Denial of Service

Als Denial of Service (kurz DoS, englisch für: Dienstablehnung) wird in der digitalen Datenverarbeitung die Folge einer Überlastung von Infrastruktursystemen bezeichnet. Dies kann durch unbeabsichtigte Überlastungen verursacht werden oder durch einen mutwilligen Angriff auf einen Host (Server), einen Rechner oder sonstige Komponenten in einem Datennetz.

Wird die Überlastung von einer größeren Anzahl anderer Systeme verursacht, so wird auch von einer Verteilten Dienstblockade oder englisch Distributed Denial of Service (DDoS) gesprochen.

[Bearbeiten] Absichtlich herbeigeführte Serverüberlastungen

Wird eine Überlastung mutwillig herbeigeführt, geschieht dies in der Regel mit der Absicht, einen oder mehrere bereitgestellte Dienste arbeitsunfähig zu machen.

[Bearbeiten] Funktionsweise

DoS-Angriffe, wie z. B. SYN-Flooding oder die Smurf-Attacke, belasten die Dienste eines Servers, beispielsweise HTTP, mit einer größeren Anzahl Anfragen, als dieser in der Lage ist zu bearbeiten, woraufhin diese eingestellt werden oder reguläre Anfragen so langsam beantworten, dass diese abgebrochen werden. Wenn möglich, ist es jedoch wesentlich effizienter, Programmfehler auszunutzen, um eine Fehlerfunktion (wie einen Absturz) der Serversoftware auszulösen, worauf diese auf Anfragen ebenfalls nicht mehr reagiert. Beispiele sind WinNuke, die Land-Attacke, die Teardrop-Attacke oder der Ping of Death.

Im Unterschied zu anderen Angriffen will der Angreifer beim DoS-Angriff normalerweise nicht in den Computer eindringen und benötigt deshalb keine Passwörter oder Ähnliches vom Zielrechner. Jedoch kann der Angriff Bestandteil eines anderen Angriffs auf ein System sein, zum Beispiel bei folgenden Szenarien:

• Um vom eigentlichen Angriff auf ein System abzulenken, wird ein anderes System durch einen DoS lahmgelegt. Dies soll dafür sorgen, dass das mit der Administration betraute Personal vom eigentlichen Ort des Geschehens abgelenkt ist bzw. die Angriffsversuche im durch den DoS erhöhten Datenaufkommen untergehen.
• Werden Antworten eines regulären Systems verzögert, können Anfragen an dieses durch eigene, gefälschte Antworten kompromittiert werden. Beispiel hierfür ist das Hijacking fremder Domainnamen durch Liefern gefälschter DNS-Antworten.

Denial-of-Service-Attacken werden mittlerweile von Cyber-Kriminellen zum Verkauf angeboten, etwa um Konkurrenten Schaden zufügen zu können.^[1] Zu Preisen zwischen 10.- und 40.- € pro Stunde kann man diese „Dienstleistung“ einkaufen.^[2]

[Bearbeiten] Distributed-Reflected-Denial-of-Service-Attacke

Eine besondere Form stellt die Distributed-Reflected-Denial-of-Service-Attacke (DRDoS-Attacke) dar. Hierbei adressiert der Angreifer seine Datenpakete nicht direkt an das Opfer, sondern an regulär arbeitende Internetdienste, trägt jedoch als Absenderadresse die des Opfers ein (IP-Spoofing). Die Antworten auf diese Anfragen stellen dann für das Opfer den eigentlichen DoS-Angriff dar. Durch diese Vorgehensweise ist der Ursprung des Angriffs für den Angegriffenen nicht mehr direkt ermittelbar.

[Bearbeiten] DDoS und Botnetze

Mutwillige DDoS Angriffe werden oft (aber nicht ausschließlich, siehe Abschnitt "DDoS als Protestaktion") mit Hilfe von Backdoor-Programmen oder Ähnlichem durchgeführt. Diese Backdoor-Programme werden in der Regel von Computerwürmern auf nicht ausreichend geschützten Rechnern installiert und versuchen selbständig, weitere Rechner im Netzwerk zu infizieren, um so ein Botnetz aufzubauen. Je größer das Botnetz, desto wahrscheinlicher ist, dass der Angriff selbst gegen gut geschützte Systeme durchdringt.

[Bearbeiten] DDoS als Protestaktion

Als Form des Protests sind DDoS-Attacken immer populärer geworden. Einfach zu bedienende Werkzeuge wie z.B. die populäre Low Orbit Ion Cannon ermöglichen es nun auch nicht computerversierten Personen, teilzunehmen. Bei sogenannten Online-Demonstrationen benutzen die Protestierenden nur ihre eigenen Ressourcen und weisen weder das Tatbesandsmerkmal der Gewalt, noch eine Drohung mit einem empfindlichen Übel auf. Daher ist diese politische von der wirtschaftlich motivierten Form des DDoS zu unterscheiden.

