Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit >

Internet: Die größte Bedrohung steckt im System selbst

...
t-online.de ist ein Angebot der Ströer Content Group

Datensicherheit  

Die größte Bedrohung des Internet steckt im System selbst

08.11.2010, 09:38 Uhr | Andreas Lerg

Internet: Die größte Bedrohung steckt im System selbst. Die größte Sicherheitslücke des Internet steckt in seiner Infrastruktur. (Foto: stock.xchng)

Die größte Sicherheitslücke des Internet steckt in seiner Infrastruktur. (Foto: stock.xchng)

"Es ist die größte Sicherheitslücke des Internet" warnten die beiden Sicherheitsexperten Anton Kapela und Alex Pilosov auf der Sicherheitskonferenz DefCon. Sie demonstrierten dort, wie über das völlig veraltete aber für die Infrastruktur des Internet unverzichtbare Border Gateway Protocoll (BGP) der Datenverkehr im Internet umfassend ausspioniert und manipuliert werden kann. Der Missbrauch des BGP wird auch bereits aktiv genutzt, bisher aber eher von staatlichen Institutionen als von Online-Kriminellen. Der spektakulärste Fall geschah im Februar 2008, als Youtube zwei Stunden lang weltweit nicht erreichbar.

Im Februar 2008 hatte die pakistanische Regierung die Pakistan Telecom und den landeseigenen Internet Provider PCCW angewiesen, Youtube zu blockieren, weil ein damals sehr beliebter Film auf dem Videoportal den Islam verhöhne. Darauf hin manipulierten beide Firmen über das BGP den Datenverkehr von Youtube, um diesen aus Pakistan auszusperren. Versehentlich aber hatten die Firmen den gesamten weltweiten Datenverkehr umgeleitet, der auf die Internet-Adresse von Youtube zielte, und das beliebte Videoportal damit global blockiert. Ähnliche Methoden soll auch China nutzen, um seine Zensurgesetze auch technisch durchzusetzen und keine unerwünschten Daten aus dem Internet ins Land zu lassen.

Online-Kriminelle können BGP-Angriffe starten

Bis zu der Sicherheitskonferenz DefCon 2008 herrschte der Irrglaube vor, solche BGP-Manipulationen könnten nur staatliche Institutionen wie Geheimdienste oder große Internet-Dienstleister durchführen. Kapela und Pilosov demonstrierten auf der Sicherheitskonferenz, dass solche Angriffe im Prinzip für jeden halbwegs versierten Online-Kriminellen machbar ist. Der muss lediglich einen BGP-Server nachbauen und ins Internet einbinden können.

BGP ist die Achillesferse des Internet

Marco Preuß, Senior Virus Analyst bei Kaspersky Lab, erklärt gegenüber t-online.de: "Die Gefahr beim BGP liegt darin, dass der Datenverkehr "entführt" werden kann. Dies führt dazu, dass Dienste nicht erreichbar sind oder es ist möglich, den Datenverkehr abzufangen, zu analysieren und zu manipulieren. Die Schwächen im BGP stellen somit eine ernste Gefahr dar." Die Gefahr lässt sich ein einem simplen Beispiel verdeutlichen: Ein "normaler" Hacker versucht, sich am Briefkasten seines Opfers zu postieren und Briefe abzufangen, nachdem der Postbote diese zugestellt hat. Bei den Angriffen über das BGP sitzen die Täter sozusagen direkt zentral bei der Post und können auf alle im Umlauf befindlichen Briefe ungehindert zugreifen.

Was macht das BGP

Das BGP ist das zentrale Vermittlungssystem, dass den Datenverkehr zwischen verschiedenen Providern, aber auch nationalen und internationalen Teilnetzen des Internet abwickelt. Gibt ein Nutzer eine Internetadresse ein, die auf einem Server auf einem anderen Kontinent liegt, dann sucht das BGP die beste und schnellste Route zur Abwicklung des Datenverkehrs. Dazu fragt der BGP-Server des Providers, über den der Nutzer auf das Internet zugreift, die entsprechenden BGP-Server anderer Provider nach der besten Route, um die eingegebene Internetadresse zu erreichen. Über diese Route werden dann die Daten vom und zum Nutzer gesendet. Bei unserem Vergleich mit der Briefpost wäre ein BGP-Server ein Briefverteilzentrum, dass alle Briefe aus einer Region einsammelt, an ein anderes Briefverteilzentrum weiterschickt, wo die Briefe dann an die Empfänger zugestellt werden.

