Mit <kes>+ lesen

Denial of Service 2021

Wie groß ist die derzeitige Bedrohung durch (Distributed-) Denial-of-Service-Angriffe (DDoS)? Welche Wege nutzen Angreifer und wie kann man sich schützen? Die hat Experten zu Lage, Zielen, Gegenmaßnahmen und Trends befragt.

Bedrohungen
Lesezeit 17 Min.

Klassische Angriffe gegen die Verfügbarkeit von IT-Systemen und -Netzen durch Über- oder Fehllast sind durch die allgegenwärtigen Ransomware-Attacken, die sich unmittelbar gegen gespeicherte Daten wenden, womöglich etwas aus dem Fokus – zumindest der medialen Berichterstattung – geraten. Die <kes> hat daher Berater und Lösungsanbieter gefragt, wie groß die derzeitige Bedrohung durch (Distributed-)Denial-of-Service-Angriffe (DDoS) ist, welche Organisationen oder Branchen momentan besonders gefährdet sind und wie die derzeit typischen Angreifer, ihre Motivation und Vorgehensweise aussehen.

Bedrohung

„DDoS-Angriffe haben sich von einem Gaming-Phänomen zu einer Bedrohung für Unternehmen aller Branchen und Größen hinweg entwickelt“, betont Marc Wilczek, Geschäftsführer von Link11. „In Corona-Zeiten mit ihrer Express-Digitalisierung bietet inzwischen fast jedes Unternehmen Angriffsflächen. Unter besonderem DDoS-Beschuss stehen aktuell Gesundheitswesen, Logistik, E-Commerce, Bildungsplattformen, Finanzindustrie, Produktion sowie Hosting- und Cloud-Provider, die die Infrastruktur für die Digitalisierung stellen.“ Gleichzeitig steige die Schadenswirkung der Angriffe: „Sie können – nur noch vergleichbar mit Ransomware – erschreckend schnell und effektiv ein Unternehmen vollständig zum Stillstand bringen. Dieser Umstand wird immer häufiger von DDoS-Erpressern ausgenutzt.“

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) konstatiert aufgrund der zunehmenden Digitalisierung und Vernetzung eine steigende Abhängigkeit von digitalisierten Prozessen und somit auch steigende Risiken gegenüber Angriffen auf die Verfügbarkeit. „Das BSI hat zuletzt verschiedene DDoS-Kampagnen und damit eine angespannte Bedrohungslage verzeichnet. Derartige Angriffe sind üblicherweise finanziell motiviert und werden mit der Absicht durchgeführt, digital Schutzgeld zu erpressen – ein Fokus auf einzelne Branchen ist dabei nicht zu beobachten.“

Jörg Asma, Partner im Bereich Cyber Security & Privacy bei PwC Deutschland, warnt: „Die Bedrohung durch DoS-Angriffe steigt deutlich und spürbar an. Die Betroffenen sind vermehrt Infrastrukturen des Gesundheitswesens und des Remote Working. Die Motivation scheint sich hin zu einem Inkassomodell zu bewegen, da DDoS vermehrt auch mit Lösegeldforderungen einhergeht.“ Scheinbar werde die Erfolg versprechende Verbreitung von Ransomware bei interessanten Zielen schwieriger, sodass sich Angreifer umorientieren und auf Vorteile klassischen DoS besinnen: „Die Bandbreiten wachsen und somit auch die Möglichkeit, High-Volume-DDoS-Angriffe durchzuführen“ – und das Einschleusen von Malware beim eigentlichen Opfer könne man sich sparen. Himanshu Chaudhary, Senior Manager im Bereich Cyber Security & Privacy bei PwC Deutschland ergänzt: „Es gibt auch Ransomware-DoS-Angriffskampagnen, bei denen die Opfer sogar Lösegeld-/Drohbriefe im Voraus erhalten. Aber mit einer starken DoS-Schutzstrategie hat ein solcher Angriff wenig bis gar keine Auswirkungen auf Unternehmen.“

„(D)DoS-Angriffe stellen aktuell weder die häufigste noch die verheerendste Angriffsklasse dar“, relativiert auch David Fuhr, Head of Research & Innovation bei HiSolutions:

„In vielerlei Hinsicht wird ihr Bedrohungspotenzial durch Ransomware mit dem zusätzlichen Hebel des Abzugs von Daten in den Schatten gestellt.“ Trotzdem bestehe weiterhin eine latente Ausfall-Gefahr durch DoS – gerade für verteilte Dienste und Infrastrukturen.

