Distributed Denial of Service

Warum DDoS-Attacken immer gefährlicher werden

14.01.2020 von Marc Wilczek
Distributed-Denial-of-Service-Angriffe sind laut Europol weiter auf dem Vormarsch. Lesen Sie, wie Sie sich gegen die DDoS-Bedrohung zur Wehr setzen können.

Die Digitalisierung schreitet weiterhin unaufhaltsam voran. Die Kehrseite der sich explosionsartig vermehrenden, smarten Geräte im Internet of Things (IoT), dem Streben nach zunehmender Vernetzung und Bandbreite (5G) sowie der explodierenden Cloud-Nutzung: Die IT wird zunehmend als Waffe missbraucht, um Attacken beispielloser Größenordnung zu realisieren. Aufgrund der Anonymisierungsmöglichkeiten von Darknet und Kryptowährungen sind illegale Transaktionen inzwischen einfacher und bequemer denn je durchzuführen. Insbesondere Distributed-Denial-of-Service (DDoS)-Angriffe sind immer leistungsfähiger und für die kriminellen Hacker auch einträglicher geworden: Sie haben sich mit Hilfe von Künstlicher Intelligenz (KI) von reinen Botnet-basierten Angriffen zu datengesteuerten Modellen weiterentwickelt.

Distributed-Denial-of-Service-Angriffe sind IT-Security-"Dauerbrenner" und bleiben weiterhin höchst gefährlich und teuer.
Foto: Jirsak - shutterstock.com

Wissenschaftler der University of Cambridge veröffentlichten im vergangenen Jahr eine Studie, die mit Hilfe von Datenmodellen die wichtigsten Akteure eines der größten und ältesten Untergrundforen für kriminelle Hacker sowie deren Motive identifiziert und charakterisiert. Überraschenderweise kamen sie dabei zu dem Schluss, dass Cyberkriminalität überwiegend von Menschen begangen wird, die weder technische Genies sind, noch sonst kriminell in Erscheinung treten. Viele von ihnen bieten so genannte "Booter"-Dienste an - quasi DDoS-Attacken auf Mietbasis. Diese sind inzwischen so verbreitet, dass sie sogar von Schulkindern genutzt werden. Obwohl nicht alle diese Angriffe Schlagzeilen produzieren, verursachen sie für Unternehmen immer höhere finanzielle Schäden in Form von Lösegeldern, Ausfall- und Wiederherstellungszeiten, Umsatzeinbußen und Reputationsverlusten. Die Angriffe werden von den Mitgliedern einer florierenden Untergrundwirtschaft über Marktplätze eingekauft, in der Cyberkriminalität als Service monetarisiert wird - teilweise schon für Kleinstbeträge ab 10 US-Dollar pro Angriff.

Lesetipp: Cybercrime als Service - So günstig ist ein Hack im Darknet

DDoS ist allgegenwärtig - auch im Darknet

Europol nennt im "Internet Organised Crime Threat Assessment 2019" DDoS-Angriffe als eine der größten Bedrohungen für die digitale Geschäftswelt. Im Fadenkreuz von Kriminellen standen im Jahr 2019 vor allem Banken und andere Finanzinstitute sowie Behörden wie die Polizei und Kommunalverwaltungen. Reisebüros, Internet-Infrastruktur und Online-Gaming-Dienste standen ebenfalls hoch im Kurs bei kriminellen Hackern. Einige Verhaftungen wurden vorgenommen, hatten aber laut Europol keine spürbaren Auswirkungen auf die Wachstumsrate von DDoS-Attacken oder die Darknet-Infrastruktur, die diese erst ermöglicht.

Während viele Distributed-Denial-of-Service-Angriffe nicht gemeldet oder unbemerkt bleiben, schaffen es manche davon in die Schlagzeilen. Im Oktober wurde Amazon Web Services (AWS) von einem DDoS-Angriff getroffen, was es für Benutzer über etwa acht Stunden unmöglich machte, eine Verbindung herzustellen, da AWS legitime Kundenanfragen teilweise als bösartig einstufte. Die Google Cloud Platform erlebte zur gleichen Zeit ebenfalls eine Reihe von Problemen, allerdings standen diese nach Auskunft von Google nicht in Zusammenhang mit DDoS. Erst wenige Wochen zuvor hatte eine Reihe von DDoS-Angriffen einen ISP in Südafrika einen ganzen Tag lang vom Netz genommen.

Interessanterweise ist nicht nur die Realwirtschaft mit DDoS-Angriffen konfrontiert. Jeder, der mit dem Dark Web Market Listing vertraut ist, weiß, dass Marktplätze in der Regel mit einer "Uptime" gelistet sind, wobei der Hauptgrund für einen Ausfall DDoS-Angriffe sind. Diese versteckten Marketplaces sind offen für Distributed-Denial-of-Service-Attacken, die auf Eigenschaften des Tor-Browsers basieren. Dieser wird häufig für den Zugriff auf das Darknet verwendet. Anfang des Jahres wurden die drei größten illegalen Marktplätze von ausgedehnten Distributed-Denial-of-Service-Angriffen getroffen. Die Betreiber von "Dream Market" wurden Berichten zufolge mit einer Lösegeldforderung in Höhe von 400.000 Dollar konfrontiert. Selbst Kriminelle sind also nicht gefeit vor DDoS-Angriffen aus den eigenen Reihen.

Aber das DDoS-Phänomen geht über die Infrastruktur hinaus. Als Teil ihrer digitalen Strategie setzen viele Unternehmen auf Cloud-basierte Anwendungen. Ebenso rüsten Produktions-, Logistik- und Versorgungsunternehmen im Kontext von Industrie 4.0 ihre Produktionslinien, Lager, Fabriken und andere Einrichtungen mit drahtloser Konnektivität und Sensoren aus. All die Dienste benötigen Schnittstellen (APIs), um zu funktionieren. APIs vereinfachen zwar Architektur und Bereitstellung, können aber auch zum Flaschenhals werden, was für die Unternehmen mit neuen Risiken und Schwachstellen einhergeht. Wenn eine geschäftskritische Anwendung oder API kompromittiert wird, löst das eine Kettenreaktion aus und Betriebsabläufe kommen zum Stillstand. Daher reicht es nicht mehr aus, nur die OSI-Schichten 3-4 zu schützen: Layer-7-Angriffe verursachen weit mehr Schaden bei deutlich geringerer Bandbreite.

Was gegen Distributed-Denial-of-Service-Attacken hilft

Im digitalen Geschäft gibt es keinen Platz für Ausfälle. Aus diesem Grund müssen Unternehmen jeder Größe wirkungsvolle Gegenmaßnahmen ergreifen, um die Ausfallsicherheit, Integrität und Verfügbarkeit ihrer digitalen Plattformen und Dienste zu gewährleisten. Mit zunehmender Netzwerkbandbreite und Rechenleistung sind Black-Hat-Hacker im Stande, immer mächtigere Daten-Tsunamis von der Kette zu lassen. DDoS-Angriffe gegen nationale Infrastrukturen können große Schäden anrichten und den Zugang zu den Diensten, die die Räder unserer Wirtschaft und Gesellschaft schmieren, unterbinden. Wie das US-amerikanische Heimatschutzministerium (DHS) berichtet, hat sich die Anzahl der Distributed-Denial-of-Service-Attacken in den letzten fünf Jahren um den Faktor 10 erhöht. Darüber hinaus sei unklar, "ob die aktuelle Netzwerkinfrastruktur zukünftigen Angriffen standhalten könnte, wenn sie weiter zunehmen".

Auch hierzulande hat Bundesinnenminister Horst Seehofer (CSU) vor den wachsenden Gefahren in Deutschland gewarnt. Die Qualität der Cyberangriffe sei weiter gestiegen und die Bedrohungslage sei "anhaltend hoch", sagte Seehofer gegenüber dem ZDF im Rahmen der Vorstellung des Lageberichts zur IT-Sicherheit in Deutschland. Das Bundesamts für Sicherheit in der Informationstechnik (BSI) spricht von "110.000 Bot-Infektionen täglich".

Ob angesichts der zunehmenden Frequenz von Angriffen, neuer Risiken durch APIs oder steigender Kosten bei Ausfällen und Betriebsunterbrechungen: Die Bedrohungslandschaft verändert sich und macht ein Umdenken nötig, wenn es um die beste Verteidigung geht. Was vor einigen Jahren noch funktioniert hat, ist heute mitunter nicht mehr zeitgemäß. "Um der zunehmenden Angriffsfrequenz zu begegnen, muss eine moderne Verteidigung effizient sein", weiß Andrew Shoemaker, DDoS-Experte und Gründer von NimbusDDoS, einem Anbieter von Pentests, der sich auf die Validierung von DDoS-Lösungen spezialisiert hat. "Das bedeutet, automatisierte Ansätze zu verfolgen und sich von langsamen, manuellen Prozessen zu verabschieden", fügt er hinzu. "Manuelle Ansätze mögen in der Vergangenheit effektiv gewesen sein, als ein Unternehmen nur ein paar Mal im Jahr angegriffen wurde, aber der administrative Aufwand durch manuelle Intervention wird irrsinnig, wenn Angriffe monatlich oder wöchentlich stattfinden."

Früher hielten die IT-Teams DDoS-Angriffe hauptsächlich für eine Layer-3/4-Bedrohung, die die Verteidigung ins Netzwerk verlagert - mit anderen Worten in den Bereich des IP-Datenverkehrs und der Paketvalidierung. "Diese Argumentation ist eindeutig veraltet", sagt Shoemaker. Da APIs und Applikationen Ziele für Layer-7-Angriffe sind, müssen die Vorkehrungen ebenso anwendungs- und protokollorientiert sein. Ein Layer-7-Angriff ist von einer legitimen Anfrage häufig schwer zu unterscheiden, was eine komplexere Analyse mit Hilfe von maschinellem Lernen und KI erforderlich macht, um solche Bedrohungen möglichst in Echtzeit zu erkennen.

"Da selbst eine kurze Ausfallzeit einen kaskadierenden Effekt auf ein Unternehmen und seine Partner hat, muss ein Zero-Day-DDoS-Angriff so schnell und effizient abgewehrt werden, wie bereits bekannte Angriffsmuster. Dies erfordert Lösungen, die auf heuristischen Ansätzen fußen und nicht auf vereinfachten Regelwerken." (fm)

