Angriffe auf das Internet: Wie realistisch ist der Totalausfall?

Eine ganz andere Gefahr liegt darin, dass bestimmte Infrastrukturdienste betriebsbereit gehalten werden müssen. Dazu zählt DNS. DNS arbeitet auf dem Prinzip einer verteilten Datenbank. Jeder DNS-Server muss sich darauf verlassen können, von den anderen korrekte Antworten zu bekommen. Fehler verbreiten sich in Sekundenschnelle auf viele andere Server.

Angriffe auf DNS-Server an zentraler Stelle, etwa auf die Root-Server oder Top-Level-Domains (TLD), können dazu führen, dass der reine IP-Datentransport zwar einwandfrei funktioniert, jedoch Domainnamen falsch oder gar nicht aufgelöst werden. Faktisch ist das mit einem Ausfall des Internets gleichzusetzen. Sicherheitsexperten wie Dan Kaminsky beschäftigen sich damit, DNS gegen mögliche Attacken zu schützen. In diesem Zusammenhang warnt die ICANN seit Jahren vor absichtlichen Eingriffen in die Integrität von DNS, wie es manche Provider, etwa T-Online und Kabel Deutschland, praktizieren.

Um DNS vor Ausfall und Überlastung zu schützen, kümmern sich mehrere Root-Nameserver, von denen sich sieben in den USA befinden, um eine Namensauflösung der TLDs. Jeder Root-Server darf maximal ein Drittel seiner Kapazität ausnutzen. Durch diesen Sicherheitsmechanismus werden eingehende Anfragen selbst dann noch reibungslos abgearbeitet, wenn zwei Drittel der Server ausfallen. Jeder der Root-Server ist mit einem Buchstaben von A bis M gekennzeichnet und über die URL buchstabe.root-servers.net erreichbar.

Scheinbar gibt es also 13 Root-Server. Durch Anycasting sind es aber faktisch mehr. Sechs der 13 IP-Adressen werden je nach Standort zu einem anderen Host geleitet. Diese Hosts besitzen jeweils eine identische Kopie der Root-Datenbank. An der Erreichbarkeit der Root-Server ändert sich damit nichts. Fällt eine Anycast-Instanz aus, werden die Pakete einfach an die nächste weitergeleitet. Die DNS-Server für die TLDs wie .de und .com sind nach denselben Prinzipien abgesichert.

Fazit

Gegen technische Ausfälle ist das Internet heutzutage sehr gut abgesichert. Dennoch gibt es Lücken, die beispielsweise dann auftreten, wenn ein durchtrenntes Kabel eine ganze Region von der Versorgung abschneidet oder zu erheblichen Einschränkungen führt. Diese Lücken lassen sich aber leicht schließen.

Anders sieht es aus bei Angriffen durch Cyberterroristen aus, deren Ziel es ist, möglichst das gesamte Netz auszuschalten, um nicht nur die virtuelle, sondern auch die reale Welt zu treffen. Knotenpunkte wie die IXPs und kritische Infrastrukturdienste, vor allem DNS, sind die möglichen Ziele solcher Angriffe.

Hier gilt es, weitere Maßnahmen zu treffen, damit die Schwachstellen geschlossen werden. Das kann durch weitere örtliche Dezentralisierung der IXPs geschehen oder auch durch den bewussten Einsatz von Routern mehrerer Hersteller, damit nicht ein Virus das gesamte Netz treffen kann. Kontraproduktiv sind hingegen alle Bestrebungen und Gesetze, die die Integrität von DNS bewusst untergraben, sei es aus finanziellen oder politischen Motiven.

Themenseiten: Security-Analysen

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Angriffe auf das Internet: Wie realistisch ist der Totalausfall?

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *