Cyberangriffe mittels DDoS (Distributed Denial of Service) legen ganze Websites und IT-Systeme lahm. Was eine solche Datenflut ausrichten kann und wie sich Unternehmen vor diesen Attacken schützen können.
Text: Felix Raymann/Andreas Heer, Bild: Swisscom, 14. November 2018, aktualisiert am 11.06.2024
Die geopolitische Lage fördert Cyberangriffe. Konkret sind es in der Schweiz vor allem Versuche, die Verfügbarkeit von IT-Infrastrukturen zu stören und Websites lahmzulegen. Dies als direkte Reaktion auf politische Aktivitäten. Mittel der Wahl für solche Aktionen: DDoS-Attacken (Distributed Denial of Service), um Server mit einer grossen Zahl von Zugriffen in die Knie zu zwingen.
Das hat sich im Juni 2023 gezeigt, als während zwei Wochen verschiedene Websites des Bundes und von grösseren Städten aufgrund der Attacken zeitweise ganz oder teilweise nicht erreichbar waren. Das Bundesamt für Cybersicherheit (BACS) erhielt in dieser Zeit 85 Meldungen über entsprechende Angriffe, von denen rund ein Drittel abgeblockt werden konnte.
Dabei standen weniger finanzielle kriminelle Motive im Vordergrund, als vielmehr politische. Die Hacktivisten von «Noname057(16)», die hinter den DDoS-Angriffen auf Schweizer Websites standen, stellten ihre Angriffe auf die öffentliche Hand in den Kontext des Angriffkriegs auf die Ukraine. Dabei profitiert NoName im Rahmen ihres Angriffsprojekts «DDoSia» von Freiwilligen, die ihre Rechner für die Attacken zur Verfügung stellen, mutmasslich gegen Bezahlung. Gemäss der französischen Cybersecurity-Anbieterin Sekoia umfasst das Projekt rund 10 000 Personen.
Die Schweiz und damit auch hiesige Unternehmen sind von DDoS-Attacken also genauso betroffen. Die Beispiele zeigen nur, wie vielfältig die Gründe sind und dass immer ein Risiko lauert. Auch der aktuelle Swisscom Cybersecurity Threat Radar bezeichnet DDoS-Angriffe als Bedrohung, die Unternehmen in ihren Cybersecurity-Massnahmen berücksichtigen sollten.
Ein Grossteil der Angriffe dürfte rein finanzielle Motive haben. Allen voran, um mit einer DDoS-Drohung Opfer einer Ransomware-Attacke zusätzlich unter Druck zu setzen, Lösegeld zu bezahlen. Denn solche Ausfälle der Infrastruktur können erhebliche Schäden fürs Unternehmen mit sich ziehen. Sind die Webdienste für eine gewisse Zeit nicht erreichbar, kann ein massiver Umsatzverlust drohen. Dies kann etwa bei Onlineshops, Banken oder allen anderen Dienstleistern, die auf ihre Web-Präsenz angewiesen sind, zu empfindlichen Einbussen führen. Dazu kommt ein Reputationsverlust, wenn die Website das Stigma «unsicher» erhält. Zudem ist die Wiederherstellung des Status Quo mit Kosten verbunden. Im Nachgang der Angriffe wiederum drohen für betroffene Unternehmen Datenverluste.
DDoS-Attacken laufen alle nach ähnlichen Mustern ab: Die Internet-Server eines Unternehmens werden mit unzähligen Anfragen bombardiert, sodass sie die grosse Datenmenge oder die hohe Anzahl IP-Pakete nicht mehr verarbeiten können und unter der Last zusammenbrechen. Um überhaupt so viele Anfragen ausführen zu können, benötigen die Angreifer entsprechende Infrastruktur oder sie mieten ein Botnet mit verseuchten Geräten. Dabei kann es sich um mangelhaft geschützte PCs handeln, aber auch um vernetzte Alltagsgeräte wie Überwachungskameras, Router, Haushaltsgeräte und dergleichen, die über eine Internetverbindung verfügen.
Was die Abwehr erschwert ist, dass die Angriffe immer ausgeklügelter werden. Anfänglich fanden Attacken häufig auf den unteren Netzwerkschichten (OSI-Layer) statt, beispielsweise mittels PING- oder SYN-Flood. Derartige Unterfangen lassen sich mit Schutzsystemen wie Firewall oder IDS/IPS verhältnismässig einfach ausfiltern.
Einige Angreifer kombinieren dagegen verschiedene Angriffsvektoren und UDP-Reflection-Attacken. Hierbei machen sich die Cyberkriminellen die Tatsache zunutze, dass Dienste wie DNS (Domain Name Service) auf ein kleines Anfragepaket eine umfangreiche Antwort liefern. Bei Formen wie DNS Amplification genügt es deshalb, zahlreiche Anfragen mit der IP-Adresse des Opfers (IP Spoofing) zu stellen, um dieses mit einer ungleich grösseren Datenmenge zu überfluten. In Kombination mit anderen Angriffsformen auf der Anwendungsschicht (Layer 7) wie etwa HTTP(S) Flooding sind derartige DDoS-Attacken sehr effizient und auf den Systemen des Opfers schwierig zu blockieren.
DDoS-Attacken finden täglich und auf alle via Internet erreichbaren Ziele statt. Potenziell können alle Anbieter von Web- und Internetdiensten, also jede öffentlich erreichbare IP-Adresse, zum Angriffsziel werden. Präventive Massnahmen (siehe Auflistung unten) sind deshalb unabdingbar. Sie reichen jedoch nicht aus, um vollumfänglich gewappnet zu sein. Unternehmen können sich selbst nur bedingt vor DDoS-Attacken schützen. Wird beispielsweise ein einfacher DoS-Filter auf der Unternehmens-Firewall aktiviert, kann dieser zwar den ankommenden Datenverkehr analysieren und filtern. Doch wenn der Angriff verteilt ausgeführt wird und die verfügbare Bandbreite des Internetanschlusses oder die Leistung der Firewall übersteigt, bietet dieser Filter keinen Schutz mehr. Dieselbe Situation resultiert bei einer grossen Anzahl von IP-Paketen.
Ein wirksamer DDoS-Schutz setzt deshalb beim Internet-Backbone des Service Providers an. Dort wird ein verteilter Angriff mit einem «verteilten Verteidigungsmechanismus» abgewehrt. Beim DDoS Protection Service von Swisscom etwa liefern Sensoren, die auf verschiedenen Routern im Internet-Backbone eingerichtet werden, jederzeit wichtige Informationen über den laufenden Internetverkehr. So können die Protection-Systeme in Echtzeit reagieren und entsprechende Filter aktivieren. Auf diese Weise können Angriffe abgewehrt und gleichzeitig sichergestellt werden, dass nur der legitime Traffic auf die Kundeninfrastruktur geroutet wird.
Einen Webdienst ohne wirksame DDoS-Schutzmassnahmen zu betreiben und zu hoffen, dass man für Cyberkriminelle ohnehin nicht als interessantes Ziel angesehen wird, muss aus Unternehmersicht als vorsätzliches und fahrlässiges Verhalten eingestuft werden. Deshalb sollten Vorkehrungen getroffen werden, um Schäden bei möglichen Angriffen zu verhindern:
Um wirkungsvoll gegen DDoS-Angriffe gewappnet zu sein, hilft der Swisscom DDoS Protection Service. Alle relevanten Services, die auf verschiedenen Servern betrieben werden, müssen durch denselben DDoS Protection Service geschützt werden.
Der Normalzustand der Systeme (Baseline) sollte den IT-Verantwortlichen bekannt sein, sodass besondere Ereignisse sofort auffallen. Regelmässige automatische Auswertungen der Log Files geben Auskunft über Auffälligkeiten. Zur Überwachung gehört auch die externe Sicht: Die Verfügbarkeit der Dienste von ausserhalb des Unternehmens muss übers Internet kontrolliert werden.
Welche Folgen hätte ein Systemausfall infolge eines DDoS-Angriffs? Unternehmen sollten den direkten und den indirekten Schaden berechnen, der bei einem Unterbruch ihrer Systeme während Stunden, Tagen oder gar Wochen resultieren könnte.
Für den Ernstfall sollte ein interner Notfallplan vorhanden sein, der auch ein Worst-Case-Szenario abdeckt. Die verantwortlichen Personen müssen entsprechend geschult werden, das notwendige Vorgehen kennen sowie relevante Kontakte (intern und extern) schnell benachrichtigen können.
Der Zugriff auf den eigenen Webservice kann durch Einschränkung der Absender-IP eingeschränkt werden. Zum Beispiel können bei Bedarf alle Server-Anfragen von ausserhalb der Schweiz oder bestimmter Länder gesperrt werden. Zudem sollte die Rechtevergabe für das gesamte Netzwerk jederzeit strikte eingehalten werden.
Die Firewall sollte über ausreichend Ressourcen verfügen und im Falle eines Angriffs kurzfristig mit zusätzlichen Blockierungsregeln versehen werden können. Hier bietet sich eine Cloud-basierte Managed Firewall an, deren Ressourcen skalierbar sind.
Bei Androhung eines Angriffs sollten mit dem Internet Service Provider technische Massnahmen ergriffen werden, um sich auf einen Angriff vorzubereiten. Auf Lösegeldforderungen sollte man nie eingehen.
Newsletter
Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?