DDoS-Angriffe bald per Glasfaser

Breitband bedroht Kritische Infrastrukturen

| Autor / Redakteur: Joachim Jakobs / Peter Schmitz

Der Breitbandausbau soll die Digitalisierung in Deutschland voranbringen. Der Ausbau der Glasfaserverbindungen wirkt sich aber auch auf die Schlagkraft und Durchführung von DDoS-Attacken aus.
Der Breitbandausbau soll die Digitalisierung in Deutschland voranbringen. Der Ausbau der Glasfaserverbindungen wirkt sich aber auch auf die Schlagkraft und Durchführung von DDoS-Attacken aus. (Bild: Pixabay / CC0)

Die Bundesregierung will das Internet breitbandig ausbauen – Security-Insider will von Marc Wilczek, Geschäftsführer von Link11 und Spezialist zur Abwehr von DDoS-Angriffen wissen, welche Maßnahmen zur Sicherung dieser Kapazität – etwa im Hinblick auf unsere kritischen Infrastrukturen – erforderlich sind, ob die Anwender diese tatsächlich umgesetzt haben und was das alles für den kriminellen Markt bedeutet.

Bei Überlastungsangriffen (DDoS) gibt es eine Asymetrie zwischen dem Aufwand für die Angreifer und den Schäden für die Angegrifenen: Für 5 US-Dollar kann das Opfer Minutenlang mit einer Bandbreite im dreistelligen Gigabitbereich blockiert werden. Diese Kostenschere scheint auch weiterhin auseinanderzugehen. Neben den Forderungen der Erpresser – oft im vierstelligen Bereich – ist mit Kosten für die Behebung der Schäden, Imageverlust und unzufriedenen Kunden zu rechnen. Da kommen bei manchen Unternehmen schnell Schadenssummen von mehreren Millionen zusammen. Zusätzlich sind erhebliche Geldbußen durch verschärfte Gesetzr zu kalkulieren. Das Geschäft scheint Begehrlichkeiten zu wecken: Zwischen 2015 und 2017 soll sich diese Angriffsmasche vervierfacht haben. Gleichzeitig droht die Bundesregierung im Koalitionsvertrag: „Wir bringen die Gigabit-Netze in alle Regionen“. Wir wollten von Marc Wilczek, Geschäftsführer von Link11 und Spezialist zur Abwehr von DDoS-Angriffen, wissen, wie die Erpresser darauf reagieren werden.

Security-Insider: Wie wirkt sich der Ausbau der Glasfaserverbindungen auf die Umsetzung und Schlagkraft von DDoS-Attacken aus?

Marc Wilczek: Der Ausbau der Glasfaserverbindungen wirkt sich nach Analyse von Link11 in vielen Bereichen auf die Schlagkraft und Durchführung von DDoS-Attacken aus. So werden immer mehr Geräte besser an das Internet angebunden. Das gilt für entwickelte Industrienationen wie Deutschland und China ebenso wie für take-off-Länder wie die Rumänien, Philippinen und Südafrika. Wird in Schwellenländern der Netzausbau intensiv vorangetrieben, steigen die Nutzerzahlen. Im Gegensatz zur Highspeed-Anbindung stehen und standen die angeschlossenen Clients (Rechner, Laptops) meist auf einem veralteten Technikstand. Dazu kommen mangelhaftes Wissen und Erfahrung der Privat-User im Umgang mit Internetsicherheit, sodass sie ihre Rechner unzureichend gegen das Eindringen von Trojanern oder die Infektion mit Schadcode gesichert haben. Der Breitbandausbau z. B. in Südostasien hat somit zum Anstieg von Bots aus der Region geführt.

In Mitteleuropa wie z.B. in Deutschland nähert sich die Performance privater Rechner mit Breitbandanschluss der Leistungsfähigkeit von gehackten (Firmen-)Servern an. Das macht sie für DDoS-Angreifer, die über ihre Botnetze intensive DDoS-Attacken mit hoher Paketrate fahren wollen, sehr interessant. Je größer die Anbindung eines infizierten Rechners ist, desto höher fällt die DDoS-Traffic-Rate aus, mit der der Angreifer zuschlagen kann. Den meisten Besitzern der Geräte fällt es meist gar nicht auf, dass ihr Rechner nebenbei an DDoS-Attacken oder Spam-Versand beteiligt ist. Die Verbindungsgeschwindigkeit wird durch die Ausführung der Bot-Aktivitäten nur unwesentlich langsamer.

Neben Computern und Laptops gehen auch immer mehr vernetzte Haushaltsgeräte (Internet of Things) ans Netz und können Bot-Aktivitäten ausführen. Diese Geräte sind ähnlich wie Heimrouter und Mobiltelefone in der Regel 24/7 online und nicht nur stundenweise wie früher bei Desktop-PCs üblich. Das Link11 Security Operation Center (LSOC) warnt, dass IoT-Geräte häufig sehr unzureichenden abgesichert sind, mit lückenhafter/anfälliger Software betrieben werden und sich häufig noch kein wirkliches Patch-Management etabliert hat, wie es bei anderen „Internetteilnehmern“ der Fall ist.

Betreiber von Botnetzen finden so permanent neue Kapazitäten. Aktuelle Zahlen aus dem LSOC zeigen, dass jede 4. DDoS-Attacke in Deutschland, Österreich und der Schweiz mithilfe von IoT-Geräten ausgeführt wird. Die Angriffsbandbreiten sind in den vergangenen Monaten in die Höhe geschnellt und liegen häufig über 100 Gbps.

Immer öfter wird auch Amazons Cloud Service zum DDoS-Angreifer. DDoS-Kriminelle nutzen zunehmend die Vorteile von Cloud-Servern, die breitbandig angebunden sind. AWS, Microsoft Azure und Google Cloud bieten preiswerte Server-Kapazitäten mit schneller Anbindung zwischen 1 und 10 Gbps. Statt fremde Privatrechner oder Firmenserver zu hacken, mieten sich Hacker unter falschem Namen und über gestohlene Kreditkartendaten Serverkapazitäten in der Cloud oder auf PaaS-Plattformen und müssen den Angriff nicht einmal selbst bezahlen. Erst im Mai 2018 hat das LSOC 3 DDoS-Angriffe von mehr als 100 Gbps abgewehrt, der über Server aus der Amazon und Google Cloud gefahren wurden. Link11 erwartet, dass DDoS-Attacken über Cloud-Server weiter zunehmen werden.

Security-Insider: Mit DDoS-Attacken in welcher Größenordnung müssen wir zukünftig im Rahmen des Glasfasernetzausbaus rechnen?

Wilczek: Der Anstieg großvolumiger Attacken mit mehreren 100 Gbps ist besorgniserregend. Angriffe dieser Größenordnung stuft das LSOC als Hyper-Attacken ein. Solche Volumen erreichen die Angreifer vor allem durch Reflection-Amplification-Attacken, bei denen sie die manipulierten Anfragen „über Bande spielen“ (reflection) und über ungesicherte NTP- und DNS-Server – sowie seit Februar 2018 verstärkt über Memcached Server - die noch relativ kleinen Anfragen zu möglichst großen Antwortpakete aufblähen können.

Große Botnetz-Attacken zeichnen sich hingegen häufig über hohe Paketraten/ möglichst viele Requests pro Sekunde aus. Der bisherige Höchstwert, den das LSOC im 1. Quartal 2018 gemessen hat, überstieg 45 Millionen Pakete pro Sekunde.

Regelmäßig erreichen einzelne (Reflection Amplification) Attacken auch Spitzenwerte von 300 und 400 Gbps. Für die Angreifer besteht aber noch kein Grund, eine 150-Gbps-Attacke zu starten, wenn sie mit einem Angriff von 5 Gbps dasselbe Ziel erreichen können. In manchen Fällen hält auch mangelnde technische Kompetenz die Angreifer von einer Erhöhung der Schlagkraft ab. Doch es ist nur eine Frage der Zeit, bis die DDoS-Angreifer ihre Aktivitäten weiter professionalisieren.

Security-Insider: Wie gut sind Kritische Infrastrukturen auf den Ausbau der Glasfaserverbindungen und die damit einhergehenden großvolumigen DDoS-Attacken vorbereitet? Welche Branchen/Ziele innerhalb der Kritischen Infrastrukturen sind durch DDoS-Attacken besonders gefährdet? Haben sich diese Unternehmen schon mit dem Thema DDoS-Schutz auseinandergesetzt und wenn ja wie?

Wilczek: Grundsätzlich besteht für kritische Infrastrukturen dieselbe Gefahrenlage wie für Unternehmen, die nicht unter die KRITIS-Definition fallen. Allerdings können Cyber-Attacken und speziell DDoS-Angriffe auf kritische Infrastrukturen erhebliche Auswirkungen auf das staatliche Gemeinwesen und die Bevölkerung haben. Die öffentliche Sicherheit und Ordnung kann gefährdet sein. Das IT-Sicherheitsgesetz verpflichtet daher die Betreiber kritischer Infrastrukturen, „nach Stand der Technik“ Maßnahmen zur Absicherung der kontinuierlichen Verfügbarkeit zu ergreifen. Die Festlegung darüber, welche technischen Maßnahmen ergriffen werden, überlässt der Gesetzgeber den KRITIS-Betreibern. Diese müssen im ersten Schritt analysieren, inwieweit Bordlösungen (Firewall, Router, Load Balancer, usw.) einen Schutz bieten und wo professionelle (externe) Schutzlösungen notwendig sind. Neben Kompetenz und Service müssen die KRITIS-Unternehmen die angebotenen Schutzlösungen auch in Bezug auf Datenschutz und Compliance bewerten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45410483 / DDoS und Spam)