10.04.2017 Gefahr durch DDOS-Angriffe

Cyberattacken werden stärker und komplexer

Von: Ingo Steinhaus

Häufig reicht nicht einmal die enorme Bandbreite eines Hochleistungs-Rechenzentrums, um einer Cyberattacke zu widerstehen.

Am 24. November 2016 erwischte es Einrichtungen der EU-Kommission: Stundenlang waren die EU-Server in Brüssel nicht erreichbar. Der Angriff begann gegen 15 Uhr und erst am frühen Abend funktionierten die Internet-Anbindungen wieder. Die IT-Abteilung der EU-Kommission hatte das Computer Emergency Response Team der EU (CERT-EU) als Unterstützung hinzugezogen und arbeitete an Schutzmaßnahmen und einer Analyse des Angriffs. Denn ausgestanden war die Sache noch nicht, die Angriffe hielten noch mehrere Tage an. Durch die Sofortmaßnahmen konnten allerdings die angreifenden Datenpakete so gut aus dem Verkehr gefiltert werden, so dass zumindest die Webserver wieder erreichbar waren.

Die Cyberattacke auf die EU gehört zu den unterschiedlichen Formen von DDOS-Angriffen (Distributed Denial Of Service). Bei ihnen werden Webserver oder andere wichtige Elemente der Internet-Infrastruktur durch Absetzen von enorm vielen Anfragen überlastet. Dadurch sind sie irgendwann für einen Großteil der Internetnutzer nicht mehr erreichbar. Mit solchen Attacken müssen sich Unternehmen, aber auch Rechenzentren und Provider schon seit langem herumschlagen. Leider werden sie immer heftiger und haben dadurch immer größere wirtschaftliche Folgen.

Denn die Anzahl der besonders schweren Angriffe hat sich vervielfacht, wie der aktuelle „Worldwide Infrastructure Security Report Vol. XII“ des Sicherheitsanbieters Arbor Networks herausstellt. Im Vorjahresreport zählte das Unternehmen 2015 erst 223 Angriffe mit mehr als 100 Gigabit pro Sekunde, im Jahr 2016 waren es 558 Angriffe. Davon waren 87 im Bereich von über 200 Gigabit, gegenüber 16 im Jahr davor.

Angriffe aus dem Internet der unsicheren Dinge

Doch die Angriffe werden nicht nur stärker, sondern auch effizienter, wie der Security-Report hervorhebt. So waren etwa 61 Prozent aller Attacken so stark, dass sie die gesamte Bandbreite des betroffenen Rechenzentrums auffraßen. Hinzu kommt, dass die Angriffe immer komplexer werden. So berichteten beispielsweise 67 Prozent der Provider von sogenannten Multi-Vektor-Attacken. Dabei werden unterschiedliche Angriffsformen kombiniert, um Abwehrmaßnahmen zu erschweren.

Hauptgrund für die extreme Steigerung bei DDOS sind die immer größeren Botnets, die inzwischen in Mehrheit aus internetfähigen Geräten (Smart-TVs, IP-Cams usw.) bestehen. Oft sind Devices im Internet der Dinge (Internet of Things, IoT) nur sehr unzureichend geschützt. Sie können sehr leicht von Malware gekapert werden und werden damit als Teil eines Botnets zu Angriffen auf die Internet-Infrastruktur ausgenutzt. Oft bemerken die Besitzer das nicht, da die Geräte im Regelfall nur selten Benutzereingriffe benötigen und von Privatanwendern kaum zu überwachen sind.

Bekannt geworden ist das Mirai-Botnet, das nach Ansicht zahlreicher Sicherheitsexperten inzwischen aus einigen Millionen Geräten besteht. Damit sind Angriffe mit 400, 500 oder sogar mehr als 600 Gigabit pro Sekunde vergleichsweise einfach möglich. Für die Cyberkriminellen hat die große Menge der verfügbaren Geräte einen Vorteil gegenüber Botnets aus gekaperten Desktopcomputern: Sie sind üblicherweise rund um die Uhr in Betrieb, sodass damit auch länger dauernde Angriffe ohne Schwankungen in der Bandbreite ausgeführt werden können.

Zudem sind IoT-Geräte oft an relativ breitbandige Netzwerke angeschlossen, in denen der Datenverkehr nur selten überwacht wird. So wird eine illegale Nutzung der Geräte höchstens durch Zufall aufgedeckt. Dadurch haben die kriminellen Botnets inzwischen eine enorme Stabilität erreicht, die nicht nur gigantische Angriffe erlaubt, sondern auch die „Vermietung“ dieser Netze an interessierte Kreise. Dadurch entsteht ein hochkriminelles Geschäftsmodell: Garantierte Bandbreiten für präzise ausgeführte Cyberangriffe.

Bildquelle: Thinkstock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH