IT-Security

DDoS-Angriffe nehmen weiter Fahrt auf

27. August 2019 von Bianca Wellbrock

ddos-angriffe
© Bits and Splits - Adobe Stock

DDoS-Angriffe machen es möglich, eine komplette Website zeitweise aus dem World Wide Web zu verbannen. Es ist Besuchern dann nicht mehr möglich, die Seite aufzurufen. DDoS steht für “Distributed-Denial-of-Service”. Angreifer bündeln für solche DDoS-Angriffe verschiedene gekaperte Computer zu einem Verbund. Daraus entsteht ein Botnetz, welches Webserver mit derartig vielen Anfragen überflutet, dass diese der Last nicht mehr standhalten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) musste in seinem jährlichen Lagebericht 2018 feststellen, dass die Bedrohungslage durch DDoS-Angriffe weiterhin als hoch eingeschätzt werden muss: In 2017 nahmen DDoS-Angriffe bis ins Jahr 2018 stark zu. Auch das BKA zeigt im Bundeslagebild Cybercrime auf, dass DDoS-Angriffe die am häufigsten beobachteten Sicherheitsvorfälle wären. Einige Ergebnisse dieser Untersuchungen zeigen, wie ernst die Lage ist:

  • Im Januar 2018 fielen die IT-Systeme des Nationalen Gesundheitswesens sowie des Ehealth-Systems in Lettland für Stunden aus. In dieser Zeit konnten weder Krankschreibungen noch Rezepte ausgestellt werden.
  • Im März 2018 können die Kunden des Webhosters Swisscom den Mail-Service und das Homepage-Tool nur eingeschränkt verwenden.
  • Als im Mai 2018 das Ticketsystem der dänischen Staatsbahn ausfiel, ließen sich Fahrkarten nur noch beim Schaffner erwerben. Ebenfalls vom Netz abgeschnitten waren die internen Mail- und Telefonserver des Unternehmens, auch intern herrschte Stillstand.
  • Ebenfalls im Mai sind das Online- und Mobile-Banking bei zwei der größten Banken in den Niederlanden stundenlang ausgefallen.
  • Im September 2018 hatten britische Universitäten mit Ausfällen zu kämpfen; neben zahlreichen Uni-Websites und dem WLAN war das Janet-Network, welches die Forschungs- und Lehranstalten miteinander verbindet, nicht mehr erreichbar.

Lassen Sie sich auch die folgenden Fakten auf der Zunge zergehen:

  • Das durchschnittliche DDoS-Angriffsvolumen des dritten Quartals 2018 wurde im Vergleich mit dem 1. Quartal mehr als verdoppelt. Verglichen mit dem 2. Quartal wuchs außerdem die Anzahl der Angriffe. Mit einem Anstieg um 71 Prozent konnte man im 3. Quartal von durchschnittlich 175 Angriffen pro Tag ausgehen!
  • Im Jahr 2018 waren sagenhafte 87 Prozent aller Service-Provider Ziel von DDoS-Attacken.
  • Mit 1,7 Terabit pro Sekunde (Tbps) erreichten DDoS-Angriffe im Frühjahr 2018 einen neuen Höchstwert. Damit gelang es, einen Rekord zu brechen, der nur eine Woche zuvor mit 1,3 Tbps aufgestellt werden konnte.

DDoS-Angriffe haben nicht aufgehört

Auch in 2019 ging es schon hoch her: Bereits im 1. Quartal registrierte Link11 11.177 DDoS-Angriffe. Die Ziele befanden sich in Deutschland, in Österreich und in der Schweiz. Mit einer mittleren Bandbreite von 3,8 Gbps wuchs diese verglichen mit dem Vorjahreszeitraum mit 2,2 Gbps um mehr als 70 Prozent!

Die Verteilung der DDoS-Attacken im 1. Quartal war ungleichmäßig, die Gefahr einer Attacke hing unter anderem vom Wochentag und der Uhrzeit ab. Mit 17 Prozent entfielen die meisten Angriffe auf einen Freitag, montags wurden mit fast 12 Prozent die wenigstens Angriffe registriert.