„DoS-Erpressungen durch die organisierte Cyberkriminalität betreffen potenziell alle Firmen, insbesondere zurzeit mittelständische Unternehmen und IT-Dienstleister“, sagt Falko Weiß, Principal Security Consultant bei Corporate Trust, gibt aber auch zu bedenken: „Dabei sind solche Angriffe aber als Bedrohung deutlich abgeschlagen hinter Ransomware und Business-E-Mail-Compromise, die damit vorrangig verteidigt werden müssen.“ Eine sehr sorgfältige und mit den zuständigen Behörden abgestimmte DoS-Abwehr sieht Weiß allerdings bei KRITIS-Betreibern geboten – und auch wer ins Visier von Hacktivismus oder (halb-)staatlichen Akteuren geraten könne, sollte intensiver vorsorgen.

Erwan Smits, Head of Offering and Partnermanagement Cybersecurity bei Atos Germany, betont: „DDoS-Angriffe als Business-Modell kommt in Wellen. Seit 12 Monaten ist eine Gruppe aktiv, die weltweit agiert und ihre Ziele immer nach Regionen aussucht – und im Juni/Juli in der DACH-Region aktiv war.“ Betroffen seien dabei alle Branchen, die von der Verfügbarkeit ihrer IT-Systeme abhängig sind: „Wir haben in den letzten 12 Monaten Angriffe auf Banken, ISPs, TelCos, Rechenzentren, Gaming, Sportwetten, Dienstleister und viele mehr gesehen.“ Angriffe seien zudem auch immer wieder aus einem weniger professionellen Umfeld heraus zu beobachten: „frustrierte oder gelangweilte Jugendliche mit einem Mindestmaß an technischem Know-how, die sich eigene Angriffs-Bot-Netze zusammenbauen – wie im Fall eines 16-Jährigen, der 2019/2020 Banken und ISPs erfolgreich angegriffen hatte.“

„Weniger raffinierte Akteure greifen zu DDoS-as-a-Service-Portalen – die können durch eine einfache Google-Suche gefunden werden und bieten genügend Angriffskraft, um die meisten Unternehmen zu schädigen“, berichtet Pascal Geenens, Director Cyberthreat Intelligence bei Radware. Für Angreifer mit größeren Ambitionen biete DDoS-as-a-Service jedoch in der Regel nicht die nötige Skalierbarkeit und Flexibilität – daher konstruieren solche Akteure eigene Attacken mit Botnetzen und dedizierten Angriffsservern.

„Cyberkriminelle machen sich eindeutig die derzeitige Abhängigkeit von der Remote-Arbeit zunutze: Sie haben festgestellt, dass die Online-Infrastruktur wichtiger ist denn je, um die verteilten Arbeitskräfte in Verbindung zu halten und den Geschäftsbetrieb aufrechtzuerhalten“, stellt Karl Heuser, Account Manager Security DACH bei Netscout fest: „Onlinebasierte Dienste und Übertragungen, wie Zoom, Microsoft Teams und andere Videokonferenzanwendungen, gehörten 2020 zu den am häufigsten angegriffenen Anwendungen.“ Und obwohl öffentlich zugängliche Webservices nach wie vor ein Hauptziel von Cyberkriminellen sind, sei auch „eine bemerkenswerte Zunahme von DDoS-Angriffen auf die Kundeninfrastruktur und deren Sicherheitssysteme, wie VPN-Konzentratoren, Firewall, LoadBalancer et cetera, zu verzeichnen“ gewesen. Überdies nutzen Angreifer mittlerweile zunehmend auch Cloud-Dienste und mobile Geräte für ihre Attacken.

DoS in Zahlen

Nach Netscout-Erkenntnissen wurden im ersten Halbjahr 2021 etwa 5,4 Millionen DDoS-Angriffe verzeichnet, was einem Anstieg von 11 % gegenüber dem gleichen Zeitraum 2020 entspreche. „Obwohl die Angriffshäufigkeit im zweiten Quartal zurückgegangen ist, ist die globale Bedrohungslandschaft weit von den Angriffszahlen entfernt, die vor dem Ausbruch der Pandemie als normal galten“, kommentiert Heuser. „Aufgrund dieser Entwicklungen ist die globale Bedrohungslandschaft auf Kurs, im Jahr 2021 fast 11 Millionen DDoS-Angriffe zu erfassen – ein weiterer Rekord in Folge nach den 10 Millionen Angriffen im Jahr 2020.“

Tom Emmons, Principal Product Architect bei Akamai Technologies, spricht ebenfalls von einer gestiegenen Bedrohung aufgrund der Pandemie – und im ersten Quartal 2021 habe man einen weiteren Anstieg besonders potenter DDoS-Attacken beobachtet (vgl. Abb. 1): „Allein in den ersten drei Monaten 2021 wurden bereits mehr Angriffe von über 50 Gbps verzeichnet als im gesamten Jahr 2019, wobei die Zahl der betroffenen Kunden im Vergleich zum Vorjahr um 57 % gestiegen ist. Besonders betroffen sind der Finanzsektor, Gaming- und Hightech-Unternehmen sowie der E-Commerce. Zu den häufigsten Motiven gehört das Ausschalten konkurrierender Unternehmen, damit diese ihre Produkte nicht mehr verkaufen können und Kunden stattdessen bei dem Unternehmen kaufen, das den Angriff ausgelöst hat – aber auch finanzielle Erpressung.“

Von neuen Rekorden berichtet auch Dr. Sören Trebst, CEO 1&1 Versatel GmbH: „Im ersten Halbjahr 2021 wurden rund ein Drittel mehr Angriffe als im bisherigen DDoS-Rekordjahr 2020 verzeichnet. Besorgniserregend ist die starke Zunahme im Zusammenhang mit DDoS-Erpressungen, unter anderem durch Hackergruppen wie ‚Fancy Lazarus‘ – durch diese Angriffsform hat sich die ohnehin schon hohe Bedrohungslage noch einmal verschärft. Cyberkriminelle haben es zunehmend auf größere und zahlungskräftige Unternehmen abgesehen. Auch Versorger aus dem KRITIS-Bereich, die systemrelevante Dienste für die Bevölkerung zur Verfügung stellen, geraten immer öfter ins Fadenkreuz der Angreifer.“ Darüber hinaus sei die Bedrohungslage maßgeblich durch DDoS-Angriffe auf Web-Services geprägt gewesen, die „das Leben, Lernen und Arbeiten unter Pandemie-Bedingungen sicherstellen – darunter Impfplattformen, Lernportale und IT-Infrastrukturen für das mobile Arbeiten im Homeoffice.“

„DDoS-Attacken sind eine anhaltende Bedrohung für Unternehmen, unabhängig von ihrem geografischen Standort oder Zielmarkt. Die Tools, die zum Starten solcher Angriffe nötig sind, werden immer einfacher, während fast immer mehrere Angriffsvektoren in einer komplexen Attacke zum Einsatz kommen“, sagt Stephan Schulz, Senior Solutions Engineer Security bei F5: „Zwischen Januar 2020 und März 2021 haben DDoS-Angriffe um 55 % zugenommen – der größte Angriff der letzten 15 Monate hatte ein Volumen von 500 Gbps und fünf verschiedene Vektoren. Der Technologiesektor war in letzter Zeit im Fokus der Angreifer, aber wir wissen auch, dass insbesondere die Bildungs-, Finanz-, Spiele- und Telekommunikationsbranche häufig attackiert werden.“

Von einer aktuell leichten Entspannung berichtet hingegen Oleg Kupreev, Lead Malware Analyst bei Kaspersky: „Das zweite Quartal 2021 war wie erwartet recht ruhig – im Vergleich zum Vorquartal sahen wir einen leichten Rückgang der Gesamtzahl der DDoS-Angriffe. Das ist für diesen Zeitraum typisch und jedes Jahr zu beobachten – mit Ausnahme der pandemiebedingten Anomalie 2020. Traditionell verbinden wir diesen Rückgang mit dem Beginn der Urlaubszeit, der sich üblicherweise bis zum dritten Quartal fortsetzt.“ Man erwarte hier in diesem Jahr keine Änderung, könne aber dennoch nicht von Entwarnung sprechen: „DDoS-Angriffe sind nach wie vor eine große Bedrohung für Unternehmen jeder Größe. Durchschnittlich schwankt die Anzahl der täglichen DDoS-Angriffe zwischen 500 und 800.“

Trau keiner Statistik, …?!

Vergleicht man die Zahlen verschiedener Statistiken, Studien und Pressemitteilungen von Lösungsanbietern, stößt man immer wieder auf (zumindest vermeintliche) Widersprüche: „Das Link11 Security Operations Center (LSOC) verzeichnete [zur Jahresmitte] 33 % mehr Angriffe als im Vorjahreszeitraum des DDoS-Rekordjahres 2020“ (Link11, 31. August) und „im zweiten Quartal 2021 stieg die durchschnittliche Anzahl der blockierten bösartigen Ereignisse [gegenüber dem Vergleichszeitraum des Vorjahrs] pro Unternehmen um mehr als 30 %“ (Radware, 3. August) – aber: „Im ersten Quartal 2021 ist die Anzahl an DDoS-Angriffen gegenüber dem Vorjahreszeitraum um 29 % gesunken, im Vergleich zum vierten Quartal 2020 jedoch um 47 % gestiegen“ (Kaspersky, 10. Mai) und „im zweiten Quartal 2021 ging die Gesamtzahl der DDoS-Angriffe im Vergleich zum Vergleichszeitraum des Vorjahres um 38,8 % und zum Vorquartal 2021 um 6,5 % zurück.“ (Kaspersky, 28. Juli – und auch Netscout hatte, wie bereits erwähnt, in Q2 einen Rückgang der Angriffe festgestellt).

Kupreev (Kaspersky) erläutert: „Diese Statistiken basieren auf den blockierten Angriffen einer bestimmten Lösung und hängen daher immer vom jeweiligen Anbieter ab. Hinzu kommt, dass sowohl die Zunahme als auch die Abnahme von DDoS-Angriffen Hand in Hand mit saisonalen und öffentlichen Ereignissen gehen.“ Und die können natürlich – je nach Kundenbasis – regional und zeitlich verschieden auftreten (vgl. Abb. 3).

Der größte Unterschied zwischen Anbietern und Trends ist die Art der Kunden, die sie schützen, betont Emmons (Akamai): „Werden hauptsächlich Webseiten oder Infrastrukturen gesichert? Ist von kleinen oder großen Kunden die Rede? Welche Branchen stehen im Fokus oder welche Märkte?“ All das könne Differenzen bewirken.

