Wenn man die momentan bedeutendsten Entwicklungen der Digitalisierung aufzählen soll, dann werden zwei Themen mit Sicherheit genannt: Das Internet of Things (IoT) und die damit einhergehende Vernetzung von alltäglichen Geräten sowie der künftige Mobilfunkstandard 5G. Während IoT Annehmlichkeiten und ein komfortables Leben durch intelligente Lösungen für Industrie und Privathaushalte ermöglicht, wird der 5G-Standard unser Verständnis von mobiler Datennutzung und Kommunikation grundlegend verändern. Dabei ist die neue Norm zur Datenübertragung noch reine Zukunftsmusik. Kaum jemand rechnet damit, dass 5G in Deutschland flächendeckend vor dem Jahr 2020 eingeführt wird. Anders sieht es beim Internet der Dinge aus: Intelligente Haushaltsgeräte haben schon lange ihren Weg in unsere Heime gefunden.
Bei allen Vorteilen, die diese neuen Technologien mit sich bringen, wird eine der Schattenseiten dieses Fortschritts oft vergessen. Beide Entwicklungen begünstigen Distributed Denial of Service (DDoS)-Angriffe. Das Prinzip hinter DDoS-Attacken ist bereits seit den frühesten Phasen der Informationstechnologie bekannt. Dazu muss man sich nur in Erinnerung rufen, welchen Effekt das gleichzeitige Öffnen von fünf oder mehr Programmen auf einem Rechner aus dem Jahr 2000 hatte. Die Folge war in der Regel ein eingefrorener Bildschirm und mit viel Glück eine Fehlermeldung. DDoS-Attacken funktionieren nach einem ganz ähnlichen Muster. Vereinfacht gesagt wird durch eine Vielzahl an einzelnen Zugriffsversuchen die Infrastruktur von Servern an die Grenze der Belastbarkeit und darüber hinausgeführt.
Diese Art der Cyberkriminalität hat über die letzten Jahre stetig zugenommen und die Schwere, mit der diese ausgeführt wurden, richtete sich immer nach dem aktuellen Stand der Technik. Diese Entwicklung lässt sich am besten nachvollziehen, wenn man sich die fünf bekanntesten DDoS-Attacken der vergangenen Jahre genauer ansieht.
Das "Who´s Who" der bekanntesten DDoS-Attacken
Eine der ersten größeren DDoS-Attacken hatte große US-amerikanische Banken zum Ziel. Dabei griffen Unbekannte unter anderem die Bank of America, JP Morgan Chase, U.S. Bancorp, Citigroup und die PNC Bank an. Die Angreifer gingen dabei ziemlich phantasievoll und ausgeklügelt vor. Statt nur einen Typ von DDoS-Attacke zu nutzen, verfolgten sie mehrere unterschiedliche Strategien, um möglichst viel Schaden zu verursachen. Der Angriff erfolgte im Jahr 2012, Abwehrtechniken gegen die Angriffe waren in vielen Unternehmen bereits implementiert, allerdings meist nur gegen einen einzigen Angriffstyp. Dadurch und aufgrund des damals hohen Datenverkehrs von bis zu 60 GB pro Sekunde, der durch hunderte gekaperte Server ausgelöst wurde, war die Attacke gravierender als viele der zuvor durchgeführten DDoS-Angriffe.
Während dieser DDoS-Angriff wohl die bekanntesten Opfer traf, war die Wucht, mit der der Angriff durchgeführt wurde, noch am unteren Ende der Skala. Auch wenn die Bandbreite mit 60 GB pro Sekunde für den normalen Verbraucher utopische Züge trägt, lässt sich durchaus sagen, dass es sich dabei noch um einen eher gemäßigten Angriff handelte. Bereits wesentlich schwerwiegender war eine Attacke auf dengemeinnützigen Anbieter Spamhaus, dessen Ziel es ist, Informationen über Spammer und Distributoren von Junk zu verbreiten. Da Spamhaus bereits in der Vergangenheit oft bedroht und auch angegriffen wurde, traf sie die DDoS-Attacke im Frühjahr 2013 nicht gänzlich unvorbereitet. Womit allerdings wohl kaum jemand gerechnet hatte, war die große Datenmenge, die auf die Server wie eine Flut hereinbrach. Ausgenutzt wurde eine Schwachstelle im Network Time Protocol (NTP), einem Netzwerkprotokoll, das die Synchronisation der Uhren innerhalb eines Computernetzwerks ermöglicht. Darüber konnten die Eindringlinge die immense Datenmenge von 300 GB pro Sekunde für ihren digitalen Überfall mobilisieren. Sie nutzten eine Technik, bei der mithilfe von gefälschten Adressen der ursprünglich verfügbare Datenverkehr gespiegelt und massiv verstärkt werden kann. Als Ursprung des DDoS-Angriffs konnte wenig später ein Mitglied der niederländischen Firma Cyberbunker identifiziert werden, die kurz zuvor von Spamhaus auf ihre Liste von Spammern gesetzt worden war.
