Motive für DDoS-Angriffe
Der DDoS Protection Service von Swisscom wehrt täglich DDoS-Angriffe ab, die auf Kunden und auf die eigene Infrastruktur ausgeführt werden. Ein Mitglied des Security-Teams gibt Auskunft über die Motive der Cyberkriminellen, welche Ziele sie im Visier haben und wie sich Unternehmen aus der Schusslinie nehmen können.
Text: Felix Raymann, Bild: iStock by Getty Images, 14. November 2018, Aktualisiert am 21. Juni 2021
Hat es heute schon einen DDoS-Angriff auf Swisscom gegeben?
Ja, einige. Es ist jetzt Mittag, und wie jeden Tag haben wir bereits eine ganze Liste von Angriffen, die von unseren Systemen automatisch erkannt und unschädlich gemacht wurden.
Ist Swisscom ein besonders attraktives Ziel für Hacker?
Wie jeder Service Provider werden wir oft angegriffen, aber grundsätzlich können alle Unternehmen angegriffen werden, die einen Webauftritt oder exponierte Services haben, egal zu welcher Branche sie gehören.
«Jeder öffentliche Service und jede Webanwendung kann zum Ziel einer DDoS-Attacke werden.»
Gibt es Branchen und Unternehmen, die von Cyberkriminellen bevorzugt angegriffen werden?
Auf Firmen aus der Finanz- und Gaming-Industrie werden laut Statistik am meisten DDoS-Angriffe ausgeführt. Diese Plattformen sind beliebte Ziele, weil die entsprechenden Dienste hochverfügbar sein müssen und auch schon ein kurzzeitiger Unterbruch für grossen Schaden sorgen kann.
Welche Ziele sind besonders lukrativ?
Wenn die Hacker auf Geld aus sind und bei ihren Opfern Lösegeld verlangen, sind Dienste, die jederzeit für viele User und ohne Zeitverzögerungen verfügbar sein müssen, oft ein lohnendes Ziel. Dabei kann es sich beispielsweise auch um Banken, Behörden, Spitäler oder Energieunternehmen handeln, aber auch um jedes Unternehmen, das einen öffentlichen Webauftritt hat und darauf angewiesen ist, dass seine Dienste für die User jederzeit erreichbar bleiben. Cyberkriminelle nehmen sich die Ziele, die am wenigsten Widerstand und am meisten Profit bieten.
Ein neuerer Trend ist zudem der sogenannte R-DDoS-Angriff (DDoS kombiniert mit Ransomware). Dabei wird eine DDoS-Attacke durchgeführt, nachdem die Daten eines Unternehmens verschlüsselt wurden. Sind Daten verschlüsselt und System überlastet, ist das für praktisch jedes Unternehmen verheerend.
Welche Motivationen ausser Geld haben die Angreifenden sonst noch?
Die Motivationen der verschiedenen Akteure sind sehr unterschiedlich. Es gibt Fälle, bei denen Unternehmen der Konkurrenz Schaden zufügen wollen und dafür Cyberkriminelle engagieren. Diese sorgen dann dafür, dass ein Dienst ausfällt.
Unternehmen greifen zu illegalen Mitteln, um ihre Konkurrenz zu schädigen?
Ja, ich denke hier etwa an den globalisierten Handel, wo es durchaus vorkommen kann, dass Personen mit den nötigen Kenntnissen dafür bezahlt werden, bei Unternehmen Schaden anzurichten.
Wie bekommen Sie Kenntnis von solchen Fällen?
Wir beobachten die weltweite Hacker-Szene recht genau. Wir sehen in Foren und illegalen Handelsplätzen, wie Aufträge, Skills und ganze DDoS-Angriff-Services und Malware angeboten werden.
Bewegen sich diese Leute nicht illegal und versteckt im Netz?
Schon, aber sie sind darauf angewiesen, sich einen Namen in der Szene zu machen und an Reputation zu gewinnen, um ihre Dienstleistungen anbieten zu können. Deshalb können sie zugeordnet und nachverfolgt werden. So erkennen wir etwa, welches die neusten Trends sind und welche Malware im Umlauf ist, welche Schwachstellen ausgenutzt werden etc. Wir beobachten die Vorgänge, um möglichst früh und gezielt reagieren zu können. Natürlich vernetzen wir uns für diese Aufgaben auch mit Herstellern von Sicherheitssoftware oder mit dem Nationalen Zentrum für Cybersicherheit NCSC.
