Cyberangriffe in Europa kommen vor allem aus den Niederlanden

Cyberangriffe in Europa haben ihren Ursprung überwiegend innerhalb der eigenen Grenzen – von hier erfolgen sie mehr als aus jedem anderen Teil der Welt. Besonders häufig sind europäische Computersysteme Attacken ausgesetzt, die von IP-Adressen in den Niederlanden ausgehen. Das ergibt eine aktuelle Analyse von F5 Labs. Ausgewertet wurde der Datenverkehr von Angriffen auf europäische IP-Adressen zwischen dem 1. Dezember 2018 und dem 1. März 2019 im Vergleich zu den USA, Kanada und Australien ausgewertet.

Nach den Niederlanden folgen demnach als weitere Ursprungsländer von Angriffen die USA, China, Russland, Frankreich, Iran, Vietnam, Kanada, Indien und Indonesien. Doch die Attacken aus den Niederlanden hatten den anderthalbfachen Umfang wie die Attacken aus den Vereinigten Staaten und China zusammen – und den sechsfachen Umfang der Attacken aus Indonesien. Insgesamt bemerkten die Sicherheitsforscher, dass die Ursprungsländer der in Europa beobachteten Angriffe in ähnlicher Weise an den Angriffen auf australische und kanadische Ziele teilnahmen. In den USA hingegen waren weniger europäische IP-Adressen ursächlich an den Angriffen beteiligt.

Besonders häufig gingen die Angriffe außerdem von drei europäischen Webhosting-Providern aus, die F5 Labs regelmäßig in Listen der gefährlichsten Akteursnetzwerke erfasst. Demnach initiierte das niederländische Netzwerk von HostPalace Web Solutions die größte Zahl von Angriffen, gefolgt vom französischen Online SAS und dem niederländischen NForce Entertainment.

Als der am häufigsten angegriffene Port fiel in Europa der vom SIP-Protokoll für VoIP-Verbindungen zu Telefonen und Videokonferenzsystemen genutzte Port 5060 auf. Dem folgten der Microsoft-SMB-Port 445 sowie der oft als nicht standardisierter SSH-Port genutzte Port 2222. Die Sicherheitsexperten empfehlen daher Unternehmen laufende Überprüfungen auf Schwachstellen, um zu ermitteln, welche spezifischen Ports öffentlich zugänglich sind. Durch Firewalls zu schützen oder im Schwachstellenmanagement zu priorisieren sind die am stärksten angegriffenen offenen Ports.

Netzwerkadministratoren und Sicherheitstechniker sollten außerdem Netzwerkprotokolle auf Verbindungen zu den wichtigsten angreifenden IPs überprüfen. „Wenn sie Angriffe von einer dieser IP-Adressen bemerken, sollten sie entsprechende Beschwerden an die Betreiber richten, damit diese die angreifenden Systeme herunterfahren“, rät Ralf Sydekum, Technical Manager DACH bei F5 Networks. Das Blockieren des Datenverkehrs ganzer Netzwerke oder eines ISPs könnte allerdings problematisch sein und auch eigene Kunden betreffen. „Es sei denn, der ISP ist in einem Land tätig, das außerhalb der Vertriebsregionen liegt. Dann kann die geolokalisierte Blockierung auf Länderebene effektiv eine große Menge an Angriffsverkehr vermeiden.“