Telegram, Wikipedia, AWS: Im Jahr 2019 gab es jeden Monat neue Meldungen über DDoS-Attacken und ihre Folgen für Wirtschaft, Verwaltung und Gesellschaft. Dabei ging es von Erpressung über Zerstörungswut bis hin zu politischem und wirtschaftlichem Protest. Die folgenden Vorfälle zogen besonders viel Aufmerksamkeit auf sich, da sie gravierende Auswirkungen hatten.
Die Gruppierung Anonymous rief Anfang des Jahres aus politischem Protest zu DDoS-Attacken gegen staatliche Verwaltungs- und Finanzwebseiten des Landes Simbabwe auf.
Im Juni brachten DDoS-Attacken die Messenger-App von Telegram zum Absturz. Der Telegram-Chef vermutete die chinesische Regierung hinter den Angriffen, denn sie fielen mit den Protesten in Hongkong zusammen.
Die Webseite und andere digitale Kommunikationsplattformen der britischen Labour Party wurden im November inmitten des Wahlkampfes sabotiert.
Netzwerke und IT-Infrastrukturen von Schulen und Universitäten sind regelmäßig Ziele von Angriffen. Im Februar war die Lernplattform Magister für zehntausende Schüler weiterführender Schulen in den Niederlanden nicht erreichbar – und damit auch Stundenpläne, Übungsmaterial und Hausaufgabeninfos.
Die Universität von Albany im Bundesstaat New York wurde im Februar/März innerhalb von zwei Wochen über ein Dutzend Mal angegriffen.
Die 30.000 Rechner der Universität Kiel und die auf ihnen installierten Surf- und Mail-Programme ließen sich im Oktober über eine Woche nur langsam oder gar nicht nutzen.
Eine Gruppe namens Turkish Hackers attackierte im Mai 2019 zahlreiche Hosting- und Internetdienstanbieter in Italien und forderte Schutzgeld in Bitcoins.
Unternehmen in Deutschland, Österreich und der Schweiz erhielten ernstgemeinte Erpresser-Mails im Namen von Fancy Bear. Mit Warn-Attacken zeigten die Täter, wie ernst es ihnen mit ihren Forderungen war.
Anfang September gingen in vielen Ländern der Welt Wikipedia-Seiten für Stunden vom Netz. Für den Angriff sollen IoT-Geräte missbraucht worden sein.
Dass im Oktober in weiten Teilen der Welt Amazon Web Services (AWS) für acht Stunden ausfielen, sorgte neben einem großen medialen Echo auch für einen mutmaßlichen Schaden in Höhe von über 100 Millionen Euro bei den Anwendungsunternehmen.
Die meist unbekannten Angreifer setzten sowohl auf bekannte und bewährte Techniken als auch auf neue Methoden. Techniken wie UDP Floods, die große Angriffsvolumen genieren, sind seit den Anfangstagen von DDoS-Attacken vor 20 Jahren im Einsatz. Dabei haben sie nichts von ihrer Gefährlichkeit und ihrem Volumen-Potential verloren. Kombiniert man UDP Floods zudem mit sogenannten Reflection-Amplifikation-Techniken, die Angriffe über Bande spielen und verstärken, sind den Angriffsbandbreiten nach oben keine Grenzen gesetzt. DNS Reflection und CLDAP Amplification ließen sich 2019 nicht nur besonders häufig nachweisen, sondern waren auch regelmäßig die entscheidenden Vektoren, um Angriffsbandbreiten in die Höhe zu treiben.
DDoS-Angreifer suchen und finden immer neue Schwachstellen und Methoden, um bestehende Schutzlösungen zu umgehen und eine Systemüberlastung herbeizuführen. So traten nach Beobachtungen von Link11 in der zweiten Jahreshälfte 2019 zwei neue Angriffsvektoren auf den Plan: Sie zielten auf WS Discovery und Apple Remote-Protokoll ab, die beide seit 2005 im Dienst sind.
Gleichzeitig scheint die Halbwertszeit für neue Vektoren gesunken zu sein. Reflection-Amplification-Vektoren wie Memcached Reflection oder CoAP sorgten 2018 für Schlagzeilen. Im Jahr 2019 spielten sie kaum noch eine Rolle.