Multi-Vektoren für gezieltere Angriffe

Neben der Zunahme der DDoS-Attacken selbst änderte sich von 2018 zu 2019 noch etwas: DDoS-Angriffe erfolgten konzentriert, nicht mehr vereinzelt. Zwar ist die Anzahl der Service-Provider, die in 2018 über 21 Attacken pro Monat abwehren mussten, leicht gesunken (aktuell: 45 Prozent). Jedoch stieg die Anzahl an Dienstleistern, die mehr als 500 Angriffe monatlich registrieren.

Diese Anstiege sind damit zu begründen, dass die cyberkriminellen Täter immer häufiger auf Multivektor-Angriffe setzen. Im Jahre 2018 waren es 36 Prozent der Unternehmen, die komplexe Multi-Vektor-Angriffe auf Anwendungen, Infrastruktur und Breitband registrierten. Attacken dieser Art zeigen sich als dynamischer Mix aus Application-Layer-, volumetrischen sowie State-Exhaustion-Angriffen. Angreifer führen also entweder unterschiedliche Angriffsvektoren abwechselnd oder aber gleichzeitig aus. Bereits im 1. Quartal 2019 lag diese Zahl bei 46 Prozent.

Im bisherigen Jahr dominierten mit fast 80 Prozent aller Multivektor-Angriffe die komplexen Attacken, die auf zwei oder drei Vektoren abzielen. Konkrete Zahlen dazu:

  • Angriffe auf 2 Vektoren: 40,0 Prozent
  • Angriffe auf 3 Vektoren: 39,1 Prozent
  • Angriffe auf 4 Vektoren: 16,5 Prozent
  • Angriffe auf 5 Vektoren: 3,5 Prozent
  • Angriffe auf 6 Vektoren: 0,8 Prozent

Angriffe dauern länger

Werden DDoS-Angriffe komplexer, ist die logische Schlussfolgerung, dass sie auch länger andauern. Das zeigen die 2019 bereits registrierten DDoS-Angriffe. Schon in 2018 stieg die durchschnittliche Dauer eines DDoS-Angriffs an: Im 1. Quartal dauerten sie im Schnitt 95 Minuten, im letzten bereits 218 Minuten. Der Januar 2019 kam auf einen Mittelwert von knapp 8 Minuten, während im März bereits 13 durchschnittliche Minuten registriert wurden. Die längste aller DDoS-Attacken zog sich über 718 Minuten – knappe 12 Stunden!

Neuer Trend: DDoS-Service

Die Entwicklung des Markts bezüglich der DDoS-Angriffe ist erschreckend: Mittlerweile hat sich “DDoS as a Service” etablieren können. Heißt: Hacker locken im öffentlichen Web mit gewaltigen Bandbreiten von 500 Gbps sowie 20.000 Bots für eigene Angriffe. Für einen Obolus kann jeder gewillte User einen solchen Dienst nutzen und so Angriffe durchführen.

Wurde das Portal “webstresser.org” im April 2018 durch die Behörden stillgelegt, gibt es andere Portale, in denen sich solche “Services” buchen lassen. Auf “0x-booter” beispielsweise können sich auch heute noch alle Interessierten anmelden und eine Attacke von beispielsweise 15 Minuten für 20 US-Dollar buchen. Eine Stunde kostet dann schon mal 150 US-Dollar. Dass das Angebot nicht ganz legal ist, versteht sich von selbst. Die rege Nachfrage zeigt jedoch, dass sich das Problem für Unternehmen und Behörden in Zukunft noch verkomplizieren kann.

