Kommerzielle Anbieter mit ihren Internetknoten sind die Grundstruktur der digitalen Architektur unserer Gesellschaft. Initiative Gesichter des Friedens hat mit dem Vorstandsvorsitzenden der DE-CIX Group AG, Harald Summa über Kritische Infrastruktur, die Allgegenwart von DDoS-Attacken und das Urteil des Bundesverfassungsgerichtes zur Überwachung durch Geheimdienste gesprochen.
Der „Deutsche Commercial Internet Exchange“ (DE-CIX) ist der größte Internetknoten der Welt und gilt als Kritische Infrastruktur. Wie schützen Sie sich vor Cyber-Angriffen und was, wenn diese unbemerkt bleiben?
Harald Summa: Internetknoten wie die DE-CIX-Plattformen sind innerhalb einer Metroregion auf eine Vielzahl von Rechenzentren verteilt. Die Infrastruktur des DE-CIX in Frankfurt erstreckt sich diesbezüglich beispielsweise auf über 30 Rechenzentren im Rhein-Main-Gebiet. Dadurch kann DE-CIX eine hohe Ausfallsicherheit und Verfügbarkeit garantieren und DE-CIX-Kunden erreichen alle angeschlossenen Netzwerke, egal in welchem Rechenzentrum sie sind. Seit Jahrzehnten ist so beispielsweise der Internetknoten DE-CIX Frankfurt ohne plattformweiten Ausfall verfügbar. Durch die direkte Verbindung zu bis zu mehreren hundert Netzwerken gleichzeitig können Netzwerke überfüllte Transit-Routen meiden und kosteneffizient die Daten auf direktem Weg übertragen. Insgesamt verbessert sich durch die direkte Datenübertragung und die dadurch wesentlich kürzeren Wege, die Datenpakete nehmen, die Netzwerkqualität aller an den Internetknoten angeschlossenen Netzwerke.
Im März wurde am DE-CIX ein Datendurchsatz von 9,1 Terabit pro Sekunde gemessen. Die Schattenseite: Unzählige DDoS-Angriffe und kaum wirksame Gegenmaßnahmen. Machen wir es den Angreifern zu leicht?
Harald Summa: Generell ist das Thema Bewältigung von DDoS (Distributed Denial-of-Service) Attacken ein sehr wichtiges, selbstverständlich auch bei uns. DE-CIX verfügt diesbezüglich über ein internes Forschungsteam, das in enger Zusammenarbeit mit der Industrie und akademischen Partnern daran arbeitet, neuartige technische Möglichkeiten und Lösungen zu suchen, die die Innovation des Marktsegments und die Entwicklung eines Internetknotens der nächsten Generation weiter vorantreiben. Dazu gehören auch durch Drittmittel finanzierte Projekte der öffentlichen Hand; unter anderem liegt der Fokus auf der Erkennung und Eindämmung von DDoS-Angriffen.
Unsere Gesellschaft ist global digital vernetzt. Das schafft Verbindungen und Angriffspunkte.
Hierzu ein aktuelles Beispiel: DE-CIX hat gemeinsam mit einem internationalen Team von Wissenschaftlern eine Studie veröffentlicht, die erstmalig die Auswirkungen von DDoS-Angriffen, sowie die Effekte von polizeilichen Gegenmaßnahmen untersucht. So wurde festgestellt, dass jeder Internetnutzer Cyber-Angriffe für weniger als 18 Euro (20 US-Dollar) beauftragen und durchführen lassen kann. Für die Studie wurde eigens eine Messinfrastruktur aufgebaut, DDoS-Angriffe von DDoS-Dienstleistern – sogenannte „Booter“-Webseiten – gekauft und damit das eigene System angegriffen. Das Forscherteam analysierte darüber hinaus die Auswirkungen der internationalen Polizeimaßnahmen vom Dezember 2018 gegen DDoS-Dienstleister. Diesbezüglich wurden 15 Booter-Webseiten im Rahmen einer Aktion des FBI und der niederländischen Polizei vom Netz genommen, ohne nachhaltigen Erfolg. Am Projekt waren Forscher des DE-CIX, der BENOCS GmbH, der Brandenburgischen Technischen Universität Cottbus-Senftenberg, der Universität Twente und des Max-Planck-Instituts für Informatik in Saarbrücken beteiligt.
Dabei konnten wir eine nachhaltige Verbesserung der Sicherheitslage in Bezug auf DDoS-Aktivitäten im Internet als Folge der polizeilichen Gegenmaßnahmen vom Dezember 2018 nicht verzeichnen. Nach ungefähr sechs Tagen war die Frequenz der Angriffe schon wieder auf altem Niveau von durchschnittlich fünfzig NTP (Network Time Protocol) DDoS-Angriffen pro Stunde – die Maßnahmen hatten einen Abfall auf dreißig Angriffe pro Stunde bewirkt.
„Beim Blackholing blockiert DE-CIX die Datenwellen, die bei DDoS-Angriffen entstehen, möglichst nah an der Quelle. Sie werden abgefangen, bevor sie ihr Ziel erreichen.“
Aus diesen Ergebnissen ist ein weiteres Forschungsprojekt entstanden, das vom Bundesministerium für Bildung und Forschung gefördert wird. Der Fokus liegt hierbei auf Technologien der künstlichen Intelligenz und wie sich diese eignen, um DDoS-Angriffe direkt im Kern des Internets, am Internetknoten, zu erkennen und um neuartige, effektive Schutzmaßnahmen zu entwickeln. Das Projekt läuft bis Mitte 2022.
Über die mittel- und langfristige Forschung stellt DE-CIX bereits seit Jahren seinen Kunden einen sehr effizienten Service namens „Blackholing“ kostenlos zur Verfügung. Beim Blackholing blockiert DE-CIX die Datenwellen, die bei DDoS-Angriffen entstehen, möglichst nah an der Quelle. Sie werden abgefangen, bevor sie ihr Ziel erreichen. Das wird an Internetknoten wie dem DE-CIX gemacht. Dort können sehr viele Datenströme gleichzeitig vor DDoS-Attacken geschützt werden, weil dort verschiedene Netzwerke zusammentreffen und hunderte Anbieter beim Peering ihre Daten austauschen.
Die Peering-Partner melden verdächtigen Datenverkehr in ihrem Netzwerk an den DE-CIX, der am nächsten an der Quelle des Angriffs liegt. Die Daten, die zur DDoS-Attacke gehören, werden dann markiert, an der DE-CIX Plattform gestoppt und aus dem Netz ausgefiltert und vernichtet, wie bei einem Schwarzen Loch – daher der Begriff „Blackholing“. So werden die Daten der DDoS-Welle aussortiert, während der erwünschte Datenverkehr weiterhin ungestört passieren kann.
Der BND kann täglich 1,2 Billionen Verbindungen am DE-CIX abzweigen. Noch, denn jetzt erklärte das BVerfG – in Ihrem Sinne – dies für verfassungswidrig. Aber: Gefährdet das Urteil nicht auch die Sicherheit des DE-CIX?
Harald Summa: Wir haben das Urteil des ersten Senats des Bundesverfassungsgerichts über die Verfassungsbeschwerden einer Reihe journalistischer Organisationen – wie Reporter ohne Grenzen (ROG), die Gesellschaft für Freiheitsrechte (GFF) und der Deutsche Journalisten-Verband (DJV) – gegen das 2017 in Kraft getretene BND-Gesetz mit großem Interesse zur Kenntnis genommen. Die Neuregelung des 2017 in Kraft getretenen BND-Gesetzes war von Anfang an höchst umstritten, es bestanden erhebliche Zweifel an der Verfassungskonformität.
DE-CIX als Empfänger von Anordnungen des BND zur Ausleitung von Daten auf Basis des dort angegriffenen Gesetzes hat großes Interesse an einer Klärung dieser Vorgehensweise. Aus diesem Grunde haben wir selbst bereits 2018 gegen diese Anordnungen Klage beim Bundesverwaltungsgericht in Leipzig eingereicht, ein Verfahren welches dort ohne jede inhaltliche Prüfung bis zu einer Entscheidung des Bundesverfassungsgerichts über die hier gegenständliche Klage ausgesetzt wurde.
Wir sehen uns gegenüber unseren Kunden in der Pflicht darauf hinzuwirken, dass eine anlasslose Fernmeldeüberwachung ihrer Telekommunikation ausschließlich in rechtmäßiger, vom Gesetzgeber vorgesehener und zugleich mit den Grundrechten der Bürger vereinbarer Weise stattfindet.
Das Bundesverfassungsgericht hat mit seiner Entscheidung die Gelegenheit ergriffen, mit einem Grundsatzurteil den Überwachungsbefugnissen von Nachrichtendiensten klare Grenzen zu setzen und der Bundesregierung Vorgaben für eine verfassungskonforme Ausgestaltung zu machen. Der Gesetzgeber ist nun aufgefordert, das BND-Gesetz bis Ende 2021 nachzubessern und die vom Gericht geforderten verfassungsrechtlich gebotenen Korrekturen vorzunehmen.
Erkennbar ist bereits jetzt, dass seitens des Bundesverfassungsgerichts eine deutlich umfassendere, unabhängige und vor allem vorab erfolgende Kontrolle der Überwachungsmaßnahmen des Dienstes gefordert wird. Auch diese Forderung deckt sich mit den von DE-CIX erkannten Mängeln der bisherigen Praxis.
Eine vollständige Analyse der Entscheidung des Bundesverfassungsgerichts und seiner Auswirkungen auf die künftige Gesetzgebung, welche auch den DE-CIX erneut betreffen wird, wird uns erst nach genauer Durchsicht der vollständigen schriftlichen Urteilsbegründung möglich sein. Einfach wird die Umsetzung der umfassenden Auflagen jedoch in keinem Fall werden.
DE-CIX Group AG im Internet: www.de-cix.net
CYBERWAR auf SPARTANAT:
– „Der digitale Verteidigungsfall gelingt nur bedingt“, Generalleutnant Ludwig Leinhos, Inspekteur des Kommandos Cyber- und Informationsraum der Bundeswehr im Interview.
– „Wir sehen viele gezielte Cyberangriffe“, meint der Leiter der Abteilung „Cyber Analysis & Defense“ am Fraunhofer-Institut, Elmar Padilla.
– „Cyber-Angriffe gibt es um 20 Dollar“, sagt Harald Summa, Vorstandsvorsitzenden der DE-CIX Group AG. Er spricht über kritische Infrastruktur, die Allgegenwart von DDoS-Attacken und das Urteil des Bundesverfassungsgerichtes zur Überwachung durch Geheimdienste.
Das Buch zum Thema: „Mythos Cyberwar“
Mehr zum Thema: HIER gibt es den Wehrtechnischen IT-Report gratis als Download.
Quelle: Initiative Gesichter des Friedens. Mit freundlicher Genehmigung