Nach HackerangriffCTIE-Direktor spricht über die Abwehr der DDoS-Attacke: „Es ist ein Katz-und-Maus-Spiel“

Hackergruppen haben am Donnerstag die Web-Infrastruktur von Luxemburger Behörden und Unternehmen lahmgelegt. Und es ist noch nicht vorbei: Am Freitag gebe es noch immer sporadisch kleinere Attacken, sagt Patrick Houtsch dem Tageblatt.

Den ersten Angriff habe das CTIE am Donnerstag gegen 11.05 Uhr gesehen, sagt Houtsch. „Die ganze Nacht bis Freitagmorgen 8 Uhr ist es weitergegangen.“ Die Internetseiten des Staates „waren alle betroffen“. Man könne aber sagen, dass es sich „im Moment“ beruhigt hat. Es sei aber sehr schwer zu beurteilen, ob die Attacke ganz vorbei sei: „Machen die Leute eine Pause und kommen dann zurück oder gehen sie jetzt zu anderen Zielen über?“, fragt sich Houtsch.

DDoS-Attacken seien nicht selten. „Das kommt vor“, sagt der CTIE-Direktor. „Wir sind gewöhnt, darauf zu reagieren.“ Das CTIE blockiere eigentlich den Ursprung der Attacke. „Es ist ein Katz-und-Maus-Spiel, wenn diese Angriffe stattfinden“, sagt er. Die Angreifer nehmen oft – nachdem reagiert wurde – von einer anderen Seite erneut einen Anlauf. Das CTIE müsse sich dann anpassen.

DDoS-Attacken in einem kleineren Umfang gebe es häufig, erklärt Houtsch. „Dies war aber eine große Attacke, die viele Seiten anvisiert hat.“ Es sei nicht immer klar, wo diese Angriffe herstammen und wer dafür verantwortlich sei. Kleine Attacken hätten meist keine Auswirkungen und würden nicht weiter auffallen.

Zur Herkunft der Attacke wollte Houtsch sich nicht äußern und verweist auf die Regierung. Premierminister Luc Frieden (CSV) wollte am Rande eines EU-Gipfels in Brüssel nicht verraten, wer dahintersteckt: „Für jene, die solche Attacken durchführen, soll man keine Werbung machen“, sagte er am Donnerstag. Die Experten wüssten aber sehr wohl, woher der Cyberangriff stammt.

Frieden sei „ganz zufrieden“ mit der Art, wie die Reaktion seitens des Staates ausgesehen hätte. „Unsere Pläne haben sofort funktioniert“, so der Premier. Die Krisenzelle unter der Aufsicht von Digitalministerin Stéphanie Obertin (DP) habe die Situation analysiert und herausgefunden, was passiert sei. Eine Sprecherin des Ministeriums für Digitalisierung sagt am Freitag auf Nachfrage des Tageblatt, es gebe zu diesem Zeitpunkt noch keine weiteren Erkenntnisse. „Man müsse den Bericht der Experten abwarten“, sagt sie.

„Die Leute hinter solchen Angriffen suchen Aufmerksamkeit“, gibt Patrick Houtsch zu bedenken. Eigentlich gebe es zwei Gründe dafür. Zum einen, um jemanden Schaden zuzufügen. Das sei etwa beim Abschalten eines Onlineshops der Fall, der dann nichts verkaufen könne. Der andere sei die Sichtbarkeit. „Die Angreifer wollen, dass darüber geredet wird“, sagt Houtsch.

Technisch gesehen verteile sich die Herkunft der Serveranfragen über das gesamte Internet. Daher rühre auch die Schwierigkeit, diese Attacken effektiv stoppen zu können. „Die kommen aus allen Ländern der Welt“, sagt Houtsch. Einerseits können solche Angriffe durch das reine Volumen an Anfragen erfolgreich sein, zum Beispiel durch ein Botnet. Andererseits sei es auch möglich, durch das Auslösen eines ressourcenintensiven Prozesses eine Internetseite lahmzulegen. Das könne etwa durch Suchanfragen passieren.

Je nach Attacke sei die Situation also sehr unterschiedlich. Eine DDoS-Attacke sei nichts, was jeder machen könne, aber für Leute, „die sich ein wenig auskennen“, stelle sie keine Schwierigkeit dar. Die Frage, die sich stelle, sei eher, wie groß die Attacke sein soll und wie lange sie durchgeführt werden soll.

Um eine DDoS-Attacke abzuwehren, werde zuerst geschaut, wo die Anfragen herkommen. Dann werden die IP-Adressen blockiert, sagt Patrick Houtsch. Es gebe Listen mit IP-Adressen und die verschiedenen Organisationen würden sich untereinander austauschen. „Falls jemand, der attackiert wird, sieht, wo die Attacke herkommt, kann er uns die Adressen geben und wir können diese präventiv blockieren“, sagt er. Diese Attacken seien rein darauf ausgerichtet, Webseiten zum Absturz zu bringen. Daten können dabei keine abgegriffen werden, sagt Houtsch.

Es gebe Maßnahmen, die helfen, sich gegen DDoS-Attacken zu schützen und es gebe welche, die dabei helfen, auf solche Angriffe zu reagieren. „Ich kann aber nicht im Detail darauf eingehen, welche Mittel wir verwenden“, sagt der Direktor des CTIE. Diesen Maßnahmen seien aber – je nachdem, wie viele Ressourcen die Angreifer verwenden – Grenzen gesetzt.

„Mehr Schutz ist immer gut“, sagt ein Pressesprecher des „Chaos Computer Club Lëtzebuerg“ (C3L). Man wisse aber nie, was genau auf einen zukomme. Auch zur jetzigen Attacke würden noch keine Daten vorliegen. „So etwas wird aber immer mehr aufkommen“, sagt der Sprecher. In Cyberkriegen würden Hackerattacken zum „guten Ton“ gehören. Im Ukraine-Krieg seien etwa gezielt Wasserwerke von Hackern ins Visier genommen worden. Deswegen sei es von Nutzen, wenn man sich gegen etwaige Angriffe wie DDoS-Attacken besser zur Wehr setzen könne. Das könne auf der nationalen und europäischen Ebene ausgebaut werden, sagt der Sprecher des C3L: „Man könnte eine Schippe drauflegen.“

Dass solche Attacken häufiger geworden sind, sagt auch Patrick Houtsch. „Ich denke nicht, dass das sich wieder ändern wird“, sagt er. „Deswegen muss man heute darauf vorbereitet sein.“ Vor Jahren sei man noch nicht dagegen gerüstet gewesen. Man habe damals viel aus diesen Attacken gelernt. „Mit der Zeit sieht man, wie so etwas funktioniert und wie man damit umgehen muss“, sagt Houtsch.

Noname057(16) and other pro-Russian hacktivists have started a campaign against Luxembourg.

Motivated by recent geopolitical events.#cybersecurity #infosec #RussiaUkraineWar pic.twitter.com/oxo1Gkfcka

— CyberKnow (@Cyberknow20) March 21, 2024