Angriffe in dieser Größenordnung können derzeit nicht viele Rechenzentren abwehren. Verlässlich gelingt das nur den großen Hyperscalern. Wer sich von ihnen lösen und dennoch wirksam schützen will, bräuchte andere regulatorische oder strukturelle Voraussetzungen. Zwei Ansätze liegen nahe.

Erstens: Angriffe bereits im Backbone zu filtern oder zu blockieren. Das würde allerdings voraussetzen, dass Betreiber ihre Netzneutralität nicht mehr vollständig einhalten und den gesamten Datenverkehr überwachen und unterschiedlich behandeln. Im Extremfall müssten sie sogar verschlüsselte Verbindungen wie HTTPS aufbrechen. Gegen solche Eingriffe wird seit Langem argumentiert.

Zweitens: Eine grundlegende Weiterentwicklung der Internetarchitektur. Heute greifen viele Nutzer auf die Ressourcen weniger zentraler Anbieter zu, um Webseiten oder Dienste zu erreichen. Das erzeugt ein Trichterprinzip, bei dem die Endpunkte stabiler sein müssen als die Vielzahl möglicher Angreifer. Würde man dieses Prinzip auflösen und stärker auf Peer-to-Peer-Verbindungen setzen, ähnlich dem Bittorrent-Protokoll, ließen sich Ziele breiter verteilen. Anfragen wie DNS oder die Auslieferung von Webseiten könnten dann über viele kleine Knoten laufen und wären schwerer zu überlasten.

Ob dies tatsächlich die einzigen Wege sind oder technisch überhaupt funktioniert, weiß ich nicht. Ich halte die Überlegungen fest, um sie später mit der tatsächlichen Entwicklung vergleichen zu können.

KI-Bots würden sich selbst nicht als solche ausweisen. Das Einzige, was sie von der Webseite nicht lesen, sei die “robots.txt”, schiebt Corbet nach. Er beschreibt die derzeitige Situation als “mehr als unhaltbar”.

Es ist erstaunlich, wie KI-Bots heute wie kleine digitale Sturmsoldaten Server überfallen können, ohne dass es eine rechtliche Grundlage gibt, um dem Einhalt zu gebieten. Man kann sich das bildlich vorstellen: Ein Unternehmen schickt so viele Leute, um in einem Laden einfach nur zu stöbern, dass kein echter Kunde mehr hineinkommt. Der Laden macht null Umsatz, kann jedoch nicht zwischen echten und falschen Kunden unterscheiden. Je länger dieses Spielchen dauert, desto wahrscheinlicher ist es, dass der Laden schließen muss. In der analogen Welt wäre das undenkbar, im Cyberspace jedoch bittere Realität.

Nach der Eingabe eines gültigen Nutzernamens und Passworts werden User darum gebeten, ihre Identität zu bestätigen. Microsoft unterstützt mehrere MFA-Methoden dafür, etwa auch einen Verifikationscode eines Authenticators. In einer Session erlaubte Microsoft bis zu zehn Fehlversuche. Indem die IT-Forscher nun in schneller Folge neue Sessions erstellten und Verifikationscodes durchprobierten, war es rasch möglich, die eine Million Möglichkeiten des sechsstelligen Codes durchzuprobieren. Es ließen sich viele Versuche gleichzeitig starten.

Der Hersteller Yubico hat eine Sicherheitsmitteilung zu der Schwachstelle herausgegeben und ordnet sie darin ein. Der Fehler geht auf eine Lücke in einer Krypto-Bibliothek von Infineon zurück, die Yubico in den alten Firmware-Versionen einsetzt. “Angreifer können das Problem ausnutzen als Teil eines fortschrittlichen und gezielten Angriffs, um private Schlüssel wiederherzustellen”, erklären die Entwickler von Yubico.

Auf mehr als 150.000 Installationen kommt das Wordpress-Plug-in Modern Events Calendar laut dem IT-Sicherheitsunternehmen Wordfence vor. Darin haben IT-Sicherheitsforscher eine Sicherheitslücke entdeckt, die Angreifern das Hochladen beliebiger Dateien ermöglicht.

Wer WordPress nutzen möchte, sollte weitgehend auf Plugins und umfangreiche Themes verzichten. Diese stellen häufig Sicherheitsrisiken dar, da sie oft Einfallstore für Schwachstellen bieten.