Das Darknet in Bildern
Enter the Dark
In den 1970er Jahren war der Ausdruck "Darknet" kein bisschen unheilverkündend. Er bezeichnet damals einfach nur Netzwerke, die aus Sicherheitsgründen vom Netz-Mainstream isoliert werden. Als aus dem Arpanet zuerst das Internet wird, das dann sämtliche anderen Computer-Netzwerke "verschluckt", wird das Wort für die Bereiche des Netzes benutzt, die nicht ohne Weiteres für jeden auffindbar sind. Und wie das im Schattenreich so ist: Natürlich ist es auch ein Hort für illegale Aktivitäten und beunruhigende Güter aller Art, wie Loucif Kharouni, Senior Threat Researcher bei Damballa unterstreicht: "Im Darknet bekommen Sie so ziemlich alles, was man sich nur vorstellen kann."
Made in the USA
Ein aktuelles Whitepaper von Recorded Future klärt über die Verbindungspunkte zwischen dem Web, das wir alle kennen, und dem Darknet auf. Erste Spuren sind normalerweise auf Seiten wie Pastebin zu finden, wo Links zum Tor-Netzwerk für einige Tage oder Stunden "deponiert" werden. Tor wurde übrigens von der US Navy mit dem Ziel der militärischen Auskundschaftung entwickelt. Die weitgehende Anonymisierung hat Tor schließlich zum Darknet-Himmel gemacht.
Drogen
Im Darknet floriert unter anderem der Handel mit illegalen Drogen und verschreibungspflichtigen Medikamenten. "Das Darknet hat den Drogenhandel in ähnlicher Weise revolutioniert, wie das Internet den Einzelhandel", meint Gavin Reid vom Sicherheitsanbieter Lancope. "Es stellt eine Schicht der Abstraktion zwischen Käufer und Verkäufer. Bevor es Seiten wie Silk Road gab, mussten Drogenkonsumenten in halbseidene Stadtviertel fahren und das Risiko eines Überfalls ebenso auf sich nehmen, wie das, von der Polizei erwischt zu werden. Jetzt können die Leute das bequem von zuhause erledigen und müssen dabei kaum mit dem Dealer interagieren. Das hat viele Personen dazu veranlasst, auf diesen Zug aufzuspringen und dadurch sowohl den Verkauf von Drogen als auch das Risiko das durch ihren Konsum entsteht, dezentralisiert."
Bitte bewerten Sie Ihren Einkauf!
Das Internet hat den Handel revolutioniert - zum Beispiel durch Bewertungs- und Rating-Systeme. Das gleiche Prinzip kommt auch im Darknet zur Anwendung - nur bewertet man eben keine SSD, sondern Crack. Nach dem Untergang von Silk Road dient mittlerweile The Hub als zentrale Plattform für den Drogenhandel.
Waffen
Drogenkonsumenten nutzen das Darknet in manchen Teilen der Welt, um bewaffneten Dealern aus dem Weg gehen zu können. Letztgenannte Zielgruppe kann im dunklen Teil des Netzes hingegen aufrüsten: Bei einer groß angelegten Razzia wurde eine große Waffenlieferung, die von den USA nach Australien gehen sollte, gestoppt. Neben Schrotflinten, Pistolen und Gewehren sind im Darknet unter anderem auch Dinge wie eine Kugelschreiber-Pistole zu haben. James Bond lässt grüßen. Strahlende Persönlichkeiten finden in den Web-Niederungen gar Uran. Zwar nicht waffenfähig, aber immerhin.
Identitätshandel
Viele Untergrund-Händler bieten im Darknet auch gefälschte Dokumente wie Führerscheine, Pässe und Ausweise an. Ganz ähnlich wie der Zeitgenosse auf diesem thailändischen Markt, nur eben online. Was sich damit alles anstellen ließe... Jedenfalls ist die Wahrscheinlichkeit ziemlich gering, dass ein Teenie sich im Darknet ein Ausweisdokument beschafft, um das Bier für die nächste Facebook-Party kaufen zu können.
Digitale Leben
Raj Samani, CTO bei Intel Security, zeigt sich erstaunt darüber, wie persönlich die Produkte und Services im Darknet im Laufe der Zeit geworden sind: "Der Verkauf von Identitäten geht weit über Karten und medizinische Daten hinaus: Dort werden ganze digitale Leben verkauft - inklusive Social-Media- und E-Mail-Accounts sowie jeder Menge anderer persönlicher Daten."
Auftragskiller
Bevor Sie jetzt den Eindruck gewinnen, dass das Darknet ein Ort ist, wo man wirklich jede Dienstleistung kaufen kann: Die allermeisten Leute, die Tötungs-Dienstleistungen anbieten, sind Betrüger. Die nehmen zwar gerne Geld von den willigen Kunden, machen sich die Finger aber weniger gerne schmutzig. Der Betreiber von Silk Road, Ross Ulbricht, ist so einem Betrüger zum Opfer gefallen: Eine Million Bitcoins investierte der halbseidene Darknet-"Pionier" in Auftragsmorde, die nie ausgeführt wurden. Bei einer Crowdfunding-Plattform für Attentate auf Prominente dürfte es sich ebenfalls um ein einträgliches Betrugsgeschäft handeln.
Schnellausstieg
Es kommt jetzt vielleicht überraschend, aber die Leute die man so im Darknet trifft, sind in der Regel keine ehrbaren Naturen. Die zunehmende Professionalisierung im Darknet und der psychische Druck, der auf Drogen- und Waffenhändlern im Darknet lastet, führt zu einem neuen Trend: dem Exit-Scam. Hierbei entscheidet sich ein Händler, der bereits Kundenvertrauen aufgebaut hat, seine Aktivitäten zu beenden. Dazu beendet er die Beziehungen zu seinen Lieferanten, nimmt aber weiterhin Bestellungen und Geld von Kunden entgegen. Und zwar genauso lange, bis diese merken, dass sie keine Leistungen für ihr Geld erhalten. Das so entstandene Zeitfenster wird von den Händlern genutzt, um noch einmal so richtig abzukassieren, bevor sie schließlich im digitalen Nirvana verschwinden.
Freiheit?
Eines sollte man in Bezug auf das Darknet nicht vergessen: Während wir in diesem Zusammenhang vor allem an Drogen, Waffen und Auftragsmord denken, stellt das Darknet für Menschen in Ländern, in denen Krieg und/oder politische Verfolgung herrschen, oft das einzige Mittel dar, gefahrlos und/oder ohne Überwachung mit der Außenwelt in Kontakt zu treten.