In den letzten Wochen ist eine Zunahme von Angriffen auf IT Infrastrukturen zu verzeichnen. Besonders häufig sind Brute-Force Attacken auf Dienste wie ssh oder ftp zu sehen. Auch hat sich die Anzahl der Port-Scans erhöht, sowie Angriffe auf Webseiten bzw. deren CMS.
Die Angriffe sind zwar nicht besonders neu, aber die Anzahl und die Intensität haben deutlich zugenommen. In den meisten Fällen waren es IP Adressen aus Asien von denen aus die Angriffe ausgeführt wurden. Aber bei den vielen Botnetzen die aktuell aktiv sind, müssen die wirklichen Angreifer nicht aus dieser Region selbst stammen. Es können auch nur die Systeme dort für diesen Zweck missbraucht worden sein.
Die Angriffe selbst haben aber eine neue Qualität erreicht. Es werden nicht nur einfach allgemeine Angriffe gegen Dienste wie zum Beispiel ftp durchgeführt. Die Angriffe sind deutlich spezialisierter. Meldet sich zum Beispiel ein Microsoft ftp-Dienst, dann findet die erste Attacke mit dem Benutzernamen „Administrator“ statt. Meldet sich hingegen ein OpenSource ftp, dann wird der „Administrator“ nicht verwendet. Auch bei Angriffen gegen ssh wird nicht einfach nach offenen TCP Port 22 gesucht. Es geht dem Angriff ein Port-Scan voraus, der ssh-Dienste auf beliebigen Ports sucht, um dann den Angriff zu starten. Diese Angriffe unterscheiden sich auch je nach ssh-Version und richten sich dann ganz gezielt gegen die Schwachstellen der jeweiligen Version.
Grundsätzlich tut es nichts zur Sache wo die Angriffe letztendlich herkommen, es müssen die Infrastrukturen besser geschützt werden. Wie Abhängig und Empfindlich diese Infrastrukturen sind, zeigen auch die jüngsten DDoS Attacken auf Paypal, Mastercard und Postfinance in Zusammenhang mit WikiLeaks. Diese Angriffe sind zwar politisch motiviert, zeigen aber wie schnell und effektiv sie sind. Die Erreichbarkeit der Webseiten war für Tage gestört oder sie waren gar nicht zu erreichen.
Betrachtet man alleine die Zunahme der Angriffe wird eins ganz klar, diese Angriffe werden in Zukunft nicht weniger sondern mehr werden. Daher ist es jetzt umso wichtiger das Sicherheitsniveau der eigenen Infrastruktur realistisch einzuschätzen, Schwachstellen zu erkennen und diese zu beseitigen. Auch muss man sich im Klaren darüber sein, wie hoch die Abhängigkeit von einer funktionieren IT ist.
Die bevorstehenden Feiertage bieten Angreifern oft noch Vorteile. Zum einem sind sehr häufig sie IT Abteilungen nicht besetzt oder haben nur einen Notbetrieb. Das hat dann zur Folge, dass Angriffe unbemerkt bleiben und ggf. wichtige Updates nicht installiert werden können. Dies verschafft dann den potentiellen Angreifern mehr Zeit die Angriffe durchzuführen ohne dass es jemanden auffällt.
Unabhängig wie sicher die eigene IT Infrastruktur aktuell ist, in 2011 wird deren Absicherungen wieder zu den Herausforderungen einer jeden IT Abteilung gehören. Es gilt nach wie vor; Sicherheit ist kein statisches Konstrukt, sondern ein dynamischer Prozess der ständig an die Gegebenheiten angepasst werden muss.