Schützt die Burgen – wo bleibt die Post?! (Teil 3) #DNSAngriff

In Zeiten, in denen Navigationsgeräte und Smartphones noch nicht zum täglichen Leben gehörten, waren wir für die Navigation auf Karten und Wegweiser angewiesen. Auch im Internet benutzen wir solche Wegweiser täglich, meist ohne es zu merken. Eine wesentliche Funktion, die sich dahinter versteckt, ist das DNS (Domain Name System). Dessen Funktionalität und auch die damit verbundenen Risiken möchten wir Ihnen in diesem Beitrag mit unserer Burgen-Metapher näherbringen.

Seit Tagen warten Sie auf Ihrer Burg auf einen wichtigen Boten, doch er kommt nicht. An Ihnen liegt es nicht: Das Tor ist offen, die Straßen sind frei, anders als beispielsweise bei einem DDoS-Angriff. Was ist passiert? Ihre Kundschafter bringen eine Nachricht, die auf den ersten Blick nicht erschreckend wirkt, bei genauerem Hinsehen aber doch kritisch für Sie ist. Die wenigen Wegweiser zu Ihrer Burg wurden entfernt, umgedreht oder zugestellt. Ihre Burg ist zwar zugänglich, ohne das präzise Wissen zu deren Lage, kann man sie aber dennoch nicht erreichen. Nun, da Sie das Problem erkannt haben, können Sie es schnell beheben. Der von Ihnen erwartete Bote ist aber schon längst wieder auf dem Rückweg.

Ein Angriff dieser Art würde in das Internet übersetzt einem Angriff auf die von Ihnen genutzten DNS-Server darstellen. Die Informationen, wie man Ihre Infrastruktur im Internet erreichen kann, sind auf einigen wenigen DNS-Servern (gewissermaßen Wegweisern) hinterlegt. Sind diese Server nicht erreichbar, so kann niemand Ihren Kunden sagen, welche IP-Adresse zur Domain Ihres Unternehmens gehört und auch Sie sind quasi nicht erreichbar. Es wirkt, als würde Ihre Domain nicht existieren. Dass ein Angriff dieser Art auch für wahre Internetgrößen nicht nur bloße Theorie ist, zeigt beispielsweise der Angriff auf den DNS-Dienstleister Dyn aus dem letzten Jahr. Durch einen DDoS-Angriff waren weder Dyn noch dessen Kunden, zu denen auch Twitter, PayPal und Netflix zählen, erreichbar. In einem aktuellen Fall aus Frankreich gingen die Angreifer noch einen Schritt weiter: Auf den DNS-Servern wurden falsche IP-Adressen hinterlegt. Kunden wurden nicht auf die regulären Seiten, sondern auf schädliche Websites verwiesen.


Aber wie kann so etwas sein? Wie kann ein Angriff auf eine Infrastruktur, mit denen Ihr Unternehmen im ersten Schritt nur wenig zu tun hat, so einen erheblichen Schaden für Sie darstellen? DNS ist die zentrale Adressverwaltung des Internets. Jedes mit dem Internet verbundene Gerät besitzt eine eigene, eindeutige IP-Adresse. IPv4 und IPv6 sind dabei die beiden aktuellen Formate dieser IP-Adressen. Über die IP-Adresse kann jedes Gerät im Internet eindeutig identifiziert werden. Für einen privaten Computer ist dies meist ausreichend: Anwendungen können den Rechner mit der IP-Adresse identifizieren, andere Internetbenutzer müssen nur selten eine direkte Verbindung zu dritten privaten Rechnern herstellen. Für Menschen ist die Identifikation einzelner Domains schon komplizierter: Ohne DNS müssten wir uns die IP-Adressen merken oder aufschreiben. Für eine Suche würde ich beispielsweise 172.217.0.0 in die Adresszeile meines Browsers eintippen. Das funktioniert. Da sich diese Nummer aber viel schwieriger merken lässt als www.google.de gibt es das DNS - das Adressbuch im Internet. Die Zuordnung der Domains zu den IP-Adressen ist hier hinterlegt und das eintippen von www.google.de verweist den Anwender auf eine der IP-Adressen des Unternehmens.

Dass eine solche Infrastruktur besonders schützenswert ist, lässt sich schnell erkennen. Gerade an den zentralen Knotenpunkten, den sogenannten Root-Servern, herrschen exzellente Sicherheitsvorkehrungen. Da die IP-Adressen von Unternehmen aber nicht direkt dort, sondern auf kleineren, weniger robusten Servern gespeichert werden, lohnt sich hier eine genauere Prüfung. Es ist nicht sehr aufwändig, die DNS-Daten auf verschiedenen Servern zu hinterlegen, erhöht die Sicherheit aber ungemein. Gerade wenn sich diese Server auf verschiedenen Kontinenten befinden.

Eine ganz andere Angriffsart sind sogenannte Social Engineering Attacken. Sie werden oft über die Mail-Infrastruktur des Unternehmens durchgeführt. Wie diese Attacken funktionieren und welche gängigen Schutzmethoden es gibt, erfahren Sie in unserem nächsten Artikel.

Viele Grüße
Felix Fiedler

#Versicherungen #Cyber #Cyberrisiken #DNSAngriff #DNSAttacks #DomainNameSystem
Reaktionen:

0 Kommentare:

Kommentar veröffentlichen

Hinweis: Nur ein Mitglied dieses Blogs kann Kommentare posten.