/ Internet / DDoS-Angriffe: Koalition erlaubt Analyse und Blockade von Botnetz-Traffic

DDoS-Angriffe: Koalition erlaubt Analyse und Blockade von Botnetz-Traffic

121396-121037-i_rc.jpg
Gerfried Steube on April 23, 2017 - 11:29 pm in Internet

Die Telekommunikationsprovider sollen künftig mehr Kommunikationsdaten von Nutzern analysieren und speichern dürfen. Der Innenausschuss beschloss Ende März einen Änderungsantrag zu einem Gesetzentwurf, wonach Provider neben Bestands- und Verkehrsdaten auch sogenannte “Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung” erheben und verwenden können. Die Ergänzung von Paragraf 100 des Telekommunikationsgesetzes (TKG) soll Providern eine bessere Bekämpfung von Botnetzen sowie von Angriffen auf Router ermöglichen.

Der ursprüngliche Gesetzentwurf der Regierung sollte eigentlich nur die 2016 beschlossene EU-Richtlinie 2016/1148 für eine bessere IT-Sicherheit umsetzen. Es geht darin vor allem um eine deutliche Ausweitung der Aufgaben und Kompetenzen des Bundesamts für Sicherheit in der Informationstechnik (BSI). So regelt ein neuer Paragraf 5a des BSI-Gesetzes den Einsatz von Mobile Incident Response Teams (MIRTs) bei Angriffen auf kritische IT-Systeme.

Reaktion auf Mirai-Botnetz

Mit der nun beschlossenen Ergänzung reagiert die große Koalition auf die im vergangenen Jahr bekanntgewordenen Fälle, in denen schlecht abgesicherte vernetzte Geräte für umfangreiche DDoS-Angriffe missbraucht wurden, beispielsweise über das Mirai-Botnetz. Zudem waren Ende November 2016 fast 900.000 Router der Deutschen Telekom durch einen Angriff über das Fernwartungsprotokoll TR-069 lahmgelegt worden. Nach Ansicht der SPD zählen Heimrouter inzwischen zur “kritischen Infrastruktur”, da sie nach der Umstellung auf Voice-over-IP (VoIP) erforderlich seien, um beispielsweise Notrufe abzusetzen.

“Aktuelle IT-Sicherheitsvorfälle haben gezeigt, dass von sämtlichen an das Internet angeschlossenen Geräten durch Angriffe von außen Gefahren ausgehen können, die beträchtliche Auswirkungen auf die Funktionsfähigkeit der Geräte selbst sowie auf die Verfügbarkeit von Telekommunikationsnetzen und ihrer Dienste entfalten können”, heißt es zu Begründung der Gesetzesänderung.

HTTP-Floods nehmen zu

Wie der Sicherheitsforscher Brian Krebs nach einer umfangreichen DDoS-Attacke auf seine Website geschrieben hatte, waren der größte Teil der Anfragen legitime Verbindungen zwischen Angreifer und Ziel gewesen, sogenannte SYN-, GET- und POST-Floods. Die Angreifer nutzten dabei das Tunnel-Protokoll GRE (Generic Routing Encapsulation). Zuvor hatten Attacken in dieser Größenordnung normalerweise sogenannte Reflection-Methoden über DNS- oder NTP-Server genutzt.

Die Provider sollen nun die Möglichkeit bekommen, solche auffälligen HTTP-Requests im Traffic zu analysieren und Botnetz-Anfragen zu unterbinden. Der Diensteanbieter darf im Falle einer Störung außerdem die Nutzung des Telekommunikationsdienstes “bis zur Beendigung der Störung einschränken, umleiten oder unterbinden”, heißt es in einer Ergänzung von Paragraf 109a TKG. Dies ist allerdings nur zu dem Zweck erlaubt, um die Störung von Systemen des Diensteanbieters, eines Nutzers oder anderer Nutzer zu “beseitigen oder zu verhindern”, wenn der Nutzer die Störung nicht unverzüglich selbst beseitigt oder zu erwarten ist, dass der Nutzer die Störung selbst nicht unverzüglich beseitigt.

Read more on: Source

Comments are disabled