Cyberkriminelle versuchen, die Vorteile des COVID-19-Ausbruchs auszunutzen, indem sie die zunehmende Abhängigkeit der Menschen von digitalen Diensten ins Visier nehmen.
Während die Coronavirus-Pandemie weiterhin die globalen Gesundheits-, Wirtschafts-, Politik- und Sozialsysteme stört, gibt es eine weitere unsichtbare Bedrohung, die im digitalen Raum zunimmt: das Risiko von Cyberattacken, die unsere zunehmende Abhängigkeit von digitalen Diensten und die Unsicherheit der Krise ausnutzen.
Regierungen auf der ganzen Welt haben die notwendigen Maßnahmen ergriffen, um die Verbreitungskurve von COVID-19 zu senken, einschließlich der Umsetzung von Richtlinien zur Telearbeit und von Reiseverboten sowie der Anordnung von Selbstisolierung, was zu einer erheblichen Zunahme des Internetverkehrs führt. Bei einer Pandemie dieses Ausmaßes – es wurden Fälle von Coronaviren in mehr als 150 Ländern gemeldet – vervielfacht sich die Abhängigkeit von der digitalen Kommunikation. Das Internet ist fast augenblicklich zum Kanal für eine effektive menschliche Interaktion und zur wichtigsten Art und Weise geworden, wie wir arbeiten, Kontakt aufnehmen und uns gegenseitig unterstützen.
Viele Regierungen verbreiten Informationen über digitale Wege. So hat Großbritannien beispielsweise die digitale Kommunikation zum Standardkommunikationsmittel gemacht und die Bürger angewiesen, sich bei Aktualisierungen auf offizielle Websites zu verlassen, um zu vermeiden, dass telefonische Informationsdienste mit Anfragen überschwemmt werden. Als Folge davon geht der Internetverkehr durch die Decke. Der Telekommunikationsriese Vodafone berichtete über einen Anstieg der Internetnutzung in Deutschland um 40 %, und Netflix wurde aufgefordert, seine Bitrate in Europa zu senken, um das Internet nicht zum Zusammenbruch zu bringen.
Im heutigen beispiellosen Kontext könnte eine Cyber-Attacke, die Organisationen oder Familien den Zugang zu ihren Geräten, Daten oder dem Internet blockiert, verheerend sein: Im schlimmsten Fall könnten breit angelegte Cyberangriffe zu weitreichenden Ausfällen der Infrastruktur führen, die ganze Gemeinden oder Städte vom Netz nehmen und so Gesundheitsdienstleister, öffentliche Systeme und Netzwerke lahm legen.
Deutschland hat – wie andere Länder auch – strenge Beschränkungen eingeführt, um die Ausbreitung des COVID-19-Virus zu begrenzen, einschließlich der Schließung von nicht lebenswichtigen Unternehmen, was das gesellschaftliche Leben drastisch beeinträchtigt. Infolgedessen sind die Deutschen immer mehr auch auf Lieferdienste angewiesen, die ihre Dienste weiter anbieten. Cyberkriminelle haben versucht, die Situation auszunutzen und einen DDoS-Angriff auf eine der größten Heimlieferungsplattformen gestartet, der sowohl Kunden als auch Besitzer von mehr als 15.000 Restaurants im ganzen Land betraf und zwei Bitcoins (etwa 11.000 Dollar) forderte, um die Belagerung zu stoppen.
Einige Tage zuvor erlitt das US-Gesundheitsministerium (HHS) einen Cyber-Angriff, der „die Dienste der Behörde verlangsamen soll, während die Regierung eine Antwort auf das Coronavirus einführt. […] Der Hack versuchte angeblich, die HHS-Server mit Millionen von Zugriffen in nur wenigen Stunden zu überlasten“. Die Beamten gehen davon aus, dass ein feindlicher ausländischer Akteur hinter dieser Kampagne stand.
Nur wenige Wochen zuvor hatte die australische Cyber-Bundesbehörde eine Warnung an australische Banken herausgegeben, die Ziel umfangreicher DDoS-Erpressungskampagnen waren.
Neben dem öffentlichen Sektor und den Finanzinstitutionen sind vor allem digital fortschrittliche Branchen, die stark auf ihre Internetpräsenz angewiesen sind, besonders gefährdet. Laut dem Europol-Bericht „Internet Organised Crime Threat Assessment 2019 „ seien auch Reisebüros, Internet-Infrastruktur, E-Commerce und Online-Gaming-Dienste lukrative Ziele für DDoS-Erpresser.
VPN-Server sind inzwischen zu einem wichtigen Bestandteil des Backbones eines Unternehmens geworden, und ihre Sicherheit und Verfügbarkeit muss für IT-Teams künftig im Mittelpunkt stehen. Hacker können DDoS-Angriffe auf VPN-Dienste starten und ihre Ressourcen erschöpfen, wodurch der VPN-Server überlastet und seine Verfügbarkeit eingeschränkt wird.
Da der VPN-Server als Gateway zum internen Netzwerk eines Unternehmens fungiert, werden dadurch alle Remote-Mitarbeiter daran gehindert, ihre Arbeit zu erledigen, was ein Unternehmen, das nur wenige oder gar keine Mitarbeiter vor Ort hat, effektiv lahmlegen würde.
Während einer bisher noch nie zuvor erlebten Zeit höchsten Datenverkehrs wächst das Risiko eines DDoS-Angriffs exponentiell. Wenn die Auslastung der verfügbaren Bandbreite sehr hoch ist, braucht es nicht viel, um einen Ausfall zu verursachen. Tatsächlich kann selbst ein kleiner Angriff das Fass zum Überlaufen bringen. Ein fein abgestimmter TCP Blend (DDoS)-Angriff mit einem Angriffsvolumen von nur 1 Mbps reicht aus, um einen VPN-Server oder eine Firewall zum Absturz zu bringen. Darüber hinaus sind SSL-basierte VPNs ebenso wie Webserver für einen SSL-Flood-Angriff (DDoS) anfällig.
Schlimmer noch: Viele Unternehmen verwenden entweder Hardware-Appliances vor Ort oder ihren Telekommunikationsanbieter, um einen eingehenden Angriff abzuwehren. Diese Deployment-Modelle arbeiten weitgehend mit einem geringen Grad an Automatisierung und erfordern in der einen oder anderen Form menschliches Eingreifen. Wenn es hart auf hart kommt, kann ein aus der Ferne erfolgender Eingriff zu einer großen Herausforderung werden, wenn kaum oder gar kein IT-Personal vor Ort ist. Darüber hinaus benötigen diese Modelle in der Regel 10 oder sogar 20 Minuten, alleine um den Vorfall zu erkennen, was fast zwangsläufig zu einem größeren Ausfall führt.
Die Anwendungsprogrammierschnittstelle (API) ist eines der Hauptelemente von Cloud-Diensten und Webanwendungen. Während APIs die Integration und Kompatibilität gewährleisten, können sie aber auch zu Engpässen werden, die für Unternehmen eine ganze Reihe von Risiken und Schwachstellen darstellen. Wenn eine geschäftskritische Anwendung oder eine API kompromittiert wird, werden alle mit dem Geschäft verbundenen Operationen ausgehebelt und eine Kettenreaktion ausgelöst.
Die Eindämmung von Angriffen auf der Anwendungsebene (wie z.B. eine HTTP/HTTPS-Flood) ist besonders komplex, da der bösartige Datenverkehr nur schwer vom normalen Verkehr zu unterscheiden ist. Darüber hinaus sind Angriffe auf der Layer-7-Ebene sehr effektiv, da sie nur wenig Bandbreite benötigen, um einen Blackout zu verursachen.
Und zu guter Letzt ist es nicht unüblich, dass ein DDoS-Angriff von kriminellen Gruppen als Ablenkung inszeniert wird, während im Hintergrund etwas anderes Schädliches – wie das illegale Herunterladen von Daten – passiert.
Cyberkriminelle nutzen menschliche Schwächen aus, um die systemische Abwehr zu durchbrechen. In einer Krisensituation, insbesondere wenn sie länger andauert, neigen Menschen dazu, Fehler zu machen, die sie sonst nicht gemacht hätten. Angreifer könnten sogar Systemadministratoren von ihren eigenen Servern abschneiden, während sie im internen Netzwerk ihr Unwesen treiben, proprietäre Daten stehlen oder Lösegeldsoftware installieren. Selbst die kürzeste Ausfallzeit infolge solcher Angriffe kann jedoch Kunden verärgern und ungewollte Aufmerksamkeit und vielleicht sogar Angst und Zweifel erzeugen.
Organisationen sollten wachsam bleiben und sich auf Angriffe vorbereiten, bevor sie auftreten, da auf solche Vorfälle nur schwer zu reagieren ist, wenn der Angriff erst einmal stattgefunden hat. Unternehmen sollten sich auch weiterhin für Cloud-Dienste entscheiden, um die Vorteile der Skalierbarkeit und der höheren Bandbreite zu nutzen, um die Redundanz aufrechtzuerhalten. Am wichtigsten aber ist, dass in Zeiten von Telearbeit und Selbstisolierung eine radikale Automatisierung der Sicherheitsabläufe unabdingbar wird, um eine sofortige Reaktion zu gewährleisten und menschliche Fehler auszuschließen.
