DDoS-Attacken: Im Auge des Daten-Hurrikans
Über 50'000 DDoS-Angriffe haben 2021 in der Schweiz Webplattformen, kritische Anwendungen oder ganze Computersysteme lahmgelegt. Sie machen den Sicherheitsverantwortlichen das Leben schwer - rund um die Uhr. Man kann sich aber auch vorbereiten.
Das Nationale Zentrum für Cybersicherheit (NCSC) bezeichnet DDoS-Attacken als "Angriffe auf Computer-Systeme mit dem erklärten Ziel, deren Verfügbarkeit zu stören". DDoS-Attacken (Distributed Denial of Service) laufen alle nach ähnlichen Mustern ab: Die Internetserver eines Unternehmens werden mit unzähligen Anfragen bombardiert mit dem Ziel, dass diese die grosse Datenmenge oder die hohe Anzahl IP-Pakete nicht mehr verarbeiten können und unter der Überlast ausfallen.
Die Angreifer nutzen für die Flut an Anfragen Botnets. Diese Botnets basieren auf nicht oder mangelhaft geschützten, mit dem Internet verbundenen Computern, Routern, Webcams, Babyphones, TV- und Haushaltgeräten und so weiter. Je mehr Geräte Teil eines Botnets sind, desto wirkungsvoller fällt die Attacke aus. Die Häufigkeit solcher gezielten DDoS-Attacken nimmt weltweit zu. Netscout Arbor detektierte 2021 in der Schweiz total 54'600 Attacken, was rund 150 Attacken pro Tag entspricht.
Wilhelm Landolt, Security Product Manager bei Swisscom. (Source: zVg)
Die Angriffsmethoden werden raffinierter
Die Abwehr wird zunehmend schwieriger, da die Angriffe stets ausgeklügelter werden. Anfänglich fanden Attacken häufig auf den unteren Netzwerkschichten (OSI-Layer) statt, beispielsweise mittels PING- oder SYN-Flood. Derartige Unterfangen lassen sich mit Schutzsystemen wie einer Firewall oder IDS/IPS – Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) – nur bis zu einem gewissen Level ausfiltern. Die mittlerweile professionellen Angreifer kombinieren verschiedene Angriffsvektoren und UDP-Reflection-Attacken. Bei einem Reflection-Angriff wird das Opfersystem nicht direkt angegriffen. Stattdessen spielt der Angreifer "über Bande" (reflection). Das geht so: Der Angreifer sendet eine Anfrage mit gefälschter Absenderadresse an ein Zielsystem (Bande). Als Absenderadresse wählt er die Adresse des Systems, das er angreifen möchte (Opfersystem). Die Antwort auf die Anfrage des Angreifers erhält dann aufgrund der gefälschten Adresse nicht der Angreifer, sondern das Opfersystem. Hierbei machen sich die Cyberkriminellen die Tatsache zunutze, dass Dienste wie DNS (Domain Name Service) auf ein kleines Anfragepaket eine umfangreiche Antwort liefern. Dadurch ist es dem Angreifer möglich, mit dem Einsatz einer geringen eigenen Bandbreite viel Angriffsbandbreite zu erzeugen. Man spricht in diesem Fall von einer Verstärkung der eingesetzten Bandbreite (amplification). Bei Formen wie DNS Amplification genügt es deshalb, zahlreiche Anfragen mit der IP-Adresse des Opfers (IP Spoofing) zu stellen, um dieses mit einer ungleich grösseren Datenmenge zu überfluten. In Kombination mit anderen Angriffsformen auf der Anwendungsschicht (Layer 7) wie etwa HTTP(S) Flooding sind derartige DDoS-Attacken sehr effizient und auf den Systemen des Opfers schwierig zu blockieren.
Leider wird es immer einfacher, Aufträge für DDoS-Attacken zu platzieren oder solche selbst auszuführen. Im Internet werden auf kriminellen Marktplätzen (u.a. im Darknet) DDoS-Attacken gegen eine geringe Gebühr als Dienstleistung angeboten: in Form von Cybercrime-as-a-Service oder getarnt als Stresstest. Es muss folglich mit einer weiteren Zunahme von DDoS-Angriffen gerechnet werden.
Keiner zu klein, das Ziel zu sein
Dienstleistungen, die jederzeit für viele User und ohne Zeitverzögerungen verfügbar sein müssen, stehen im Fokus von Hackern, da sie lohnende Ziele sind. Auf Firmen aus der Finanz- und Gaming-Industrie werden laut Statistik am meisten DDoS-Angriffe ausgeführt. Behörden, Spitäler oder Energieunternehmen sind ebenfalls beliebte Ziele, da all ihre Dienste hochverfügbar sein müssen und bereits eine kurzzeitige Unterbrechung grossen Schaden anrichten kann. Einen Webdienst ohne wirksame DDoS-Schutzmassnahmen zu betreiben und zu hoffen, dass man für Cyberkriminelle ohnehin nicht als interessantes Ziel angesehen wird, muss aus Unternehmersicht als vorsätzliches und fahrlässiges Verhalten eingestuft werden.
Grundsätzlich ist jedes Unternehmen gefährdet, das einen öffentlichen Webauftritt hat, auf hohe Erreichbarkeit durch die Kunden angewiesen und unzureichend geschützt ist. Monetär getriggerte Cyberkriminelle sind nicht wählerisch. Sie nehmen sich die Ziele, die am wenigsten Widerstand und schnellen Profit bieten. Die Angreifer sind sehr kreativ. Zunehmend beobachten wir kombinierte Angriffs- und Erpressungsvarianten: DDoS kombiniert mit Datenverschlüsselung (Ransomware) und Datendiebstahl. Die von verschiedenen Security-Anbietern verfügbaren DDoS Protection Services bieten einen wirksamen Schutz, der auch ständig weiterentwickelt wird. Cyberkriminelle werden aber so lange weiter DDoS-Attacken ausführen und entsprechende Methoden weiterentwickeln, wie es ungeschützte Infrastrukturen gibt, mit denen sie hohe Geldbeträge erpressen können.
7 Tipps zum Hochfahren der Abwehr
Folgenabwägung: Fragen Sie sich, was ein Systemausfall infolge eines DDoS-Angriffs für Folgen für das Unternehmen hat. Berechnen Sie den direkten und den indirekten Schaden, der bei einer Unterbrechung der Systeme während Stunden, Tagen oder gar Wochen resultieren könnte. Vergleichen Sie die Kosten mit denen für einen DDoS Protection Service: Höchstwahrscheinlich sparen Sie damit nicht nur Nerven, sondern auch Geld.
Prävention: Gehen Sie für einen wirkungsvollen DDoS-Schutz auf Ihren Internet-Service-Provider zu. Dieser hat die Möglichkeit, grosse Attacken im Backbone zu neutralisieren.
Zugriffe einschränken: Mit einer Einschränkung der Absender-IP haben Sie die Möglichkeit, den Zugriff auf den eigenen Webservice zu limitieren. Zum Beispiel können bei Bedarf alle Server-Anfragen von ausserhalb der Schweiz oder aus bestimmten Ländern gesperrt werden. Achten Sie darauf, dass die Rechtevergabe für das gesamte Netzwerk jederzeit strikt eingehalten wird.
Notfallplan: Für den Ernstfall sollte ein interner Notfallplan vorhanden sein, der auch ein Worst-Case-Szenario abdeckt. Die verantwortlichen Personen müssen entsprechend geschult werden, das notwendige Vorgehen kennen sowie relevante Kontakte (intern und extern) schnell benachrichtigen können.
Drohungen ernst nehmen: Bei der Androhung eines Angriffs sollten Sie mit dem Internet-Service-Provider unverzüglich technische Massnahmen ergreifen, um sich auf einen Angriff vorzubereiten. Auf Lösegeldforderungen sollte man nie eingehen.
Früherkennung: IT-Verantwortliche sollten den Normalzustand der Systeme (Baseline) kennen, um besondere Ereignisse sofort zu bemerken. Regelmässige automatische Auswertungen der Log Files geben Auskunft über Auffälligkeiten. Zur Überwachung gehört auch die externe Sicht: Die Verfügbarkeit der Dienste von ausserhalb des Unternehmens muss übers Internet kontrolliert werden.
Cloud-basierte Firewall: Die Firewall sollte über ausreichend Ressourcen verfügen und im Falle eines Angriffs kurzfristig mit zusätzlichen Blockierungsregeln aufgerüstet werden können. Hier bietet sich eine cloudbasierte Managed Firewall an, deren Ressourcen skalierbar sind.