Abo
  • Services:
Anzeige
Schematische Darstellung einer Botnetz-Operation
Schematische Darstellung einer Botnetz-Operation (Bild: Tom-b/Wikimedia Commons)

Provider dürfen keine Inhalte auslesen

Zudem darf der Provider "Teile des Datenverkehrs von und zu einem Nutzer, von denen eine Störung ausgeht, umleiten, soweit dies erforderlich ist, um den Nutzer über die Störungen benachrichtigen zu können". Ebenfalls darf der Telekommunikationsanbieter den Traffic zu einer "Störungsquelle einschränken und unterbinden". Solche Störungsquellen seien beispielsweise Command-and-Control-Server, sogenannte Dropzones, in die gestohlene Daten ausgeleitet würden, oder Server, über die Schadsoftware verteilt werde, heißt es in der Begründung.

Anzeige

Die große Koalition will allerdings sicherstellen, dass die Provider damit keine inhaltliche Analyse ihres Traffics vornehmen. So wird in Paragraf 100 des TKG der Satz eingefügt: "Die Kommunikationsinhalte sind nicht Bestandteil der Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung." Es handele sich bei den Steuerdaten "um Informationen, die sich aus den verschiedenen Layern des sogenannten OSI-Schichtenmodels der ITU ergeben, also um Informationen zu technischen Übertragungsprotokollen, nicht jedoch um Inhalte eines Kommunikationsvorganges, die damit übertragen werden".

Was tun mit Post-Requests?

Solche HTTP-Floods gehören zu sogenannten Application-Layer-Attacken oder Level-7-Attacken, da die Anwendungsebene im OSI-Schichtenmodell die Nummer 7 trägt. Gerade bei Post-Floods wie bei Suchanfragen oder dem Hochladen von Webformularen werden allerdings auch inhaltliche Parameter übertragen, um beim angegriffenen Server komplexere Datenverarbeitungen auszulösen. Konsequenterweise dürften Provider daher keine Post-Floods analysieren, da sie dafür Kommunikationsinhalte untersuchen müssten.

Der Koalition geht es mit dem Gesetz jedoch nicht nur um die Abwehr von DDoS-Angriffen, wie sie zuletzt häufig über das Mirai-Botnetz ausgeführt wurden. "Wir halten die Ermächtigung für notwendig, um den Schutz lebenswichtiger Telekommunikationssysteme zu gewährleisten", sagte der Berichterstatter der SPD-Fraktion, Gerold Reichenbach, auf Anfrage von Golem.de. Der Telekom-Angriff habe gezeigt, dass Router zu kritischen Telekommunikationsinfrastrukturen würden. "So ist zum Beispiel bei VoIP auch die Absetzung von Notrufen von der Funktionsfähigkeit von Routern abhängig. Dies wird künftig das gesamte Telekommunikationsnetz betreffen, da alle Anbieter die vollständige Umstellung auf VoIP planen und zügig umsetzen", sagte der SPD-Abgeordnete.

Telekom-Ausfall war keine DDoS-Attacke

Da Router aber nicht integrierter Teil der kritischen Infrastruktur seien, würden sie vom IT-Sicherheitsgesetz nicht erfasst. "Sie könnten dies nur werden, wenn wir, was politisch nicht gewollt ist, einen Routerzwang einführen würden", sagte Reichenbach. Gleichwohl würden aber auch dann entsprechende Angriffsszenarien wie das Ausschalten von Routern durch "Botnetz-Dauerbeschusss" weiter existieren.

Inwieweit letzteres ein realistisches Szenario ist, steht auf einem anderen Blatt. Der Ausfall der Telekom-Router im vergangenen November wurde durch einen Bug verursacht, der bei der massenhaften Verbreitung einer Malware dazu führte, dass das Netzwerkrouting auf den Speedport-Geräten durch die Angriffsversuche nicht mehr funktionierte.

Gütesiegel für IT-Sicherheit gefordert

Das eigentliche Probleme bei den jüngsten DDoS-Attacken, beispielsweise über das Mirai-Botnetz, sind daher unsichere Geräte im sogenannten Internet of Things (IoT). Der Innenausschuss räumt in seiner Gesetzesbegründung ein, dass Deutschland keine eigenen Gesetze erlassen könne, um zusätzliche Anforderungen an internetfähige Produkte zu stellen. Daher wird die Bundesregierung aufgefordert, "das in der 'Cyber-Sicherheitsstrategie für Deutschland 2016' angekündigte Gütesiegel für IT-Sicherheit unter Einbeziehung von Verbraucherschützern, Wirtschaftsvertretern, IT-Sicherheitsexperten und Gewerkschaften auszuarbeiten". Zudem soll sie sich auf europäischer Ebene dafür einsetzen, "dass verbindliche Anforderungen an IT-Sicherheitseigenschaften für die Bereitstellung auf dem Markt von internetfähigen Produkten auf europäischer Ebene geschaffen werden".

