Suchen

Global DDoS Threat Landscape 2019 Report DDoS als Waffe gegen wirtschaftliche Konkurrenten

| Redakteur: Peter Schmitz

Ein von der Konkurrenz beauftragter Hacker greift einen indischen Online-Gaming-Anbieter mit einem angemieteten DDoS-Tool häufig hintereinander an, um das Unternehmen zu sabotieren oder um es zu zwingen, in seine Abwehr zu investieren und es so finanziell zu schwächen. So sieht laut dem aktuellen DDoS-Threat-Landscape-Report der Imperva Research Labs zurzeit eines von zahlreichen Distributed-Denial-of-Service-Szenarien vor allem in Asien aus.

Firmen zum Thema

DDoS-Angriffe werden zunehmend auch dazu genutzt, um der wirtschaftlichen Konkurrenz zu schaden.
DDoS-Angriffe werden zunehmend auch dazu genutzt, um der wirtschaftlichen Konkurrenz zu schaden.
(Bild: gemeinfrei / Pixabay )

Der Global-DDoS-Threat-Landscape-2019-Report der Imperva Research Labs liefert Daten über die Art der Attacken, angegriffene Branchen sowie die betroffenen Länder. Die Experten analysierten dazu 3.643 versuchte Network-Layer-Angriffe im gesamten Jahr 2019 sowie 42.390 versuchte Application-Layer-Angriffe von Mai bis Dezember 2019 auf Webseiten, die von Imperva-Lösungen geschützt wurden.

Ein Distributed-Denial-of-Service-Versuch auf der Netzwerk-Ebene will die einzelnen Pipes im Netzwerk überlasten. Ein Application-Layer-Versuch belastet mit seinen Anfragen Rechen-Ressourcen wie die CPU oder den Arbeitsspeicher der Applikationsserver. Die jeweils verschiedenen Ziele bedingen unterschiedliche Techniken und setzen unterschiedliche Fähigkeiten voraus. In logischer Konsequenz verlangen sie auch nach verschiedenen Abwehrmöglichkeiten.

Bildergalerie

Angriffsmuster

Der erste von Imperva untersuchte Aspekt war die Analyse der Muster, die sich in der Vorgehensweise der Hacker bei ihren DDoS-Angriffen erkennen lassen. Denn daraus lassen sich vorsichtig Rückschlüsse über die Urheber ziehen.

Die meisten Attacken hatten ein eher niedriges Datenvolumen und ein kleineres oder mittleres Ausmaß. Dafür richteten sie sich gestaffelt in kleinen Serien gegen dieselben Ziele. Ausnahmen wie der von Imperva bisher insgesamt größte dokumentierte DDoS-Angriff auf Netzwerkebene im April 2019 mit einem Umfang von 580 Millionen Paketen (PPS) pro Sekunde ändern nichts an diesem Gesamtbild. So dauerten 51 Prozent der Network-Layer-Angriffe weniger als fünfzehn Minuten, weitere 10 Prozent bis zu 30 Minuten. Nur etwa 12 Prozent der Angriffe dauerten länger als sechzig Minuten. Auch die mit den Anfragen übertragenen Daten- und Paketmengen waren eher gering: In 87 Prozent der Fälle übertrugen die Angreifer nicht mehr als 50 Gigabit pro Sekunde (Gbps), in 97 Prozent der Angriffe sogar nicht mehr als 50 Millionen Pakete pro Sekunde (Mpps). Anfragen auf Application-Layer waren ebenfalls eher mittelgroß und von kurzer Dauer mit einem Volumen zwischen 100 und 1.000 Anfragen pro Sekunde (Requests per Second, Rps) in fast 94 Prozent der untersuchten Fälle.

Schon mit wenig Anfragevolumen lässt sich aber unter Umständen bereits großer Schaden anrichten. So genügt es, einen Online-Shop nur einige Minuten für Kunden unerreichbar zu machen: Das Wiederherstellen kann hingegen je nach vorhandenen Recovery-Möglichkeiten bereits mehrere Stunden dauern. Unter Umständen stehen angegriffene Unternehmen so schnell vor einem hohen finanziellen Schaden durch einen zeitlich geringen Hackeraufwand.

Persistent sind die Versuche vor allem dann, wenn mit einer großen Menge von Anfragen die Verfügbarkeit von Webseiten beeinträchtigt wird: Die DDoS-Angriffe richten sich also wiederholt auf dasselbe Ziel. Zwei Drittel der Organisationen werden daher bis zu fünfmal angegriffen. Hacker geben vielleicht nicht gleich auf und versuchen zunächst noch weiter ihr Glück. Verschiedene Zugriffe haben auch das Ziel, beim ersten Mal aktiv gewordene Abwehrmechanismen zu umgehen. Häufig erkennen die Urheber zwar schnell, dass ihr Ziel gut geschützt ist. Sie probieren es aber wieder und wieder aus. Nicht auszuschließen ist dabei, dass manche Ziele von verschiedenen Seiten her angegriffen werden.

