ake78 (3D & photo) - Fotolia
In der Cybersicherheit häufig vernachlässigt: DDoS-Angriffe
DDoS-Angriffe können den regulären Geschäftsbetrieb nachhaltig stören oder der Deckmantel für schwerwiegendere Attacken sein. Unternehmen sollten sich mit den Risiken beschäftigen.
Wer regelmäßig Zeitung liest oder anderweitig Nachrichtenmedien konsumiert, dem dürfte immer wieder ein Akronym ins Auge springen, wenn es um das Thema Cyberangriffe geht. Die Rede ist von DDoS (Distributed Denial of Service). Bei DDoS-Angriffen handelt es sich um böswillige Aktionen eines Cyberkriminellen beziehungsweise einer Gruppe Cyberkrimineller, die durchgeführt werden, um den normalen Datenverkehr eines Servers, Dienstes oder Netzwerks zu stören.
Dabei überflutet der Angreifer das Ziel mit unerwünschtem Anfragen beziehungsweise Traffic, was dazu führt, dass der entsprechende Server eine viel langsamere Reaktion auf Anfragen als normal zeigt oder gar gänzlich in die Knie gehen muss. Auch eine Fehlfunktion der Webressource bei Anfragen ist möglich.
Zwar sind DDoS-Angriffe kein neues Phänomen in der Cybersicherheitslandschaft, allerdings sorgten sie erst kürzlich für Schlagzeilen als Mitte Februar die Websites mehrerer deutscher Flughäfen lahmgelegt wurden. Auch im Zuge des russischen Angriffskriegs auf die Ukraine und die damit einhergehende, hybride Kriegsführung kommt es verstärkt zu DDoS-Angriffen. Nicht zuletzt dadurch werden sie zu einer wachsenden Bedrohung, die verschiedene schwerwiegende Folgen nach sich ziehen kann. Dazu zählt:
- das Risiko, dass der Geschäftsbetrieb von Unternehmen unterbrochen wird, wodurch unter Umständen sogar finanzielle Auswirkungen beziehungsweise eine Rufschädigung droht
- das Risiko, dass durch die DDoS-Attacke ein weitaus schwerwiegenderer und tiefergehender Cyberangriff im System verdeckt wird
Um DDoS-Attacken im großen Stil durchführen zu können, bedienen sich Angreifer sogenannter Botnets. Hierfür werden zunächst zahllose Rechner mittels einer Sicherheitslücke oder gar Malware unter die Kontrolle der Angreifer gebracht. Zumeist geschieht dies, ohne dass der Besitzer des Systems den externen Zugriff überhaupt bemerkt. Jedes infizierte Gerät, das sodann als „Bot“ oder „Zombie“ bezeichnet wird, ist in der Folge dafür präpariert, für einen DDoS-Angriff genutzt zu werden. Ganze Armeen solcher Bots, also die besagten Botnets, bombardieren bei einem solchen Angriff das Zielsystem mit Anfragen und bringen es so zum Erliegen. Hierfür werden auch die IP-Adressen der Bots gefälscht bzw. verschleiert, wodurch die bösartigen Aktivitäten anonymisiert werden.
Via einschlägiger Websites beziehungsweise dem Darknet können diese Botnets auch für eine „Attack for Hire“ gemietet werden. Auf diese Weise können auch technisch wenig versierte Angreifer auf eigene Faust DDoS-Angriffe starten, sofern sie genug kriminelle Energie aufbringen.
Netzwerkressourcen wie Webserver können nur eine begrenzte Anzahl von Anfragen gleichzeitig bearbeiten. Neben der begrenzten Serverkapazität hat auch der Kanal, der den Server mit dem Internet verbindet, eine begrenzte Bandbreite.
3 Arten von Angriffen
DDoS-Angriffe lassen sich grob in drei verschiedene Kategorien einordnen. Auf deren Unterschiede soll im Folgenden näher eingegangen werden:
- Volumetric Attacks
Dies ist die am häufigsten vorkommende Form von DDoS-Angriffen. Sie zeichnet sich dadurch aus, dass eine große Anzahl von Anfragen von einer ebenfalls großen Zahl an Rechnern an eine einzelne Netzwerkressource gerichtet wird, um deren Bandbreite zu überlasten. Infolgedessen geht die Infrastruktur, die sich im Fadenkreuz der Angreifer befindet, in die Knie und ist nicht mehr in der Lage, legitime Anfragen zu verarbeiten.
Bei einem UDP-Flood-Angriff versuchen Cyberkriminelle beispielsweise, die Ports eines Ziels mittels IP-Paketen über das UDP-Protokoll zu überfluten. Die angegriffene Infrastruktur fordert sodann die mit den UDP-Paketen verknüpften Anwendungen an, und wenn diese nicht gefunden werden, erhält der Anfragende die Meldung „Ziel unerreichbar“. Die Infrastruktur ist in der Folge nicht mehr verfügbar. - Protocol Attacks
Diese Form von Denial-of-Service-Angriff zielt auf Netzwerk-Kommunikationsprotokolle ab, um deren Schwächen auszunutzen. Die Vorgehensweise besteht darin, Zustandstabellen zu erschöpfen, indem alle Ressourcen von Servern oder Netzeinrichtungen wie Firewalls genutzt werden. Zu unterscheiden sind hier wiederum zwei Arten:
SYN-Flood: Das TCP-Protokoll ermöglicht die Verbindung zwischen einem System (Client) und einem Dienst (Server) in drei Schritten: Der Client sendet zunächst eine SYN-Nachricht an den Server, den er ansprechen will. Der Server antwortet mit einer SYN-ACK-Nachricht. Anschließend sendet der Client eine ACK-Nachricht, um die Verbindung endgültig zu öffnen. Bei einem Denial-of-Service-Angriff senden die Cyberkriminellen eine große Anzahl von SYN-Anfragen, ohne die anderen Verbindungsschritte abzuschließen. Schließlich belegen diese Teilverbindungen alle Ports des angegriffenen Servers, sodass dieser keine neuen Verbindungsanfragen mehr empfangen kann.
Bounce-Angriff (ICMP, Internet Control Message Protocol): Der Angreifer stützt sich auf das Ökosystem des Ziels aus Unterauftragnehmern oder Dienstanbietern, um seinen Angriff auf Netzwerkebene durchzuführen. Der Angreifer sendet ein Paket an eine Broadcast-Netzwerkadresse, was zu einer automatischen Antwort von jedem Host führt. Das ICMP-Protokoll wird für Fehlermeldungen verwendet und kann TCP-Protokollpakete begleiten, die den Austausch in einem Netzwerk zwischen Anwendungsprogrammen und Computerterminals ermöglichen. Bei dieser Methode überfordert die Anzahl der ausgelösten Antworten den angegriffenen Dienst. - Angriffe auf der Anwendungsschicht
Ziel dieser DDoS-Form ist es, Webanwendungen zu beeinträchtigen. Einige Angriffe zielen darauf ab, die Verarbeitungskapazitäten des anvisierten Dienstes zu erschöpfen. So kann ein Cyberangreifer beispielsweise versuchen, die Grenze der Anzahl der gleichzeitigen Anfragen zu erreichen, die ein Webserver verarbeiten kann. Andere Arten von Anwendungsangriffen zielen darauf ab, die gesamten Rechenressourcen eines Servers zu verbrauchen, indem eine große Anzahl von TLS-Sitzungen (Transport Layer Security) initiiert wird. Es ist auch möglich, Schwachstellen im Design einer Webanwendung auszunutzen.
DDoS im Detail
Gemeinhin sind DDoS-Angriffe nur von kurzer Dauer, laut Schätzungen von Cloudflare zumeist rund 20 Minuten. Analog dazu kommt der Imperva DDoS Threat Landscape Report zu dem Schluss, dass nur 10,5 Prozent der Angriffe zwischen einer und sechs Stunden dauern – die meisten jedoch weniger als 15 Minuten.
„DDoS-Angriffe werden vermehrt dazu eingesetzt, um die Aufmerksamkeit der Sicherheitsteams zu binden. Im Schatten der DDoS-Attacke können die Angreifer sodann weitaus umfassendere und ausgeklügeltere Attacken durchführen.“
Olaf Müller-Haberland, Tehtris
Wie Umfragen zeigen, erleben fast 70 Prozent der Unternehmen zwischen 20 und 50 DDoS-Angriffe pro Monat. In der ersten Jahreshälfte 2022 kam es zudem weltweit zu einem Anstieg der DDoS-Aktivitäten. Und die durch Angriffe verursachten Schäden können äußerst kostspielig sein. Laut einer Corero-Umfrage können durch Ausfallzeiten Umsatzeinbußen bis zu 50.000 US-Dollar drohen.
Rekordverdächtige Angriffe
DDoS-Angriffe haben in den letzten zwei Jahren ungekannte Größenordnungen angenommen. Im November 2021 war Microsoft in der Lage, einen DDoS-Angriff mit 3,47 Tbps (Terabit pro Sekunde) zu stoppen.
Was die Dauer anbelangt, so dürfte im Januar 2022 eine DDoS-Attacke auf Ziele in Nordkorea zu einem der längsten Angriffe gehören. Sie dauerte etwa sechs Stunden. Aber auch in Bezug auf die Anzahl der Anfragen gibt es rekordverdächtige Werte: Cloudflare gab an, dass sie im Juni 2022 einen DDoS-Angriff mit 26 Millionen Anfragen stoppen konnten, der mit etwas mehr als 5000 Maschinen durchgeführt wurde.
Geopolitische Aspekte
Häufig werden DDoS-Angriffe als Ausdrucksform genutzt, um politische Unterstützung oder Opposition zu verdeutlichen. Der russische Angriffskrieg auf die Ukraine ist hierfür ein gutes Beispiel. Tatsächlich ist der Hacktivismus zwischen Pro-Russen und Pro-Ukrainern im letzten Jahr geradezu explodiert. So waren russische Online-Medien im ersten Quartal 2022 die am häufigsten angegriffenen Branchen in Russland. Im russischen und ukrainischen Cyberspace waren Online-Medien und Rundfunkmedien die am häufigsten angegriffenen Segmente.
Eine pro-russische Gruppe, genauer NoName057, hat sogar ein Projekt namens „DDOSIA“ ins Leben gerufen. Bei diesem Projekt werden Freiwillige (derzeit rund 13.000 Mitglieder auf ihrem Telegram-Kanal) dafür bezahlt, DDoS-Angriffe gegen „die Feinde des Landes“ zu starten. Im Gegenzug erhalten die Freiwilligen eine Prämie zwischen 300 und 1250 US-Dollar. Aber auch infolge der Spannungen zwischen China und Taiwan hat diese Form von Cyberangriffen erheblich zugenommen.
Neue Taktiken verändern das Spiel
Zudem geht es im Falle von DDoS-Attacken in letzter Zeit vermehrt um Erpressungen, und diese Masche hat auch bereits einen Namen: RDDoS, also DDoS-Erpressungsangriffe. Das Ziel eines solchen RDDoS-Angriffs ist es, das Opfer mit der Drohung unter Druck zu setzen, seine Website offline zu nehmen, sodass dieser sich gezwungen fühlt eine Art Schutzgeld zu entrichten.
Ferner werden DDoS-Angriffe vermehrt dazu eingesetzt, um die Aufmerksamkeit der Sicherheitsteams zu binden. Im Schatten der DDoS-Attacke können die Angreifer sodann weitaus umfassendere und ausgeklügeltere Attacken durchführen, die sich nur schwer erkennen lassen.
Schutz vor schwerwiegenden Cyberangriffen
Zweifelsohne sind DDoS-Attacken zu einer Plage des digitalen Zeitalters geworden. Doch trotz ihrer zum Teil schwerwiegenden Auswirkungen auf die betroffene Organisation, sind die Schäden meist überschaubar. Anders verhält es sich jedoch, wenn durch eine DDoS-Attacke ein umfassender Cyberangriff verdeckt werden soll. Um sich vor einer solchen Attacke zu schützen, bedarf es eines Ansatzes der Tiefenverteidigung, der verschiedene Instrumente erfordert.
Hier ist es wichtig, dass entsprechende technische Lösungen zum Einsatz kommen, die Bedrohung automatisch und unverzüglich neutralisieren können, ohne dass ein menschliches Eingreifen erforderlich wäre. Speziell XDR-Lösungen (Extended Detection and Response) bieten in diesem Zusammenhang bestmöglichen Schutz.
Mit ihrer Hilfe werden auch während einer laufenden DDoS-Attacke die Systeme einer Organisation stetig überwacht, sodass ein etwaiger weiterer Angriff schnell erkannt und gestoppt werden kann. Hierzu verfügen moderne XDR-Lösungen über eine forensische Post-Mortem-Analyse, die jederzeit sicherstellt, dass ungewöhnliche Aktivitäten rechtzeitig erkannt werden. Nur wenn Unternehmen sich im Zusammenhang mit DDoS-Angriffen auf alle Eventualitäten vorbereiten, einschließlich von tiefergehenden Begleitangriffen, können die Sicherheitsverantwortlichen einer solchen Krisensituation mit einiger Gelassenheit entgegenblicken.
Über den Autor:
Olaf Müller-Haberland ist Head of Sales and Services DACH bei Tehtris.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.