Der Bundestag soll am kommenden Donnerstag über das Gesetz abstimmen. Während die Linke sich enthalten will, lehnen die Grünen den Entwurf ab. Sie halten die Ansiedlung des BSI beim Bundesministerium des Innern weiterhin für "äußerst problematisch". Der Grund: Das der Fachaufsicht des Innenministeriums unterstehende Bundesamt für Verfassungsschutz erhalte enorme Summen für die Aufdeckung von Sicherheitslücken, während die Wirtschaft verpflichtet werde, dem BSI die eigenen entdeckten Sicherheitslücken zu melden. Daher fehle eine Vertrauensbasis für Unternehmen, um sich im Schadensfall an das BSI zu wenden.

Zudem kritisieren die Grünen, dass der Änderungsantrag dem Ausschuss erst am Tag vor der Abstimmung Ende März vorgelegt worden sei. Das passt allerdings gut zum derzeitigen Aktionismus der großen Koalition bei netzpolitischen Themen. Vor allem beim Gesetz gegen die Verbreitung von Hasskommentaren in sozialen Netzwerken wird Union und SPD ein übereiltes Vorgehen vorgeworfen.

 DDoS-Angriffe: Koalition erlaubt Analyse und Blockade von Botnetz-Traffic

eye home zur Startseite
bombinho 21. Apr 2017

Ja ja, zentralisierte Dienste, Botnetze mit Zertifikat und Authentifizierung, Sicherheit...

Themenstart

PlonkPlonk 21. Apr 2017

da fühlt man sich gleich viel sicherer, oder nicht?

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. T-Systems International GmbH, Bonn
  3. DeutschlandCard GmbH, München
  4. MEIERHOFER AG, München, Passau, Leipzig, Berlin


Anzeige
Hardware-Angebote
  1. 17,99€ statt 29,99€
  2. ab 192,90€ bei Alternate gelistet

Folgen Sie uns
       


  1. Bonaverde

    Von einem, den das Kaffeerösten das Fürchten lehrte

  2. Festo

    Der Octopus Gripper nimmt Objekte in den Schwitzkasten

  3. Microsoft

    "Es gilt, die Potenziale von Mädchen zu fördern"

  4. Hochschulen

    Ein Drittel mehr Informatik-Studienanfängerinnen

  5. Webroot Endpoint Security

    Antivirusprogramm steckt Windows-Dateien in Quarantäne

  6. 1 GBit/s

    Mobilfunkbetreiber verkauft LTE als 5G Evolution

  7. 3D Xpoint

    Intels Optane Memory überzeugt nur bedingt

  8. Elektronischer Personalausweis

    Das tote Pferd soll auferstehen

  9. Siege M04 im Test

    Creatives erste Sound-Blaster-Maus überzeugt

  10. Netgear GS510TLP

    Lüfterloser PoE+-Switch mit 75 Watt Power Budget



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
In eigener Sache: Die Quanten kommen!
In eigener Sache
Die Quanten kommen!
  1. In eigener Sache Golem.de führt kostenpflichtige Links ein
  2. In eigener Sache Golem.de sucht Marketing Manager (w/m)
  3. In eigener Sache Golem.de geht auf Jobmessen

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Opel Ampera-E kostet inklusive Prämie ab 34.950 Euro
  2. Elektroauto Volkswagen I.D. Crozz soll als Crossover autonom fahren
  3. Sportback Concept Audis zweiter E-tron ist ein Sportwagen

DLR-Projekt Eden ISS: Das Paradies ist ein Container
DLR-Projekt Eden ISS
Das Paradies ist ein Container
  1. Weltraumschrott "Der neue Aspekt sind die Megakonstellationen"
  2. Transport Der Güterzug der Zukunft ist ein schneller Roboter
  3. "Die Astronautin" Ich habe heute leider keinen Flug ins All für dich

  1. Re: Meione Erfahrugn zeigt, das es nicht reicht...

    FlowPX2 | 12:06

  2. Re: Völliger Bullshit

    neocron | 12:04

  3. Re: Sachbeschädigung mit Vorsatz...

    h3nNi | 12:02

  4. Re: Erste produktive Anwedung

    RicoBrassers | 12:00

  5. Re: Power over Eternet bei Verwendung von Glasfaser?

    gema_k@cken | 11:59


  1. 12:07

  2. 12:04

  3. 11:55

  4. 11:46

  5. 11:22

  6. 10:55

  7. 10:46

  8. 10:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel