Die Digitalisierung schreitet weiterhin unaufhaltsam voran. Die Kehrseite der sich explosionsartig vermehrenden, smarten Geräte im Internet of Things (IoT), dem Streben nach zunehmender Vernetzung und Bandbreite (5G) sowie der explodierenden Cloud-Nutzung: Die IT wird zunehmend als Waffe missbraucht, um Attacken beispielloser Größenordnung zu realisieren. Aufgrund der Anonymisierungsmöglichkeiten von Darknet und Kryptowährungen sind illegale Transaktionen inzwischen einfacher und bequemer denn je durchzuführen. Insbesondere Distributed-Denial-of-Service (DDoS)-Angriffe sind immer leistungsfähiger und für die kriminellen Hacker auch einträglicher geworden: Sie haben sich mit Hilfe von Künstlicher Intelligenz (KI) von reinen Botnet-basierten Angriffen zu datengesteuerten Modellen weiterentwickelt.
Wissenschaftler der University of Cambridge veröffentlichten im vergangenen Jahr eine Studie, die mit Hilfe von Datenmodellen die wichtigsten Akteure eines der größten und ältesten Untergrundforen für kriminelle Hacker sowie deren Motive identifiziert und charakterisiert. Überraschenderweise kamen sie dabei zu dem Schluss, dass Cyberkriminalität überwiegend von Menschen begangen wird, die weder technische Genies sind, noch sonst kriminell in Erscheinung treten. Viele von ihnen bieten so genannte "Booter"-Dienste an - quasi DDoS-Attacken auf Mietbasis. Diese sind inzwischen so verbreitet, dass sie sogar von Schulkindern genutzt werden. Obwohl nicht alle diese Angriffe Schlagzeilen produzieren, verursachen sie für Unternehmen immer höhere finanzielle Schäden in Form von Lösegeldern, Ausfall- und Wiederherstellungszeiten, Umsatzeinbußen und Reputationsverlusten. Die Angriffe werden von den Mitgliedern einer florierenden Untergrundwirtschaft über Marktplätze eingekauft, in der Cyberkriminalität als Service monetarisiert wird - teilweise schon für Kleinstbeträge ab 10 US-Dollar pro Angriff.
Lesetipp: Cybercrime als Service - So günstig ist ein Hack im Darknet
DDoS ist allgegenwärtig - auch im Darknet
Europol nennt im "Internet Organised Crime Threat Assessment 2019" DDoS-Angriffe als eine der größten Bedrohungen für die digitale Geschäftswelt. Im Fadenkreuz von Kriminellen standen im Jahr 2019 vor allem Banken und andere Finanzinstitute sowie Behörden wie die Polizei und Kommunalverwaltungen. Reisebüros, Internet-Infrastruktur und Online-Gaming-Dienste standen ebenfalls hoch im Kurs bei kriminellen Hackern. Einige Verhaftungen wurden vorgenommen, hatten aber laut Europol keine spürbaren Auswirkungen auf die Wachstumsrate von DDoS-Attacken oder die Darknet-Infrastruktur, die diese erst ermöglicht.
Während viele Distributed-Denial-of-Service-Angriffe nicht gemeldet oder unbemerkt bleiben, schaffen es manche davon in die Schlagzeilen. Im Oktober wurde Amazon Web Services (AWS) von einem DDoS-Angriff getroffen, was es für Benutzer über etwa acht Stunden unmöglich machte, eine Verbindung herzustellen, da AWS legitime Kundenanfragen teilweise als bösartig einstufte. Die Google Cloud Platform erlebte zur gleichen Zeit ebenfalls eine Reihe von Problemen, allerdings standen diese nach Auskunft von Google nicht in Zusammenhang mit DDoS. Erst wenige Wochen zuvor hatte eine Reihe von DDoS-Angriffen einen ISP in Südafrika einen ganzen Tag lang vom Netz genommen.
Interessanterweise ist nicht nur die Realwirtschaft mit DDoS-Angriffen konfrontiert. Jeder, der mit dem Dark Web Market Listing vertraut ist, weiß, dass Marktplätze in der Regel mit einer "Uptime" gelistet sind, wobei der Hauptgrund für einen Ausfall DDoS-Angriffe sind. Diese versteckten Marketplaces sind offen für Distributed-Denial-of-Service-Attacken, die auf Eigenschaften des Tor-Browsers basieren. Dieser wird häufig für den Zugriff auf das Darknet verwendet. Anfang des Jahres wurden die drei größten illegalen Marktplätze von ausgedehnten Distributed-Denial-of-Service-Angriffen getroffen. Die Betreiber von "Dream Market" wurden Berichten zufolge mit einer Lösegeldforderung in Höhe von 400.000 Dollar konfrontiert. Selbst Kriminelle sind also nicht gefeit vor DDoS-Angriffen aus den eigenen Reihen.
Aber das DDoS-Phänomen geht über die Infrastruktur hinaus. Als Teil ihrer digitalen Strategie setzen viele Unternehmen auf Cloud-basierte Anwendungen. Ebenso rüsten Produktions-, Logistik- und Versorgungsunternehmen im Kontext von Industrie 4.0 ihre Produktionslinien, Lager, Fabriken und andere Einrichtungen mit drahtloser Konnektivität und Sensoren aus. All die Dienste benötigen Schnittstellen (APIs), um zu funktionieren. APIs vereinfachen zwar Architektur und Bereitstellung, können aber auch zum Flaschenhals werden, was für die Unternehmen mit neuen Risiken und Schwachstellen einhergeht. Wenn eine geschäftskritische Anwendung oder API kompromittiert wird, löst das eine Kettenreaktion aus und Betriebsabläufe kommen zum Stillstand. Daher reicht es nicht mehr aus, nur die OSI-Schichten 3-4 zu schützen: Layer-7-Angriffe verursachen weit mehr Schaden bei deutlich geringerer Bandbreite.
Was gegen Distributed-Denial-of-Service-Attacken hilft
Im digitalen Geschäft gibt es keinen Platz für Ausfälle. Aus diesem Grund müssen Unternehmen jeder Größe wirkungsvolle Gegenmaßnahmen ergreifen, um die Ausfallsicherheit, Integrität und Verfügbarkeit ihrer digitalen Plattformen und Dienste zu gewährleisten. Mit zunehmender Netzwerkbandbreite und Rechenleistung sind Black-Hat-Hacker im Stande, immer mächtigere Daten-Tsunamis von der Kette zu lassen. DDoS-Angriffe gegen nationale Infrastrukturen können große Schäden anrichten und den Zugang zu den Diensten, die die Räder unserer Wirtschaft und Gesellschaft schmieren, unterbinden. Wie das US-amerikanische Heimatschutzministerium (DHS) berichtet, hat sich die Anzahl der Distributed-Denial-of-Service-Attacken in den letzten fünf Jahren um den Faktor 10 erhöht. Darüber hinaus sei unklar, "ob die aktuelle Netzwerkinfrastruktur zukünftigen Angriffen standhalten könnte, wenn sie weiter zunehmen".
Auch hierzulande hat Bundesinnenminister Horst Seehofer (CSU) vor den wachsenden Gefahren in Deutschland gewarnt. Die Qualität der Cyberangriffe sei weiter gestiegen und die Bedrohungslage sei "anhaltend hoch", sagte Seehofer gegenüber dem ZDF im Rahmen der Vorstellung des Lageberichts zur IT-Sicherheit in Deutschland. Das Bundesamts für Sicherheit in der Informationstechnik (BSI) spricht von "110.000 Bot-Infektionen täglich".
Ob angesichts der zunehmenden Frequenz von Angriffen, neuer Risiken durch APIs oder steigender Kosten bei Ausfällen und Betriebsunterbrechungen: Die Bedrohungslandschaft verändert sich und macht ein Umdenken nötig, wenn es um die beste Verteidigung geht. Was vor einigen Jahren noch funktioniert hat, ist heute mitunter nicht mehr zeitgemäß. "Um der zunehmenden Angriffsfrequenz zu begegnen, muss eine moderne Verteidigung effizient sein", weiß Andrew Shoemaker, DDoS-Experte und Gründer von NimbusDDoS, einem Anbieter von Pentests, der sich auf die Validierung von DDoS-Lösungen spezialisiert hat. "Das bedeutet, automatisierte Ansätze zu verfolgen und sich von langsamen, manuellen Prozessen zu verabschieden", fügt er hinzu. "Manuelle Ansätze mögen in der Vergangenheit effektiv gewesen sein, als ein Unternehmen nur ein paar Mal im Jahr angegriffen wurde, aber der administrative Aufwand durch manuelle Intervention wird irrsinnig, wenn Angriffe monatlich oder wöchentlich stattfinden."
Früher hielten die IT-Teams DDoS-Angriffe hauptsächlich für eine Layer-3/4-Bedrohung, die die Verteidigung ins Netzwerk verlagert - mit anderen Worten in den Bereich des IP-Datenverkehrs und der Paketvalidierung. "Diese Argumentation ist eindeutig veraltet", sagt Shoemaker. Da APIs und Applikationen Ziele für Layer-7-Angriffe sind, müssen die Vorkehrungen ebenso anwendungs- und protokollorientiert sein. Ein Layer-7-Angriff ist von einer legitimen Anfrage häufig schwer zu unterscheiden, was eine komplexere Analyse mit Hilfe von maschinellem Lernen und KI erforderlich macht, um solche Bedrohungen möglichst in Echtzeit zu erkennen.
"Da selbst eine kurze Ausfallzeit einen kaskadierenden Effekt auf ein Unternehmen und seine Partner hat, muss ein Zero-Day-DDoS-Angriff so schnell und effizient abgewehrt werden, wie bereits bekannte Angriffsmuster. Dies erfordert Lösungen, die auf heuristischen Ansätzen fußen und nicht auf vereinfachten Regelwerken." (fm)