Mit bereits 400 GB pro Sekunde erfolgte dann im Jahr 2014 eine Attacke auf einen Kunden von Cloudflare, Anbieter von Content-Delivery-Netzwerken und Cybersecurity-Diensten. Wie bei dem digitalen Feldzug gegen Spamhaus basierte auch dieser Übergriff auf einer Schwachstelle in NTP-Servern und der Spiegelung von Datenverkehr. Aufgrund der verwendeten Taktik spricht man auch von Reflektionsangriffen, die besonders verheerende Auswirkungen auf die Server des Opfers haben können. Dadurch ist es auch verständlich, dass die Attacke, obwohl sie eigentlich nur einen Kunden von Cloudflare zum Ziel hatte, auch die Server des Anbieters so stark beeinträchtigte, dass das Netzwerk verlangsamt wurde.
Bei den bisher betrachteten Angriffen kristallisiert sich bereits heraus, dass die Urheber meist aus wirtschaftlichen oder politischen Gründen handeln. Durch die groß angelegten Anstürme auf Server von etwaigen Feinden sollen diese effektiv eingeschüchtert und zum Schweigen gebracht werden. Zudem soll ein möglichst großer wirtschaftlicher Schaden für das Opfer entstehen. Politische Gründe steckten wahrscheinlich auch hinter dem Angriff auf Occupy Central, eine Bewegung, die 2014 eine demokratische Wende in Hongkong herbeiführen wollte. Dabei richtete sich der DDoS-Angriff nicht gegen die Protestierenden, die auf den Straßen Hongkongs freie Wahlen forderten, sondern konzentrierte sich auf Websites, die die Demonstranten unterstützen. So waren unter anderem PopVote - eine Plattform für basisdemokratische Abstimmungen - und Apple Daily Opfer der Angriffe, die bis zu 500 GB pro Sekunde Belastung mit sich brachten. Bemerkenswert an den Angriffen war, dass diese hohe Belastung durch fünf Botnetze, also Netzwerke aus infizierten und gekaperten Rechnern, die den Anweisungen der Angreifer folgen, durchgeführt wurde.
Im Vergleich zum bisher größten DDoS-Angriff wirken aber alle bislang genannten Angriffe kümmerlich, zumindest was den aufgewandten Datenverkehr anbelangt. Die Attacke auf GitHub, einem Filehoster von Online-Entwicklungsprojekten, vom 28. Februar 2018 brach mit einer rekordverdächtigen Datenflut von 1,35 Terabit pro Sekunde auf die Server des unter Entwicklern beliebten Onlinedienstes ein. GitHub war auf einen DDoS-Angriff vorbereitet. Allerdings konnte auch die beste Prävention bei einer solch gewaltigen Attacke nicht verhindern, dass der Anbieter kurze Zeit nicht mehr erreichbar war. Zurückgeführt werden konnte der Angriff auf über tausend verschiedene autonome Netzwerksysteme, die Schwachstellen in Netzwerkprotokollen ausnutzten und auf diese Weise den hohen Datenverkehr erzeugen konnten.
Eine Frage der Strategie
Der erstaunliche Wert des Angriffs auf GitHub wird allerdings nicht lange seinen Größenrekord halten können. Schon jetzt gibt es immer wieder Meldungen von ungesicherten Smart-Home-Protokollen und mangelhaft konstruierten vernetzten Kaffeemaschinen und Wasserkochern. Diese könnten die potentielle Wucht von Angriffen verstärken und ein Datenverkehrsvolumen ermöglichen, dass heute kaum vorstellbar ist. Der Netzwerkstandard 5G bietet in Zukunft außerdem die Leistungskapazität, diese Datenmenge schnell an die erforderlichen Stellen zu schicken.
Zentrale Frage bei der Abwehr solcher DDoS-Angriffe ist die Auslegung der Strategie, die ein Unternehmen verfolgen möchte. Vereinfacht gesagt, gibt es die Möglichkeit, proaktiv oder reaktiv auf die feindlichen Schachzüge zu reagieren. Die proaktive Variante setzt bereits bei den Datenpaketen an, die im normalen Tagesgeschäft ankommen und von Servern verarbeitet werden. Diese gilt es zu analysieren und im Zweifelsfall Anomalien schnellstmöglich zu erkennen und abzuschwächen. Reaktive Herangehensweisen sind meist kostengünstiger, weil sie sich im ersten Schritt nur auf die Analyse von Daten konzentrieren. Sie greifen erst im Fall einer Attacke in den Datenfluss ein. Allerdings fehlt ihnen dadurch die Möglichkeit, in Echtzeit auf Bedrohungen zu reagieren.
Allgemein lässt sich sagen, dass es mindestens so viele Abwehrmöglichkeiten wie Angriffsarten gibt. Wichtig ist, dass Unternehmen sich der Gefahr von DDoS-Attacken bewusst sind und ihre Verteidigungsstrategie an die jeweiligen Gefahrenpotentiale anzupassen wissen. Die richtigen Lösungen gilt es anhand von Fragen nach Skalierbarkeit und Breite, Präzision im Umgang mit Angreifern, Flexibilität bei Risikosituationen sowie den möglichen Eskalationsreaktionen der Lösungen zu finden.