Und auch Geenens (Radware) gibt zu bedenken: „Die Sichtweise und die Daten eines jeden Unternehmens sind durch seinen Marktanteil und seine spezifischen geografischen oder vertikalen Märkte verzerrt. Je nach Methode der Normalisierung, dem Aufbau einer Stichprobe oder der Definition von Angriffen können die Statistiken in den verschiedenen Berichten erheblich voneinander abweichen.“

„Der Trend geht zu zunehmend massiveren, aber kürzeren Attacken. Das erschwert die Bekämpfung mit klassischen Mitteln wie SOC-Monitoring und manueller Einleitung von Gegenmaßnahmen – hier zeichnet sich die Notwendigkeit zur Automatisierung von Überwachung und Bekämpfung ab. Dieser Trend bezüglich Stärke und Dauer der Angriffe kann überdies auch unterschiedliche Zahlen erklären: Das heißt, die Quellen legen vermutlich unterschiedliche Kennzahlen (Häufigkeit, Dauer, erzeugte Last) zugrunde“, bietet Ralph Noll, Partner bei Deloitte als Erklärung an. Grundsätzlich habe aber eine unlängst erschienene Deloitte-Studie ebenfalls eine erneute Zunahme von Cyber-Angriffen festgestellt (Link).

„Zahlen zu DoS-Angriffen sind, wie die meisten veröffentlichten Daten über Cyber-Incidents, mit Vorsicht zu genießen“, rät Fuhr (HiSolutions) – „Verschiedene strukturelle Probleme erschweren die korrekte Erhebung. Zudem stammen viele ‚Statistiken‘ von Anbietern, die gleichzeitig das Gegenmittel verkaufen möchten.“ Es sei aber ein Fakt, dass die Angriffstechniken in letzter Zeit – zumindest im Labor – bedeutend weiterentwickelt worden sind.

„Die Hersteller von Schutzlösungen haben natürlich ein Interesse daran, die Gefahr eher zu überzeichnen“, kommentiert Markus Manzke, Leiter Technik und CTO von zeroBS, unterstreicht jedoch: „Wir sehen aber trotzdem eine Zunahme sowohl der Anzahl als auch der Stärke der Angriffe.“ Anhand eigener Testdaten könne man allerdings auch festhalten, dass Unternehmen „mit etablierten Schutzanbietern und richtig konfiguriertem DDoS-Schutz einem Angriff entspannt entgegensehen können“.

Abbildung 2

Abbildung 2: Die Pandemie als DoS-Treiber – laut Kaspersky war 2020 ein anormal intensives Jahr für DoS, im Februar und März 2021 lag die AngriffsIntensität hingegen wieder auf dem Niveau von 2019

Angriffe und Abwehr

„Die fünf häufigsten DDoS-Angriffsvektoren im ersten Halbjahr 2021 waren TCP ACK, DNS-Verstärkung, TCP SYN, TCP RST und TCP-SYN/ACK-Verstärkung. Im August 2021 wurde zudem ein neuer HTTP-Reflexions-/Verstärkungsvektor aufgedeckt, der Internet-Zensursysteme missbraucht – Systeme, die unerwünschten Verkehr zu unerwünschten Websites unterbinden“, berichtet Heuser (Netscout).

Laut Trebst (1&1 Versatel) kommen bei Attacken meist mehrere Angriffsvektoren parallel zum Einsatz, die je nach Ziel auf die Vermittlungs- und Transportebene (Layer 3 und 4) oder die Anwendungsebene (Layer 7) ausgelegt seien: „Zu den häufigsten Attacken auf Layer 3 und 4 zählen ICMP-Flood, UDP-Fragmentation, UDP-Amplification via DNS, NTP, rpcbind, SSDP, ACK-Flood und RST-Flood. Bei Attacken auf Layer 7 sind HTTP-GET-, POST- und weitere Flood-Attacken sowie ‚Low&Slow‘-Angriffe die gängigsten Vektoren.“

„Aus technischer Sicht zielen Angriffe überwiegend auf die Netzwerkschicht (SYN, RESET and UDP-Floods, UDP-Portmap und QOTD)“, sagt Noll (Deloitte). Eine wachsende Zahl der DDoS-Angriffe werde dabei wesentlich durch Varianten der Mirai-Malware und entsprechender Bot-Netze befeuert – nach der Veröffentlichung des Mirai-Quellcodes hätten ihn „viele Threat-Actors in mehr oder weniger abgewandelter Form in das eigene Arsenal übernommen.“ Und: „Ein wirksamer Schutz kann in der Regel nur in Kooperation mit einem Netzwerk-Dienstleister mit entsprechenden Netzwerk- und Rechenkapazitäten gelingen, über den die Daten im Falle eines Angriffs umgeleitet werden (sog. Scrubbing-Center).“

Smits (Atos) und Manzke (zeroBS) sehen den effektivsten Abwehrmechanismus ebenfalls in einem hybriden Ansatz, der aus einem lokalen Sensor und einem Scrubbing-Center in der Cloud besteht, um bei einem volumenbasierten Angriff den gesamten Datenverkehr dorthin umzuleiten. Bei Layer-7-Angriffen müsse die Abwehr hingegen individuell gestaltet werden: Dabei habe sich ein Technologiemix aus Web-Application-Firewall (WAF) und Botnet-Defense bewährt. Bei den Angriffen selbst sei zu beobachten, dass das Level der Angreifer besser werde und man vermehrt Techniken wie Carpet-Bombing („flächige“ Angriffe auf große IP-Räume), aufwendige Zielaufklärung sowie TCP-Reflection-Angriffe beobachte.

Ein Flächenbombardement (Carpet-Bombing) von Hosting- und Cloud-Providern mit niedrigschwelligen Angriffen, die unter dem Radar vieler Verteidigungssysteme bleiben, sich im Ergebnis aber zu einem Hochvolumen-Angriff von mehreren hundert Gbps summieren, sieht auch Wilczek (Link11) im Trend: „Statische, regelbasierte Angriffstaktiken gehören hingegen der Vergangenheit an. DDoS-Kriminelle nutzen vielmehr eine Vielzahl an Angriffstechniken wie Multivektor-Angriffe, die laut Link11 zwei Drittel aller Angriffe ausmachen. Außerdem dient DDoS vielfach als Ablenkung für parallel verlaufende Angriffe. Dazu kommen die noch relativ neuen ‚Triple Extortions‘, die Festplattenverschlüsselung und Datendiebstahl mit DDoS-Attacken als Druckmittel kombinieren.“ Angesichts dieses sehr dynamischen Angriffsgeschehens biete nur ein DDoS-Schutz Chancen, der in Echtzeit funktioniert: „Die Zukunft gehört Lösungen, die sich des maschinellen Lernens bedienen und Datenströme permanent analysieren, ein (Daten-)Kommunikationsprofil des Unternehmens aufbauen und adaptive Sicherheitsstrategien ableiten.“

Emmons (Akamai) bestätigt, dass Angreifer oft hochkomplexe Techniken mit bis zu neun verschiedenen Angriffsvektoren sowie Botnet-Angriffstools einsetzen: „Auch Angriffe auf der Applikationsebene, die eine Anwendung mit schädlichen Anfragen überfluten, treten häufig auf, weil sie einfach zu implementieren und schwer zu stoppen sind.“ Akamai habe in der letzten Zeit keine großen Veränderungen bei den verschiedenen Arten von Attacken festgestellt, wohl aber einen massiven Anstieg der „großen“ (Distributed-)Denial-of-Service-Angriffe im Vergleich zum Vorjahr: „besonders hinsichtlich DNS-Flood, DNS-Reflection und NTP-Reflection-Angriffen“ – CLDAP/DNS-Flood und SYN/Rest-Flood-Angriffe seien hingegen rückläufig, UDP-Floods stabil. „Unternehmen sollten Notfallpläne für den Ernstfall erstellen und sich an einen Sicherheitsanbieter wenden, um ihre Firmeninfrastruktur zu schützen. Erfahrungsgemäß ist eine Kombination aus menschlich sowie automatisch generierten und gesteuerten Abwehrmaßnahmen am effektivsten“, rät Emmons.

