Die Bedrohungslage bei Distributed-Denial-of-Service (DDoS)-Attacken war 2019 sehr komplex und dynamisch: Es gab neue Ziele, neue Schwachstellen und neue Angriffstechniken. Die Auswirkungen erfolgreicher Attacken wurden im Laufe des Jahres auch außerhalb der IT-Branche immer deutlicher spürbar. Rückblickend lassen sich Angriffsmuster erkennen. Wer diese kennt, kann den Schutz der Unternehmens-IT besser justieren.
Foto: dizain - shutterstock.com
20 Jahre DDoS-Attacken
Vor 20 Jahren, am 22. Juli 1999, setzte zum ersten Mal in der Geschichte des World Wide Webs ein DDoS-Angriff einen Internet-Dienst außer Gefecht. Die gezielte Überlastung eines Rechners der University of Minnesota beeinträchtigte das gesamte Hochschulsystem, das zwei volle Tage nicht verfügbar war. Seitdem haben DDoS-Attacken sowohl hinsichtlich ihrer Intensität als auch der globalen Verbreitung exponentiell zugenommen. Für Europol, die Strafverfolgungsbehörde der EU, zählten DDoS-Attacken 2019 zu den größen Cyber-Bedrohungen. In Deutschland sprach das BSI von einer konstant angespannte Bedrohungslage.
Zum einen funktioniert die zugrundeliegende Methode, Server und Infrastrukturen systematisch zu überlasten, immer noch sehr effektiv. Zum anderen profitiert die kriminelle Seite des Internets von den technischen Fortschritten der letzten Jahre mit steigenden Bandbreiten und einem wachsenden Heer von vernetzten Geräten. Hinzu kommt, dass die Hürden zur Durchführung von Attacken weiter abgesenkt wurden, so dass IT-Kenntnisse nicht mehr nötig sind. Open-Source-Malware oder DDoS-for-hire-Angebote haben ihren Weg aus dem Darknet in die frei zugängliche Web-Öffentlichkeit gefunden.
DDoS-Attacken auf Bestellung
DDoS-for-hire-Anbieter, die sich mit den Suchbegriffen "booter service" oder "ip stresser" über eine einfache Google-Suche finden lassen, führen zunehmend Angriffe gegen Bezahlung aus. Der Preis für ein DDoS-Botnetz lag 2019 laut einem Report von Security-Intelligence-Anbieter Flashpoint
zwischen einem bis 100 Dollar - abhängig von Dauer, Bandbreite sowie Zusatzmodulen. Zum Vergleich: 2017 betrug die Preisspanne ein bis 27 Dollar. Die Tagesmiete eines ungeschützten HTTP-IoT-Botnetzes lag 2019 im Durchschnitt bei 25 Dollar und war damit nur halb so teuer wie DDoS-Attacken über ein HTTP-Windows-Botnetz. Besonders zynisch ist, dass sich analog zum Preiskampf im E-Commerce Rabatte und sogar Black-Friday- oder Cyber-Monday-Angebote auf den Booter-Plattformen finden.
Die spektakulärsten Schläge der DDoS-Angreifer im Jahre 2019
Die Auswirkungen von DDoS-Attacken sind 2019 immer gravierender geworden. Die Folgen beschränkten sich nicht mehr allein auf Ausfälle für bestimmte Online-Services wie in den Bereichen Banking oder Hosting, sondern betrafen auch Online-Kommunikation, Mobilität und Cloud-Computing.
Mai
Eine Gruppe namens "Turkish Hackers" attackierte zahlreiche Hosting-Anbieter und ISPs in Italien und forderte Schutzgeld in Bitcoins.
Juni
DDoS-Attacken brachten die Messenger-App von Telegram zum Absturz. Der Telegram-Chef vermutete China hinter den Attacken während der Proteste in Hongkong.
August
In der schwedischen Hauptstadt Stockholm war der Online-Ticketverkauf des Nahverkehrs nicht erreichbar.
September
In vielen Ländern Europas gingen Wikipedia-Seiten für Stunden vom Netz.
Oktober
In weiten Teilen der Welt fielen die Amazon Web Services (AWS) für acht Stunden aus.
Die 30.000 Rechner der Universität Kiel und die auf ihnen installierten Surf- und Mail-Programme ließen sich über eine Woche nur langsam oder gar nicht nutzen.
Unternehmen in Deutschland, Österreich und der Schweiz erhielten ernstgemeinte Erpresser-Mails im Namen von Fancy Bear.
November
Die Webseite und andere digitale Kommunikationsplattformen der britischen Labour Party wurden inmitten des Wahlkampfes sabotiert und fiel zeitweise aus.
Diese Beispiele zeigen die verschiedenen Motive hinter den Attacken: Konkurrenten aus dem Weg räumen und sich Wettbewerbsvorteile verschaffen, Bitcoins erpressen sowie politischen und sozialen Protest ausüben.
Zu viele Kriminelle bleiben ungestraft
Im Kampf gegen Cyberkriminalität haben nationale und internationale Strafverfolgungsbehörden mittlerweile aufgerüstet. Die Ermittlungen führen immer häufiger zu Festnahmen. Im Oktober 2019 hat beispielsweise die niederländische Polizei mehrere Command&Control-Server beschlagnahmt und vom Netz genommen. In China verhaftete die Polizei im November den Betreiber eines DDoS-Botnetzes, dass 200.000 Server umfasste. Bereits im September schafften es deutsche Strafverfolgungsbehörden, den "Autor" des ca. eine Million Rechner umfassenden Mariposa-Botnetzes festzusetzen.
Trotz dieser Erfolge ist die Chance, dass der Betreiber eines Booter-Services festgenommen wird und eine Haftstrafe verbüßt, jedoch sehr gering. Vor allem verglichen mit der Masse an DDoS-Aktivitäten und DDoS-for-hire-Plattformen. Das Link11 Security Operation Center registrierte im laufenden Jahr mehrere Zehntausend Attacken allein in der DACH-Region.
Jeder Betreiber eines Internet-Dienstes und jedes Unternehmen mit digitalen Geschäftsprozessen ist verantwortlich dafür, DDoS-Attacken abzuwehren und zu bekämpfen. Dazu ist es wichtig, die Entwicklungen und Trends auf Seiten der Angreifer genau zu kennen und mitzuverfolgen.
DDoS Trends 2019
Die Verschiebungen bei den klassischen Messgrößen für DDoS-Attacken kannten im Jahr 2019 nur eine Richtung: nach oben. Die DDoS-Bandbreiten haben sich in den vergangenen fünf Jahren verzehnfacht, berichtet das Heimatschutzministerium der USA. Darüber hinaus ließen sich im Vergleich zum Vorjahr neue Angriffsmuster beobachten:
komplexere Taktiken: Der Anteil komplexer Multivektor-Attacken (Bündelung mehrerer Angriffstechniken, die auf unterschiedliche Ebenen und Schwachstellen zielen) stieg 2019 auf über 50 Prozent. Diese Angriffsmethodik erfordert höheren Abwehraufwand, da alle einzelnen Vektoren identifiziert werden müssen, um ein Muster zu erkennen.
Mehr Cloud-Missbrauch: DDoS-Attacken, für deren Ausführung unter anderem Cloud-Server eingesetzt werden, sind nicht mehr die Ausnahme, sondern die Regel. Während es 2018 nur jede dritte Attacke war, traf dies 2019 schon auf jede zweite Attacke zu.
Zweckentfremdung etablierter Protokolle: Mit dem WS-Discovery- und dem Apple-Remote-Protokoll, beide seit 2005 im Dienst, traten 2019 zwei neue Angriffsvektoren auf den Plan. DDoS-Angreifer stehen unter dem Druck, stets neue Schwachstellen zu identifizieren und damit die Erfolgschancen ihrer Attacken zu steigern.
Fazit und Empfehlung für 2020
DDoS-Attacken und ihre Abwehr werden auch 2020 ein wichtiges Thema für IT-Security-Verantwortliche bleiben. Die beschriebene Dynamik der Bedrohungslage stellt sie sowohl bei der Angriffserkennung als auch in der Angriffsbekämpfung vor immer neue Herausforderungen. Sicherheitsstrategien und -technologien müssen permanent angepasst und auf ihre Zukunftssicherheit geprüft werden. Die Bekämpfung von Volumenattacken ist dafür ein gutes Beispiel. Wer als Reaktion auf den Bandbreitenzuwachs der Attacken die Außenanbindung des eigenen Unternehmens immer weiter in die Höhe schraubt, lässt sich auf ein teures Katz-und-Maus-Spiel ein. Den Angreifern steht im Zweifel ein schier unerschöpfliches Potential an gekaperten Bot-Rechnern zur Verfügung, um selbst umfassend Content-Delivery-Network (CDN)-basierte Angebote wie Wikipedia in die Knie zu zwingen.
Neben einem DDoS-Schutz sollten Betriebe auch eine zuverlässige, unternehmensweit wirksame Web-Firewall in die Verteidigungsstrategie mit einbeziehen. Damit werden auch die immer wichtigeren Web-Applikationen umfassend geschützt. (jd)