#30: DDoS-Dinos auf Erfolgskurs

Lisa: Lisa Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT-Security-Podcast. Mein Name ist Lisa Fröhlich, bin Unternehmenssprecherin bei Link11 und ich freue mich riesig, dass ihr heute wieder mit mir zusammen in den digitalen Kaninchenbau Cybersecurity absteigt. Mein heutiger Gast ist Karsten Desler, das ist der CTO von Link11, da freue ich mich auch ganz besonders, dass er mal wieder hier im Podcast zu Gast ist. Karsten, schön, dass du da bist. Danke für deine Zeit. Ja, wir wollen uns heute mal dem Thema widmen, wieso die DDoS-Angriffs-Dinos, wie ich sie immer nenne, immer noch auf Erfolgskurs sind und was es so schwierig macht, Form von Cyber-Vorfällen loszuwerden und was eigentlich der Grund ist dafür, dass sie nach so langer Zeit, fast so alt wie das Internet selbst, immer noch erfolgreich unterwegs sind. Aber bevor wir in die Themen einsteigen, möchte ich Karsten bitten, dich kurz vorzustellen.

Karsten Desler: Karsten Desler Ja klar, sehr gerne. Hi, ich bin Karsten. Ich bin der Co-Gründer und CTO von Link11. Und ich mache bei uns so ziemlich alles, was mit Technologie und Produkt zu tun hat. Ich habe einen Großteil des initialen Link11-Codes, den wir verwendet haben, eben unsere Services bereitzustellen, selber geschrieben. Mittlerweile, glücklicherweise, ist es nicht mehr mein Code. Da gibt es viele andere Kollegen, daran arbeiten, aber ich bin zumindest stolz, noch so ein paar Zeilen in aktiv-deployten-Services laufen zu haben.

Lisa: Lisa Ja, prima. Dann, Karsten, du hast natürlich entsprechend langjährige Erfahrungen und hast die, wie du gerade schon so schön gesagt hast, ja quasi die Link 11-DDoS-Schutzlösung selbst programmiert und gecodet. Jetzt im Hinblick auf die DDoS-Angriffe, die im letzten Jahr, also 2024, ja noch mal wirklich auf Wind hatten bzw. zahlreiche Mitbewerber und auch in unseren eigenen Netzwerkzahlen lässt sich ablesen, dass die DDoS-Angriffe 2024 wieder zugenommen haben und nochmal mehr gewesen sind als 2023. Bei uns im Netzwerk sogar mehr als 100%, also quasi doppelt so viele als letztes Jahr. Wieso gibt es denn immer noch DDoS-Angriffe? Ich frage mich ja immer, die sind schon so alt und werden oft so belächelt als ja, das machen doch nur Skript-Kiddies und das ist doch im Grunde das Einmaleins des Cybersecurity-Kindergartens. Wieso sind die Angriffe denn trotz ihres fortgeschrittenen Alters noch immer erfolgreich? ja, vielleicht gibst uns da mal einen kurzen Abriss, wie deine Meinung dazu ist.

Karsten Desler: Karsten Desler Klar, sehr gerne. ich meine, das Naheliegende ist in dem Fall das Wahre. Warum sind die so erfolgreich? Naja, weil sie so erfolgreich sind. Die werden immer noch gemacht, weil man damit nach wie vor eine ganze Menge Chaos produzieren kann und eine ganze Menge Unheil stiften kann. Das ist erstmal so die, genau, das ist erstmal so die Basis. Und ja, viele Attacken, wie du richtig schon Skript-Kiddies sagst, viele Attacken sind verdammt einfach. Da brauchst keine hohe Komplexität, sich zu schützen. Aber...

Lisa: Lisa Hmm. Funktioniert einfach.

Karsten Desler: Karsten Desler auch da. Was braucht es? Na ja, man muss sich halt schützen. Man muss gewisse Dinge tun, damit diese Attacken halt einfach an einem abprallen. Und wenn man das nicht macht und nach wie vor, wir sind im DDoS-Business, da haben wir natürlich eine ganze Menge Kontakte mit Leuten, die einfach noch nicht so gut geschützt sind und kriegen das immer wieder mit. Na ja, dann hat man halt einfach das Problem als Opfer von solchen DDoS-Angriffen.

Lisa: Lisa Mhm.

Karsten Desler: Karsten Desler Ob sie jetzt simpel sind oder hochkomplex spielt keine Rolle. Wenn man nicht geschützt ist, dann reicht eben halt auch simpel am Ende aus, ein Problem zu kreieren.

