Achtung! Achtung! Hackeralarm für Device 2656! Achtung! Achtung! Hackeralarm für Device 2656! Angriff auf Device 2656!
Das REOS-Administration Center bei München überwacht und managt via Datenleitungen die Rechenzentren seiner Kunden. 24 Stunden am Tag, 365 Tage im Jahr sind die Mitarbeiter auf dem Sprung, um Systemabstürze, Hardwareausfälle oder Softwareblockaden zu verhindern, um Virenangriffe, Hackerattacken und Datenspionage abzuwehren.
Alarm kommt – Country? Wo steht dieses System, in welchem Land, die Startzeit, ab welcher Uhrzeit fängt das an? War da was, hat da jemand was geändert?
Routinierte Reaktion des REOS-Center-Managers Jörg Schröder. Was passiert gerade mit dem Computer? Wo kommt der Fehler oder Angriff her? Kann er zurückverfolgt werden? Wann hat er angefangen?
Kommt ein Alarm von einem Kunden, ein kurzer Blick des Mitarbeiters reicht und ich kann die Analyse fahren.
Noch nie standen Computersysteme unter so heftigem Dauerbeschuss wie im Jahr 2003. In den ersten acht Monaten zählten Informatiker 9.500 neue Virenprofile. Woche für Woche – schätzen Fachleute – steigt die Zahl um einige hundert. Gleichzeitig klettert die Zahl von Systemabstürzen steil nach oben. Probleme bereiten zudem die immer beliebter werdenden lokalen drahtlosen Netzwerke, in der Technikersprache Wireless LAN genannt.
Die Situation in Deutschland, aber auch im europäischen Ausland, ist dergestalt, dass die allermeisten Netze noch ungeschützt sind. Da finden wir zwar starke Schutzmaßnahmen, es zeigt sich aber, dass diese Schutzmaßnahmen nicht richtig gewartet sind, nicht richtig bedient werden und deswegen Schwächen beinhalten,…
…sagt der Tübinger Sicherheitsberater Sebastian Schreiber. Und Dr. Udo Helmbrecht, Präsident des Bonner Bundesamtes für Sicherheit in der Informationstechnik, ergänzt.
Was uns sicherlich zur Zeit Probleme bereitet ist das Thema Viren und Würmer, die Diskussion mit dem Blaster-Wurm ist ja bekannt, und da aus meiner Sicht aus zwei Richtungen. Das eine ist, Anwender mehr zu sensibilisieren, dahingehend, dass sie bekannte Sicherheitspatches herunter laden und Sicherheitseinstellungen an ihren Geräten vornehmen, und auf der anderen Seite, dass die Hersteller hier bei dem Thema Würmer - Microsoft – mehr dahin gehen, Geräte so auszuliefern, dass sie im Auslieferungszustand sichere Grundeinstellungen für den Anwender haben.
Besonders übel sind Trojanische Pferde, einfache Programme, die sich auf einem Rechner einnisten und von dort aus aktiv werden. Würmer schleichen sich in Netzwerke ein, um sich von dort weiter zu verbreiten. Trojaner haben ihr Ziel schon erreicht, sobald sie den ersten Rechner befallen haben.
Ein Trojaner ist nicht immer sofort zu erkennen, weil er sich auch still verhalten kann, über Monate, über Jahre hinweg, und an irgendeiner Stelle, zu irgendeinem Zeitpunkt eine Verbindung von innen nach außen aufbaut, und sich sogar der Benutzerkennung bedienen kann, um beispielsweise sich gegenüber allen Sicherheitskomponenten so darzustellen, als sei er der Benutzer. Viele Unternehmen gehen her und machen Sicherungsmechanismen von außen nach innen, vergessen aber, dass es mindestens eine ebenso große Gefahr ist von innen nach außen. Denn die Informationen, die geschützt werden sollen, die liegen ja innen. Und wenn ich es schaffe, einen Mechanismus zu installieren, der die Daten von innen nach außen transportiert, dann habe ich eigentlich mit allen Sicherheitsmechanismen wenig erreicht.
Guido Gluschke, Sicherheitsberater aus Ettlingen bei Karlsruhe. Neben Viren, Würmern, Trojanischen Pferden und Hackerangriffen auf Rechnernetzwerke, nutzen Datenspione mitunter aber auch ganz simple Wege: Getarnt als Computer-Techniker gehen sie zur Vorstandssekretärin, klemmen einen Keylogger – eine kleine Computerwanze – an die Tastatur und verschwinden wieder. Ein paar Tage später holt der Techniker das Kästchen mit den gespeicherten Daten wieder ab. Allerdings sieht Guido Gluschke nicht nur pessimistisch in die Zukunft.
Technisch gesehen kann ich selbstverständlich einen Weg zurückverfolgen, wenn ich eben über sämtliche Systeme Bescheid weiß. Eine IP-Adresse ist eine logische Adresse. Und die Frage ist: Kann ich einen physikalischen Aufenthaltsort zuordnen. Das kann ich nur, wenn zwei Dinge erfüllt sind: wenn eben über diesen gesamten Weg Logfiles generiert werden, die mir sagen, über diesen Punkt ist diese Adresse gekommen, und zum anderen wenn es dann noch Regierungen gibt, die es zulassen, dass man diese Logfiles auswertet und wo eben nicht die Gesetzgebung oder andere politische Interessen dagegen stehen und solche Leute im Prinzip geschützt werden.
Achtung! Achtung! Angriff über Port 135, Angriff über Port 135! Instabiler Systemzustand! Instabiler Systemzustand! Achtung! Achtung! Angriff über Port 135!
Kirchheim bei München im REOS-Administration-Center. Jörg Schröder und zwei seiner Sicherheitsanalysten studieren die Notfallanzeige. Ein Beamer wirft Alarmtabellen auf die Projektionswand. Aufgeteilt in Zeilen und Spalten ist dort aufgeführt, welche Systeme in einem kritischen Zustand sind, also nicht normal arbeiten und welche möglichen Ursachen dafür in Frage kommen.
Das ist im Prinzip unser Haupttool, wo jetzt auch in sämtlichen Centern mit gearbeitet wird. Dort erscheinen die Alarme, die reinkommen. Ich möchte nur einen bestimmten Bereich Kunden sehen. Ich bin für diesen Bereich zuständig und sehe alle Alarme, die reinkommen, die werden dort aufgenommen, werden von Mitarbeitern akzeptiert und dann weiterbearbeitet.
Beim aktuellen Alarm ist der Ort des Geschehens 400 Kilometer entfernt: Das Rechenzentrum einer großen Bank wird von außen attackiert. Hacker versuchen sich Zugang als Systemadministrator zu verschaffen und probieren dabei eine Liste von über 100 möglichen Passwörtern aus. Gebannt schauen die Mitarbeiter in der hermetische abgeriegelten REOS-Bunker auf die Projektionswand und verfolgen jeden Schritt der Eindringlinge.
Wir fahren eine Überwachungssoftware beim Kunden, die dort Fehler erkennt, die Unregelmäßigkeiten erkennt, die Informationen über das System, wenn ungewöhnliche Sachen auftreten, direkt zu uns senden. In dieser Alarmqueue wird im Prinzip alles überwacht, was bei den Kunden zur Zeit anfällt.
Achtung! Achtung! Angriff über Port 135, Angriff über Port 135! Instabiler Systemzustand! Instabiler Systemzustand! Achtung! Achtung! Angriff über Port 135!
Computernetze von Unternehmen und Behörden sind das vorrangige Ziel von Hackern; private Netze holen allerdings in der "Gunst" immer stärker auf. Lokale drahtlose Netzwerke werden immer beliebter, vor allem immer preiswerter. In Einfamilienhäusern werden etwa vier oder fünf Rechner vernetzt, allerdings reicht die Elektromagnetische Strahlung über die Grenzen des Hauses hinaus bis auf öffentlichen Grund und Boden. Mit entsprechender Technik kann sich von dort jeder in das lokale Netzwerk einloggen. Wie weit verbreitet private Wireless LAN-Netzwerke sind, kann übrigens jeder mit einfachstem Equipment überprüfen. Mittlerweile sind sogar komplette Karten von Städten erstellt worden, die alle verfügbaren Access Points enthalten – inklusive der Information, ob sie im WEP-Modus – also verschlüsselt – arbeiten oder eben unverschlüsselt.
Das Equipment ist einfach ein Notebook mit Wireless LAN-Karte, zusätzlich ein GPS-Empfänger, der die Ortung dieser Access Points ermöglicht und ein nachträgliches Eintragen in eine Kartenübersicht erlaubt,...
…und mit diesem Equipment – sagt Robert Rasten vom Bundesamt für Sicherheit in der Informationstechnik, Bonn – fährt man im Auto durch die Straßen und staunt, wie viele Netzwerke unverschlüsselt arbeiten. Aber selbst wenn die mitgelieferte Verschlüsselung genutzt würde wirklichen Schutz bietet auch sie nicht.
WEP verwendet einen Algorithmus, der durch sein Design angreifbar ist für Experten, es hat sich aber gezeigt, dass diese Experten teilweise Tools im Internet veröffentlichen, um Angriffe genau gegen diese Designschwächen zu fahren. Zum anderen ist es bei den meisten so, Plug and Play, Wireless LAN wird gekauft, eingesteckt, ohne überhaupt diese schwachen Algorithmen einzuschalten. Die meisten werden ausgeliefert im Betriebsmodus ohne Verschlüsselung, es gibt eine Netzwerkkennung, mit der man zumindest ausschließen kann, dass andere Karten, die diese Kennung nicht kennen, im Netz anmelden. Bei einer Einstellung auf "any" wird jeder Verbindungsversuch akzeptiert von einem Access Point, das heißt jeder der draußen auf der Straße mit einer Wireless LAN-Karte herumläuft, kann an dem Netz teilnehmen,...
…und jede Menge Schaden anrichten. Hacker können unbefugt Daten herunterladen, sie können auf Kosten anderer Leute im Internet surfen, unter Umständen vernichten sie unersetzbare Datenschätze. Ein möglicher Schutz vor ungebetenem Netz-Besuch sind so genannte Tunnellösungen.
Sie haben eine Gateway hinter dem die Server stehen und der Client verbindet sich nur mit diesem Gateway. Die handeln dynamisch Schlüssel aus, sie haben dann eine verschlüsselte Verbindung, hier spricht man von dem Tunnel, durch diese verschlüsselte Verbindung werden die Daten geschickt. Das ist dann für den Angreifer nicht mehr wahrnehmbar. Er sieht zwar verschlüsselte Pakete über die Leitung gehen, kann deren Inhalt aber nicht mehr wahrnehmen.
Ende 2003 soll ein neuer Standard die meisten Probleme beseitigen: Er heißt 802.11i und gilt unter Fachleuten als gute, vor allem schnelle Lösung. Bis sie greift, soll eine "mittelgute" Lösung – so Robert Rasten – die gröbsten Probleme beseitigen.
Es wird dort weiter WEP als Verschlüsselungsalgorithmus verwendet, es findet dort aber eine Authentisierung statt, das heißt ein Wireless LAN Client muss, bevor er sich am Netzverkehr beteiligen kann, am Access Point authentisieren. Und zusätzlich wird es ein Schlüsselmanagement geben. Sie haben im Moment die Situation, dass es einen festen Schlüssel gibt, der auf den Endgeräten und im Access Point eingetragen wird, da gibt es auch kein Schlüsselmanagement, über das man die Schlüssel verteilen kann, das heißt, jeder geht an die Geräte und trägt von Hand den Schlüssel ein.
Mit dem neuen Standard werden zukünftig die Schlüssel automatisch generiert und dynamisch gehandelt.
Es ist natürlich immer so, dass Sie beim Unsetzen eines Standards in ein Produkt, die Möglichkeit haben, Fehler zu machen, irgendwelche Lücken bei der Implementierung noch zu schaffen, das muss man einfach sehen. Aber grundsätzlich ist der Standard eine vernünftige Lösung, der die Sicherheit auf jeden Fall erheblich erhöhen wird.
Achtung! Achtung! Sicherheitsmaßnahmen gestartet. Zugang 174 wird abgeschaltet! Zugang 174 wird abgeschaltet! Achtung! Achtung! Sicherheitsmassnahmen gestartet!