[Bearbeiten] Beispiele

Im folgenden werden drei bekannte Beispiele zu absichtlich herbeigeführte Serverüberlastungen aufgeführt.

• August 2008: Die Webseite des georgischen Präsidenten Micheil Saakaschwili ist nicht mehr erreichbar.^[3]
• Anfang Juli 2009: Südkoreanische und US-amerikanische Regierungsseiten, Shoppingportale und Nachrichtendienste sind nach Angriffen vorübergehend nicht mehr erreichbar. Die ferngesteuerten Zugriffe von bis zu 30.000 mit schädlicher Software infizierten PCs sollen an dem Angriff beteiligt gewesen sein.^[4]
• 6. bis 8. Dezember 2010: Als Reaktion auf Sperrungen von WikiLeaks-Konten bei der PostFinance wie auch bei den Zahlungsdiensten MasterCard, Visa, PayPal und Amazon wurden deren Webseiten angegriffen und, bis auf die Amazon-Seite, zeitweise in die Knie gezwungen.^[5][6]

Die aufgelisteten Angriffe hatten zwei Gemeinsamkeiten: Zum einen konnten die Absenderadressen der „angreifenden“ Datenpakete gefälscht werden (IP-Spoofing), zum anderen konnte vor dem eigentlichen Angriff auf einer großen Anzahl dritter, nur unzureichend geschützter Internet-Rechner unberechtigterweise Software (wie Hintertüren oder Trojaner) installiert werden, das resultierende Botnetz konnte dann ferngesteuert durch massenhaft versendete Datenpakete den eigentlichen Angriff ausführen.

[Bearbeiten] Herkömmliche Überlastungen

Führt der sprunghafte Anstieg von Anfragen an eine bisher nur gering frequentierte Webseite aufgrund der Berichterstattung in einem publikumswirksamen Medium zu deren Überlastung und damit zur Dienstverweigerung, wird das bei dortigen Lesern im Netzjargon auch „Slashdot-Effekt“ genannt und gelegentlich scherzhaft mit einem DDoS-Angriff verglichen. Ein weiteres bekanntes Beispiel dafür im deutschsprachigen Raum ist die IT-Nachrichtenseite heise online und der dort gelegentlich auftretende „Heise-Effekt“.^[7][8][9] Außerdem kann es bei Tweets populärer Nutzer des Netzwerks Twitter und Retweets ihrer Follower zu serverseitigen Ausfällen kommen ^[10]

[Bearbeiten] Gegenmaßnahmen

Um Überlastungen von kritischer IT-Infrastruktur zu verhindern oder solche zu begrenzen, wurden mit der Zeit einige Gegenmaßnahmen entwickelt.

Bei kleineren Überlastungen, die nur von einem oder wenigen Rechnern/Absendern verursacht werden, kann eine Dienstverweigerung mit Hilfe von einfachen Sperrlisten (i.d.R. eine Liste von Absender-IP-Adressen) vollzogen werden. Diese Sperrlisten werden von einer sogenannten Firewall ausgeführt: Sie verwirft dabei Datenpakete von IP-Adressen aus dieser Sperrliste (oder leitet sie um). Oft kann eine Firewall auch simple Angriffe automatisch erkennen und diese Sperrlisten dynamisch erzeugen, zum Beispiel durch Rate Limiting von TCP-SYN und ICMP Paketen.

Neben dem Rate Limiting mindert auch der Einsatz von SYN-Cookies die Auswirkungen eines SYN-Flooding Angriffs.

Analyse- und Filtermaßnahmen können sowohl auf dem betroffenen Rechner, aber auch auf dem Grenzrouter des Providers eingerichtet werden. Letzteres ist insbesondere die effektivere Variante bei Überlastungen des Internetzugangs.

Außerdem sollten Grenzrouter ungültige Absender Adressen nach RFC2267 filtern um DoS Angriffe zu verhindern, die versuchen via IP-Spoofing die Sperrlisten zu umgehen.

Falls dem Angreifer nur die IP-Adresse des betroffenen Rechners bekannt ist, besteht zudem die Möglichkeit, diese zu ändern (beim PC zu Hause würde in der Regel der Neustart des Routers reichen). Erfolgt jedoch ein DoS-Angriff über einen öffentlichen DNS-Hostname und nicht über die IP-Adresse allein, so hilft diese Maßnahme nur kurzfristig.

Eine weitere mögliche – in der Regel aber kostenaufwändigere – Gegenmaßnahme gegen Überlastungen ist die sogenannte Serverlastverteilung. Dabei werden die bereitgestellten Dienste, mit der Hilfe von verschiedenen Virtualisierungstechniken, auf mehr als einen physischen Rechner verteilt.

[Bearbeiten] Rechtliche Situation

In Deutschland ist die Beteiligung an DoS-Attacken als "Computersabotage" nach § 303b Abs. 1 StGB mit bis zu drei Jahren Freiheitsstrafe oder mit Geldstrafe bedroht, wenn die Dateneingabe oder -übermittlung in der Absicht erfolgt, einem anderen Nachteil zuzufügen, und dadurch eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, erheblich gestört wird.^[11][12] Dementsprechend verurteilte das LG Düsseldorf einen Täter, der im Wege einer DDos-Attacke fremde Server mehrfach lahm gelegt hatte, wegen Computersabotage und Erpressung zu einer mehrjährigen Freiheitsstrafe.^[13]

Gemäß § 303b Abs. 3 StGB ist auch der Versuch strafbar. Daneben ist ferner auch die Vorbereitung einer Straftat nach § 303b Abs. 1 StGB selbst strafbar, § 303b Abs. 5 StGB i. V. m. § 202c StGB. Hierunter fällt insbesondere die Herstellung und Verbreitung von Computerprogrammen für DoS-Attacken.^[14]

Außerdem kann der Geschädigte Schadenersatz fordern.^[15]

In Österreich können DoS- bzw DDoS-Attacken die strafrechtlichen Delikte nach § 126a StGB (Datenbeschädigung) und 126b StGB (Störung der Funktionsfähigkeit eines Computersystemes) erfüllen. Der Missbrauch von Computerprogrammen nach § 126c StGB ist als Vorbereitungshandlung zu diesen Delikten zu sehen und selbst unter Strafe gestellt.^[16]

Im Vereinigten Königreich droht sogar für das bloße Herunterladen der für die Angriffe genutzten Software "LOIC" eine Freiheitsstrafe von 2 Jahren.^[15]

[Bearbeiten] Siehe auch

• Online-Demonstration
• Slowloris

[Bearbeiten] Literatur

Öhlböck, Esztegar, Rechtliche Qualifikation von Denial of Service Attacken, JSt 4/2011, 126

[Bearbeiten] Weblinks

• Webseite des Bundesamts für Sicherheit in der Informationstechnik über die Abwehr von DDoS-Angriffen
• Eine Liste freier deutschsprachiger Dokumente zum Thema
• Ausführliche Beschreibung des Denial of Service
• Rechtliche Qualifikation von Denial of Service Attacken nach österreichischem Recht (Aufsatz)
• Rechtliche Qualifikation von Denial of Service Attacken nach deutschem Recht (Internet-Strafrecht.com)

[Bearbeiten] Einzelnachweise

1. ↑ Schattenwirtschaft Botnetze – ein Millionengeschäft für Cyberkriminelle - Viruslist.com
2. ↑ PC-Magazin 11/2009 S. 8
3. ↑ Hack-Attacke auf Georgien: Ehrenamtliche Angriffe – Artikel bei Spiegel Online, vom 14. August 2008
4. ↑ Hacker-Attacke auf Südkorea: Österreich unter Verdacht - Artikel bei DiePresse.com, vom 10. Juli 2009
5. ↑ "Shame on you, Postfinance" [Update.] 7. Dezember 2010, abgerufen am 7. Dezember 2010. 
6. ↑ "Wikileaks-Gegner" von Hackern bombardiert [Update.] 9. Dezember 2010, abgerufen am 9. Dezember 2010. 
7. ↑ What is the "Slashdot Effect?" (englisch) – Abschnitt in der Slashdot-FAQ, vom 13. Juni 2000
8. ↑ Der Fluch der kleinen Pixel und des inflationären Kommentierens – Weblog-Artikel bei Alles Roger, vom 19. September 2007
9. ↑ Der HEISE-Effekt – Weblog-Eintrag bei jurabilis, vom 20. Februar 2008
10. ↑ Twitter + Retweet = Twitter-Effekt – Weblog-Eintrag bei netzwertig.com, vom 6. Februar 2009
11. ↑ Gröseling, Höfinger: Computersabotage und Vorfeldkriminalisierung - Auswirkungen des 41. StrÄndG zur Bekämpfung der Computerkriminalität, MMR 2007, 626, 628f.
12. ↑ Ernst: Das neue Computerstrafrecht, NJW 2007, 2661, 2665.
13. ↑ [1] LG Düsseldorf, Urt. v. 22. März 2011 - 3 KLs 1/11 -
14. ↑ Stree/Hecker, in: Schönke/Schröder, 28. Auflage 2010, § 303b StGB Rn. 21.
15. ↑ ^{a b} Illegalität” von LOIC-Tool in UK, Deutschland & Niederlanden? In: netzpolitik.org. 10. Dezember 2010, abgerufen am 10. Dezember 2010. 
16. ↑ Rechtliche Qualifikation von Denial of Service Attacken