In den USA und Teilen Europas und Japans haben Unbekannte mit massenhaften Anfragen das Angebot eines großen Webdienstleisters gestört - Twitter, Netflix, Paypal, Spotify und Amazon waren am Freitag für Millionen Menschen über Stunden nicht erreichbar. Einmal mehr hat der Angriff gezeigt, wie anfällig die Infrastruktur des Netzes ist. Experten warnen, die Angriffe würden immer komplexer, insbesondere die USA sind so kurz vor der Präsidentschaftswahl alarmiert, weil hier teilweise auch über das Netz gewählt werden kann.

Die Methode des aktuellen Angriffs war an sich brutal einfach und nicht neu: Es handelte sich um einen sognannten Distributed-Denial-of-Service-Angriff (DDoS-Attacke) auf die Firma Dyn. Kriminelle brachten den Internetdienst und damit zahlreiche Websites durch massenhafte Anfragen zum Zusammenbruch. Eigentlich hat die IT-Sicherheitsbranche Methoden entwickelt, wie sie mit solchen Angriffen fertig werden kann. Doch die Attacke vom Freitag war zu wuchtig.

Wie gelingen die Massenangriffe?

Die Täter nutzen geschickt massenhaft internetfähige Haushaltsgeräte: IP-Kameras, Drucker, Router, Babyfone, TV-Festplatten-Receiver. Schwachstellen in der Software der Geräte machen es möglich, dass Angreifer ihre Rechenleistung kapern und daraus Netzwerke aus Millionen Geräten knüpfen, die sie zentral steuern - sogenannte Botnets. Die Besitzer der Geräte merken davon meist nichts.

Angriffe auf Anbieter wie Dyn haben dabei besonders schwere Folgen: Die Firma stellt neben vielen weiteren Firmen das sogenannte Domain Name System (DNS) bereit, das die Kommunikation zwischen Computern und Internetservern ermöglicht. Dazu übersetzt es Webadressen wie "www.spiegel.de" in IP-Adressen. Ist das System überlastet, kann nicht aufs Internet zugegriffen werden. In der Regel liegen dann gleich mehrere Webseiten lahm oder sind nur schwer zugänglich.

Wie groß ist das Problem?

Bisher nutzten Angreifer vor allem gekaperte PC für ihre Angriffe, doch mit der Ausbreitung der vernetzen Heimelektronik wachsen ihre Möglichkeiten: Milliarden solcher Geräte sind bereits im Alltag aktiv und Dutzende Milliarden werden folgen. Und obwohl Experten schon lange vor Sicherheitslücken warnen, legen viele Anbieter vor allem günstiger Geräte immer noch keinen Wert auf ausreichende Schutzmaßnahmen.

Viele Besitzer vergessen zudem, die vorab eingestellten Passwörter zu ändern. Das erleichtert Angreifern die Arbeit. Sie können zum Beispiel einfach sämtliche bekannte Standard-Logins durchprobieren, um ein Gerät zu kapern. Experten rechnen daher mit immer heftigeren Angriffen - die Botnetze wachsen.

Der Trend zeigt sich bereits jetzt: "Die Anzahl, Dauer und Komplexität der Attacken nehmen zu", sagte Kyle York von Dyn der "New York Times" . Die Störung vom Freitag war auf drei Angriffe zurückzuführen und zog sich über Stunden, weil der Dienst nicht gegen die Anfrageflut ankam.

Der erste Angriff begann um 13 Uhr deutscher Zeit (7 Uhr Ortszeit) an der Ostküste der USA. Später gab es auch Angriffe im Großraum London. Amazon berichtete auch von Störungen in Deutschland und Japan. Der letzte Angriff erfolgte nach Angaben von Dyn um 17 Uhr (Ortszeit).

Wer steckt hinter dem Angriff?

Der IT-Sicherheitsexperte Brian Krebs berichtet  unter Verweis auf die Sicherheitsfirma Flashpoint, dass die Malware Mirai zumindest in Teilen für den Angriff verantwortlich sei. Sie zielt vor allem auf ungesicherte Geräte im Internet der Dinge. Dieselbe Malware sei auch bei einem massiven DDoS-Angriff auf seine eigene Seite im September zum Einsatz gekommen, schreibt Krebs. Es ist dennoch unklar, wer der Urheber des aktuellen gewaltigen DDoS-Angriffs über das Mirai-Botnet ist.

Krebs' Web-Dienstleister Akamai erklärte damals, man habe noch nie eine Attacke in dieser Dimension gesehen. Das sei ein schlechtes Vorzeichen für die Zukunft. Obwohl Akamai in der Abwehr von DDoS-Attacken erfahren ist, war die Firma nicht in der Lage, Krebs' Website zu schützen.

Das mächtige DDoS-Tool erregte bereits vor wenigen Tagen Aufsehen in der IT-Sicherheitsszene. Damals postete  ein Nutzer mit dem Namen "Anna-senpai" den Sourcecode für das Mirai-Tool online. Demzufolge hat Mirai in Hochzeiten rund 380.000 internetfähige Geräte für seine Angriffe zweckentfremdet. Zum Zeitpunkt der Veröffentlichung des Codes seien es noch 300.000 gewesen. Wie viele Geräte am aktuellen Angriff beteiligt waren, ist unklar.

Warum sich der der mutmaßliche Urheber von Mirai zur Veröffentlichung entschlossen hat, ist ebenfalls nicht bekannt. Denkbar wäre, dass die Strafverfolgungsbehörden ihm auf den Fersen waren. Er könnte daher versucht haben, den Code der Malware breiter zu streuen - der Urheber wäre dann nicht mehr der einzige im Besitz des Codes. Durch die Veröffentlichung des Codes könnten auch Trittbrettfahrer dazu befähigt worden sein, ebenfalls die Mirai-Malware zu nutzen.

Warum erregt der Angriff gerade so viel Aufsehen?

Der Angriff vom Freitag wird nun vom FBI und dem US-Heimatschutzministerium untersucht. Auch wenn es sich bei der DDoS-Attacke nicht um einen Hackerangriff im engeren Sinne handelt, da nicht in ein System eingedrungen wurde: Die Stimmung in den USA ist im Hinblick auf die in wenigen Wochen anstehenden Präsidentenwahl und nach den jüngsten Hackerangriffen- unter anderem auf den Parteivorstand der Demokraten - angespannt. In diese Gesamtlage platzte nun die DDoS-Attacke. Sie gilt eigentlich als wenig ausgefeiltes Werkzeug von Internet-Kriminellen, entfaltete aber dennoch enorme Wucht.

Manche Wahlexperten befürchten sogar, dass Hackerangriffe die Wahl in den USA beeinflussen könnten. 31 Staaten und der District of Columbia in Washington ermöglichen es Soldaten und Bürgern in Übersee, online zu wählen. In Alaska ist das jedem Bürger gestattet. Verunsicherung könnte dazu führen, dass diese Wähler zum Teil auf ihr Recht verzichten, so die Befürchtung. Gerade in Staaten, wo das Ergebnis traditionell knapp ausfällt, könnte das entscheidend für den gesamten Ausgang der Wahl sein.