Lisa: Lisa Ja, und es ist ja auch so, zumindest ist es meine Wahrnehmung oder das, ich quasi auch in unserem Report, also für unseren diesjährigen Report, ja, analysiert habe. Es verändert sich ja auch. mal abgesehen davon, dass diese DDoS-Landschaft unheimlich volatil ist. Also es gibt mal sehr, sehr große Attacken. Es gibt Carpet Bombing, das sind eben kleinere Attacken, die wie feine Nadelstiche Netzwerke malträtieren. Dann gibt es eben sogenanntes Low-Lorries, da werden eben ganz auf eine bestimmte Art und Weise Anfragen adressiert. Also es gibt ja auch unterschiedliche Arten, wie DDoS-Angriffe genutzt werden können, auch auf unterschiedlichen Ebenen. Also es gibt eben Angriffe, die mehr so auf der Netzwerkebene funktionieren, also sogenanntes OSI-Modell-Layer 3 und 4. Und dann gibt es eben solche Angriffe, auf Web-Applikationen oder Web-Dienste oder überhaupt eben auf Anwenderebene, sprich Layer 7, abzielen. Und mein Eindruck ist, dass sich das schon auch verändert und dass gerade was so die Web-DDoS-Attacken angeht, da sich auch schon abzeichnet, dass da auch immer mehr, sag ich jetzt mal, smarte Attacken unterwegs sind. Hast du da eine Veränderung festgestellt oder gibt es da irgendwelche Trends oder irgendwelche Dinge, wo du sagst, hey, das hat sich im Vergleich zu der Zeit, zu der ich angefangen habe, den Code zu schreiben, bahnbrechend verändert?

Karsten Desler: Karsten Desler Ja, auf jeden Fall kann man genauso sagen. Ganz am Anfang, so die ersten, nennen wir sie Layer-7-Angriffe, also Attacken, tatsächlich ein HTTP-Protokoll sprechen, dementsprechend in Web-Server direkt angreifen und am Ende versuchen auszusehen wie normale Besucher, die gab es schon immer. Am Anfang, am Anfang heißt tatsächlich vor 15 Jahren, ein bisschen mehr vielleicht sogar, waren die sehr einfach gestaltet. Das heißt, der Angreifer hat sich nicht so hundertprozentig drauf fokussiert, einen Browser oder einen Besucher hundertprozentig nachzuahmen, sondern die waren meistens schon happy, wenn sie einen HTTP-Request so halbwegs und taktisch korrekt abschicken konnten. Ich erinnere da ganz am Anfang hatten wir zum Beispiel eine, Attacken oder eine der Angreifer, der hatte ein Leerzeichen zu viel. Der HTTP-Request fang häufig mit dem englischen Wort get an groß geschrieben. Get Leerzeichen und dann kommt der Pfad, den man anfragen will und er hat get-Lehrzeichen-Lehrzeichen-Pfad gehabt. Ist syntaktisch korrekt, darf man so machen, war halt aber einfach, fällt auf. normaler Browser sendet dann nicht zwei Leerzeichen. Dementsprechend konnten wir die sehr einfach mit wenn nach get-2-Leerzeichen dann filtert diesen Request raus. Mit so einer sehr simplen Logik solche Requests rausfiltern. Das wurde mit der Zeit komplexer, Angreifer sind klüger geworden.

Lisa: Lisa Mhm.

Lisa: Lisa Hmm, hmmm.

Karsten Desler: Karsten Desler Und mittlerweile gibt es tatsächlich so ein Phänomen, das heißt Headless Browser. Das sind tatsächlich voll funktionale Chrome oder Firefox Installationen, die man von der Kommandozeile, also ohne, dass jemand klicken muss, können die gesteuert werden und die können tatsächlich alles. können JavaScript. Klar, die können jetzt nicht erkennen, ob da ein Bild drauf ist und wo man klicken muss, irgendwie einen Feuerhydranten zu sehen. Auch da gibt es Möglichkeiten, ich in dem Fall jetzt Captures zu umgehen, aber die können schon sehr viel und viele dieser automatischen Challenging-Methoden, die man als DDoS-Anbieter eben hat, rauszufinden, ob der Besucher jetzt jemand ist, den man sehen möchte oder auf die Webseite lassen möchte oder nicht, die sind schwieriger, je mehr Fähigkeiten diese Bots haben. Und das ist auf jeden Fall ein Trend. Die Angreifer, die Bots werden immer schwieriger von Gut und Schlecht auseinanderzuhalten. Einfach weil sie sich viel mehr wie ein richtiger Browser, der einen besucht, aussehen.

Lisa: Lisa Hat es auch was damit zu tun, dass es überhaupt immer mehr Bots im Netz gibt? Also dass einfach die schiere Masse der Bots, die im Netz unterwegs sind, egal ob sie jetzt scrollen, scrapen oder was auch immer, diese Bots auch die Guten machen. Ich habe auf einer Konferenz einem Panel zugehört und hat einer der Diskutanten gesagt, das Internet wächst pro Monat fünf Prozent. Also wenn ich mir vorstelle, okay, das Internet wächst 5 Prozent und das, was im Internet passiert, wächst 5 Prozent pro Monat, dann möchte ich mir gar nicht ausmalen und die Zahl kann ich mir wahrscheinlich auch gar nicht vorstellen, weil ich aktuell gar nicht weiß, wie viele aktive Bots es aktuell im Internet gibt. Aber ich kann mir vorstellen, dass einfach es natürlich immer schwieriger wird, weil Bots, auch vielleicht crawlen oder scrapen, also einfach Webseiten durchsuchen, bestimmte Inhalte zu finden oder indizieren etc. pp. Also da gibt es ja viele verschiedene gute Bots, in Anführungsstrichen, die bestimmte Dinge machen. Dass sozusagen da ja auch unterschiedliche Skripte oder Bots unterwegs sind, die sich vielleicht nur in zwei, drei vielleicht Code-Zeilen oder sowas unterscheiden. Und macht es das schwieriger oder macht es einfach insgesamt den Einsatz schwieriger, weil halt eben die Angreifer auch auf andere Mittel wie Beispiel KI, etc. pp. zurückgreifen können.

Karsten Desler: Karsten Desler Ich sag mal sowohl als auch. ja, erstmal, gibt im Internet verdammt viele Bots. Die allermeisten davon sind aber nicht unbedingt negativ. Das heißt, sie sind jetzt nicht explizit an Angriffen beteiligt. Kann man sich selber fragen, ob man die großen, ich nenne es mal AI-Bots oder die eben benutzt werden, Content zu sammeln, da große AIs trainieren zu können. Entweder aus dem Silicon Valley oder jetzt neu aus China.

Lisa: Lisa Hmm.

Karsten Desler: Karsten Desler Ob man die jetzt für sich gut findet, ob man die bei sich auf der Webseite haben will, das sind natürlich relevante Fragen, aber ist es erstmal jetzt de facto kein Angriff, zumindest kein Angriff, wo man sagen müsste, davor muss ich mich schützen, ansonsten haben meine anderen Besucher der Webseite ein Problem, in dem das die Webseite halt nicht mehr geht. Trotzdem relevante Frage und jemand, der sich vollumfänglich mit seinem Web-Content beschäftigt, sollte da eine Antwort darauf haben. Brauche ich, will ich, dass mein Content verwendet wird, potenziell AI-Bots? Und das ist nur ein Beispiel von sehr vielen, trainiert zu werden. Also, ja, mehr Bots machen es schwieriger, indem, dass man sich halt einfach mehr Fragen oder mehr verschiedene Zusammenhänge kümmern muss. Und das ist das eine. Auf der anderen Seite für Angriffe, wie gesagt, für die allermeisten Angriffe oder für die allermeisten Angreifer, die Webseiten oder Server kaputt machen wollen, reicht was sehr Simples. Für die, sich schützen, klar, da brauchst du dann mehr. Da braucht es Headless Browser. Da gibt es einen riesen Rattenschwanz, mit was es alles braucht. Jeder kennt das, denke ich, wenn er auf eine Webseite kommt und dann erst mal da so ein Google-Button sieht, bitte klicken Sie hier. Das ist ein Capture. Manchmal muss man danach noch ausfüllen, okay, hier sind die folgenden Bilder, wo ist hier ein Hydrant oder wo ist hier eine Straßenlampe. So, das ist am Endeffekt ein Capture. Was diese Situation halt hergibt, wenn man da das erste Mal auf die Webseite geht, muss man häufig bloß eine einzelne Checkbox klicken und man kommt rein. Das sind Algorithmen, die Google oder auch andere Capture-Anbieter dort verwenden.

Lisa: Lisa Hmm.

Karsten Desler: Karsten Desler zu klassifizieren, ob ein Benutzer potenziell schlecht ist oder nicht. Nur wenn ein Benutzer schlecht ist, muss er tatsächlich ein reales Bild-Capture ausfüllen. Das heißt, was Angreifer eben halt auch tun... Entschuldigung.

Lisa: Lisa Mhm.

Lisa: Lisa Okay. Und schlecht, wenn ich da nochmal nachhaken darf, weil das vielleicht unseren Hörerinnen und Hörern nicht unbedingt klar ist, was ein schlechter Website-Besucher ist. Das bedeutet schlecht im Sinne von die IP-Adresse ist vielleicht nicht koscher oder wie, was ist denn quasi schlecht in dem Sinne als Website-Besucher?

Karsten Desler: Karsten Desler Ja, zum Beispiel. Also nicht koscher ist es auch wieder, es technisch zu beschreiben, die Wahrscheinlichkeit, dass ein einzelner Benutzer oder eine Menge Benutzer hinter dieser IP sitzen und diese Benutzer teilweise etwas Böses im Schilde führen, zum Beispiel indem sie Credit-Card-Fraud betreiben oder in irgendeiner Form halt Dinge machen, die Google nicht so gut findet. Die haben natürlich ihre Algorithmen geheim. Dementsprechend weiß man nicht so genau, was da alles mit einfließt, aber

Lisa: Lisa Mhm.

Karsten Desler: Karsten Desler Es scheint so auszusehen, Browser hinter einzelnen IP-Adressen, die teilweise auch mit unterschiedlichen Sprachen konfiguriert sind, das sind alles so Signale, die Google nimmt, zu sagen, hey, diese IP ist jetzt schlecht, verdächtig schlecht. Kann man alles dazu sagen. Naja, was diese schlechte Klassifikation aber halt auf jeden Fall auslöst, ist, dass man einen Bilder-Catcher lösen muss, wohingegen eben eine gute Klassifikation.

Lisa: Lisa Mhm.

Lisa: Lisa Verdächtig.

Lisa: Lisa Mhm.

Karsten Desler: Karsten Desler Da reicht die allermeiste Zeit. Und Klick auf die Checkbox. Das heißt aber, als Angreifer habe ich sehr großes Interesse dran, Clients zu haben, die eine gute Klassifikation von Google zu bekommen. Damit ich diese Captures entweder sehr einfach umgehen kann oder gar nicht erst sehe. Das heißt, die Dinge, die ein Angreifer richtig machen muss, auch geschützte Webseiten anzugreifen, das wird immer komplexer. Aber...

Lisa: Lisa Mhm. Exakt.

Karsten Desler: Karsten Desler Es ist nicht unmöglich. Es ist sehr gut machbar, auch eine gut geschützte Webseite mit einem aktivierten Bot-Management zu crawlen. Einfach, indem der Angreifer ein bisschen mehr Geld ausgibt.

Lisa: Lisa Mhm.

Lisa: Lisa Ja, Geld ist ein gutes Stichwort. Es gibt ja tatsächlich jede Menge DDoS-Services im Netz. Da muss man ja auch gar nicht ins Darknet absteigen. Wobei, ich folge ja Carsten Maywirth auf LinkedIn und die haben tatsächlich 2024 glaube ich auch um die 27 oder 30 DDoS-Stresse, also so Booter-Services, wo man eben DDoS-Angriffe quasi administrieren und orchestrieren kann oder kaufen kann, lahmgelegt, also die sind da schon auch immer sehr, sehr fleißig, wobei, wenn man hier irgendwie der Hydre einen Kopf abschlägt, wachsen an anderer Stelle zwei nach. Also das ist ja auch so ein bisschen, ich will jetzt nicht sagen, Sisyphusarbeit am Ende des Tages. Gleichwohl merkt man das schon auch, wenn solche Aktionen mal auf einmal 30 Stresser down genommen haben. Das spürt man schon auch in den Zahlen, die wir in unserem Netzwerk sehen, dass da so, ich will jetzt nicht sagen, ein Riesensommerloch entstanden ist, aber das macht sich schon auch bemerkbar, weil natürlich, wie du schon sagtest, die Angreifer ja daran interessiert sind, hochwertige Bordnetze zusammenzustellen, die eben nicht verdächtig oder von vornherein schlecht sind. Und das braucht natürlich auch bisschen Zeit, auch wenn es sehr, sehr einfach ist, habe ich mir jetzt kürzlich sagen lassen, mit Hilfe von einer bestimmten Webseite, wo eben sämtliche IP-Adressen von öffentlich zugänglichen Geräten im Netz zu finden sind, sich da selbst Botnetze zusammenzubauen. Also da braucht es, glaube ich, gar kein Informatikstudium, sondern nur ein gutes YouTube-Video und im Zweifel die richtigen Kontakte. Und ja, ich finde es immer, ich finde das tatsächlich sehr, sehr faszinierend. Weil neben diesen Veränderungen in der Angriffstaktik, die wir ja auch, wie gesagt, unserem Netzwerk wahrnehmen und auch immer die Veränderungen ersehen, wir haben jetzt beispielsweise eine Zeit lang sehr viele Turboangriffe gesehen. Das heißt, haben innerhalb von kürzester Zeit, haben die ziemlich schnell ihre maximale Schlagkraft sozusagen entwickelt und da haben natürlich auf der anderen Seite die Verteidigungsmaßnahmen kaum Zeit zu reagieren. da ist es schon erforderlich, dass die Gegenseite auch in Echtzeit in der Lage ist, die Angriffe zu reagieren. Was ist denn da so das Wichtigste deiner Meinung nach? Weil abgesehen von diesen sage jetzt mal, vielen Attacken, die den normalen Traffic imitieren und vielleicht auf den ersten Blick gar nicht so groß und riesig sein müssen, aber trotzdem in der Lage sind irgendwie Web-Server, Webseiten, etc. zu überlasten, gibt es ja immer noch auch super viele, so ganz bandbreitenstarke Angriffe. Müssen sich denn da Verteidigungsmaßnahmen unterscheiden oder wirken da quasi dieselben?

Karsten Desler: Karsten Desler Lange Frage, große, erste kurze Antwort. Unterscheiden die sich? Ja, müssen die sich unterscheiden? Ja. Für Bandbreiten starke Angriffe gibt es eigentlich nur ein Mittel. Irgendjemand, der mir als als Kundeschutz verkauft, muss mehr Bandbreite zur Verfügung haben, als der Angriff groß ist. Oder in Klammern andere Mechanismen bei sich aktiv haben, die Traffic-Last für ihn reduzieren. Aber im Endeffekt, wenn eine Attacke mit 10 Gigabit reinkommt und ich selber nur 1 Gigabit als Leitung habe, dann kann ich mein 1 Gigabit super filtern. Die anderen 9 Gigabit, die dadurch die Leitung wollen, kann ich nicht filtern. Das ist relativ einfach. Das heißt, für große bandbeitenstarke Attacken, ob die jetzt komplex sind oder nicht, spielt da am ersten tatsächlich keine große Rolle, denn die erste Hürde ist, ich brauche mehr als die Attacke, die da reinkommt. Wenn ich mehr habe, dann kann ich mich damit beschäftigen zu filtern. Und ja, es gibt sehr viele sehr einfach gemachte Attacken. Nimmt einfach jemand ein großes UDP. Es gibt so verschiedene Protokolle im Internet. Der allermeiste Traffic, zumindest war das früher so, ist TCP-basiert. Webseiten waren lange Zeit nur TCP-basiert. Heutzutage ist das nicht mehr ganz so, aber wir nehmen es trotzdem noch als einfache Erklärung mit. Dazu gibt es UDP-Traffic, eine leicht andere Traffic-Art mit leicht anderen Charakteristika.

Lisa: Lisa Hmm.

Karsten Desler: Karsten Desler Die Unterschiede sind im Endeffekt egal, aber UDP-Pakete kann man sehr einfach, sehr schnell schicken, kann man mit Müll füllen und der Angreifer muss sie dann halt in irgendeiner Form verarbeiten oder zumindest erstmal durch seine Leitung durchkriegen. Wenn ich jetzt einen Web-Server betreibe, der nur über TCP erreichbar ist und mir irgendeinen Angreifer UDP-Trarric schickt und wie gesagt Voraussetzung ist, ich habe genug Kapazität, kann ich einfach sagen, ich möchte bei mir keinen UDP-Traffic sehen. Das können einfache Firewalls, das können...

Lisa: Lisa Hmm.

Lisa: Lisa Mhm.

Karsten Desler: Karsten Desler Die meisten Server, das können meine Provider meistens für mich machen. Insofern ist das sehr einfach zu mitigieren und ich muss nicht viel Hirnschmalz in so etwas stecken. Schlimmer wird es, wenn die Attacken tatsächlich gut gemacht sind, auch die Hochbandbreiten, aber auch so etwas wie Slow-Loris. Slow-Loris ist jetzt so ein Exploit gewesen vor sehr vielen Jahren, das eine bestimmte Verwundbarkeit im Apache-Web Server damals ausgenutzt hat, die

Lisa: Lisa Mhm

Karsten Desler: Karsten Desler Methode, dahintersteht, ist die Slow-in-Low-Attacke. Einfach mit wenig Verkehr irgendwelche Ressourcenknappheiten auszunutzen, damit mit sehr wenig Aufwand, sehr wenig Verkehr sehr effektiv zu sein. Und klar, die werden natürlich schwieriger. Einfach weil sie, wenn man sich jetzt mit der gesamten Menge an Traffic, die guten Bots, von mir aus die nicht so guten Bots, die einen Content crawlen,

Lisa: Lisa Mhm.

Lisa: Lisa Mhm.

Karsten Desler: Karsten Desler die Google Bots, die Webseite indizieren wollen, plus die normalen Besucher. Wenn man sich diese Menge an Traffic anguckt und analysieren möchte und da eben so die ein, zwei, drei kleinen Slow Loris oder Low and Slow Attacken rauspicken will, dann ist das natürlich relativ schwierig, die zu finden, einfach weil man sehr viele andere Signale darum herum hat. Und da wird es dann halt relevant oder da wird es dann halt interessant. Und da braucht es meistens schon speziellere Technologien, einfach damit man diesen Traffic einfacher analysieren oder einfacher klassifizieren kann und dann eben eine Aussage treffen kann mit okay, der Angriffs-Traffic, der ist jetzt schlimm. Das ist das eine. Das andere ist, ja, Attacken werden schneller. Das heißt, sie erreichen sehr schnell ihre Maxima. Früher hatte man mehrere Sekunden, zweistellige Sekundenanzahle, teilweise Minuten Zeit, bevor Attacken, ich sag mal eine wirksame Größe erreicht hatten. Das ist heute auch nicht mehr so. Nicht erst im letzten Jahr, sondern auch schon die Jahre vorher gab es durchaus auch Attacken oder gibt es sehr viele Attacken, eher eine Höhe erreichen in einer Zeit, wo eine schnelle Reaktion halt einfach notwendig ist und der Mensch, der vielleicht früher ausreichend war, wenn er merkt, die Last auf meinem Web-Server steigt. Ich aktiviere jetzt irgendwas oder ich schaue durch meine Logs und filtre irgendwas und da brauche ich ein paar Minuten für. Das mag früher ausreichend gewesen sein, das ist es jetzt halt definitiv nicht mehr. Da braucht man irgendetwas, was im besten Fall in Echtzeit reagiert, genau diese Klassifizierungsschritte zu machen, eben genau den bösen Traffic auszuschließen. Ansonsten hat man eine kleine Outage im Best Case. Im Best Case eine längere Outage, aber

Lisa: Lisa Mhm.