Eine Analyse des Internetverkehrs im REOS-Administration-Center hat ergeben, dass gleich an mehreren Stellen im Web Angriffe auf Rechner stattfinden. Teilweise attackiert sie jemand mit Passwortlisten, teilweise werden viele Tausend Mails gleichzeitig auf Netzknotenrechner abgeschossen. In mehreren Internet-Abschnitten ist es bereits zu Ausfällen von Knotenrechnern gekommen. Jörg Schröder kommt zum Schluss: Hier nutzt jemand eine Welle von Netzattacken aus, um die Sicherheitsmechanismen und die Zugangskontrolle beim Banken-Rechenzentrum zu testen. So lange die Eindringlinge nur Zugangsrechner attackiert und noch keinen Schaden anrichten, wollen die Sicherheitsexperten ihre Aktivitäten zurückverfolgen, um sie dingfest zu machen. Noch haben Münchner Administratoren die Lage im Banken-Rechnzentrum unter Kontrolle.
Hier braucht man heute auch keinen Monitor mehr, sondern man kann das über eine serielle Schnittstelle machen und das an einen Terminalserver anschließen. Das heißt, überall, wo wir eine Remote Verbindung haben existiert auch ein Terminalserver, der es uns ermöglich, uns in den Terminalserver einzuloggen und die Konsole abzubilden des entsprechenden Clusters.
Achtung! Achtung! Sicherheitsmassnahmen gestartet. Zugang 174 wird abgeschaltet! Zugang 174 wird abgeschaltet! Achtung! Achtung! Sicherheitsmassnahmen gestartet!
Viren und Würmer halten die Sicherheitsexperten ganz schön auf Trab. Durchschnittlich vier bis fünfmal am Tag gibt es in einem mittelgroßen Unternehmen Virenalarm. Inzwischen haben sich viele Sicherheitsexperten auf die Virenabwehr spezialisiert. Taucht ein neuer Virus auf, muss schnell geklärt werden, welche Sicherheitslücke im Kommunikationsprotokoll, welche Schwachstelle im Betriebssystem er ausnutzt. Die Datenbank mit seinen Profilen und den Schwachstellen, die von den Viren ausgenutzt werden, ist deshalb von ganz zentraler Bedeutung für Antivirensoftware. Armin Stephan koordiniert bei Computer Associates die Virenbekämpfung.
Allein für uns arbeiten über 2000 Security Spezialisten daran, diese Datenbank ständig auf dem aktuellsten Stand zu halten, und auch die Unternehmen in diesem Bereich tauschen Informationen aus, so dass sichergestellt ist, dass neu erkante Schwachstellen schnell in diese Datenbank eingepflegt werden und diese eigentlich immer auf dem aktuellsten Stand gehalten werden.
Bisher vergehen in der Regel vier Stunden, bis eine Schwachstelle in allen Einzelheiten analysiert ist, die von einem Virus attackiert wurde. Erst dann können die Computer-Virologen den Antibiotika-Cocktail zusammenstellen, der gegen den Virus verabreicht werden soll. In dieser Zeit können Viren eine Menge Unheil anrichten. Deshalb arbeiten die Experten weltweit an einem Informationsverbund, um die genaue Angriffsweise eines Virus schneller aufzuklären und die attackierten Sicherheitslöcher schneller zu schließen. Die Datenbankrechner der Virenforscher tauschen deshalb ständig Profile und Schwachstellenanalysen aus. Armin Stephan.
Diese Datenbank, z.B. ein Antivirenprodukt, d.h. die ständig neu auftauchenden Schwachstellen müssen neu eingepflegt werden, das heißt diese Datenbank muss permanent auf dem aktuellsten Stand gehalten, was über einen automatischen Updatemechanismus, wie bei einem Antivirenprodukt beispielsweise, geschieht.
Die beispielsweise auf einem Sicherheitsrechner, einer sogenannten Firewall, eingesetzten Virenscanner vergleichen die Struktur aller eintreffenden Dateien mit den bekannten Virenprofilen. Jeder Virenscanner ist dabei nur so gut, wie seine Virenprofile aktuell sind. Das ist in vielen kleinen Betrieben und bei zahlreichen Privatanwendern noch ein großes Problem. Die Virenscanner sind veraltet, die Reparatursoftware für Sicherheitslöcher, durch die Viren immer wieder hindurchschlüpfen, wird gar nicht erst installiert. Auch deshalb steigt die Zahl der Virenalarme so enorm an. Sicherheitsexperte Armin Stephan und seine Kollegen wollen das Problem mit Softwareagenten in den Griff bekommen. Die sollen die aktuellen Virenprofile und die Patch genannte Reparatursoftware zu den Rechnern der Anwender bringen und dort installieren, ohne dass der Computernutzer davon überhaupt etwas mitbekommt.
Achtung! Achtung! Gegenmaßnamen eingeleitet! Gegenmaßnamen eingeleitet! Vorschaltrechner isoliert und vom Netznehmen. Achtung! Gegenmaßnahmen eingeleitet!
Die Passwortliste der Hacker hat nicht den gewünschten Erfolg gebracht. Sie versuchen jetzt über einen zweiten Zugang vom sogenannten Vorschaltrechner auf das Hauptsystem zu kommen. Und an dieser Stelle ziehen die Sicherheitsexperten im Administration Center buchstäblich den Stecker: Sie fahren den betroffenen Vorschaltrechner herunter, isolieren den vom Hacker benutzten Zugang und leiten gleichzeitig die anderen Transaktionen auf die verbliebenen Vorschaltrechner um. Diese Methode hat den Vorteil, dass die Eindringlinge nicht einfach nur herausgeworfen wird, also keinen Schaden am System anrichten kann, sondern dass durch die Analyse des "eingefrorenen" Systemzustandes des Vorschaltrechners ermittelt werden kann, woher die Eindringlinge kommen. Die Netzknotenrechner der Administrations-Center erzeugen nämlich automatisch so genannte Logfiles. Hier wird genau protokolliert, welche Verbindungen zwischen den einzelnen Knotenrechnern bestanden. Im Internet lässt sich diese Recherche nicht so einfach vornehmen, doch im Hauseigenen Netz der Administrations-Center zählt sie zum Standard.
Wir fahren diese Administration nicht über das Internet. Wir könnten sie über das Internet fahren. Technisch möglich, kein Problem, wir können auch einen Kanal über das Internet fahren. Wir haben eine eigene Infrastruktur. Diese Infrastruktur ist aufgebaut weltweit, die verbindet praktisch die verschiedenen Punkte in der Welt, so dass ich eine weltumspannendes Netz habe. Das ist ein eigenes Netz unabhängig vom Internet. Und dieses Netz ist natürlich mit vielen Standorten redundant aufgebaut.
