Das Ziel von einem Denial-of-Service- (DoS-)Angriff ist es, den Zugang zur einer Ressource für den Benutzer zu verhindern. Üblicherweise geschieht dies mittels einer vorübergehenden Unterbrechung oder dem Aussetzen von Diensten. DoS-Angriffe sind in Datensystemen und Netzwerken bereits gute Bekannte und werden jetzt zunehmend auch für Angriffe auf Telekommunikationssysteme genutzt. Diese Angriffe werden als Telefony-Denial-of-Service (TDoS) bezeichnet. Im Gespräch mit Netzpalaver erklärt Mathias Hein in seiner Funktion als Geschäftsführer der IKT-Consulting LG GmbH aus Wien die Grundzüge dieser Angriffsvariante.
Netzpalaver: Wie funktioniert ein klassischer TDoS-Angriff?
Mathias Hein: Die Angreifer nutzen kostengünstige VoIP-Tools, um einen massiven Anrufangriff auf die Telefon- und IVR-Systeme eines Unternehmens zu starten und damit werden diese mit künstlich erzeugten Anrufen bombardiert. Diese Brute-Force-Angriffe legen die Sprachdienste des angegriffenen Unternehmens lahm und verhindern, dass das angegriffene Unternehmen seinen regulären Geschäften nachgehen kann. Auch können diese Attacken dazu genutzt werden, die traditionellen Sicherheits- oder Anti-Betrugsmaßnahmen zu umgehen.
Netzpalaver: Hat jemals ein DoS-Angriff auf klassische TDM-Systemen stattgefunden?
Hein: Ja, sicher! TDoS-Angriffe treten unabhängig von der verwendeten Technologie des Opfers auf. VoIP- und TDM-Sprachsysteme sind gleichermaßen verwundbar. Mehrere Auto-Dialer wurden in Verbindung mit TDM-Systemen genutzt, um entsprechende Angriffe durchzuführen. Es gibt auch Fälle von Faxangriffen. Die VoIP-Technologie eignet sich im Gegensatz zur TDM-Technik für den Einsatz viel effizienterer Angriffswerkzeuge.
Netzpalaver: Worin unterscheidet sich ein TDoS auf einem IP-System von einem TDM-System?
Hein: Ein IP-basierter DoS-Angriff kann nicht nur die Telefonkanäle stören, sondern kann auch die Datenkanäle durch den Verbrauch der Netzwerkbandbreite erheblich beeinflussen.
Netzpalaver: Wie erzeugt man solche TDoS-Angriffe?
Hein: Von einigen sozialen Aktivisten wurden in der Vergangenheit einige Auto-Dialer-Angriffe, die alle gleichzeitig die gleiche Nummer anriefen, realisiert, aber diese sind bei weitem nicht so effektiv wie Software-generierte VoIP-Angriffe.
Netzpalaver: Was ist die Ursache für eine solche Art von Angriffen?
Hein: Bestimmte Gruppen oder Aktivisten stören ganz simpel gesagt, die von ihnen ungeliebten Unternehmen und verursachen bei diesen durch die Auswirkungen eines TDoS-Angriffs erhebliche finanzielle Schäden. Es gibt auch bereits ein Gerücht, das besagt, dass ein Call-Center einen TDoS-Angriff gegen einen Wettbewerber genutzt hat.
Der klassische Betrug ist ein weiterer Motivator für den Einsatz von TDoS-Angriffen. Der Angreifer übermittelt gleichzeitig eine Flut gefälschter Anrufe an ein Call-Center oder einen Kundenservice. Im Hintergrund werden gleichzeitig Social-Engineering-Angriffe gegen die Contact-Center-Agenten gestartet. Die Betrüger nutzen dabei das entstandene Chaos und versuchen Firmen- oder Kundenkontoinformationen zu stehlen.
Netzpalaver: Welche Industrien leiden momentan am meisten unter TDoS-Angriffen?
Hein: Alle modernen Call-Center leiden unter diesen Angriffen. Die entsprechenden Abteilungen von Ministerien, Banken und Konzernen sind die bevorzugten Ziele sozialer Aktivisten.
Netzpalaver: Wie bereitet sich eine IT-Organisation am besten auf solche Angriffe vor?
Hein: Der wichtigste Teil der Vorbereitung auf solche Angriffe, besteht darin, sicherzustellen, dass während eines Angriffs, aller unerwünschter Verkehr automatisch umgeleitet wird, während echte Kunden weiterhin ohne Unterbrechung kommunizieren können.
Netzpalaver: Gibt es bestimmte Muster, die dazu beitragen, dass diese Angriffe nachweisbar sind?
Hein: Es gibt keine nutzbaren Muster, denn die Angreifer entwickeln täglich neue und innovative Taktiken. Im Allgemeinen werden diese Angriffe aufgrund des massiven Anstiegs des Anrufvolumens und des Blockierens der Telefonsysteme (aufgrund einer so hervorgerufenen Überlastung) erkannt. Zwangsläufig werden dadurch auch alle oder die meisten legitimen ein- und ausgehenden Anrufe blockiert.
Darüber hinaus steigen die VoIP-Anrufe massenhaft an. Bei der Analyse dieser Anrufe erkennt man die gefälschten Absendernummern.
Netzpalaver: Wie werden sich die TDoS-Angriffe in naher Zukunft verändern?
Hein: Ähnlich wie bei der massiven Dyn-DoS-Attacke durch die Geräte des Internet of Things (IoT) im vergangenen Monat, wird auch die Anzahl und auch die Schwere der TDoS-Angriffe anwachsen. Daher sollte jedes Unternehmen, das die moderne Telefonie zur Kommunikation mit der Außenwelt nutzt, darauf vorbereitet sein, dass es zum Opfer eines Angriffs werden kann. Die zuständigen Behörden haben bereits vor Jahren vor TDoS-Angriffe gewarnt. Sicher ist, dass auch Deutschland nicht immun gegen TDoS-Angriffe ist. Ich vermute jedoch, dass viele, wenn nicht die meisten Angriffe nicht gemeldet werden – was bedeutet, dass das TDoS-Problem in Wirklichkeit viel schlimmer ist, als es auf den ersten Blick erscheint.
