Ein IT-Trend, den die Branche seit Langem mit Unruhe verfolgt, ist 2021 akuter denn je geworden: Distributed-Denial-of-Service-Attacken – obwohl seit Jahren stark zunehmend – sind keine reinen Einzelphänomene mehr. [...]
Mittels DDoS-Angriffen werden Lösegelder erpresst, Finanzhäuser geplagt, staatliche, medizinische sowie kritische Infrastrukturen ins Visier genommen und systematisch lahmgelegt. Auf diese Weise wurde vergangenes Jahr die Energieversorgung Puerto Ricos ausgeschaltet, neuseeländische Banken außer Gefecht gesetzt und die Stadtverwaltung Den Haags sabotiert. Dass im Vorfeld der Konflikte in Osteuropa russische DDoS-Attacken gestartet wurden, hat insofern niemanden mehr überrascht. Diese Cyberattacken gehören fest zum Handwerkszeug von Straftätern – es ist zudem damit zu rechnen, dass Cyberattacken global immer verstärkter als Mittel der asymmetrischen Kriegsführung wahrgenommen werden.
Kriminelle DDoS-Aktionen gibt es seit allerdings schon seit rund 20 Jahren – und in dieser Zeit wurden sie ständig weiterentwickelt und verkompliziert. Problematisch ist es unter anderem, dass sie nicht immer sofort erkannt werden. Die ausgeklügelten Methoden haben es schwieriger gemacht, dagegen eine Strategie zu finden. Hinzu kommen die schieren Dimensionen: DDoS-Attacken auf die Netzwerke von Unternehmen und Service Providern sind 2021 weiter massiv gewachsen. Dies betrifft sowohl die Zahl der Angriffe, die Angriffsbandbreiten als auch den Anteil von Multivektorattacken.
Die Zahl der Attacken im internationalen Link11-Netzwerk hat dabei zwischen 2020 und 2021 um 41 Prozent zugenommen. Von einem ohnehin schon hohen Niveau sind die Zahlen nochmals drastisch gestiegen. Daneben haben auch die durchschnittlichen Höchst-Angriffsbandbreiten von 161 Gbps auf 437 Gbps deutlich zugelegt. Zahlreiche weitere Hochvolumenattacken gab es besonders in der zweiten Jahreshälfte.
Verantwortlich für die Zunahme der Hochvolumen-Attacken war unter anderem das neue und massive Botnet Meris. Es kann auch sehr robuste Netzwerke durch eine große Anzahl von Anfragen pro Sekunde (RPS) stören – wogegen maßgeschneiderte IT-Sicherheitslösungen helfen. Bei 37 Prozent der DDoS-Attacken kamen – missbräuchlich genutzte – Cloud-Ressourcen zum Einsatz. 2016 waren es noch 2,1 Prozent.
DDoS-Attacken immer hemmungsloser
In mehreren Ländern, darunter Deutschland, gab es 2021 gleich mehrere Cyber-Angriffe auf Impfportale. Die Webseiten, die der Buchung von Impfterminen mit dem COVID-19-Impfstoff dienen, wurden mit DDoS-Attacken überlastet. Zwischen September und November wurden mehrere internationale VoIP-Anbieter angegriffen. Darunter auch die international agierenden Branchengrößen Bandwidth, VoIP.ms und Telnyx. Tagelang legten die Angriffe die Dienste der Service Provider lahm. Die Ransomware-Gruppe REvil verantwortete einen Großteil der Angriffe und forderte Lösegelder in Höhe von bis zu 4,5 Millionen Dollar.
Komplexe Multivektorangriffe sind nun Standard
Im Detail hat sich ein beunruhigender Trend verfestigt: 71 Prozent aller Angriffe wurden als „Multivektor“ identifiziert. Das heißt, dass die Täter unterschiedliche Zugangswege und Methoden gleichzeitig nutzen. Die Herausforderung: Je mehr Schwachstellen und Protokolle die Angreifer nutzen, umso schwieriger ist die Angriffserkennung und Abwehr, womit die Erfolgswahrscheinlichkeit für die Täter steigt. Denn unterm Strich laufen verschiedene Attacken synchron, die ebenso einzeln identifiziert werden müssen, um ein Muster zu erkennen.
Seitdem 2013 die ersten Reflection-Amplification-Vektoren auftraten, ist das Spektrum der Vektoren weitaus größer geworden, wie beispielsweise Memcached Reflection Amplification und CLDAP. Im Jahr 2021 hat das LSOC neue Vektoren über sein globales Netzwerk und seine KI-basierte Mitigation-Technologie identifiziert: Unter anderem Datagram Transport Layer Security (DTLS) über Citrix Netscaler und Session Traversal Utilities for NAT (STUN). Im Jahr 2020 hatte der Anteil von Multivektorenangriffen noch bei 59 Prozent gelegen. Solche Attacken zu bekämpfen, gleicht dem Kampf gegen die Hydra: Entschärft man einen Vektor, stellt man fest, dass er durch zwei Neue ersetzt wird.
DDoS-Attacken als Nebelkerze
Eine weitere zentrale Feststellung aus dem vergangenen Jahr: DDoS-Angriffe dienen zunehmend als Nebelkerze. Im Windschatten eines heftigen DDoS-Angriffs können die Hacker unbemerkt durch die Hintertür in die Netzwerksicherheit eindringen und angreifen – da sich die IT-Ressourcen voll auf die Abwehr der DDoS-Attacke konzentrieren. So kann es zu Datendiebstahl und weiteren Angriffen kommen. DDoS dient hier nur als Ablenkungsmanöver – und diese Gefahr wird immer größer. Daher gilt es stets, sich professionell gegen diese Attacken zu wappnen: Je schneller und präziser die DDoS-Angriffe erkannt und abgewehrt werden, desto mehr Zeit gewinnen die IT-Mitarbeiter, um weitere Anomalien und Gefahren im Netzwerk aufzuspüren – und sie zu bekämpfen.
Präzise Attacken – präziser Schutz
Insgesamt haben also die Zahl, die Komplexität und die Präzision der Angriffe zugenommen. Die Angriffstechniken werden immer ausgefeilter. Vielschichtige und kombinierte Angriffsformen erschweren Unternehmen die Abwehr. Schutzlösungen von der Stange, deren Patch- und Updatezyklen der Bedrohungslandschaft hinterherhinken, können da nicht mehr mithalten. Stattdessen sollten Unternehmen auf intelligente Systeme mit mehrschichtiger Anomalieerkennung und vernetzten Sicherheitsmechanismen setzen.
Zudem dürften 2022 Lösegelderpressungen weiter zunehmen; auch, weil der Zugang zur dazugehörigen Infrastruktur einfacher und günstiger geworden ist und die Aktionen leider leicht auszuführen sind. Da Unternehmen ihre Digitalisierung weiter vorantreiben, bieten sie immer mehr Angriffsfläche und werden ohne unzureichenden Schutz anfälliger für Betriebsunterbrechungen. Viele der Attacken bleiben unbemerkt und dienen auch der Vorbereitung weiterer breit angelegter Einbrüche. Was dann vom IT-Security-Anbieter nicht sofort oder im Bruchteil von Sekunden abgeschwächt wird, kann nicht nur zu temporären Ausfällen etwa der Website führen, sondern komplette Infrastrukturen zum Erliegen bringen und damit nachhaltigen Schaden anrichten. Leider wird all das aus unserer Erfahrung heraus am Markt noch zu wenig beachtet.
*Der Autor Marc Wilczek ist Geschäftsführer von Link11.
Be the first to comment