DDoS-Angriffe: IoT-Geräte sind eine Schwachstelle

Im “DDoS Threat Intelligence Report” aus dem März 2019 untersuchte das Sicherheitsunternehmen A10 Networks unter anderem, woher DDoS-Angriffe stammen. Häufig kommen etablierte Technologien und Internetprotokolle zum Einsatz; darunter Domain Name System (DNS)-Resolver, das Network Time Protocol (NTP) oder das Simple Services Discovery Protocol (SSDP). Immer häufiger setzen Angreifer aber auch auf CoAP-basierte Geräte.

Protokolle wie CoAP werden von IoT-Geräten (Internet of Things) verwendet. CoAP zeigt sich anfällig für IP-Adressen-Spoofing, darüber hinaus fürs Verstärken von Paketen. Das prädestiniert IoT-Geräte für DDoS-Angriffe – ein Trend, der zunehmen wird. Um sich ein Smart Home aufzubauen, nutzen immer mehr Anwender “intelligente Geräte”, also das IoT.

DDoS-Security: Was wird noch kommen?

Bekannt sind also bereits DDoS-Multivektor-Angriffe sowie “DDoS-Services”. Die Angriffe werden komplexer und raffinierter. Da kommt man nicht umhin, sich zu fragen, welche Methoden es noch gibt, um den DDoS-Schutz von Unternehmen zu umgehen.

Unerkannt durch TLS/SSL-verschlüsselte Verbindungen

Eine sehr perfide Angriffsmethode gelingt Cyberkriminellen durch eine Tarnung als legitime User-Anfragen. Dabei geht es nicht darum, die Anbindung zu überlasten. Stattdessen werden die Serverressourcen durch das Ver- und Entschlüsseln von SSL-Verbindungen ausgereizt. HTTPS-Angriffe dieser Art sind jedoch nur schwer zu erkennen: Ohne Inspektion der Pakete lässt sich der manipulierte Traffic kaum von normalen Anfragen unterscheiden. Ein granularer Einblick in den per TLS verschlüsselten Traffic ist Bedingung zum Erkennen solcher Angriffe.

DDoS-Bots: Schnellere und effektivere Attacken

Sicherheitsexperten sind sich einig: Die Verwendung von Bots für DDoS-Angriffe wird noch zunehmen. Kaum verwunderlich, sind sie doch so vielseitig einsetzbar – etwa für den Versand von Spam, für Kryptomining oder eben für DDoS-Attacken. Praktisch für die Angreifer ist die Tatsache, dass speziell Server-basierte Botnetze durch den Ausbau der globalen IT-Infrastruktur exponentiell mitwachsen. Angreifer profitieren vom rasanten Cloud-Wachstum und steigenden Breitbandanbindungen.

DDoS-Angriffe – Schutz durch Künstliche Intelligenz und Machine-Learning

Soweit die schlechten Nachrichten: DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Doch es gibt auch gute Nachrichten, nämlich neue Wege in der Bekämpfung solcher Angriffe.

Deutlich wird schon jetzt, dass es sich lohnt, in den Schutz vor DDoS-Angriffe zu investieren. Die Kosten, die ein Schaden im Nachhinein verursacht, sind um ein Vielfaches höher als ein effizienter Schutz. Aufgrund der bestehenden kriminellen Infrastruktur wird es weiterhin zielgerichtete Angriffe beispielsweise auf Webanwendungen geben – zu hoch ist der Lohn für die Cyberkriminellen.

Der Einsatz Künstlicher Intelligenz (KI) soll den DDoS-Attacken künftig kontern. Deshalb sollten Verteidigungsstrategien KI und das maschinelle Lernen (ML) inkludieren. So lassen sich große Datenströme in Echtzeit verarbeiten, adaptive Maßnahmen können entwickelt werden.

Ein weiterer Baustein zur effektiven Verteidigung ist die Schulung von Mitarbeitern. Es lohnt sich, darin zu investieren, Mitarbeiter für die Gefahr zu sensibilisieren und verwendete Websites sowie Webanwendungen auf den Umgang mit sehr hohem Datenverkehr effektiv vorzubereiten.

Wie hat Ihnen dieser Artikel gefallen?

Average rating / 5. Vote count:



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu