Cyberangriffe in Europa kommen vor allem aus den Niederlanden

Cyberangriffe in Europa haben ihren Ursprung überwiegend innerhalb der eigenen Grenzen – von hier erfolgen sie mehr als aus jedem anderen Teil der Welt. Besonders häufig sind europäische Computersysteme Attacken ausgesetzt, die von IP-Adressen in den Niederlanden ausgehen. Das ergibt eine aktuelle Analyse von F5 Labs. Ausgewertet wurde der Datenverkehr von Angriffen auf europäische IP-Adressen zwischen dem 1. Dezember 2018 und dem 1. März 2019 im Vergleich zu den USA, Kanada und Australien ausgewertet.

Nach den Niederlanden folgen demnach als weitere Ursprungsländer von Angriffen die USA, China, Russland, Frankreich, Iran, Vietnam, Kanada, Indien und Indonesien. Doch die Attacken aus den Niederlanden hatten den anderthalbfachen Umfang wie die Attacken aus den Vereinigten Staaten und China zusammen – und den sechsfachen Umfang der Attacken aus Indonesien. Insgesamt bemerkten die Sicherheitsforscher, dass die Ursprungsländer der in Europa beobachteten Angriffe in ähnlicher Weise an den Angriffen auf australische und kanadische Ziele teilnahmen. In den USA hingegen waren weniger europäische IP-Adressen ursächlich an den Angriffen beteiligt.

Besonders häufig gingen die Angriffe außerdem von drei europäischen Webhosting-Providern aus, die F5 Labs regelmäßig in Listen der gefährlichsten Akteursnetzwerke erfasst. Demnach initiierte das niederländische Netzwerk von HostPalace Web Solutions die größte Zahl von Angriffen, gefolgt vom französischen Online SAS und dem niederländischen NForce Entertainment.

Als der am häufigsten angegriffene Port fiel in Europa der vom SIP-Protokoll für VoIP-Verbindungen zu Telefonen und Videokonferenzsystemen genutzte Port 5060 auf. Dem folgten der Microsoft-SMB-Port 445 sowie der oft als nicht standardisierter SSH-Port genutzte Port 2222. Die Sicherheitsexperten empfehlen daher Unternehmen laufende Überprüfungen auf Schwachstellen, um zu ermitteln, welche spezifischen Ports öffentlich zugänglich sind. Durch Firewalls zu schützen oder im Schwachstellenmanagement zu priorisieren sind die am stärksten angegriffenen offenen Ports.

Netzwerkadministratoren und Sicherheitstechniker sollten außerdem Netzwerkprotokolle auf Verbindungen zu den wichtigsten angreifenden IPs überprüfen. „Wenn sie Angriffe von einer dieser IP-Adressen bemerken, sollten sie entsprechende Beschwerden an die Betreiber richten, damit diese die angreifenden Systeme herunterfahren“, rät Ralf Sydekum, Technical Manager DACH bei F5 Networks. Das Blockieren des Datenverkehrs ganzer Netzwerke oder eines ISPs könnte allerdings problematisch sein und auch eigene Kunden betreffen. „Es sei denn, der ISP ist in einem Land tätig, das außerhalb der Vertriebsregionen liegt. Dann kann die geolokalisierte Blockierung auf Länderebene effektiv eine große Menge an Angriffsverkehr vermeiden.“

Bernd Kling

Recent Posts

Corona befördert das Wachstum von Cloud-Services

Corona hat sowohl die Bedeutung der IT als auch von Public Cloud Services gesteigert. Die…

2 Tagen ago

ZTNA versus Remote Access VPN – 6 Vorteile

Remote Access Virtual Private Networks (VPN) haben lange gute Dienste geleistet, aber der Trend zum…

2 Tagen ago

AWS nutzt Fedora Linux für sein cloudbasiertes Amazon Linux

Ziel ist die Integration von Red Hat Enterprise Linux. Das Betriebssystem ist für Amazon EC2…

2 Tagen ago

So setzen Ransomware-Verbrecher ihre Opfer unter Druck

Ransomware-Angreifer setzen eine breite Palette von rücksichtslosen Druckmitteln ein, um die Opfer zur Zahlung des…

2 Tagen ago

Kubernetes gegen Ransomware

Container sind mittlerweile nicht mehr vor Attacken gefeit. Veritas verrät sechs Tipps, um Kubernetes-Daten vor…

2 Tagen ago

Storage-Tiering – ein obsoletes Paradigma

Das traditionelle Tiering von Speicherinfrastruktur in verschiedene Klassen je nach Alter der Daten und Zugriffswahrscheinlichkeit…

2 Tagen ago