Nein, das ist nun wirklich kein brandaktuelles Thema sondern eher ein alter Hut.
Aber bei der Kontrolle der Sicherheit meiner Website ist mir – wieder einmal – eine Reihe von „Brute Force“ Angriffen aufgefallen.
Man kann sich das so vorstellen, dass ein Programm versucht, einfach alle möglichen Kennwörter z.B. für den Benutzer „admin“ zu testen.
Schnelle Computer und Netze machen das sehr einfach.
Gegen diese Angriffe helfen verschiedene Taktiken.
So kann man einfach den „admin“ durch einen ganz anderen Nutzer z.B. „Oberchef“ ersetzen. Oder man hat Tools, die gleichartige Anmeldeversuche erkennen und sperren.
Mir geht es aber in diesem Beitrag um einen anderen Aspekt.
Alle Angriffe kamen von der Domäne compute.amazonaws.com.
Das sind die „Amazon Web Services“, ein Dienst der von Millionen Unternehmen und Personen genutzt wird.
Die Angreifer nutzen sowohl die günstige Infrastruktur als auch eine gewisse Anonymität. Manche haben vielleicht auch fremde Zugänge übernommen.
Ich frage mich, weshalb ein Unternehmen wie amazon nicht auch mehr Verantwortung übernehmen kann?
Es sollte einfach sein, die ausgehenden Angriffe zu erkennen und zu blockieren. Auch könnte man dadurch die Konten finden und löschen bzw. vielleicht auch zur Anzeige bringen.
Auch Brute Force Angriffe sind eine Straftat, wenngleich sich die Juristen bei der Auslegung solcher Angriffe noch nicht ganz schlüssig zu sein scheinen.
Nutze ich als Werkzeug die Systeme eines anderen Anbieters – wäre dieser vielleicht auch „mithaftend“?
Um solche Fragen zu klären bin ich sicher nicht qualifiziert. Aber eine Sache scheint mir logisch zu sein.
In einer Zeit, in der die Rechenleistungen mehr und mehr als Dienstleistung angeboten werden, sollten auch die Anbieter mehr Verantwortung übernehmen.
Es sollte eine Grundanforderung sein, dass Cloud Anbieter den Missbrauch erkennen und unterbinden.
So ein Schritt würde auf einen Schlag eine Menge Angriffe aus dem Netz nehmen und für die Angreifer wäre es ein wenig schwerer, sich der Strafverfolgung zu entziehen.