Achtung! Achtung! Gegenmaßnamen eingeleitet! Gegenmaßnamen eingeleitet! Vorschaltrechner isoliert und vom Netznehmen. Achtung! Gegenmaßnahmen eingeleitet!
Hacker, Viren und Würmer sind nicht die einzigen Sicherheitsrisiken. Immer bedrohlicher wird die Gefahr, dass der Menschen die unüberschaubaren Computersysteme nicht mehr beherrscht. Er weiß schon lange nicht mehr, was auf den Leiterplatten der großen Serverfarmen vor sich geht. Die Aktionen und Berechnungen der Computersysteme sind nicht mehr nachvollziehbar. Professor Heinrich Mayr, Präsident der Gesellschaft für Informatik, fordert deshalb.
Wenn wir informationstechnische Systeme einsetzen, dann ist Sicherheit auf alle Fälle erforderlich, um dem Nutzer dieser Systeme nicht nur zu garantieren, dass beispielsweise seine Daten zuverlässig bearbeite werden, nicht missbraucht werden, nicht weitergegeben werden, sondern dass auch, wen wir es mit steuernden Systemen zu tun haben, dass keine Fehlfunktionen passieren.
Die Häufigkeit von Fehlfunktionen nimmt zu. Und die Folgen sind dramatisch. Da berechnet ein Steuerungscomputer bei der Bestrahlung von krebskranken Patienten die Strahlendosis falsch. Mehrere Patienten sterben. Da schalten Steuerungscomputer für das Stromnetz im Störungsfall einfach Leitungen ab, statt durch Umschalten das Stromnetz zu entlasten. Eine mögliche Ursache der Blackouts der vergangenen Wochen in den USA und Europa. Professor Heinrich Mayr.
Zunächst einmal war es ja ein Baum in der Schweiz, der das ganze ausgelöst hat. Daraufhin waren es dann Softwaresysteme, die mit der Lage nicht zurechtkamen. Ich glaube, hier liegt das Problem woanders, dass solche Situationen nicht vorhergesehen wurden, und daher, das ist ja bekannt, eigentlich der Fehler bereits in der Anforderungsanalyse lag, also im Requirement engineering, das hier nicht genau genug alle möglichen Situationen ermittelt worden sind und durchgespielt worden sind.
Schon in der Softwareentwicklung liegen die Risiken. Schwachstellen der Computersysteme werden bewusst in Kauf genommen, um immer schneller neue Software auf den Markt zu bringen. Sicherheitsexperte Armin Stephan.
Jedes Unternehmen heutzutage steht unter einem Druck, Produkte möglichst schnell nach draußen zu bringen, wodurch teilweise die Qualität leidet. Das ist sicherlich eines der Probleme.
Dabei muss Software gar nicht komplex, unüberschaubar und mit einem Hang zur Fehleranfälligkeit entwickelt werden, meint der Informatiker Heinrich Mayr.
Es wird ja immer von der hohen Komplexität von Software geredet, und ich denke, wenn Sie den Begriff Komplexität sich näher ansehen, dann heißt das Varietät und Konnektivität, das heißt also auf der einen Seite Vielzahl von Komponenten, auf der anderen Seite eine starke Vernetzung von Komponenten. Und dieses zu beherrschen, bedeutet, wir müssen die Komponenten kleiner machen, so dass wir sie besser durchblicken können, dass sie transparenter werden, eben weniger komplex sind, und uns dann überlegen, wie wir solche Komponenten zusammenfassen.
Die Methoden dafür sind bereits entwickelt. Vor allem Simulationssysteme, die sehr schnell mögliche Fehlerquellen ermitteln, und Checklisten, die genau fest legen, wie die Software in welcher Situation zu reagieren hat, spielen hier eine Rolle. Doch viele Softwareentwickler scheuen den Testaufwand.
Wir predigen das, wenn man das genau nimmt, seit den sechziger Jahren, dass wir das so tun müssten. Die Praxis zeigt aber, das es nicht getan wird, in manchen Bereichen sogar ganz bewusst. Aber besonders dann, wenn es um lebenskritische, um sicherheitsrelevante und um große komplexe Softwaresysteme geht, dann müssen wir endlich anfangen, diese Tugenden ernst zu nehmen und die Methoden, die wir großenteils zur Verfügung haben, auch einsetzen.
Ein stärkeres ingenieurwissenschaftliches Vorgehen bei der Entwicklung von Software fordert deshalb Informatikerpräsident Heinrich Mayr. Unter den Entwicklern ist das nicht unumstritten. Nicht wenige frönen dem Ideal des genialen kreativen Bastlers und programmieren an den Anforderungen der Anwender vorbei. Die aber will Mayr stärker in den Mittelpunkt rücken.
Und hierauf müssen wir unsere Softwareentwicklungsprozesse anpassen, und natürlich dann auch den Abgleich der Schnittstellen zwischen Komponenten genauer betrachten, um eben sicher zu stellen, dass wir nur solche Dinge miteinander in Beziehungen setzen, miteinander verbinden oder zu Baugruppen zusammensetzen, die auch zueinander passen.
Achtung! Achtung! Hackerangriff abgewehrt! Achtung! Alle Systeme laufen stabil! Hackerangriff ist abgewehrt.
Die REOS-Mitarbeiter klopfen sich auf die Schulter, die abgeschalteten Rechner des Kunden werden wieder hochgefahren. Im Administrations-Centers hat man sogar noch einige Erkenntnisse über die weltweit ablaufenden Internet-Attacken sammeln können, die sie ihren Kollegen vom Internet Computer Emergency Response Center weitergegeben. So lassen sich etwa viele der durchs Netz schwirrenden Mail-Bomben einsammeln und entschärfen. Schnelles, aber überlegtes Handeln ist dabei oberstes Gebot – was im besten Fall der Jörg Schröders Kunde kaum bewerkt.
Der Kunde kriegt ne kurze Information: Das und das ist gemacht worden, und der Betrieb läuft weiter. Das heißt, letztlich der Endkunde hat nicht einmal gemerkt, dass etwas passiert ist in dem Fall.
Im Betonbau bei München kehrt Normalität zurück. Frischer Kaffee steht auf dem Tisch, lautlos rucken die Daten der großen Exeltabelle über die Projektionswand. Es ist Dienstag, der 5. August 2003, 17 Uhr 30. Keine besonderen Vorkommnisse. Keine?
Achtung! Achtung! Denial of Service Attack in Hamburg! Denial of Service Attack in Hamburg! Denial of Service Attack in Hamburg! Achtung! Achtung! Denial of Service. Attack in Hamburg!
Das REOS-Administration Center bei München überwacht und managt via Datenleitungen die Rechenzentren seiner Kunden. 24 Stunden am Tag, 365 Tage im Jahr sind die Mitarbeiter auf dem Sprung, um Systemabstürze, Hardwareausfälle oder Softwareblockaden zu verhindern, um Virenangriffe, Hackerattacken und Datenspionage abzuwehren.
Alarm kommt – Country? Wo steht dieses System, in welchem Land, die Startzeit, ab welcher Uhrzeit fängt das an? War da was, hat da jemand was geändert?
Routinierte Reaktion des REOS-Center-Managers Jörg Schröder. Was passiert gerade mit dem Computer? Wo kommt der Fehler oder Angriff her? Kann er zurückverfolgt werden? Wann hat er angefangen?
Kommt ein Alarm von einem Kunden, ein kurzer Blick des Mitarbeiters reicht und ich kann die Analyse fahren.
Noch nie standen Computersysteme unter so heftigem Dauerbeschuss wie im Jahr 2003. In den ersten acht Monaten zählten Informatiker 9.500 neue Virenprofile. Woche für Woche – schätzen Fachleute – steigt die Zahl um einige hundert. Gleichzeitig klettert die Zahl von Systemabstürzen steil nach oben. Probleme bereiten zudem die immer beliebter werdenden lokalen drahtlosen Netzwerke, in der Technikersprache Wireless LAN genannt.
Die Situation in Deutschland, aber auch im europäischen Ausland, ist dergestalt, dass die allermeisten Netze noch ungeschützt sind. Da finden wir zwar starke Schutzmaßnahmen, es zeigt sich aber, dass diese Schutzmaßnahmen nicht richtig gewartet sind, nicht richtig bedient werden und deswegen Schwächen beinhalten,…
…sagt der Tübinger Sicherheitsberater Sebastian Schreiber. Und Dr. Udo Helmbrecht, Präsident des Bonner Bundesamtes für Sicherheit in der Informationstechnik, ergänzt.
Was uns sicherlich zur Zeit Probleme bereitet ist das Thema Viren und Würmer, die Diskussion mit dem Blaster-Wurm ist ja bekannt, und da aus meiner Sicht aus zwei Richtungen. Das eine ist, Anwender mehr zu sensibilisieren, dahingehend, dass sie bekannte Sicherheitspatches herunter laden und Sicherheitseinstellungen an ihren Geräten vornehmen, und auf der anderen Seite, dass die Hersteller hier bei dem Thema Würmer - Microsoft – mehr dahin gehen, Geräte so auszuliefern, dass sie im Auslieferungszustand sichere Grundeinstellungen für den Anwender haben.
Besonders übel sind Trojanische Pferde, einfache Programme, die sich auf einem Rechner einnisten und von dort aus aktiv werden. Würmer schleichen sich in Netzwerke ein, um sich von dort weiter zu verbreiten. Trojaner haben ihr Ziel schon erreicht, sobald sie den ersten Rechner befallen haben.
Ein Trojaner ist nicht immer sofort zu erkennen, weil er sich auch still verhalten kann, über Monate, über Jahre hinweg, und an irgendeiner Stelle, zu irgendeinem Zeitpunkt eine Verbindung von innen nach außen aufbaut, und sich sogar der Benutzerkennung bedienen kann, um beispielsweise sich gegenüber allen Sicherheitskomponenten so darzustellen, als sei er der Benutzer. Viele Unternehmen gehen her und machen Sicherungsmechanismen von außen nach innen, vergessen aber, dass es mindestens eine ebenso große Gefahr ist von innen nach außen. Denn die Informationen, die geschützt werden sollen, die liegen ja innen. Und wenn ich es schaffe, einen Mechanismus zu installieren, der die Daten von innen nach außen transportiert, dann habe ich eigentlich mit allen Sicherheitsmechanismen wenig erreicht.
Guido Gluschke, Sicherheitsberater aus Ettlingen bei Karlsruhe. Neben Viren, Würmern, Trojanischen Pferden und Hackerangriffen auf Rechnernetzwerke, nutzen Datenspione mitunter aber auch ganz simple Wege: Getarnt als Computer-Techniker gehen sie zur Vorstandssekretärin, klemmen einen Keylogger – eine kleine Computerwanze – an die Tastatur und verschwinden wieder. Ein paar Tage später holt der Techniker das Kästchen mit den gespeicherten Daten wieder ab. Allerdings sieht Guido Gluschke nicht nur pessimistisch in die Zukunft.
Technisch gesehen kann ich selbstverständlich einen Weg zurückverfolgen, wenn ich eben über sämtliche Systeme Bescheid weiß. Eine IP-Adresse ist eine logische Adresse. Und die Frage ist: Kann ich einen physikalischen Aufenthaltsort zuordnen. Das kann ich nur, wenn zwei Dinge erfüllt sind: wenn eben über diesen gesamten Weg Logfiles generiert werden, die mir sagen, über diesen Punkt ist diese Adresse gekommen, und zum anderen wenn es dann noch Regierungen gibt, die es zulassen, dass man diese Logfiles auswertet und wo eben nicht die Gesetzgebung oder andere politische Interessen dagegen stehen und solche Leute im Prinzip geschützt werden.
Achtung! Achtung! Angriff über Port 135, Angriff über Port 135! Instabiler Systemzustand! Instabiler Systemzustand! Achtung! Achtung! Angriff über Port 135!
Kirchheim bei München im REOS-Administration-Center. Jörg Schröder und zwei seiner Sicherheitsanalysten studieren die Notfallanzeige. Ein Beamer wirft Alarmtabellen auf die Projektionswand. Aufgeteilt in Zeilen und Spalten ist dort aufgeführt, welche Systeme in einem kritischen Zustand sind, also nicht normal arbeiten und welche möglichen Ursachen dafür in Frage kommen.
Das ist im Prinzip unser Haupttool, wo jetzt auch in sämtlichen Centern mit gearbeitet wird. Dort erscheinen die Alarme, die reinkommen. Ich möchte nur einen bestimmten Bereich Kunden sehen. Ich bin für diesen Bereich zuständig und sehe alle Alarme, die reinkommen, die werden dort aufgenommen, werden von Mitarbeitern akzeptiert und dann weiterbearbeitet.
Beim aktuellen Alarm ist der Ort des Geschehens 400 Kilometer entfernt: Das Rechenzentrum einer großen Bank wird von außen attackiert. Hacker versuchen sich Zugang als Systemadministrator zu verschaffen und probieren dabei eine Liste von über 100 möglichen Passwörtern aus. Gebannt schauen die Mitarbeiter in der hermetische abgeriegelten REOS-Bunker auf die Projektionswand und verfolgen jeden Schritt der Eindringlinge.
Wir fahren eine Überwachungssoftware beim Kunden, die dort Fehler erkennt, die Unregelmäßigkeiten erkennt, die Informationen über das System, wenn ungewöhnliche Sachen auftreten, direkt zu uns senden. In dieser Alarmqueue wird im Prinzip alles überwacht, was bei den Kunden zur Zeit anfällt.
Achtung! Achtung! Angriff über Port 135, Angriff über Port 135! Instabiler Systemzustand! Instabiler Systemzustand! Achtung! Achtung! Angriff über Port 135!
Computernetze von Unternehmen und Behörden sind das vorrangige Ziel von Hackern; private Netze holen allerdings in der "Gunst" immer stärker auf. Lokale drahtlose Netzwerke werden immer beliebter, vor allem immer preiswerter. In Einfamilienhäusern werden etwa vier oder fünf Rechner vernetzt, allerdings reicht die Elektromagnetische Strahlung über die Grenzen des Hauses hinaus bis auf öffentlichen Grund und Boden. Mit entsprechender Technik kann sich von dort jeder in das lokale Netzwerk einloggen. Wie weit verbreitet private Wireless LAN-Netzwerke sind, kann übrigens jeder mit einfachstem Equipment überprüfen. Mittlerweile sind sogar komplette Karten von Städten erstellt worden, die alle verfügbaren Access Points enthalten – inklusive der Information, ob sie im WEP-Modus – also verschlüsselt – arbeiten oder eben unverschlüsselt.
Das Equipment ist einfach ein Notebook mit Wireless LAN-Karte, zusätzlich ein GPS-Empfänger, der die Ortung dieser Access Points ermöglicht und ein nachträgliches Eintragen in eine Kartenübersicht erlaubt,...
…und mit diesem Equipment – sagt Robert Rasten vom Bundesamt für Sicherheit in der Informationstechnik, Bonn – fährt man im Auto durch die Straßen und staunt, wie viele Netzwerke unverschlüsselt arbeiten. Aber selbst wenn die mitgelieferte Verschlüsselung genutzt würde wirklichen Schutz bietet auch sie nicht.
WEP verwendet einen Algorithmus, der durch sein Design angreifbar ist für Experten, es hat sich aber gezeigt, dass diese Experten teilweise Tools im Internet veröffentlichen, um Angriffe genau gegen diese Designschwächen zu fahren. Zum anderen ist es bei den meisten so, Plug and Play, Wireless LAN wird gekauft, eingesteckt, ohne überhaupt diese schwachen Algorithmen einzuschalten. Die meisten werden ausgeliefert im Betriebsmodus ohne Verschlüsselung, es gibt eine Netzwerkkennung, mit der man zumindest ausschließen kann, dass andere Karten, die diese Kennung nicht kennen, im Netz anmelden. Bei einer Einstellung auf "any" wird jeder Verbindungsversuch akzeptiert von einem Access Point, das heißt jeder der draußen auf der Straße mit einer Wireless LAN-Karte herumläuft, kann an dem Netz teilnehmen,...
…und jede Menge Schaden anrichten. Hacker können unbefugt Daten herunterladen, sie können auf Kosten anderer Leute im Internet surfen, unter Umständen vernichten sie unersetzbare Datenschätze. Ein möglicher Schutz vor ungebetenem Netz-Besuch sind so genannte Tunnellösungen.
Sie haben eine Gateway hinter dem die Server stehen und der Client verbindet sich nur mit diesem Gateway. Die handeln dynamisch Schlüssel aus, sie haben dann eine verschlüsselte Verbindung, hier spricht man von dem Tunnel, durch diese verschlüsselte Verbindung werden die Daten geschickt. Das ist dann für den Angreifer nicht mehr wahrnehmbar. Er sieht zwar verschlüsselte Pakete über die Leitung gehen, kann deren Inhalt aber nicht mehr wahrnehmen.
Ende 2003 soll ein neuer Standard die meisten Probleme beseitigen: Er heißt 802.11i und gilt unter Fachleuten als gute, vor allem schnelle Lösung. Bis sie greift, soll eine "mittelgute" Lösung – so Robert Rasten – die gröbsten Probleme beseitigen.
Es wird dort weiter WEP als Verschlüsselungsalgorithmus verwendet, es findet dort aber eine Authentisierung statt, das heißt ein Wireless LAN Client muss, bevor er sich am Netzverkehr beteiligen kann, am Access Point authentisieren. Und zusätzlich wird es ein Schlüsselmanagement geben. Sie haben im Moment die Situation, dass es einen festen Schlüssel gibt, der auf den Endgeräten und im Access Point eingetragen wird, da gibt es auch kein Schlüsselmanagement, über das man die Schlüssel verteilen kann, das heißt, jeder geht an die Geräte und trägt von Hand den Schlüssel ein.
Mit dem neuen Standard werden zukünftig die Schlüssel automatisch generiert und dynamisch gehandelt.
Es ist natürlich immer so, dass Sie beim Unsetzen eines Standards in ein Produkt, die Möglichkeit haben, Fehler zu machen, irgendwelche Lücken bei der Implementierung noch zu schaffen, das muss man einfach sehen. Aber grundsätzlich ist der Standard eine vernünftige Lösung, der die Sicherheit auf jeden Fall erheblich erhöhen wird.
Achtung! Achtung! Sicherheitsmaßnahmen gestartet. Zugang 174 wird abgeschaltet! Zugang 174 wird abgeschaltet! Achtung! Achtung! Sicherheitsmassnahmen gestartet!
Eine Analyse des Internetverkehrs im REOS-Administration-Center hat ergeben, dass gleich an mehreren Stellen im Web Angriffe auf Rechner stattfinden. Teilweise attackiert sie jemand mit Passwortlisten, teilweise werden viele Tausend Mails gleichzeitig auf Netzknotenrechner abgeschossen. In mehreren Internet-Abschnitten ist es bereits zu Ausfällen von Knotenrechnern gekommen. Jörg Schröder kommt zum Schluss: Hier nutzt jemand eine Welle von Netzattacken aus, um die Sicherheitsmechanismen und die Zugangskontrolle beim Banken-Rechenzentrum zu testen. So lange die Eindringlinge nur Zugangsrechner attackiert und noch keinen Schaden anrichten, wollen die Sicherheitsexperten ihre Aktivitäten zurückverfolgen, um sie dingfest zu machen. Noch haben Münchner Administratoren die Lage im Banken-Rechnzentrum unter Kontrolle.
Hier braucht man heute auch keinen Monitor mehr, sondern man kann das über eine serielle Schnittstelle machen und das an einen Terminalserver anschließen. Das heißt, überall, wo wir eine Remote Verbindung haben existiert auch ein Terminalserver, der es uns ermöglich, uns in den Terminalserver einzuloggen und die Konsole abzubilden des entsprechenden Clusters.
Achtung! Achtung! Sicherheitsmassnahmen gestartet. Zugang 174 wird abgeschaltet! Zugang 174 wird abgeschaltet! Achtung! Achtung! Sicherheitsmassnahmen gestartet!
Viren und Würmer halten die Sicherheitsexperten ganz schön auf Trab. Durchschnittlich vier bis fünfmal am Tag gibt es in einem mittelgroßen Unternehmen Virenalarm. Inzwischen haben sich viele Sicherheitsexperten auf die Virenabwehr spezialisiert. Taucht ein neuer Virus auf, muss schnell geklärt werden, welche Sicherheitslücke im Kommunikationsprotokoll, welche Schwachstelle im Betriebssystem er ausnutzt. Die Datenbank mit seinen Profilen und den Schwachstellen, die von den Viren ausgenutzt werden, ist deshalb von ganz zentraler Bedeutung für Antivirensoftware. Armin Stephan koordiniert bei Computer Associates die Virenbekämpfung.
Allein für uns arbeiten über 2000 Security Spezialisten daran, diese Datenbank ständig auf dem aktuellsten Stand zu halten, und auch die Unternehmen in diesem Bereich tauschen Informationen aus, so dass sichergestellt ist, dass neu erkante Schwachstellen schnell in diese Datenbank eingepflegt werden und diese eigentlich immer auf dem aktuellsten Stand gehalten werden.
Bisher vergehen in der Regel vier Stunden, bis eine Schwachstelle in allen Einzelheiten analysiert ist, die von einem Virus attackiert wurde. Erst dann können die Computer-Virologen den Antibiotika-Cocktail zusammenstellen, der gegen den Virus verabreicht werden soll. In dieser Zeit können Viren eine Menge Unheil anrichten. Deshalb arbeiten die Experten weltweit an einem Informationsverbund, um die genaue Angriffsweise eines Virus schneller aufzuklären und die attackierten Sicherheitslöcher schneller zu schließen. Die Datenbankrechner der Virenforscher tauschen deshalb ständig Profile und Schwachstellenanalysen aus. Armin Stephan.
Diese Datenbank, z.B. ein Antivirenprodukt, d.h. die ständig neu auftauchenden Schwachstellen müssen neu eingepflegt werden, das heißt diese Datenbank muss permanent auf dem aktuellsten Stand gehalten, was über einen automatischen Updatemechanismus, wie bei einem Antivirenprodukt beispielsweise, geschieht.
Die beispielsweise auf einem Sicherheitsrechner, einer sogenannten Firewall, eingesetzten Virenscanner vergleichen die Struktur aller eintreffenden Dateien mit den bekannten Virenprofilen. Jeder Virenscanner ist dabei nur so gut, wie seine Virenprofile aktuell sind. Das ist in vielen kleinen Betrieben und bei zahlreichen Privatanwendern noch ein großes Problem. Die Virenscanner sind veraltet, die Reparatursoftware für Sicherheitslöcher, durch die Viren immer wieder hindurchschlüpfen, wird gar nicht erst installiert. Auch deshalb steigt die Zahl der Virenalarme so enorm an. Sicherheitsexperte Armin Stephan und seine Kollegen wollen das Problem mit Softwareagenten in den Griff bekommen. Die sollen die aktuellen Virenprofile und die Patch genannte Reparatursoftware zu den Rechnern der Anwender bringen und dort installieren, ohne dass der Computernutzer davon überhaupt etwas mitbekommt.
Achtung! Achtung! Gegenmaßnamen eingeleitet! Gegenmaßnamen eingeleitet! Vorschaltrechner isoliert und vom Netznehmen. Achtung! Gegenmaßnahmen eingeleitet!
Die Passwortliste der Hacker hat nicht den gewünschten Erfolg gebracht. Sie versuchen jetzt über einen zweiten Zugang vom sogenannten Vorschaltrechner auf das Hauptsystem zu kommen. Und an dieser Stelle ziehen die Sicherheitsexperten im Administration Center buchstäblich den Stecker: Sie fahren den betroffenen Vorschaltrechner herunter, isolieren den vom Hacker benutzten Zugang und leiten gleichzeitig die anderen Transaktionen auf die verbliebenen Vorschaltrechner um. Diese Methode hat den Vorteil, dass die Eindringlinge nicht einfach nur herausgeworfen wird, also keinen Schaden am System anrichten kann, sondern dass durch die Analyse des "eingefrorenen" Systemzustandes des Vorschaltrechners ermittelt werden kann, woher die Eindringlinge kommen. Die Netzknotenrechner der Administrations-Center erzeugen nämlich automatisch so genannte Logfiles. Hier wird genau protokolliert, welche Verbindungen zwischen den einzelnen Knotenrechnern bestanden. Im Internet lässt sich diese Recherche nicht so einfach vornehmen, doch im Hauseigenen Netz der Administrations-Center zählt sie zum Standard.
Wir fahren diese Administration nicht über das Internet. Wir könnten sie über das Internet fahren. Technisch möglich, kein Problem, wir können auch einen Kanal über das Internet fahren. Wir haben eine eigene Infrastruktur. Diese Infrastruktur ist aufgebaut weltweit, die verbindet praktisch die verschiedenen Punkte in der Welt, so dass ich eine weltumspannendes Netz habe. Das ist ein eigenes Netz unabhängig vom Internet. Und dieses Netz ist natürlich mit vielen Standorten redundant aufgebaut.
Achtung! Achtung! Gegenmaßnamen eingeleitet! Gegenmaßnamen eingeleitet! Vorschaltrechner isoliert und vom Netznehmen. Achtung! Gegenmaßnahmen eingeleitet!
Hacker, Viren und Würmer sind nicht die einzigen Sicherheitsrisiken. Immer bedrohlicher wird die Gefahr, dass der Menschen die unüberschaubaren Computersysteme nicht mehr beherrscht. Er weiß schon lange nicht mehr, was auf den Leiterplatten der großen Serverfarmen vor sich geht. Die Aktionen und Berechnungen der Computersysteme sind nicht mehr nachvollziehbar. Professor Heinrich Mayr, Präsident der Gesellschaft für Informatik, fordert deshalb.
Wenn wir informationstechnische Systeme einsetzen, dann ist Sicherheit auf alle Fälle erforderlich, um dem Nutzer dieser Systeme nicht nur zu garantieren, dass beispielsweise seine Daten zuverlässig bearbeite werden, nicht missbraucht werden, nicht weitergegeben werden, sondern dass auch, wen wir es mit steuernden Systemen zu tun haben, dass keine Fehlfunktionen passieren.
Die Häufigkeit von Fehlfunktionen nimmt zu. Und die Folgen sind dramatisch. Da berechnet ein Steuerungscomputer bei der Bestrahlung von krebskranken Patienten die Strahlendosis falsch. Mehrere Patienten sterben. Da schalten Steuerungscomputer für das Stromnetz im Störungsfall einfach Leitungen ab, statt durch Umschalten das Stromnetz zu entlasten. Eine mögliche Ursache der Blackouts der vergangenen Wochen in den USA und Europa. Professor Heinrich Mayr.
Zunächst einmal war es ja ein Baum in der Schweiz, der das ganze ausgelöst hat. Daraufhin waren es dann Softwaresysteme, die mit der Lage nicht zurechtkamen. Ich glaube, hier liegt das Problem woanders, dass solche Situationen nicht vorhergesehen wurden, und daher, das ist ja bekannt, eigentlich der Fehler bereits in der Anforderungsanalyse lag, also im Requirement engineering, das hier nicht genau genug alle möglichen Situationen ermittelt worden sind und durchgespielt worden sind.
Schon in der Softwareentwicklung liegen die Risiken. Schwachstellen der Computersysteme werden bewusst in Kauf genommen, um immer schneller neue Software auf den Markt zu bringen. Sicherheitsexperte Armin Stephan.
Jedes Unternehmen heutzutage steht unter einem Druck, Produkte möglichst schnell nach draußen zu bringen, wodurch teilweise die Qualität leidet. Das ist sicherlich eines der Probleme.
Dabei muss Software gar nicht komplex, unüberschaubar und mit einem Hang zur Fehleranfälligkeit entwickelt werden, meint der Informatiker Heinrich Mayr.
Es wird ja immer von der hohen Komplexität von Software geredet, und ich denke, wenn Sie den Begriff Komplexität sich näher ansehen, dann heißt das Varietät und Konnektivität, das heißt also auf der einen Seite Vielzahl von Komponenten, auf der anderen Seite eine starke Vernetzung von Komponenten. Und dieses zu beherrschen, bedeutet, wir müssen die Komponenten kleiner machen, so dass wir sie besser durchblicken können, dass sie transparenter werden, eben weniger komplex sind, und uns dann überlegen, wie wir solche Komponenten zusammenfassen.
Die Methoden dafür sind bereits entwickelt. Vor allem Simulationssysteme, die sehr schnell mögliche Fehlerquellen ermitteln, und Checklisten, die genau fest legen, wie die Software in welcher Situation zu reagieren hat, spielen hier eine Rolle. Doch viele Softwareentwickler scheuen den Testaufwand.
Wir predigen das, wenn man das genau nimmt, seit den sechziger Jahren, dass wir das so tun müssten. Die Praxis zeigt aber, das es nicht getan wird, in manchen Bereichen sogar ganz bewusst. Aber besonders dann, wenn es um lebenskritische, um sicherheitsrelevante und um große komplexe Softwaresysteme geht, dann müssen wir endlich anfangen, diese Tugenden ernst zu nehmen und die Methoden, die wir großenteils zur Verfügung haben, auch einsetzen.
Ein stärkeres ingenieurwissenschaftliches Vorgehen bei der Entwicklung von Software fordert deshalb Informatikerpräsident Heinrich Mayr. Unter den Entwicklern ist das nicht unumstritten. Nicht wenige frönen dem Ideal des genialen kreativen Bastlers und programmieren an den Anforderungen der Anwender vorbei. Die aber will Mayr stärker in den Mittelpunkt rücken.
Und hierauf müssen wir unsere Softwareentwicklungsprozesse anpassen, und natürlich dann auch den Abgleich der Schnittstellen zwischen Komponenten genauer betrachten, um eben sicher zu stellen, dass wir nur solche Dinge miteinander in Beziehungen setzen, miteinander verbinden oder zu Baugruppen zusammensetzen, die auch zueinander passen.
Achtung! Achtung! Hackerangriff abgewehrt! Achtung! Alle Systeme laufen stabil! Hackerangriff ist abgewehrt.
Die REOS-Mitarbeiter klopfen sich auf die Schulter, die abgeschalteten Rechner des Kunden werden wieder hochgefahren. Im Administrations-Centers hat man sogar noch einige Erkenntnisse über die weltweit ablaufenden Internet-Attacken sammeln können, die sie ihren Kollegen vom Internet Computer Emergency Response Center weitergegeben. So lassen sich etwa viele der durchs Netz schwirrenden Mail-Bomben einsammeln und entschärfen. Schnelles, aber überlegtes Handeln ist dabei oberstes Gebot – was im besten Fall der Jörg Schröders Kunde kaum bewerkt.
Der Kunde kriegt ne kurze Information: Das und das ist gemacht worden, und der Betrieb läuft weiter. Das heißt, letztlich der Endkunde hat nicht einmal gemerkt, dass etwas passiert ist in dem Fall.
Im Betonbau bei München kehrt Normalität zurück. Frischer Kaffee steht auf dem Tisch, lautlos rucken die Daten der großen Exeltabelle über die Projektionswand. Es ist Dienstag, der 5. August 2003, 17 Uhr 30. Keine besonderen Vorkommnisse. Keine?
Achtung! Achtung! Denial of Service Attack in Hamburg! Denial of Service Attack in Hamburg! Denial of Service Attack in Hamburg! Achtung! Achtung! Denial of Service. Attack in Hamburg!