Täglich beschäftigt sich Professor Christian Rossow am Forschungszentrum für IT-Sicherheit CISPA an der Universität des Saarlandes mit digitalen Angriffen, denen Unternehmen und Bürger nicht mal in ihren Träumen begegnen möchten. Die Massen-Angriffe aus dem Internet, im Fachjargon „Distributed Denial of Service (DDoS)-Attack“ genannt, gelten als die Geißel des Internet. Da sie relativ einfach durchzuführen sind, nutzen sie Jugendliche für digitale Muskelspiele, Kriminelle als Dienstleistung für die Cyber-Mafia und Regierungen als Waffe. Im vierten Quartal des vergangenen Jahres waren laut Angaben des Software-Unternehmens Kaspersky 80 Länder betroffen, Tendenz steigend. Im Oktober wurden zum Beispiel Internetnutzer in Nordamerika, Deutschland und Japan mehrere Stunden von den großen Online-Plattformen wie Twitter, Netflix, Reddit oder Spotify abgehängt. Hinter diesen Ausfällen steckte eine neue Art von DDoS-Angriff, eine sogenannte Amplification Attack, zu Deutsch: Verstärkungsangriff.
„Das perfide ist, dass die Angreifer hier mit wenig Einsatz maximale Wucht erreichen“, erklärt Rossow. Mit Hilfe spezieller verwundbarer Internet-Protokolle werden Anfragen an öffentliche Serversysteme so gestellt, so dass deren Antworten die Anzahl und Umfang der Anfragen weit überschreiten. Die Anfrageadresse ersetzen die Angreifer dann durch die Internet-Adresse des Opfers. Rossow hat 14 Internet-Protokolle identifiziert, die sich für diese Art von Angriffen ausnutzen lassen.
Um solche bösartigen Angriffe, die Personen dahinter und deren Motive näher zu erforschen, hat er zusammen mit den CISPA-Forschern Lukas Krämer, Johannes Krupp und japanischen Kollegen digitale Köder, sogenannte Honeypots, für verteilte Angriffe entwickelt. 21 davon hat er im Internet ausgelegt und so über 1,5 Millionen Angriffe dokumentiert. Auf diese Weise konnte er nicht nur verschiedene Phasen dieser Angriffe identifizieren, um daraus ein Frühwarnsystem zu entwickeln. Er versah den in der Cyber-Wildnis entdeckten Angriffscode auch mit geheimen digitalen Markierungen und konnte darüber die Quelle der Angriffe aufdecken. „Das ist wirklich beeindruckend, weil normalerweise die Fälscher der Absender-Adressen versteckt bleiben“, erklärt Rossow.
Es ist nicht das erste Mal, dass Rossow systematisch die Systeme von Cyberkriminellen unterwandert. Auf diese Weise konnte er bereits im Auftrag des US-Inlandsgeheimdienstes FBI das berüchtigte Botnetz „Gameover Zeus“ lahmlegen. Inzwischen hat er seine Köder für die neueste Variante von DDoS-Angriffe ausgelegt. Cyberkriminelle nutzen dabei nicht mehr einzelne Server, sondern vernetzte Fernseher, Webkameras und Kühlschränke. Das „Internet der Dinge“ macht es möglich.
Hintergrund: Forschungszentrum für IT-Sicherheit CISPA
Das CISPA wurde im Oktober 2011 mit Förderung des Bundesministeriums für Bildung und Forschung als Kompetenzzentrum für IT-Sicherheit an der Universität des Saarlandes gegründet. Es vereint die IT-Sicherheitsforschung des Fachbereichs Informatik sowie der Partnerinstitute auf dem Campus, dem Max-Planck-Institut für Informatik, dem Max- Planck-Institut für Softwaresysteme und dem Deutschen Forschungszentrum für Künstliche Intelligenz. Inzwischen hat sich das CISPA zu einem Forschungszentrum für IT-Sicherheit mit hoher internationaler Strahlkraft entwickelt. Aufgrund der exzellenten Qualität seiner wissenschaftlichen Publikationen und Projekte ist das CISPA heute eines der führenden Forschungszentren für IT-Sicherheit weltweit.
Hintergrund: Technology Review und „Innovatoren unter 35”
Technology Review ist die monatlich erscheinende deutsche Ausgabe der berühmten „MIT Technology Review“. Das deutschsprachige Wissenschaftsmagazin berichtet seit mehr als zehn Jahren über neueste technologische Trends, die das Potenzial haben, die Gesellschaft nachhaltig zu verändern. Bereits zum vierten Mal richtet die Zeitschrift die deutsche Auflage des „TR 35“ aus. „Innovators under 35“ gilt in den in den USA als eine der renommiertesten Auszeichnungen für junge, begabte Wissenschaftler und Entwickler. Der Preis wird bereits seit 16 Jahren von der amerikanischen Ausgabe von Technology Review, dem Innovationsmagazin des Massachusetts Institute of Technology, vergeben.

Weitere Informationen:
Link zur Publikation „AmpPot: Monitoring and Defending Against Amplification DDoS Attacks“
http://www.christian-rossow.de/publications/amppot-raid2015.pdf
Link zur Publikation „Identifying the Scan and Attack Infrastructures Behind Amplification DDoS Attacks“
http://www.christian-rossow.de/publications/amppot-raid2015.pdf

Pressefotos für den kostenlosen Gebrauch finden Sie unter
www.uni-saarland.de/pressefotos

Fragen beantwortet:
Prof. Dr. Christian Rossow
Center for IT-Security, Privacy and Accountability
Saarland Informatics Campus E9.1
Tel.: +49 681 / 302-70797
E-Mail: rossow@cispa.saarland

Johannes Krupp
Center for IT-Security, Privacy and Accountability
Saarland Informatics Campus E9.1
Tel.: +49 681 / 302-70805
E-Mail: johannes.krupp@cispa.saarland

Redaktion:
Gordon Bolduan
Kompetenzzentrum Informatik Saarland
Tel: +49 681 302-70741
E-Mail: gbolduan@mmci.uni-saarland.de

Hinweis für Hörfunk-Journalisten: Sie können Telefoninterviews in Studioqualität mit Wissenschaftlern der Universität des Saarlandes führen, über Rundfunk-Codec (IP-Verbindung mit Direktanwahl oder über ARD-Sternpunkt 106813020001). Interviewwünsche bitte an die Pressestelle (0681/302-2601).