Lisa: Lisa Mhm.

Karsten Desler: Karsten Desler Je langsamer man reagiert, desto höher ist die Chance, dass es potenziell zu einer Outage kommt. Einfach weil mehr böser Traffic dahin kommt, wo er nicht sein soll. Zu meinem Web-Server in dem Beispiel.

Lisa: Lisa Ja, und das ist ja also, meine, unsere, größte Attacke, die wir letztes Jahr gesehen haben, hatte 1,4 Terabit pro Sekunde. Also das ist ja schon, da bewegen wir uns ja schon gar nicht mehr im Gigabit-Bereich. Das ist natürlich auch was, das muss man erst mal abfedern können. Und ich finde ja auch, wie du schon sagst, es sind halt eben verschiedene Mechanismen möglich, weil entweder ich habe Attacken, die über die schiere Masse kommen oder es mogeln sich, wie du schon sagst, so ein paar unter vermeintlich legitimen Traffic. Das ist so dieses Prinzip von, ich sehe den Wald vor lauter Bäumen und gucke dann, muss dann aber genau rausfiltern, welche Bäume ich denn da irgendwie rausziehen muss, damit mein Wald nicht gefährdet ist am Ende des Tages. Und ich finde das in jedem Fall sehr, sehr spannend, weil sich das ja schon auch

Karsten Desler: Karsten Desler Okay.

Lisa: Lisa immer wieder verändert, je nachdem, wie viel Ressourcen da auch reingesteckt werden. Also es gibt ja mittlerweile auch politische Hackergruppen, die politisch motiviert sind, die so Projekte gestartet haben wie zum Beispiel DDoSia. ist ja im Grunde ist es ja ein Netzwerk oder da kann sich jeder Privatnutzer, kann da seine Rechenkapazitäten zur Verfügung stellen und kann sich da quasi den Client runterladen und dann wird man entlohnt, zwar nicht fürstlich, aber man wird zumindest entlohnt, wenn man bei der richtigen Bank ein Konto hat, dann kriegt man da quasi seinen Lohn überwiesen, wenn man im Monat XY die meisten Rechenressourcen zur Verfügung gestellt hat. Und gerade wenn ich mir so angucke, wie so die Wachstumszahlen auch im IoT-Bereich sind, wird es ja auch an Rechenkapazität und Rechenkapazität steigt ja auch, wenn das Internet 5 Prozent pro Monat wächst, muss ja auch irgendwie die Rechenleistung entsprechend wachsen und ich glaube, wir sind ja auch noch lange nicht am Ende der Fahnenstange, was Rechenleistung angeht, wenn es mal zu Quantencomputer und Ähnlichem kommt. Also das ist ja jetzt nicht mehr ganz so allzu ferne Zukunftsmusik. Wir bewegen uns da ja schon wirklich stark dazu und auch die Investitionen, jetzt gerade irgendwie im Raum schweben. Ich habe jetzt kurz, ich glaube gestern oder vorgestern, da habe ich die Headline gesehen, dass irgendwie Elon Musk und Konsortium irgendwie 100 Milliarden für ChatGPT quasi für OpenAI geboten hat und ich dachte so, wow, 100 Milliarden für eine Firma, die offiziell noch nicht einen Cent verdient hat, Respekt und Anerkennung. Also das ist einfach was, das sind ja Summen, da durch die Welt geistern, die sind ja enorm. Und für all diese Dinge muss es ja Rechenleistung geben. Das heißt aber auch, dass natürlich Angreifer ebenfalls auf bestimmte Rechenleistungsressourcen zugreifen können und das wird ihnen an der einen oder anderen Stelle leicht gemacht. Meinst du, das wird noch mal eine Veränderung geben in Zukunft, dass da irgendwie quasi die Schutzmechanismen größer werden, also dass es für Angreifer nicht mehr so einfach wird, solche Rechenleistungen zuzugreifen. ich denke da an sowas wie Cyber Resilience Act und Security by Design. Das soll ja auch eben kommen, dass quasi die Sicherheit von IoT-Geräten schon im IoT-Gerät selbst während des Prozesses der Herstellung gewährleistet wird. Und ich bin nicht ganz so sicher, ob das am Ende des Tages wirklich so umgesetzt wird oder ob's dann eben neue Schlupflöcher gibt. Wie siehst du das?

