DDoS Sicherheitstests?

Aktuell finden Attacken gegen Paketdienste und eCommerce-Webseiten statt. Es wird versucht diese Angriffe moralisch mit „DDoS Sicherheitstests“ zu verbrämen. Davon abgesehen, dass es eine strafbare Handlung ist eine Website aus dem Netz zu schießen, habe ich mich gefragt, was daran ein „Sicherheitstest“ sein soll.

Zu diesen Gedanken wurde ich insbesondere durch einen Beitrag auf Wortfilter.de angeregt, der DDoS gegen Webseiten zumindest nicht verurteilt und den Opfern eine gehörige Mitschuld und/oder Unfähigkeit unterstellt.

DDoS Sicherheitstests?

Aus meiner Sicht ist ein DDoS nichts, was man als irgendeine Form von „Security-Test“ sehen kann. Alleine schon deshalb, weil man jede Website aus dem Netz schießen kann, wenn man die angegriffenen Websites nur mit genügend requests/sec bombardiert.
Das hat demzufolge auch nichts mit dem Vorhandensein möglicher Sicherheitslücken oder der Fähigkeit der IT der betroffenen Unternehmen zu tun.

Normalerweise werden Webseiten/Webapplikationen auf eine Anzahl von requests/sec ausgelegt, die bei normaler Nutzung + Schwankungsreserve an Last zu erwarten sind.

Leider führen solche unsinnigen Angriffe dazu, dass die Firmen die Systeme massive über skalieren müssen und damit gezwungen sind Kapazitäten vor zuhalten, die bis auf den Angriffsfall überhaupt nichts bringen. Dies erhöht die Kosten (die am Ende ja der Konsument zahlt), bindet Mitarbeiter, die sonst sicherlich Sinnvolleres tun könnten und bringt für das Thema Sicherheit/Datenschutz erst mal gar nichts.

Sind die Opfer Schuld?

Besonders befremdlich finde ich es, wenn dann auch noch die Opfer solcher Angriffe so dargestellt werden, als wären sie die wahren Schuldigen. Siehe hier. Hier wäre aus meiner Sicht mehr Klarheit wünschenswert, wonach der Cracker der Täter ist und er mithin die Verantwortung für die Serviceausfälle trägt.

Update 29.05.2017

Der DDoS-Erpresser, der weite Teile des deutschen eCommerce in der letzten Zeit angegriffen hatte und der Mitanlass für meinen Kommentar war, wurde verhaftet. Ich muss zugeben, ich bin positiv überrascht, dass es unserer Polizei gelungen ist, die Identität des Täters zu lüften.

Mich würde nur interessieren, wie die Identifizierung gelungen ist. Hat der Täter Fehler gemacht? Konnte die Polizei (oder andere Stellen) die von dem Cracker mit Sicherheit verwendeten Anonymisierungsmaßnahmen kompromittieren?

Falls jemand hierzu Informationen hat, wäre ich über entsprechende Kommentare/Links dankbar.

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

Benachrichtige mich zu:
avatar
wpDiscuz