DDoS wird vermehrt für Angriffe auf kritische Infrastrukturen genutzt

Spiegeln großflächige Cyberattacken wie im Konflikt zwischen Russland und der Ukraine ein Extrem wider oder müssen sich auch westeuropäische Staaten auf immer mehr Angriffe dieser Art einstellen?
Marc Wilczek: Das Szenario in der Ukraine hat bestätigt, was wir IT-Fachleute bereits vor Jahren prognostiziert haben: Distributed Denial of Service (DDoS) wird immer regelmäßiger zur Erpressung von Geldern, Diebstahl sensibler Daten und vermehrt auch für Angriffe auf kritische Infrastrukturen genutzt. Zwar waren die zeitgleichen DDoS-Attacken im Vorfeld des russischen Angriffs auf die Ukraine eine Besonderheit. Laut unseren Erkenntnissen waren die Angriffe gleichwohl nicht mal allzu groß. Dennoch waren die Ausfälle weitläufig spürbar und vermutlich wird es Nachahmer geben – sowohl durch Staaten als auch durch einzelne Straftäter. Kritisch sehen wir, wenn Gruppierungen öffentlich dazu aufrufen, die Angriffe als legitime Gegenmaßnahmen einzusetzen.  Denn so kann der Konflikt im Cyberraum sich immer weiter zuspitzen und auch potenziell Unbeteiligte können plötzlich in Mitleidenschaft geraten.

Was kennzeichnet die DDoS-Attacken?
DDoS-Attacken verfolgen das Ziel, IT-Systeme komplett lahm zu legen. Dabei werden massenhaft Anfragen an Web-Server, Infrastrukturen, APIs oder Applikationen gesendet, bis diese vollständig überlastet sind. Sind die DDoS-Attacken erstmal in vollem Gange, kann oft nicht mehr effektiv reagiert werden, ein Blackout ist mitunter die Folge. Neuartige DDoS-Attacken zeichnet aus, dass sie vermehrt mittels vielen Vektoren gleichzeitig ausgeführt werden. Die Zahlen dieser sogenannten Multivektorattacken, bei der Angreifer mehrere Techniken kombinieren, ist von 59 Prozent im Jahr 2020 auf 71 Prozent in 2021 gestiegen.

Wie lauten die Ziele der DDoS-Attacken. Beschränken sich die Angriffe auf Finanzhäuser und staatliche Strukturen oder gibt es noch mehr zu nennen?
Die Motivlage der Tätergruppierungen variiert und demzufolge variieren auch die Ziele. Was Erpressung betrifft, so sind grundsätzlich Unternehmen über eine Vielzahl von Branchen dem Risiko von DDoS-Angriffen ausgesetzt. Gerade zu Beginn der Pandemie gerieten u.a. Home-Schooling-Plattformen, Impfzentren und Lieferdienste in den Fokus – also die Akteure, die eine hohe Abhängigkeit ihrer Onlinepräsenz und öffentliche Aufmerksamkeit hatten. Dessen ungeachtet sind die Betreibern kritischer Infrastrukturen stets besonders exponiert.

Zwischen 2019 und 2020 hatten sich DDoS-Attacken bereits vermehrt – welche Entwicklungen gab es 2021?
Der Trend von zunehmenden DDoS-Angriffen wird 2021 weiter bestätigt. Insgesamt verzeichneten wir in unserem Link11-Netzwerk während des vergangenen Jahres eine Zunahme aufgezeichneter Attacken von 41 Prozent. Zudem beobachteten wir eine drastische Zunahme an Höchst-Angriffsbandbreiten, wobei sich die Zahlen zwischen 2020 (161 Gbps) und 2021 (437 Gbps) nahezu verdreifacht hatten. Zudem dominieren mit 7 von 10 Fällen Multivektor-Angriffe mit mindestens zwei unterschiedlichen Angriffsvektoren. Diese zielen parallel auf Schwachstellen in Transport-, Applikations- und Protokollebene. Je mehr Schwachstellen und Protokolle Angreifer bei einem Angriff missbrauchen, umso schwieriger ist die Angriffserkennung und Abwehr.

Und wie kann man sich dagegen verteidigen?
Bisherige Lösungen und Liefermodelle kommen zunehmend an ihre Grenzen und halt nicht stand. Zum einen sind die Abwehrtechniken statisch und regelbasiert. Die Erkennungsraten sind zu gering. Neue Techniken und komplexe Angriffe unterwandern das Radar. Zum anderen sind viele Liefermodelle reaktiv. Es wird gehandelt, nach dem ein Schaden vorliegt. Entscheidend ist jedoch, vor die Lage zu kommen. Dazu braucht es eine präzise Erkennung der Angriffe und eine automatisierte Abwehr in Echtzeit. Hier empfehlen wir, das “Kleingedruckte” bzw. die SLAs (Service-Level-Agreements) des potenziellen Cyber-Resilienz-Anbieters genau zu studieren. Denn es gibt Unterschiede wie Tag und Nacht.

Marc Wilczek
ist als Geschäftsführer bei Link11 für die strategische Geschäftsentwicklung, Wachstumsinitiativen sowie für Marketing und Vertrieb verantwortlich. Neben Managementfunktionen innerhalb des Deutsche Telekom Konzerns war er zuvor als Senior Vice President Asien-Pazifik/Lateinamerika/Naher Osten und Afrika beim eHealth-Konzern CompuGroup Medical tätig und leitete u.a. das Asiengeschäft beim IT-Sicherheitsexperten Utimaco Safeware (heute Sophos).