Der Kampf gegen die Hydra: Komplexität und Anzahl der Attacken erneut gestiegen!
Über die letzten Jahre konnte ein konstanter Anstieg von Distributed-Denial-of-Service-Angriffen verzeichnet werden – vor allem forciert durch Erpresserwellen. Auf das ohnehin bereits hohe Niveau der Vorjahre kommen nun geopolitische Spannungen hinzu. Vor dem Hintergrund der Ereignisse im Ukraine-Konflikt ist damit zu rechnen, dass Cyberattacken auch als Mittel der asymmetrischen Kriegsführung weiter zunehmen. Schwerpunktartig sorgen dabei sogenannte DDoS-Angriffe für den Ausfall von komplexen IT-Infrastrukturen beispielsweise bei Behörden oder Finanzinstituten zum Ziel der Sabotage und Verunsicherung. Bereits im vergangenen Jahr ist die Anzahl der im Link11-Netzwerk gemessenen DDoS-Attacken spürbar gestiegen. Als ein spezialisierter europäischer IT-Security-Anbieter für Cyber-Resilienz veröffentlicht Link11 dazu heute neue Daten im hauseigenen DDoS-Report 2021.
Demnach ist die Zahl von DDoS-Attacken zwischen 2020 und 2021 um 41 Prozent gestiegen. Gegenüber einem ohnehin schon hohen Niveau getrieben durch Cyberkriminelle, die aus der Digitalisierungswelle zu Beginn der Pandemie Kapital schlagen wollen, hat die Menge der Angriffe weiter zugelegt.
Marc Wilczek (Geschäftsführer, Link11):
“Das private und wirtschaftliche Leben verlagert sich zunehmend in den digitalen Raum. Dadurch bieten sich immer mehr Angriffsflächen. Unsere Zahlen machen deutlich: nicht nur die Anzahl der DDoS-Attacken steigt, zunehmend verändert sich auch deren DNA. Die Komplexität steigt, neue Angriffsvektoren und Methoden wie das „Carpet Bombing“ etablieren sich. Demgegenüber stoßen vorhandene Sicherheits-Tools an ihre Grenzen. Umso wichtiger sind höchste Präzision und Geschwindigkeit in der Erkennung und Abwehr der Angriffe.”
Auch die Angriffsbandbreiten folgen dem gleichen Trend und haben beständig zugenommen. Die höchste im Link11-Netzwerk gemessene Bandbreite lag über 1 Tbps und summierte sich in knapp zwei Stunden auf über 4,5 Tbps Volumen. Zahlreiche weitere Hochvolumen-Attacken gab es besonders in der zweiten Jahreshälfte 2021. Die durchschnittliche Höchst-Angriffsbandbreite in 2021 lag demnach bei 437 Gbps gegenüber 161 Gbps in 2020. Dagegen ist die mittlere Gesamtbandbreite von 1,5 auf 1,4 Gbps aufgrund der Zunahme des sog. „Carpet-Bombings“ gesunken. Verantwortlich für die Zunahme der Hochvolumen-Attacken war unter anderem das neue und massive Botnet Meris. Es kann auch sehr robuste Netzwerke durch eine große Anzahl von Anfragen pro Sekunde (RPS) nachhaltig stören.
Darüber hinaus wurden 71 Prozent aller Angriffe als Multivektor identifiziert. Das heißt, dass die Täter mehrere Zugangswege und Methoden nutzten – was heute zunehmend zum Normalfall wird. Die Herausforderung: Je mehr Schwachstellen und Protokolle die Angreifer nutzen, umso schwieriger ist die Angriffserkennung und Abwehr, womit die Erfolgswahrscheinlichkeit für Angreifer steigt. Denn unterm Strich handelt es sich um verschiedene, synchron ablaufende Attacken, die ebenso einzeln identifiziert werden müssen. Im Jahr 2020 hatte der Anteil von Multivektor-Angriffen noch bei 59 Prozent gelegen.
Zu dieser Entwicklung sagt Jag Bains, Vice President Solution Engineering bei Link11:
Jag Bains (Vice President Solution Engineering, Link11):
„Multivektor-Angriffe zu bekämpfen, gleicht dem Kampf gegen die Hydra: Entschärft man einen Vektor, wird dieser durch zwei Neue ersetzt.“
Zusätzlich vermerkt Link11 eine Zunahme des „Carpet Bombings“, d.h. der konzertierten Überflutung von Systemen mit einzelnen Nadelstichen. Bei diesen technisch sehr komplexen Angriffen ist der Datenverkehr pro IP-Adresse im Gegensatz zu den Hochvolumen-Attacken so gering, dass viele Schutzlösungen sie nicht als Anomalie erkennen. Die Angriffe unterwandern das Radar und sind schwer zu entschärfen.
Daneben verstärkte sich abermals Ransom-DDoS als Trend: Immer mehr Cyberkriminelle fordern bei DDoS-Attacken zunehmend Lösegeld. Verstärkend auf diesen Trend könnte sich die Tatsache auswirken, dass DDoS-Attacken im vergangenen Jahr oftmals auch als Nebelkerze getarnt, z.B. in Verbindung mit einem Ransomware-Angriff, zum Einsatz kamen. Im Windschatten eines massiven DDoS-Angriffes können Hacker so unbemerkt durch die digitale Hintertür der Netzwerksicherheit eindringen und beispielsweise Malware platzieren, bevor sie die Webserver zum Durchbooten zwingen.
