Sehr geehrte Leserinnen und Leser,
egal ob Big Data, Internet der Dinge, Cloud-Computing, künstliche Intelligenz oder aber Virtual und Augmented Reality: Digitale Technologien sind aus dem Geschäftsleben nicht mehr wegzudenken. Sie ändern bestehende Arbeitsformen, gestalten Wertschöpfungsprozesse und setzen unerwartete Wachstumspotenziale frei. Mehr sogar: Der Einsatz digitaler Technologien entscheidet inzwischen im wachsenden Maße über die Konkurrenzfähigkeit, die Robustheit und die Zukunftsfähigkeit eines Betriebs.
Dennoch helfen digitale Technologien nicht bloß Unternehmen zu Höhenflügen – auch Internetkriminelle ziehen einen Nutzen von diesen unterschiedlichen Möglichkeiten immer innovativerer Angriffsmethoden.
In den letzten Jahren ist dabei insbesondere die Entwicklung zu Distributed-Denial-of-Service-Attacken entfacht.
Bei einer Distributed-Denial-of-Service-Attacke handelt es sich um eine spezielle Angriffsform, welche sich vom herkömmlichen Denial-of-Service-Angriff ableitet und das Ergebnis verfolgt, Webpräsenzen, Webserver, Unternehmensnetzwerke und anderweitige Netzwerkressourcen eines Unternehmens mit einer immensen Anzahl gleichzeitiger Verbindungsanfragen oder fehlerhaften Paketen zu überfordern und auf diese Art zu bremsen oder eventuell auch ganz lahmzulegen. Häufig verwenden die Bedrohungsakteure hierzu kompromittierte Computer wie auch Endgeräte, die sie per Fernsteuerung zu solch einem Botnetz zusammenschließen und darauffolgend auf ein Zielsystem und dessen Services richten. Hierbei würde die Multiplikation der Angriffsquelle, sprich die Größe des Botnetzes, die Wirksamkeit der Distributed-Denial-of-Service-Attacke bestärken und dazu beitragen, die Identität der Bedrohungsakteure zu verbergen.
Zahlen, Daten, Fakten!
Distributed-Denial-of-Service-Attacken sind keine neuartige Bedrohung.
Vor gut 20 Jahren, fand die erste Distributed-Denial-of-Service-Attacke statt. Ein PC der University of Minnesota wurde plötzlich von 114 Computern attackiert, die mit einer Malware mit dem Namen Trin00 angesteckt waren.
Seither kennt die Entwicklung der Distributed-Denial-of-Service-Attacken im Wesentlichen bloß die Neigung aufwärts, wie auch die nachfolgenden Beispiele aus jüngster Zeit bestätigen:
- Auf diese Weise wehrte Microsoft, laut seinem DDoS-Jahresbericht, in der Jahreshälfte von 2021 nahezu 360.000 DDoS-Attacken gegen ihre Logistik ab. Darunter ein Angriff mit der Rekord-Bandbreite von 3,47 Terabit auf die Cloud-Plattform Azure.
- Der IT-Sicherheitsdienst Cloudflare schildert im Juli 2021 eine rekordverdächtige Distributed-Denial-of-Service-Attacke abgewehrt zu haben, bei der Internetkriminelle über 17 Millionen Nachfragen pro Sekunde verschickten.
- Die Firma Netscout registrierte 2020 zum ersten Mal über 10 Millionen Distributed-Denial-of-Service-Attacken pro Jahr. Im ersten halben Jahr von 2021 wurden im Folgenden knapp 5,4 Millionen Distributed-Denial-of-Service-Attacken verzeichnet. Dies ist ein Zuwachs von 11 Prozent gegenüber des Vergleichszeitraums 2020.
- Außerdem beweist der DDoS-Report 2021 von Imperva, dass bei rund 12 Prozent jeglicher Netzwerk-Distributed-Denial-of-Service-Attacken deutsche Unternehmen verwickelt waren.
Welche Arten von Distributed-Denial-of-Service-Attacken gibt es?
Generell können sich Distributed-Denial-of-Service-Attacken gegen jede der sieben Lagen innerhalb des OSI-Modells für Netzwerkverbindungen ausrichten. Die drei Schlüsselarten sind:
1. Netzwerkzentrierte beziehungsweise volumenbasierte Distributed-Denial-of-Service-Attacken
Netzwerkzentrierte beziehungsweise volumenbasierte Distributed-Denial-of-Service-Attacken sind die gängigste Form von Distributed-Denial-of-Service-Attacken. Bei dieser Angriffsart wird die verfügbare Palette durch die Verwendung eines Botnetzes mit Paketfluten überlastet. So wird verhindert, dass legitime Verbindungsanfragen ankommen. Zu der Fraktion zählen beispielsweise UDP-Flood-Attacken.
- UDP-Flood-Attacken: Bei einem UDP-Flood-Angriff schicken Eindringlinge eine große Masse von UDP-Paketen (UDP= User-Datagram-Protocol) an Serverports jenes Ziels, um sie dadurch zu überfordern, bis sie nicht mehr reagieren.
2. Anwendungsbasierte Distributed-Denial-of-Service-Attacken
Anwendungsbasierte Distributed-Denial-of-Service-Attacken sehen hierauf ab, die Ressourcen sowie den Speicher des Zielsystems mit sinnlosen oder ungültigen Verbindungsanfragen zu überfordern sowie zu verbrauchen. Am gängigsten sind in dem Kontext sogenannte HTTP Flood-Attacken.
- HTTP-Flood-Attacken: Bei der leichtesten DDoS-Angriffsvariante zur Ressourcenüberlastung überschwemmen Bedrohungsakteure den Server eines Zielsystems mit einer Vielzahl von HTTP-Requests. Zu diesem Zweck muss dieser nur irgendwelche Internetseiten des Zielprojekts aufsuchen, bis der Server unter der Belastung an Anforderungen zerbricht.
3. Protokollbasierte Distributed-Denial-of-Service-Attacke
Protokollbasierte Distributed-Denial-of-Service-Attacken sehen es auf Protokolle der Netzwerk- oder Transportschicht ab und nutzen Schwachstellen in den Protokollen, um das Zielsystem mit oberflächlichen oder fehlerhaften Verbindungsanfragen zu überfordern. Zu den häufigsten protokollbasierten Distributed-Denial-of-Service-Attacken gehören:
- die ICMP-Flood-Attacke: Bei der ICMP-Flood-Attacke (ICMP=Internet Control Message Protocol) überschwemmen die Bedrohungsakteure den Server mit zahllosen ICMP-Anfragen. Bei dem Angriff wird versucht, die Fähigkeit des Webservers, auf Anforderungen zu reagieren, zu behindern und dadurch valide Anfragen zu blockieren.
- die SYN-Flood-Attacke: Bei dem Angriffsmuster probieren die Bedrohungsakteure durch das wiederholte Zusenden von Synchronisationspaketen, kurz SYN-Paketen, alle möglichen Ports auf einem Zielservercomputer zu überlasten, damit das Zielgerät nur langsam oder etwa gar nicht auf legitimen Daten-Traffic antwortet. SYN-Flood-Angriffe funktionieren unter Verwertung des Handshake-Prozesses einer TCP-Verbindung.
4. Multivektorangriffe
Bei Multivektorangriffen werden verschiedene Angriffsmethoden, wie beispielsweise protokollbasierte Distributed-Denial-of-Service-Attacken mit anwendungsbasierten Distributed-Denial-of-Service-Attacken gepaart, um ein Zielsystem und dessen Services ganz zu überwältigen und dieses zum Fall zu bringen. Kombinierte Multivektorangriffe sind äußerst knifflig abzuwehren und verlangen daher eine ausgeklügelte und vielseitige Abwehrstrategie.
Tools zur Verhinderung von Distributed-Denial-of-Service-Attacken!
Da Distributed-Denial-of-Service-Attacken äußerst komplex sind, sollten Betriebe auf mehreren Ebenen IT-Abwehrmaßnahmen implementieren.
Erfolgversprechende Ansätze enthalten meist die folgenden Aspekte:
- Identifizierung kritischer IP-Adressen sowie das Aufspüren bekannter Sicherheitslücken
- Web Application Firewalls: Im Gegensatz zu konventionellen Firewalls inspizieren Web Application Firewalls, kurz WAFs, die anwendungsspezifische Interaktion und sind damit in der Lage Attacken auf Anwendungsebene zu entdecken
- IP-Sperrlisten: IP-Sperrlisten gewähren es, kritische IP-Adressen zu erkennen und Datenpakete direkt zu löschen. Diese Sicherheitsmaßnahme lässt sich per Hand umsetzen oder durch flexibel erzeugte Sperrlisten über die Firewall automatisieren.
- Filterung: Um gefährliche Datenpakete herauszufiltern, ist es möglich, Grenzwerte für Datenmengen in dem bestimmten Zeitabschnitt zu bestimmen. Hierbei ist aber zu beachten, dass Proxys mitunter dazu leiten, dass mehrere Clients mit identischer IP-Adresse beim Server angemeldet und möglicherweise grundlos blockiert werden.
- SYN-Cookies: SYN-Cookies nehmen Sicherheitslücken im TCP-Verbindungsaufbau ins Visier. Kommt diese Sicherheitsmaßnahme zum Gebrauch, werden Daten über SYN-Pakete nicht mehr auf dem Webserver gesichert, sondern als Crypto-Cookie an den Client gesendet. SYN-Flood-Angriffe benötigen so zwar Rechenkapazität, strapazieren jedoch nicht den Speicher des Zielsystems.
- Load-Balancing: Eine effiziente Gegenmaßnahme gegen Überlastung ist eine Lastenverteilung auf verschiedene Systeme, wie diese durch Load-Balancing gewährt wird. Dabei wird die Hardware-Auslastung bereitgestellter Services auf unterschiedliche physische Maschinen aufgeteilt. Auf diese Weise lassen sich Distributed-Denial-of-Service-Attacken bis zu einem bestimmten Umfang erwischen.
Behalten Sie DDoS-Bedrohungen auf dem Schirm!
Distributed-Denial-of-Service-Attacken nehmen zu und werden zukünftig noch größer und umfassender stattfinden.
Um große Betriebsunterbrechungsschäden sowie teils unkalkulierbaren Reputationsverlust zu vermeiden, ist es höchste Zeit, dass Unternehmen eine erhöhte Sensibilität gegenüber Distributed-Denial-of-Service-Attacken entwickeln und präzise IT-Schutzmaßnahmen zur Vorbeugung und Mitigation implementieren.
Um die Unternehmen bei der Recherche und Auswahl zu unterstützen, hat das Bundesamt für Sicherheit in der EDV, kurz BSI, eine Hilfestellung zur Identifikation qualifizierter Überwachungsunternehmen für die Verteidigung von Distributed Denial-of-Service-Attacken veröffentlicht.
Möchten auch Sie Ihre exponierten Geschäftsanwendungen, Geschäftsdaten und Dienste mit leistungsstarken DDoS-Sicherheitslösungen schützen? Sind Sie auf der Suche nach einem qualifizierten Sicherheitsdienstleister oder haben noch Fragen zu Distributed Denial-of-Service-Attacken? Sprechen Sie uns gerne an.