Wie funktioniert der Angriff auf das BGP

Angreifer können die Schwächen im BGP ausnutzen, um den gesamten Datenverkehr auf eigenen illegale BGP-Server umzuleiten. Dort wird dieser Datenverkehr analysiert, eventuell manipuliert und dann zum ursprünglichen Ziel weiter geleitet. Das gelingt, weil sich BGP-Server untereinander ungefragt und blind vertrauen. Um hier wieder den Vergleich zur Briefpost zu bemühen, würde das so funktionieren: Die Angreifer bauen ein gefälschtes Briefpostzentrum auf und greifen alle im Umlauf befindlichen Briefe ab. Dann wird deren Inhalt gelesen und ausspioniert oder sogar verändert. Danach werden die Briefe wieder sorgfältig verschlossen und an ein echtes Briefpostzentrum weiter geleitet, dass die Briefe dann normal zustellt. Der Empfänger merkt nicht, dass beispielsweise sein Passwort aus dem Brief gestohlen, oder der Inhalt verändert wurde.

Das BGP ist uralt und unsicher

Ursache für die Schwächen im BGP ist die Tatsache, dass dieses Protokoll in den Anfängen des Internet entwickelt wurde. Damals waren Hacker, Online-Kriminelle und der Diebstahl oder die Manipulation von Daten kein Thema und nicht vorstellbar. Daher erkannten die Entwickler auch gar nicht die Notwendigkeit für den Einbau von Sicherungen. Die wenigen Systeme, die in den 1970ern miteinander kommunizierten, waren vor allem an Universitäten zu finden und konnten sich ohne Risiko gegenseitig vertrauen. Dieses blinde Vertrauen nutzt das BGP unverändert heute noch, sodass diese Angriffe möglich sind und sogar mehr Schaden anrichten können, als bestimmte Internetseiten unerreichbar zu machen. Marco Preuß warnt: "Ein weitaus gefährlicherer Punkt ist aber das Abfangen von Daten - wie beispielsweise Passwörtern - durch das Umleiten auf Server der jeweiligen Angreifer. Bisher gab es keine nachweislichen Angriffe seitens Cyberkrimineller. Bisherige Vorfälle bezogen sich meist auf Fehlkonfigurationen. Die Gefahr liegt aber in zielgerichteten kurzfristigen Attacken, welche schwer nachvollziehbar sind."

Nachfolger von BGP in ARbeit

Die Schwächen im BGP sind bekannt und es wird an sicheren Nachfolgestandards wie dem Secure-Border-Gateway-Protocoll (S-BGP) gearbeitet. Dazu Marco Preuß: "Es gibt unterschiedliche Methoden, den Sicherheitsproblemen des BGP zu begegnen: unter anderem S-BGP, Resource Public Key Infrastructure (RPKI) und Filtering. Weitere sind in Entwicklung. Probleme stellen sich hierbei meistens durch die Implementierung solcher Sicherheitstechniken ein oder dass nicht jede davon vor allen BGP-Angriffen schützt." Bei RPKI handelt es sich um eine Verifizierungsmethode, bei der sich die Teilnehmer am Datenverkehr mit verschlüsselten Informationen eindeutig identifizieren und verifizieren können. Nutzer selbst können sich nicht schützen, da BGP-Angriffe außerhalb ihrer Computer stattfinden.

Liebe Leser, bitte melden Sie sich an, um diesen Artikel kommentieren zu können. Mehr Informationen.
Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre E-Mail-Adresse an. Vielen Dank für Ihre Mitteilung.

Name
E-Mail
Betreff
Nachricht
Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail

Shopping
Shopping
Der vertraute Duft der NIVEA Creme als Eau de Toilette
jetzt bestellen auf NIVEA.de
Shopping
Wandbild mit täuschend echtem LED-Kerzenschein
Weihnachtsdekoration bei BAUR
Klingelbonprix.detchibo.deCECILStreet OneLIDLBabistadouglas.deBAUR
Mehr zum Thema
Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit

shopping-portal
Das Unternehmen
  • Ströer Digital Publishing GmbH
  • Unternehmen
  • Jobs & Karriere
  • Presse
Weiteres
Netzwerk & Partner
  • Stayfriends
  • Erotik
  • Routenplaner
  • Horoskope
  • billiger.de
  • t-online.de Browser
  • Das Örtliche
  • DasTelefonbuch
  • Erotic Lounge
Telekom Tarife
  • DSL
  • Telefonieren
  • Entertain
  • Mobilfunk-Tarife
  • Datentarife
  • Prepaid-Tarife
  • Magenta EINS
Telekom Produkte
  • Kundencenter
  • Magenta SmartHome
  • Telekom Sport
  • Freemail
  • Telekom Mail
  • Sicherheitspaket
  • Vertragsverlängerung Festnetz
  • Vertragsverlängerung Mobilfunk
  • Hilfe
© Ströer Digital Publishing GmbH 2017