Nicht alle Unternehmen müssen wohl mit einer kriminell agierenden Konkurrenz rechnen. Sind Provider von Webservices in einem «harmlosen» Umfeld sicher vor DDoS-Attacken?
Keineswegs. Die meisten Angriffe werden gezielt auf ein bestimmtes Unternehmen oder auf eine Web-Plattform ausgeführt. Kurz gesagt, sind alle öffentlich erreichbaren Websites und anfälligen Dienste (z. B. Gaming-Plattformen) gefährdet, die einen unzureichenden Schutz haben und das Unternehmen aufgrund der unterschiedlichen Akteur-Motivationen zum Ziel wird. Die monetär interessierten Cyberkriminellen sind da wie bereits erwähnt nicht wählerisch, sie suchen sich alle Opfer, die sich anbieten.
«Nur Unternehmen, die keine exponierten Services betreiben, sind vor DDoS-Angriffen sicher.»
In der Hoffnung, mit einem gelungenen Angriff an Lösegeld zu kommen?
Ja, genau. Aber die Motivationen können auch anderer Natur sein. So bekämpfen sich etwa gegnerische Hackergruppen in sogenannten «Turf Wars», indem sie sich mit möglichst grossen Angriffen überbieten.
Welche weiteren Motivationen der Hacker gibt es und wie können sich Unternehmen aus dem Radar nehmen?
Es gibt die Hacktivists, die zielgerichteter vorgehen und ihre Opfer entsprechend ihrer Ideologie, die sie vertreten, aussuchen. Dies können Akteure sein, die sich in irgendeiner Weise politisch, ethisch oder ideologisch positionieren. Somit passen Organisationen, die sich nicht mit entsprechend kontroversen oder politischen Inhalten exponieren, auch nicht ins Beuteschema dieser Hacker. Und dann gibt es die politisch motivierten Cyberkriminellen, die im Auftrag von Regierungen versuchen, Organisationen oder staatliche Einrichtungen mithilfe von DDoS-Angriffen lahmzulegen. Andere wiederum, wie Script Kiddies, wollen lediglich zum Spass oder als Herausforderung Systeme lahmlegen. Manchmal sind DDoS-Attacken auch bloss ein Ablenkungsmanöver. Etwa, wenn ein Hacker das Incident Response Team mit einem Angriff beschäftigen will, um über einen anderen Weg Malware zu installieren oder Daten zu stehlen.
Lässt es sich allein aus den Angriffen erkennen, wer die Verursachenden sind und welche Beweggründe sie haben?
Manche Angriffe lassen sich geografisch zuordnen. Wenn aber ein weltweit verteiltes Botnet zum Einsatz kommt, ist das nicht möglich. Mit Einsatz von Telemetrie, die grösstenteils nur Antivirenherstellern zur Verfügung steht, kann unter bestimmten Voraussetzungen festgestellt werden, welche Tätergruppen dahinterstecken könnten. Wenn etwa bei einem DDoS-Angriff dieselben IP-Adressen verwendet werden wie beim Versuch, eine Malware zu installieren, kann man Rückschlüsse auf Tätergruppen und ihre Motivation ziehen. Es ist jedoch nicht unsere Hauptaufgabe, herauszufinden wer warum die Angriffe macht. Wir nutzen diese Informationen dazu, unsere Infrastrukturen und diejenigen unserer Kunden möglichst gut zu schützen.
Das Swisscom Security Team analysiert und neutralisiert täglich DDoS-Attacken (Distributed Denial of Service). Die Mitarbeitenden betreiben die effizienten Schutzmechanismen des DDoS Protection Service und entwickeln sie ständig weiter. Zudem beobachten sie auch die Hacker-Szene ganz genau, um auf die neusten Gefahren und Trends adäquat reagieren zu können und so die IT-Infrastruktur von Kunden und von Swisscom zu schützen.
Newsletter
Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?