DDoS-Attacken stellen nicht nur für Unternehmen, sondern auch für Sicherheitsbehörden weltweit eine wachsende Herausforderung dar. Für Deutschland sprach das BSI 2019 von einer konstant angespannten Bedrohungslage. Das Bundesamt benannte dafür fünf Gründe:
In Deutschland zählten DDoS-Attacken in den vergangenen Monaten zur zweithäufigsten Angriffsart nach Malware-Infektionen. Sie machten 18 % aller Attacken aus, so die Cyber-Sicherheits-Umfrage der Allianz für Cybersicherheit.
Laut Europol zählten DDoS-Attacken nach Phishing und Ramsomware zu den größten Cyber-Bedrohungen. Als wichtigsten Treiber der Attacken, die polizeilich gemeldet wurden, nennt die europäische Polizeibehörde Erpressung. Als häufigste Ziele identifizierte Europol die Finanzbrache und den öffentlichen Sektor.
Das US-amerikanische Heimatschutzministerium weist besonders auf die Gefahr hin, die von wachsenden Angriffsvolumen ausgeht: Die DDoS-Bandbreiten haben sich in den vergangenen fünf Jahren verzehnfacht. Die Behörde ist skeptisch, ob die derzeitige Netzinfrastruktur zukünftigen Attacken standhalten wird. Außerdem sieht das Ministerium die wachsende Anzahl unsicherer IoT-Geräte, die sich für DDoS-Attacken missbrauchen lassen, mit Sorge.
DDoS-Attacken und ihre Abwehr werden auch 2020 ein wichtiges Thema für IT-Security-Verantwortliche bleiben. Mit welchen Arten von Angriffen müssen Unternehmen und der öffentliche Sektor in den kommenden Monaten rechnen?
Die durchschnittliche Attacken-Bandbreite nahm nach Beobachtung des LSOC innerhalb eines Jahres um ca. 10 % zu. Für 2019 lag sie bei 5,1 Gbps. Tendenz steigend! Angesichts der meist sehr schmalbandigen Außenanbindung von Unternehmen reichen leider immer noch vergleichsweise niedrige Bandbreiten aus, um mit minimalem Aufwand höchstmöglichen Schaden anzurichten.
Der Anteil intelligenter Multivektor-Attacken steigt mit jedem Jahr. 2019 lag er bei über 50 Prozent. Die Angreifer führten die verschiedenen Attackentechniken entweder gleichzeitig oder versetzt aus und zielten dabei auf unterschiedliche Ebenen und Schwachstellen. Diese Angriffsmethodik erfordert einen höheren Abwehraufwand, da alle einzelnen Vektoren identifiziert werden müssen, um ein Muster zu erkennen.
DDoS-Attacken, für deren Ausführung u. a. Cloud-Server eingesetzt werden, sind nicht mehr die Ausnahme, sondern die Regel. Während dies 2018 nur auf jede dritte Attacke zutraf, wurden Cloud-Umgebungen 2019 schon für zweite Attacke genutzt. Gleichzeitig zielen die Angreifer vermehrt auf die Cloud-Instanzen und -Angebote selbst. Dabei wird die Cloud vielfach zur Waffe gegen die Unternehmen selbst eingesetzt.
DDoS-Angreifer stehen unter dem Druck, stets neue Schwachstellen zu identifizieren und damit die Erfolgschancen ihrer Attacken zu steigern. Welche neuen Methoden und Protokolle in den nächsten Monaten die Bedrohungslandschaft prägen werden, bleibt abzuwarten. Sicher ist, dass sie kommen werden.
Die beschriebene Dynamik der Bedrohungslage stellt Unternehmen 2020 vor immer neue Herausforderungen. Dies gilt sowohl für die Angriffserkennung als auch für die Angriffsbekämpfung. Unbedingt notwendig ist eine Sicherheitsstrategie, die neueste Bedrohungsszenarien berücksichtigt. Unternehmen sollten deswegen auf externe Beratung zurückgreifen, um auszuloten, welche spezialisierten Sicherheitslösungen die Risiken aus Angriffen minimieren. KI-basierte Systeme versprechen hier wirkungsvollen Schutz, der den konventioneller Lösungen deutlich übersteigt.
