Das RIPE Network Coordination Centre (RIPE NCC), eine zentrale Organisation für die Vergabe von Internet-Adressen, vergibt diese offenbar zu leichtfertig. Das zeigt eine Recherche von Europas größtem IT- und Tech-Magazin c’t. Cyberkriminelle können so vergleichsweise einfach technische Infrastruktur für illegale Aktivitäten nutzen.
Das RIPE NCC mit Sitz in Amsterdam ist für die Vergabe sogenannter IP-Adressen zuständig – also eindeutiger Nummern, die Geräte und Netzwerke im Internet identifizieren. Es ist für Europa, den Nahen Osten und Teile Zentralasiens verantwortlich.
Nach Recherchen der c’t tarnen Kriminelle ihre Angriffe, indem sie beim RIPE NCC Internet-Netze auf den Namen real existierender Firmen anmelden – could be yours! In anderen Fällen nutzen sie Briefkastenfirmen mit gefälschten Identitäten. In jedem Falle bleibt schlimmstenfalls lange unklar, wer tatsächlich hinter Cyberangriffen steckt.
Die c’t-Redakteure Jan Mahn und Christopher Kunz untersuchten den Fall eines angeblichen Internetanbieters aus Hamburg, der gezielt Tarnung für kriminelle Aktivitäten bot. Dabei stießen sie auf ein weit verzweigtes Geflecht aus Briefkastenfirmen und falschen Angaben. Eine zentrale Rolle spielte dabei das türkische Unternehmen MGN Teknoloji.
Dieses Unternehmen trat beim RIPE NCC als offizieller Antragsteller auf und beantragte Internet-Ressourcen. Nach Angaben der c’t ließ MGN Teknoloji dabei mit gefälschten Unterlagen ein sogenanntes autonomes System – eine Art Netzkennzeichen – für ein Hamburger Unternehmen registrieren, ohne dessen Wissen. Über dieses Netz wurden später Cyberangriffe durchgeführt. Das RIPE NCC erkannte die Fälschungen nicht.
„Es ist erschreckend einfach, beim RIPE NCC Internet-Ressourcen für andere zu registrieren“, kritisiert c’t-Redakteur Jan Mahn. Eine gründliche Identitätsprüfung, wie sie etwa bei Banken üblich sei, finde nicht statt. Auf Nachfrage erklärte das RIPE NCC, man verfüge sehr wohl über strenge Prüfverfahren. Gefälschte Dokumente könnten dennoch unentdeckt bleiben, wenn es keinen konkreten Verdacht gebe.
Die Recherche zeigt nach Einschätzung der c’t, wie leicht Cyberkriminelle an zentrale Internet-Infrastruktur gelangen können. „Das RIPE NCC muss seine Prüfprozesse dringend verbessern, um Missbrauch zu verhindern“, fordert Mahn.
In jedem Falle lohnt es sich aber für Unternehmen, den Cyberspace regelmäßig nach vorgeblichen IP-Adressen, Systemen und natürlich auch Internetpräsenzen, die unter dem eigenen Namen auftreten, zu scannen (vgl. OSINT).