Mit Beginn des Krieges gegen die Ukraine hat die Anzahl und Bedeutung von DDoS-Kampagnen stark zugenommen. Laut Beobachtern kommen verstärkt Narrative in Umlauf, die zu Distributed-Denial-of-Service (DDoS)-Angriffen aufrufen und zur Unterstützung der einen oder der anderen Kriegspartei motivieren sollen. In pro-russischen Telegram-Kanälen wurden europäische Länder und Organisationen identifiziert, die auf der Seite der Ukraine stehen, und als Ziele für Störungsangriffe ausgegeben. Umgekehrt benennen westliche Einzelpersonen und Gruppen als Ziele für DDoS-Angriffe, Leaks und andere Arten der Kompromittierung etwa westliche Unternehmen, die immer noch in Russland tätig sind. „Seit Russlands Angriff auf die Ukraine sind DDoS-Angriffe eine gängige Methode zur vorübergehenden Unterbrechung von Webseiten und digitalen Diensten, die von Bürgern in ganz Europa genutzt werden. DDoS-Angriffe sind zwar relativ simpel, können jedoch erhebliche Störungen verursachen,“ warnt Jens Monrad, Head of Mandiant Intelligence beim inzwischen zu Google Cloud gehörenden Anbieter von Cyberabwehr, Threat Intelligence und Incident Response Mandiant.
In den allermeisten Fällen passiert bei einem DDoS-Angriff nicht mehr, als dass die betroffenen Webseiten lediglich für ein paar Stunden ausfallen. Doch bei Unternehmen, deren wirtschaftlicher Erfolg daran hängt, dass Ihre Kunden überzeugt sind, die Kundendaten seien bei dem Unternehmen sicher, kann unabsehbar großer Schaden entstehen. Regelmäßig geben Angreifer im Anschluss an eine DDoS-Kampagne nämlich bekannt, dass sie die IT-Infrastruktur ihres Ziels erfolgreich kompromittiert oder vom Netz genommen haben, und das reicht unter Umständen bereits aus, damit die Öffentlichkeit den Eindruck bekommt, dass ein Angreifer erfolgreich einen ganzen Dienst oder die Datensicherheit in einem Unternehmen kompromittiert hat. DDoS-Angriffe sind nicht neu, aber technisch relativ einfach zu orchestrieren und doch wirkungsvoll, das hat der Angriffstechnik zu großer Beliebtheit unter Hackern verholfen. Und die Agenda von Hackern ist definitiv unberechenbar, daher ist für Unternehmen wichtig, einen Plan zu erstellen, wie sie mit DDoS-Angriffen umgehen und die digitale Verfügbarkeit ihrer Dienste und Webseiten absichern können. Nicht zuletzt geht es dabei auch um ihre Reputation als Unternehmen, wenn der öffentliche Eindruck entsteht, dass sie nicht in der Lage sind, auf komplexere Cyber-Bedrohungen zu reagieren.
Um einen erfolgreichen DDoS-Angriff zu lancieren, nutzen Hacker, grob gesprochen, drei verschiedene Methoden: Botnets, Reflection Attacks und Amplification Attacks. Läuft ein DDoS-Angriff über ein Botnet, nutzen die Angreifer ein Netzwerk aus kompromittierten Geräten, um umfangreichen Datenverkehr auf eine Webseite zu leiten oder an einen Dienst zu schicken. Reflection Attacks erfolgen in der Regel über als hoch verstärkende Reflektoren fungierende DNS-Dienste, die eine von den Angreifern gestellte Anfrage mit großen Datenpaketen beantworten. Für die Initial-Anfrage nutzen die Angreifer meist eine gefälschte Absenderadresse (IP-Spoofing) und verwenden das verbindungslose Transportprotokoll UDP. Als „Adressaten-IP-Adresse“ wird zur Anfrage der Angreifer nicht deren eigene, sondern die Adresse des Opfersystems angegeben. Der Angreifer sendet zunächst tausende Anfragen an den ersten Zielserver, der als „Bote“ ausgenutzt wird, und sämtliche Antworten gehen dann an den zweiten Zielserver, das eigentliche Opfersystem. Bei Amplification Attacks wird zusätzlich noch eine Verstärkung der eingesetzten Bandbreite (amplification) erzielt, indem die UDP-Pakete Anfragen an den DNS-Resolver stellen, bei denen sie Argumente wie „ANY“ einsetzen, um die größtmögliche Antwort zu erhalten, wodurch der Impact des Angriffs auf das Opfersystem noch weiter steigt. Ab einem bestimmten Moment ist das Opfersystem mit den Anfragen und/oder den ankommenden Datenpaketen überfordert und stürzt ab oder ist für anderen Traffic nicht mehr erreichbar.
Unternehmen können sich vor DDoS-Angriffen schützen, etwa indem sie ein Netzwerk von Servern einsetzen, die über die ganze Welt verteilt sind. Dieses Netzwerk stellt den Nutzern angefragte Inhalte vom jeweils nächstgelegenen Server aus zu. Die Aufteilung des Datenverkehrs auf mehrere Server in einem sogenannten Content Delivery Network (CDN) kann die Auswirkungen eines DDoS-Angriffs erheblich abschwächen. Auch die Implementierung einer Obergrenze für Datenmengen kann helfen. Stellschraube ist dabei die Begrenzung der Durchsatzrate an Datenverkehr, die ein Server von einer einzigen Quelle empfangen kann – eine Maßnahme, die verhindern kann, dass ein DDoS-Angriff den Server überwältigt. „Es ist sehr wahrscheinlich, dass DDoS-Kampagnen und die Störung öffentlich zugänglicher Ressourcen wie Webseiten auch in Zukunft ein Ziel von Angreifern sind. Deshalb sollten Unternehmen darüber nachdenken, ob und wie sie darauf reagieren können,“ rät Jens Monrad vom Cyberabwehr-Anbieter Mandiant. Schließlich zählten zu den prominenten Zielen allein in diesem Jahr bereits mehrere deutsche Flughäfen und die dänische Zentralbank. Zuletzt war die Webseite der Finanzaufsicht BaFin Anfang September wegen eines DDoS-Angriffs nicht zu erreichen. „Unternehmen sollten über einen Plan für die Reaktion auf DDoS-Angriffe verfügen“, so Monrad weiter. „Dieser Plan sollte Schritte zur Identifizierung und Entschärfung des Angriffs, aber auch für die Kommunikation mit Kunden und Partnern im Fall einer Störung enthalten.“