Karsten Desler: Karsten Desler Ja, also erst mal vorweg, dass sich einzelne Menschen an DDoS-Attacken, Hacktivismus beteiligen, nicht neu. Das gab es mit der Service, die damals mit Low Orbit Iron Cannon, das hat Anonymous aufgesetzt, das ging damals, glaube ich, Wikileaks, Firmen, die gegen Wikileaks etwas hatten.

Lisa: Lisa Mhm.

Karsten Desler: Karsten Desler zu DDoSen. Das Konzept ist nicht neu, das gibt es schon sehr lange. Ich weiß auch nicht mehr wann, das war gefühlt 2005, 2010. Ja, irgendwie sowas. Guck mal, Low Earth, Low Earth, Iron Cannon hieß das Ding. Naja, auf jeden Fall, das gab es, das gibt es auch weiterhin. Ja, Hacktivism ist relevant. Gerade in Zeiten von Krieg, da bist du natürlich dann vielleicht schon im state sponsort-Bereich, aber nicht nur. Da gibt es halt einfach

Lisa: Lisa okay.

Lisa: Lisa Das recherchiere ich und pack den Link in die Show Notes. Mach ich.

Karsten Desler: Karsten Desler Macht, die auf andere Macht prallt und die eben halt auch vom Cyberspace nicht nur keine Rücksicht nimmt, sondern tatsächlich halt auch sehr aktiv dort ist. Also ja, das gibt es ganz klar. Erhöhte Rechenleistung, Quantencomputer. Ein Quantencomputer ist so ein Running Gag mit, genau, Infusionsforschung. Ist immer nur fünf Jahre entfernt. Das aber schon seit den 90ern. Ich übertreibe. Aber im Endeffekt, da soll erstmal was kommen.

Lisa: Lisa Mmh... Mmh...

Lisa: Lisa Ja, ja.

Karsten Desler: Karsten Desler Und selbst wenn die Quantencomputer dann da sind, sind das keine, boah jetzt haben wir auf einmal alle Rechenleistungen der Welt, sondern nee, Quantencomputer sind in bestimmten Dingen sehr gut, in anderen Dingen sehr schlecht. Und ja, es gibt eine bestimmte Form der Kryptographie, die für Quantencomputer leichter, mit Abstand leichter zu lösen ist als mit konventionellen Computern. Aber da muss man sich erstmal keine großen Sorgen machen. Wir werden erleben, wann und ob das tatsächlich passiert.

Lisa: Lisa Ja.

Karsten Desler: Karsten Desler was die Auswirkungen sind, da können wir jetzt eh nichts machen. Prinzipiell ist die Aussage aber schon. Ja, es wird sehr, sehr, sehr viel Geld auf die IT geworfen. Ob das jetzt auf der einen Seite für Open AI oder künstliche Intelligenz oder das Training von neuronalen Netzen. Ob das Geld dahinwandert, da kann man Nvidia und anderen AI

Lisa: Lisa Mmh.

Karsten Desler: Karsten Desler Kartenherstellern oder AI-Trainingsdaten-Herstellern sehr viel Geld in Rachen werfen, eben seine eigene künstliche Intelligenz trainieren zu können oder eben coole Projekte oder vielleicht auch nicht ganz so coole Projekte aus dem Rüstungsbereich, die eben AI-getrieben besser, stärker, größer gemacht werden. Also da würde ich auch erstmal aufpassen. Was man aber generell sagen kann, ist ja, was vor

Lisa: Lisa Hmm.

Karsten Desler: Karsten Desler ich sag mal fünf Jahre noch ein Terabit an maximaler Kapazität war, ist jetzt halt fünf. Also die größten Attacken, es im letzten Jahr gab, waren, glaube ich, jenseits von fünf Terabit pro Sekunde. da verlässt man, so was, ja, und da verlässt man halt dann wirklich den Bereich, den man in irgendeiner Form noch manuell oder selber handeln kann. 100 Gigabit, ja. 500 Gigabit für große Netzwerke, ja. Ein Terabit vielleicht auch noch.

Lisa: Lisa Mhm.

Lisa: Lisa Ja, ja, 5,6 oder so.

Karsten Desler: Karsten Desler Gerade wenn es vielleicht Videostreaming geht und sehr viel normale Kapazität angefragt wird, Aber jenseits von 1TB haben wirklich die aller, aller, allerwenigsten. Und ich glaube, da reichen Finger und vielleicht 10 die Menge an Netzwerken, ich sag mal, Endkunden, Slash, Firmen, Netzwerke, die nicht auf irgendeine Art Netzwerkdienst spezialisiert sind, die das wirklich an Kapazität zur Verfügung haben. Und ja, scheitern wir dann halt an Hürde 1. Und das ist absolut problematisch.

Lisa: Lisa Mmh.

Lisa: Lisa Ja, zum Abschluss, weil die Zeit rennt ja an uns vorbei. Zum Abschluss unserer Podcast-Folge würde mich noch interessieren, wenn du jetzt eine Glaskugel hättest und da reinguckst, wie geht es deiner Meinung nach für die DDoS-Dinos weiter?

Karsten Desler: Karsten Desler Das ist eine gute Frage. sag mal, da habe ich heute schon mehrfach gesagt, stärker, besser, größer, mehr. Also es wird in allen Dimensionen größer werden. Die langsamen die Attacken, jetzt schnell sind, werden nur noch schneller. Die Attacken, die jetzt groß sind, werden nur noch größer. Die Botnetze, die jetzt schon groß sind, werden auch nur noch größer. Denn ja, es gibt Secure by Design und es gibt eine ganze Menge an gesetzgeberischen Initiativen, die Situation weltweit besser zu machen. Aber ich sage jetzt mal böse, was interessiert einen kleinen Router-Hersteller aus Shenzhen, was in Berlin für Gesetze gemacht werden oder in Europa für Gesetze gemacht werden? Das ist erst mal relativ uninteressant. Und ja, klar, es gibt Mechanismen, dass man sagen kann, wenn du nicht zertifiziert bist, dann wird vielleicht auch dein Import nicht zugelassen. Zeigt das mal, macht das mal, setzt das mal dann gucken wir, ob das tatsächlich einen Effekt hat. Meiner Meinung nach und meiner Erfahrung nach, was wir so die letzten Jahre gesehen haben, hat das nämlich leider keinen Effekt. Das ist das eine. Das andere ist, selbst das schützt einen nicht. Es gibt genug, in Anführungszeichen, gute Hersteller, die man namentlich kennt von dem man vielleicht selber auch was bei sich zu Hause stehen hat, die in die gleiche Falle gelaufen sind, die Standardpasswörter in ihren kleinen Routern drin haben, die Sicherheitslücken in ihren Routern drin haben. ja, vielleicht gibt es Updates, hoffentlich gibt es Updates, für viele gibt es Updates, aber für manche halt nicht. Und schon wieder hat man eine Reihe an Bots, die ein Angreifer problemlos in sein eigenes Botnetz integrieren kann. Also dieser Kampf gegen Windmühlen.

Lisa: Lisa Mh-mh.

Lisa: Lisa Ja, das stimmt.

Karsten Desler: Karsten Desler diese Sisyphusarbeit, dass man halt auf allen einzelnen Komponenten am Endeffekt alles richtig machen muss und der Angreifer eben nur ein oder zwei oder dreimal ein Verfehlen der Verteidiger feststellen hat müssen oder feststellen konnte und dementsprechend eben die die die Weißes hacken konnte. Das ist so und ich glaube ich befürchte, das wird so bleiben. Dementsprechend ja in einer Dimension noch ein bisschen mehr.

Lisa: Lisa Ja, vielen Dank. Ich glaube tatsächlich, dass sich die Dimensionen verändern werden in sämtliche Richtungen. wenn wir jetzt so an Dreidimensionalität denken, dann geht es wahrscheinlich eher auch in Richtung Vierdimensionalität. Also es wird ja nicht weniger Device verkauft am Ende des Tages und es gibt ja auch schon zig Devices und wir hatten jetzt tatsächlich kürzlich auch einen Angriff, wo wir sehen konnten, dass unfassbar alte, nicht alte Geräte, aber Geräte mit Windows XP und so genutzt wurden, bei dem Angriff quasi teilnehmen nehmen. das ist ja schon was, also das heißt ja, dass es da auch Botnetze gibt da draußen, die eben noch, ich will jetzt nicht sagen, auf Windows 3.11 laufen, aber das ist ja durchaus auch möglich, weil viel mehr braucht es dafür ja auch nicht am Ende des Tages, wie du schon gesagt hast.

Karsten Desler: Karsten Desler Natürlich.

Lisa: Lisa DDoS-Attacken sind eben simpel und deswegen sind sie immer noch so erfolgreich, weil sie einfach auch nicht verschwinden und funktionieren. Vielen Dank Karsten für deine Zeit, für deine Ausführungen. Ich finde es sehr interessant und sehr spannend. Ich bin wie gesagt auch an vorderster Front, wenn es darum geht, herauszufinden, wie es mit den DDoS-Dinos weitergeht. Meiner Meinung nach sind sie nach wie vor auf ein Erfolgskurs und das wird vermutlich auch noch eine Weile so bleiben. Also... Vielen Dank, dass ihr wieder mit dabei wart und falls euch die Folge gefallen hat, lasst gerne ein Like da, abonniert den Podcast, empfehlt ihn euren Freunden, Familien und Verwandten, Arbeitskollegen, wem auch immer. Und wie immer bleibt mir an dieser Stelle nur sagen, Keep calm and get protected. Bis zum nächsten Mal. Macht's gut. Ciao.