„Zu den wichtigsten Schutzmechanismen zählen die Vorbereitung einer ausreichenden Bandbreite zur Bewältigung von Datenspitzen, die durch DoS-Angriffe verursacht werden können sowie die Nutzung von Content-Delivery-Network-(CDN)-Lösungen, um den Website-Traffic ausgleichen zu können“, empfiehlt Chaudhary (PwC).

Kupreev (Kaspersky) betont, neben professionellen Lösungen zum Schutz vor DDoS-Angriffen, die Wichtigkeit regelmäßiger Stresstests sowie Web-Application-Audits, um Schwachstellen in der Unternehmensinfrastruktur zu identifizieren: „Außerdem sollte es ein dediziertes Team geben, das die Webressourcen verwaltet. Es sollte wissen, wie im Falle eines DDoS-Angriffs vorzugehen ist und auch außerhalb der Arbeitszeiten reaktionsfähig sein.“ Darüber hinaus müssten wichtige Kontaktdaten zu Dritten (inkl. Vereinbarungen mit dem ISP) bereitliegen, um im Notfall schnell reagieren zu können.

„Einzeln betrachtet ist Volumetric DDoS aktuell die weitaus häufigste Angriffsform“, sagt Schulz (F5) – hier gebe es bewährte Abwehrmöglichkeiten. Bei Application-DDoS, das die Ressourcen des UrsprungsServers – beispielsweise durch HTTP-, HTTPS- und DNS-Anfragen – verbraucht, sei die Herausforderung hingegen, dass man den Datenverkehr zunächst entschlüsseln muss, um solche Attacken überhaupt zu erkennen. Und: „Viele Angreifer machen sich auch Anwendungsserver zunutze, um Reflexionsangriffe zu starten. Es ist daher sehr wichtig, anfällige DNS-, NTP-, Memcachedund LDAP-Dienste, um nur einige
zu nennen, vor unauthentifiziertem Zugriff zu schützen.“ Generell sei eine exakte Angriffserkennung wesentlich: „Unternehmen müssen zwischen einem einfachen Anstieg des Benutzerverkehrs und einem gezielten und anhaltenden Angriff aus einem Botnetz zuverlässig unterscheiden können.“

„Unternehmen müssen darauf achten, dass Überlastungen durch außergewöhnliche Nutzungsszenarien, wie wir sie während Corona durch plötzliches Homeoffice oder Homeschooling erlebt haben, abgefedert werden, ohne DoS-Alarmketten fälschlicherweise auszulösen“, gibt auch Weiß (Corporate Trust) zu bedenken. Für volumenbasierte DoS-Angriffe gebe es dann ein breites Feld guter Schutzanbieter, „deren Lösungen schnell implementierbar sind, zur Not auch erst im Bedarfsfall“. Kunden sollten bei der Auswahl auf Support durch eine professionelle Hotline im Angriffsfall achten – und: „Wichtig ist, dass der Schutz technisch gut im Internet sichtbar ist (z. B. im DNS oder BGP), weil das Angreifer von vorneherein abschreckt.“

„DoS ist eines der wenigen Probleme in der Security, für die es eine klare, begrenzte Anzahl von Maßnahmen gibt, die effektiv fast sicher helfen“, unterstreicht Fuhr (HiSolutions): „sichere Entwicklung der Außenschnittstellen (Requests dürfen nicht beliebig hohe Kosten auslösen können), sichere Konfiguration (Dienst und Firewall) und (ggf. zuschalt- bzw. zukaufbaren) vorgelagerten Schutz durch Spezialdienstleister, wenn es hart auf hart kommt. Der ‚Markt‘ ist von der Täterseite rein ökonomisch getrieben, sodass Angreifer in der Regel zu ‚leichteren‘ Opfern weiterziehen.“

Das BSI betont ebenfalls, dass es gegen DDoS hilfreiche Schutzmaßnahmen gebe: „Diese müssen stetig weiterentwickelt und angepasst werden und sollten daher von qualifizierten Dienstleistern durchgeführt werden.“ Das BSI stelle dazu umfangreiches Informationsmaterial bereit, etwa eine Liste entsprechender DDoS-Mitigation-Dienstleister (Link) sowie Empfehlungen zur Prävention (www.bsi.bund.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_025.pdf).

Abbildung 3

Abbildung 3: Die DoS-Belastung verschiedener Länder weicht zu verschiedenen Zeiten erheblich voneinander ab – auch das kann Differenzen in den Statistiken von Anbietern mit unterschiedlichen Kundenprofilen teilweise erklären.

Abbildung 4

Abbildung 4: Bei gut einem Drittel der von Link11 beobachteten DDos-Angriffe kommen bereits Cloud-Ressourcen zum Einsatz

Trends und Ausblick

„Der exponentielle Boom in Cyberkriminalität inklusive DDoS-Angriffen wird die Pandemie überdauern“, erwartet Wilczek (Link11): „In einer Post-Covid-Ära müssen sich Unternehmen auf eine dauerhaft veränderte Bedrohungslage einstellen: mehr Angriffsfläche, mehr Abhängigkeit vom Internet und dass sich kaum ein Unternehmen Ausfallzeiten leisten kann.“ Die Aussicht auf illegale Profite, etwa durch DDoS-Erpressung, sei einfach zu groß, als dass Cyberkriminelle von ihren Angriffen ablassen würden. Dabei werde es zwar immer wieder saisonale Schwankungen geben, auf die langfristige Entwicklung werde dies aber keinen Einfluss haben.

Andere Schwerpunkte sieht Weiß (Corporate Trust): „Zurzeit gibt es erträglichere Felder für Cyberkriminelle als die DoS-Erpressung. Der Business-Case für die Banden funktioniert aktuell nicht, da die wenigsten Opfer zahlen. Dies liegt vor allem daran, dass viele Anbieter gut funktionierende und schnell implementierbare Gegenmaßnahmen im Programm haben. Auf der anderen Seite stellen die Vertriebseinheiten dieser Anbieter das Risiko manchmal größer dar, als es ist.“ Sowohl auf nationaler Ebene als auch von Organisationen werde hingegen die Kritikalität von DNS weit unterschätzt: „Unternehmen sollten die Zugänge zum DNS-Provider mit Multi-Faktor-Authentifizierung sichern und die Einträge regelmäßig überprüfen“, mahnt Weiß.

„Je mehr sich die Digitalisierung beschleunigt, desto mehr Möglichkeiten gibt es, Unternehmen durch DoS-Angriffe zu schädigen“, betont auch Geenens (Radware): „Da die Bandbreiten wachsen, werden die Angriffe immer größer und wirkungsvoller.“ – „Grundsätzlich hat sich nicht nur die Anzahl der Angriffe erhöht, auch die Wucht von DDoS-Angriffen hat sprunghaft zugenommen – Hochvolumen-Angriffe von mehreren 100 Gbps werden immer häufiger“, berichtet Trebst (1&1 Versatel); einen Rückgang sehe oder erwarte man nicht.

„DoS-Angriffe lassen sich billig und einfach starten. Denn die Einstiegshürden für angehende Hacker sind sehr niedrig: Auf YouTube finden sich Anleitungen für die Erstellung neuer Botnetze und DoS-for-Hire-Dienste haben günstige Tarife“, mahnt Schulz (F5) und resümiert: „Zusammenfassend müssen wir leider feststellen, dass die Bedrohung durch DoS-Attacken weiter stark ansteigt, obwohl 2020 bereits ein DoS-Rekordjahr war.“

Hinsichtlich neuer Angriffstechniken ergänzt Fuhr (HiSolutions): „Wir sollten uns darauf einstellen, dass es in Zukunft zu schweren Angriffen mittels TCP-Reflection-Attacks kommen kann, die eine um mehrere Größenordnungen höhere Hebelwirkung entfalten können als die klassischen UDP-basierten Angriffe.“

Diesen Beitrag teilen: