Marktsicht                            Deutschlands Internet-GAU               Alexander Tsolkas               089 923331-0...
Der DNS-Changer spukte bereits vor mehreren                 Kosten möchte lieber jeder verzichten. DochMonaten herum, und ...
Insbesondere vor dem Hintergrund, dass DNS-Server in der Regel Angriffsziel Nummer einssind, sind folgende Zahlen erschrec...
Nächste SlideShare
Wird geladen in …5
×

Experton Group Marktsicht; Deutschlands Internet Gau

122 Aufrufe

Veröffentlicht am

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat durch eine Reihe von Vorfällen Indizien gefunden, dass Hacker in der Welt versuchen, einen Zusammenbruch der deutschen Internetserver und damit der deutschen Internetinfrastruktur herbeizuführen.

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
122
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
2
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Experton Group Marktsicht; Deutschlands Internet Gau

  1. 1. Marktsicht Deutschlands Internet-GAU Alexander Tsolkas 089 923331-0 Alexander.tsolkas@experton- group.com D as Bundesamt für Sicherheit in der Informationstechnik (BSI) hat durch eine Reihe von Vorfällen Indizien gefunden, dass Hacker in der Welt versuchen, einen Zusammenbruch der deutschen Internetserver und damit der deutschen Internetinfrastruktur herbeizuführen.November 2012 © Experton Group www.experton-group.de
  2. 2. Der DNS-Changer spukte bereits vor mehreren Kosten möchte lieber jeder verzichten. DochMonaten herum, und die Deutsche Telekom erst dadurch kann man DDoS– (Distributedhat Angriffe auf die DNS-Server gemeldet. Denial of Service) Angriffe reduzieren oder garViele Provider haben das nicht getan, obwohl eliminieren. Auf mein Heimnetzwerk habe ichsie trotzdem Angriffsziel waren und auch auch keine Angriffe. Ich arbeite mit Mac-angegriffen wurden. Provider, die solche Adresssicherheit kombiniert mit festen IP-Vorfälle aus Imagegründen nicht melden, Adressen. Und im Grunde genommen ist das insorgen nun dafür, dass ein Gesetzentwurf größeren Netzen vom Prinzip dasselbe, nurvorgelegt werden wird, der die Meldepflicht immens viel mehr Arbeit und teurer - abervon Angriffen auf kritische Infrastrukturen machbar. Aber die Provider denken immervorsieht. Beim BITKOM kann man solche noch mehr darüber nach, ob sie denAngriffe mittlerweile anonym melden. Man Endanwendern lieber ein kostenpflichtigeskann davon ausgehen, dass Provider kritischer Device gegen DDoS (die nun auch seitInfrastrukturen Ziel sein werden, die mit geraumer Zeit von allen möglichen HerstellernUrban Security zu tun haben oder auch verkauft werden) oder einen kostenpflichtigenBanken. Service gegen DDoS anbieten sollen, anstattWenn die DNS-Server im Internet ausfallen, ihre Hausaufgaben zu machen. So lange wiefällt auch das Internet aus, und kein Server MPLS nicht in dieser Richtung bzw. nur trivialwird mehr erreichbar sein, weil diese über eingesetzt wird, so lange werden auchSuchanfragen nicht mehr gefunden werden Meldepflichten nichts an der Sicherheitkönnen. verbessern. Warum spricht man über einenHieran kann man wieder gut erkennen, wie Gesetzesentwurf für Meldepflichten, anstattMenschen gestrickt sind. Um was geht es wem das Übel tatsächlich an der Wurzel zu packen,wirklich? Um sinnvolle Vorschläge, was gegen mit einem Gesetz, das den maximalen Einsatzdie Angriffe unternommen werden kann, oder von Schutzmaßnahmen durch die Nutzung vonum weitere Gesetzesvorlagen, die darauf vorhandenen Sicherheitsfunktionalitätenverweisen, dass Angriffe gefälligst gemeldet vorschreibt?werden sollen? Zum Vergleich: Eine 70jährige Frau inSo könnten die Provider MPLS auch endlich Hamburg wurde verurteilt, weil sie einenmal richtig einsetzen. Die Provider wissen WLAN-Router ungenügend abgesichert hat,mittlerweile alle, dass durch den gezielten und über den ein Nachbar im Haus Musik undrichtigen Einsatz von MPLS gefakte IP- Kinderpornografie heruntergeladen hat.Adressen aus einem Trägernetz gefiltert Warum werden Provider dann nicht verurteilt,werden könnten. Dies bedeutet zwar Arbeit, wenn sie zur Verfügung stehendedenn man muss riesige Netze mit insgesamt 64 Sicherheitsfunktionalitäten nicht aktivierenMio. Internetnutzern bereinigen und auf die oder nicht einsetzen, wodurch eine ganzeIP-Adressen reduzieren, die auch wirklich im Internetinfrastruktur zusammenbrechenNetzwerk sind. Technisch machbar ist das, zu kann?automatisieren ist das auch, aber auf die Oktober 2012 © Experton Group www.experton-group.de
  3. 3. Insbesondere vor dem Hintergrund, dass DNS-Server in der Regel Angriffsziel Nummer einssind, sind folgende Zahlen erschreckend: 96Prozent aller eingesetzten DNS-Server inUnternehmen verwenden die veralteteDNSSEC-Sicherheit und nur drei Prozentverwenden DNSCurve. Wen also wundert es,dass Hacker die DNS-Server des deutschenInternets attackieren?DNS-Systeme, die mit TSIG oder DNSSECabgesichert sind, sind anfälliger als DNS-Systeme, die mit DNSCurve aufgesetzt sind, dadiese auf der nicht manipulierbarenelliptischen Kurve namens “Curve25519″basieren. DNSCurve schützt die Integrität,Authentizität und Vertraulichkeit (imGegenzug zu DNSSEC, das nur Integrität undAuthentizität schützt). Dazu sind einsicherheitsmodifizierter Forwarder auf derServerseite und ein sicherheitsmodifizierterDNS-Cache auf der Client-Seite notwendig.Möchten Sie mehr erfahren über DNSSEC undDNSCurve, können Sie mich gerne unterAlexander.Tsolkas@experton-group.comkontaktieren. Oktober 2012 © Experton Group www.experton-group.de

×