Kurze und kompakte Angriffe sprechen aber auch für ein besonderes Täterprofil: Die Hacker haben keine hohe technische Kompetenz. Diese brauchen sie auch nicht mehr. Sie mieten sich einfach billige, einsatzbereite DDoS-Pakete mit Bootern und Stressern. Eine Network-Layer-DDos-Attacke kann man schon ab zehn Euro pro Monat mieten: Sie ermöglichen dann Angriffe über eine Gesamtdauer von 500 Sekunden mit 10-20 Gbps übertragener Daten auf eine Website. Noch günstiger sind rabattierte Economy-Angebote für einen Dienst über zehn Minuten mit 500 Mbps zum Preis von lediglich 3,75 US-Dollar.

Opferprofile

Es standen 2019 vor allem bestimmte Branchen im Visier der DDoS-Angriffe. Am häufigsten richteten sich Network-Layer-Attacken auf die Spieleindustrie: 35,92 Prozent gemessen nach der Zahl der Ereignisse; 39,89 Prozent gemessen nach Anzahl der Ziele. Es folgen an zweiter Stelle Online-Casinos (31,25 Prozent beziehungsweise 24,34 Prozent). Diese Märkte zeichnen sich durch eine hohe Konkurrenz und ein hohes Ausfallrisiko aus. Viele Markteilnehmer halten sich dabei offenbar nicht immer an korrektes Geschäftsgebaren.

An dritter Stelle steht bereits die Computer- und Internet-Branche (26,51 Prozent beziehungsweise 18,31 Prozent) - mit steigender Tendenz. Internet-Service-Provider, Webhosting-Dienste oder Domain-Anbieter sind wegen ihres hohen Stellenwertes als Schaltzentrale für Online-Auftritte und Online-Dienstleistungen ein strategisches Ziel. Ganz besonders, wenn sie ihrerseits Risikobranchen wie Online-Spiele und -Casinos, aber auch Tauschbörsen für Krypto-Währungen hosten. Deutlich sicherer sind dagegen Webseiten von Anbietern professioneller Lösungen (3,37 Prozent und 10,25 Prozent) oder der Finanzsektor (2,95 Prozent beziehungsweise 7,2 Prozent).

DDoS-Geographie

Der Blick auf die Branchen erklärt auch zum Teil den geographischen Schwerpunkt des Geschehens. Auf dem Network-Layer steht Ostasien im Fokus. In dieser Region liegen die vier am häufigsten ins Ziel geratenen Länder Indien (22,57 Prozent), Taiwan (14,79 Prozent), Honkong (12,23 Prozent) und die Philippinen (11,36 Prozent). Insgesamt 77,7 Prozent aller Network-Layer DDoS-Attacken finden in Ostasien statt. Auf Rang Fünf folgt die USA (8,73 Prozent). Deutschland ist mit 2,73 Prozent hingegen eine recht sichere Region.

Ein bemerkenswert abweichendes Ergebnis liefert die Analyse für den Application Layer. Hier liegt die Ukraine (mit mehr als 20 Versuchen pro Website) deutlich vor den ostasiatischen Ländern Südkorea, Phlippinen oder Singapur. Auch hier ist Deutschland ein relativ sicheres Land, wie auch andere westliche Industrienationen. Die Statistiken für die USA wurden aber von den Autoren des Reports nicht herangezogen. Sie hätten wegen der überproportional hohen Verbreitung von Imperva-Abwehrlösungen das Ergebnis zu sehr verzerrt.

Gestartet werden solche Angriffe vor allem in den Philippinen (27,31 Prozent) und China (21,59 Prozent). Dabei ist jedoch immer zu bedenken, dass sich nur die ausführende Hardware in diesen Ländern befindet, während der eigentliche Urheber, der Hacker, in einem anderen Land sitzen kann.

Fazit: DDoS-Angriffe zu Schwächung von Konkurrenten in wichtigen Geschäftsphasen

Hinter dem DDoS-Geschehen verbergen sich die verschiedensten Angreifer und Motivationen: Erpressungsversuche, Hacktivismus oder doch nur reiner Cyber-Vandalismus. Denial-of-Service scheint zu einem großen Teil auch eine Waffe in rücksichtslosen Verdrängungswettbewerben zu sein. Entweder um die Verfügbarkeit von Konkurrenzangeboten zu beeinträchtigen oder um andere Anbieter zu Investitionen in die Abwehr zu zwingen und so zu schwächen. Ein Indikator dafür mag ein Hoch der mittleren, großen und sehr großen Attacken im November sein. Eine solche Häufung könnte sich damit erklären lassen, dass Restbudgets ausgegeben wurden, um DDoS-Kits anzumieten. Vielleicht versprechen sich die Täter zu dieser Zeit auch einen besonderen wirtschaftlichen Schaden für ihre Opfer: Denn der Ausfall eines Webshops im Jahres-Endgeschäft schmerzt den Händler ganz besonders.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46392729)