Distributed-Denial-of-Service-Attacken haben es in den letzten Monaten und Wochen zu einiger Popularität gebracht. Eine ganze Reihe von spektakuläre Angriffen hat die Headlines beherrscht (und das nicht nur wie sonst in den Fachmedien). Dazu gehörten beispielsweise die Angriffe auf fünf große russische Banken sowie das UK "FBI" wie The Register vermeldete. Und am Montag dieser Woche staatliche Server in Luxemburg. Im Licht dieser Attacken betrachtet wird schnell deutlich, wieso es für Firmen und Institutionen so wichtig ist, sich vor den potenziellen und zum Teil nicht sofort ersichtlichen Folgen eines solchen Angriffs zu schützen.
DDoS-Angriffe sind längst nicht mehr allein dazu da einen bestimmten Dienst, eine bestimmte Website, ein Unternehmen durch eine Flut von Serveranfragen lahm zu legen. Sie haben sich inzwischen deutlich weiter entwickelt und dienen immer häufiger dazu groß angelegte Cyberangriffe zu verschleiern. Dazu gehören alle Arten von Datenschutzverletzungen, die nicht zuletzt finanzielle Schäden anrichten.
Finanzieller Schaden beim DNS-Provider Dyn
Inzwischen sind seit der spektakulären DDoS-Attacke auf den DNS-Provider Dyn im Oktober des letzten Jahres einige Monate vergangen und immer noch schafft es das Thema in die Headlines. Anfang Februar ist nun ein Bericht veröffentlicht worden, der den finanziellen Schaden beziffert, den das Unternehmen im Rahmen des Angriffs erlitten hat.
Laut BitSight, einem Unternehmen, das Sicherheits-Ratings abgibt, hat Dyn schätzungsweise 8 Prozentpunkte in Folge der Attacke verloren. BitSight analysierte dazu beispielhaft eine repräsentative Zahl von 178.000 von Dyn gehosteten Domains vor und unmittelbar nach den Angriffen von 2016. Dabei zeigte sich, dass die Zahl um mehr als 14.000 Internet-Domains gesunken war. Kunden hatten sich offensichtlich in nicht ganz geringer Zahl in Folge der Attacke gegen Dyn als DNS-Provider entschieden (was umgerechnet etwa 8 % entspricht).
Die Ergebnisse sind schon allein deswegen interessant, weil die Öffentlichkeit nur selten so klaren Einblick in den durch eine DDoS-Attacke entstandenen Schaden bekommt. Der Angriff erstreckte sich sowohl auf einige der größten Websites in den USA wie die von Twitter, Spotify und PayPal als auch auf zahlreiche weitere. Und so mussten auch Kunden wie HSBC, BankWest und Ticketmaster ganz erhebliche Verbindungseinbußen in Kauf nehmen. Man nur darüber spekulieren, welcher immense Umsatzschaden weltweit durch diese Attacke verursacht worden ist.
DDoS-Angriffe als Teil einer umfassenden Strategie
Bei etlichen Datenschutzverletzungen der letzten Jahre konnten gleichzeitig DDoS-Angriffe als Bestandteil einer umfassenden Strategie beobachtet werden. DDoS-Angriffe funktionieren dann als eine Art Ablenkungsmanöver, das die IT-Abteilung beschäftigt hält. Nicht selten führt das dazu, dass weit schwerwiegendere Sicherheitsvorfälle und Aktivitäten schlicht übersehen werden. Aus diesem Grund sollten Unternehmen ein wachsames Auge auf ihre Systeme haben, wenn eine DDoS-Attacke im Spiel ist. Dabei heißt es schnell sein, denn DDoS-Attacken sind wie gesagt ein probates Mittel von der eigentlichen Datenschutzverletzung abzulenken, die infolgedessen nur schwer als solche zu erkennen ist.
Ein Beispiel. Eines der größten Risiken, das entsteht, wenn eine DDoS-Attacke zur Verschleierung eingesetzt wird ist, dass Daten aus dem Netzwerk heraus geschleust werden. Bei dieser Form der Datenschutzverletzung werden Unternehmensdaten kopiert, transferiert oder unautorisiert von Computern oder Servern abgezogen. Das zu erkennen ist leichter gesagt als getan. Die Herausforderung liegt darin zu identifizieren, dass es sich um eine Datenschutzverletzung handelt und nicht um regulären Netzwerkverkehr. Zudem sind solche Datenschutzverletzungen ohnehin so angelegt, dass die böswillige Absicht dem normalen Verhalten möglichst nahekommt. Kommt dann gleichzeitig eine DDoS-Attacke dazu, ist das ungleich schwieriger zu erkennen.
Aber es gibt noch weitere Risiken, die mit einer erfolgreich verlaufenden DDoS-Attacke einhergehen. Dazu gehört beispielsweise ein erheblicher Rufschaden. Das durfte zuletzt auch die UK's National Crime Agency (NCA) am eigenen Leib erfahren. Auch wenn die öffentliche Website offline gehen musste, waren operative Folgen hier wahrscheinlich nicht zu befürchten. Aber in der Tatsache, dass es sich beim Opfer einer DDoS-Attacke um eine der vielen Institutionen zur Bekämpfung von Cyberkriminalität handelt entbehrt nicht einer gewissen Ironie. Und es ist der Öffentlichkeit nicht entgangen, dass diese Institution offensichtlich nicht in der Lage gewesen ist, sich selbst vor den Folgen eines DDoS-Angriffs zu schützen.
Umfrage unter IT-Security-Experten: Rufschaden wiegt schwer
Wie schwerwiegend ein potenzieller Rufschaden wiegt, das belegt eine von uns durchgeführte Umfrage unter IT-Sicherheitsexperten. Sie sind der Meinung, dass der Vertrauensverlust und die Beschädigung der Reputation die schwerwiegendsten Folgen eines DDoS-Angriffs überhaupt sind.
In diesem Fall bleibt noch zu vermerken, dass ein Sprecher der NCA sich zu der Aussage hinreißen ließ eine lediglich 30-minütige Downtime sei akzeptabel. Das mag für diesen ganz speziellen Fall vielleicht sogar zutreffend sein. Für die meisten Firmen aber kann eine vergleichbare Attacke ausgesprochen nachteilige Auswirkungen haben.
Solche vergleichsweise kurzen Angriffe haben nämlich die Nebenwirkung noch genügend Bandbreite für andere Multivektor-Angriffe übrig zu lassen und genau das ist auch der Plan. Mit ihrer Hilfe finden Angreifer trotz diverser Sicherheitsmaßnahmen den Weg ins Netzwerkinnere wo die Aktivitäten nicht selten unerkannt bleiben. Wenn Unternehmen sich aufgrund der Kürze eines Angriffs nicht die Mühe machen die Attacke genau zu analysieren, besteht die Möglichkeit, dass sich schädlicher Traffic seinen Weg ins System bahnt.
Will man mit den sich stetig weiter entwickelnden Angriffstypen und den damit verbundenen Auswirkungen Schritt halten, muss man wissen, was bei einem Angriff genau vor sich geht und die entsprechende Transparenz herstellen. Das trägt dazu bei Angriffe in einem sehr frühen Stadium als solche zu erkennen und Gegenmaßnahmen ergreifen zu können. (OE)