf maximal ein Drittel seiner Kapazität ausnutzen. Durch diesen Sicherheitsmechanismus werden eingehende Anfragen selbst dann noch reibungslos abgearbeitet, wenn zwei Drittel der Server ausfallen. Jeder der Root-Server ist mit einem Buchstaben von A bis M gekennzeichnet und über die URL buchstabe.root-servers.net erreichbar.

Scheinbar gibt es also 13 Root-Server. Durch Anycasting^[13] sind es aber faktisch mehr. Sechs der 13 IP-Adressen werden je nach Standort zu einem anderen Host geleitet. Diese Hosts besitzen jeweils eine identische Kopie der Root-Datenbank. An der Erreichbarkeit der Root-Server ändert sich damit nichts. Fällt eine Anycast-Instanz aus, werden die Pakete einfach an die nächste weitergeleitet. Die DNS-Server für die TLDs wie .de und .com sind nach denselben Prinzipien abgesichert.

Fazit

Gegen technische Ausfälle ist das Internet heutzutage sehr gut abgesichert. Dennoch gibt es Lücken, die beispielsweise dann auftreten, wenn ein durchtrenntes Kabel eine ganze Region von der Versorgung abschneidet oder zu erheblichen Einschränkungen führt. Diese Lücken lassen sich aber leicht schließen.

Anders sieht es aus bei Angriffen durch Cyberterroristen aus, deren Ziel es ist, möglichst das gesamte Netz auszuschalten, um nicht nur die virtuelle, sondern auch die reale Welt zu treffen. Knotenpunkte wie die IXPs und kritische Infrastrukturdienste, vor allem DNS, sind die möglichen Ziele solcher Angriffe.

Hier gilt es, weitere Maßnahmen zu treffen, damit die Schwachstellen geschlossen werden. Das kann durch weitere örtliche Dezentralisierung der IXPs geschehen oder auch durch den bewussten Einsatz von Routern mehrerer Hersteller, damit nicht ein Virus das gesamte Netz treffen kann. Kontraproduktiv sind hingegen alle Bestrebungen^[12] und Gesetze^[14], die die Integrität von DNS bewusst untergraben, sei es aus finanziellen oder politischen Motiven.

URLs in diesem Artikel:
[1] = http://www.bitkom.de
[2] = http://www.tns-infratest.com
[3] = http://www.zdnet.de/galerie/39189838/wie-unterseekabel-verlegt-werden.htm#sid=41005661
[4] = http://de.wikipedia.org/wiki/DSLAM#Outdoor-DSLAM.2C_Mini-DSLAM
[5] = http://www.zdnet.de/news/wirtschaft_telekommunikation_totalausfall_bei_m_net_dsl_anschluessen_im_raum_muenchen_story-39001023-39200992-1.htm
[6] = http://www.alice-dsl.de/kundencenter/export/de/residential/service/qualitaetsbarometer/
[7] = http://www.de-cix.de/
[8] = http://www.de-cix.net/content/network/Traffic-Statistics.html
[9] = http://www.inxs.de/
[10] = http://www.zdnet.de/sicherheit_in_der_praxis_dns_cache_angriffe_patches_in_firmennetzen_meist_wirkungslos_story-39001543-39199363-1.htm
[11] = http://www.icann.org/en/committees/security
[12] = http://www.zdnet.de/news/digitale_wirtschaft_internet_ebusiness_icann_sicherheitskomitee_verurteilt_dns_sperren_story-39002364-41005634-1.htm
[13] = http://de.wikipedia.org/wiki/Anycast
[14] = http://www.zdnet.de/sicherheits_analysen_zensurgesetz_beschlossen_aus_fuer_das_freie_internet_story-39001544-41005288-1.htm