Nahezu täglich werden staatliche Stellen wie DigiD und die Finanz- und Zollverwaltung mit DDoS-Angriffen konfrontiert. Diese Angriffe können Websites und Apps lahmlegen. Zweimal im Jahr kommen Regierungsorganisationen und die Geschäftswelt für eine ganze Nacht zusammen, um DDoS-Angriffe zu trainieren. Und dann ziehen sie alle Register. Diesmal war NU.nl dabei.
„Let op, we komen straks met de aanval ‚DJ Paul Elstak‘.“ Er drommen wat mensen samen rond de computer van Tristan. Hij zit vannacht in het aanvalsteam, tijdens een test of de overheid bestand is tegen grote ddos-aanvallen. De aanvallen hebben de gekste namen. DJ Paul Elstak is er een van, vernoemd naar de hardcore-dj uit de jaren negentig. „We gooien een paar aanvallen in de mix.“
Er wordt vannacht geoefend in het kantoorpand van de Belastingdienst in Apeldoorn. Vanaf 2.00 uur druppelen de eerste mensen binnen. Ondanks het tijdstip regent het ‚goedemorgens‘. De deelnemers zien er fris uit en hebben er zin in.
Er is een rood team dat aanvalt en een blauw team dat verdedigt. De teams bestaan uit leden van de Anti-ddos-Coalitie. Dit verbond bestaat uit verschillende organisaties zoals de Belastingdienst, Logius (van DigiD en MijnOverheid), onderzoeksinstituut Nikhef, Rijkswaterstaat, .nl-domeinbeheerder SIDN en het Kadaster.
De teams zitten in ruimtes die zijn gescheiden door een hal. Daar staan snacks, frisdrank en energiedrankjes om de nacht door te komen. Het rode team heeft vooraf een aanvalsplan gemaakt. Het blauwe team moet de aanvallen zien af te weren.
Das Ausführen illegaler Angriffe gibt einen Nervenkitzel
Bevor die Übung beginnt, geht Karl Lovink mit den achtzig Teilnehmern noch einmal die Regeln durch. Lovink arbeitet als Leiter des Sicherheitsteams bei der Steuer- und Zollverwaltung und leitet diese Übung heute Abend. Teilnehmer in Rot haben eine Sondergenehmigung für Angriffe erhalten, die normalerweise illegal sind. Das gibt einen Kick.
Das blaue Team hat den größten Platz. Reihen von Computern stehen vor einer imposanten Wand, die mit Bildschirmen bedeckt ist. Es ist ein bisschen wie ein NASA-Kontrollzentrum. Die Bildschirme zeigen Messgeräte und Grafiken an, die die Datenmenge anzeigen, die vom roten Team abgefeuert wird. Es wird auch angegeben, welche Websites derzeit in Schwierigkeiten sind.
Wat is een ddos-aanval ook alweer?
Ddos staat voor distributed denial of service. Vaak stuurt een partij bij zo’n aanval zó veel zogenaamde bezoekers op een server af, dat die bezwijkt. Websites of diensten werken daardoor trager of helemaal niet.
Een aanvaller kan de boel met een dddos-aanval platleggen, maar kan geen gevoelige informatie stelen. Wel kan een aanvaller een ddos-aanval uitvoeren om bijvoorbeeld een slachtoffer af te persen. Betaal je? Dan houdt de aanval op.
Eine Anmeldung bei DigiD ist nicht mehr möglich
Während der Übung werden echte (oft schwere und neuartige) Attacken ausgeführt. Dadurch können Dienste tatsächlich zum Erliegen kommen. Um möglichst wenig Belästigung zu verursachen, findet der Test nachts statt. Es wurden auch Vereinbarungen mit Anbietern getroffen, die den Datenverkehr verarbeiten. „Normalerweise sind DDoS-Angriffe kleiner“, sagt Lovink. „Heute Nacht werden die Grenzen getestet.“
Es schlug ein paar Mal. „Ja, alles kaputt!“, ruft jemand aus dem roten Team triumphierend. Eine Anmeldung bei DigiD ist nicht mehr möglich. Augenblicke später war die gesamte Website so von dem Angriff betroffen, dass jegliches Design verschwunden war. „Sie können sich leider nicht einloggen“, heißt es im Klartext. „Bei DigiD ist derzeit sehr viel los. Zu viele Leute wollen sich gleichzeitig einloggen.“
Ein DDoS-Angriff muss nicht zwangsläufig eine gigantische Flut an Traffic sein. Neuere Angriffe funktionieren intelligenter. Manchmal ist wenig Verkehr erforderlich. Zum Beispiel, wenn eine Frage an einen Server gesendet wird, dessen Beantwortung sehr lange dauert. Tristan vergleicht es mit einem Imbiss. „Wenn Sie nach einem speziellen Sandwich fragen, dauert die Zubereitung länger als bei einem einfachen Käsesandwich.“
Mehr als digitaler Unfug
Dass bei der Abwehr von DDoS-Angriffen achtzig Menschen aus verschiedenen Organisationen zusammenarbeiten, sei einzigartig, sagt Octavia de Weerdt von der National Management Organization for Internet Providers. Die anwesenden Parteien teilen ihr Wissen zum Nutzen aller. „DDOS-Angriffe gehen über digitalen Unfug hinaus“, sagt De Weerdt. „Sie können die Gesellschaft stören und Kriminellen viel Geld einbringen.“
Laut Lovink lernen Organisationen während der Übung Möglichkeiten, neue DDoS-Angriffe zu bekämpfen. „Danach werden wir Anpassungen vornehmen“, sagt er, ohne ins Detail zu gehen.
PostNL-Shirts und Ablenkungsmanöver
Jemand hat ein PostNL-Shirt angezogen. „Ich versende Pakete“, sagt er. Nerd-Witz. Er verweist auf die großen Verkehrsströme, die er auf der Website der Finanz- und Zollverwaltung abfeuert. Das bringt ihm die Lacher auf die Hand.
Auf diese Weise passieren während der Übung noch mehr verrückte Dinge. Es ist jetzt halb sieben. Lustige Videos sind im Fernsehen bei team blue zu sehen. Tristans Werk. Eine Taktik, um das verteidigende Team abzulenken. Sie bleiben auch darunter schön kühl. Obwohl sie manchmal nicht anders können, als über den Fernseher zu kichern.
Erfolgreiche Angriffe
Dass es mittlerweile ernst ist, zeigen die erfolgreichen Angriffe. Gelegentlich beschleunigt das rote Team so stark, dass die Website eines Anbieters explodiert. Trotzdem läuft vieles gut. Wenn 1 Terabit pro Sekunde an die Steuer- und Zollverwaltung gesendet wird, bleiben die Dienste wunderbar weitgehend erhalten.
„Das meiste wird automatisch gefiltert“, sagt ein Team-Blau-Teilnehmer. Algorithmen erkennen verdächtigen Verkehr und verdächtiges Verhalten. Sie können bestimmte Angriffe abwehren, bevor Dienste beeinträchtigt werden.
Manchmal werden diese Sicherungen absichtlich deaktiviert. Dann schauen wir uns an, wie gut die menschliche Abwehr ist. Die Angreifer sind kreativ. „Wir haben so viel Post an das Finanzamt geschickt, dass der Briefkasten komplett voll ist“, sagt Tristan. „Sie haben uns gerufen, damit aufzuhören.“
Auch DDoS-Angriffe ändern sich ständig
Am Ende der Übung sind die meisten Teilnehmer noch recht fit. Dank der Energydrinks und dem Kick des Katz-und-Maus-Spiels zwischen den Teams. Lovink blickt auf eine erfolgreiche Übung zurück.
Es kam nicht zu wirklich störenden Situationen, aber es gibt kein Zurücklehnen. „Ddos-Angriffe ändern sich ständig“, sagt Lovink. „Sie werden immer schwerer und schlauer, deshalb ist es wichtig, ihnen immer einen Schritt voraus zu sein. Es ist zu einer Art digitalem Rennen geworden. Wenn du nichts tust, verlierst du das Spiel.“