Die Ära der einfachen Denial-of-Service-Angriffe (DDoS) ist vorbei.
Abstract
Mit zunehmender Komplexität von Informationssystemen entwickeln sich auch die Methoden von Angreifern weiter. Kriminelle und staatliche Akteure haben den Wert von Denial-of-Service-Angriffen (DoS-Angriffen) längst erkannt, da diese schwerwiegende Betriebsunterbrechungen für jedes mit dem Internet verbundene Unternehmen verursachen können. DDoS-Angriffe haben an Bedeutung gewonnen, da immer mehr Geräte online gehen und Unternehmen ihren Mitarbeitern vermehrt Fernzugriff ermöglichen. Dieser Artikel beleuchtet die Motive hinter Distributed-Denial-of-Service-Angriffen (DDoS), liefert historische Beispiele und beschreibt strategische und taktische Empfehlungen, die IT- und Informationssicherheitsexperten in ihren Unternehmen umsetzen können, um die Auswirkungen dieser Angriffe zu minimieren.
Executive Summary
Mit zunehmender Komplexität von Informationstechnologiesystemen entwickeln sich auch die Taktiken, Techniken und Vorgehensweisen (TTPs) von Cyberkriminellen weiter. Während finanziell motivierte DDoS-Angriffe bereits seit Ende der 1990er-Jahre eingesetzt werden, haben sich Ransom-Denial-of-Service-Angriffe (RDoS) seit 2015 unter Cyberkriminellen weit verbreitet. RDoS-Angriffe werden üblicherweise durch Erpresserbriefe per E-Mail an Empfänger unterschiedlicher Positionen in Unternehmen eingeleitet. In dem Brief wird gedroht, das Netzwerk des Opfers innerhalb einer bestimmten Anzahl von Tagen mit unerwünschtem Datenverkehr zu überlasten. Zudem wird ein zunächst kleiner Angriff angekündigt, um die Glaubwürdigkeit der Angreifer zu demonstrieren. Zahlen die Opfer das Lösegeld – in der Regel in Bitcoin – nicht, steigt die Gebühr für die Beendigung des Angriffs mit jedem Tag, an dem keine Zahlung eingeht. Erhalten die Angreifer keine Rückmeldung vom Opfer, führen sie oft Wochen bis Monate nach dem ersten Angriff weitere RDoS-Angriffe durch.
Denial-of-Service-Angriffe haben an Bedeutung gewonnen, da immer mehr Geräte über das Internet der Dinge (IoT) online gehen und Unternehmen ihre Fernzugriffssysteme zur Ergänzung bestehender Infrastrukturen verstärken. Cyberkriminelle versuchten 2020, die aktuelle Bedrohungslage auszunutzen, da Telearbeit infolge der Coronavirus-Pandemie und der Maßnahmen zur sozialen Distanzierung zunahm. Unabhängig von ihrer Größe vernachlässigen Unternehmen häufig die Anwendung bewährter Verfahren im Asset- und Bestandsmanagement, die ein umfassendes Verständnis ihrer Angriffsfläche ermöglichen würden. Zudem verwenden IoT-Geräte oft Standardpasswörter und weisen unzureichende Sicherheitsvorkehrungen auf, wodurch sie anfällig für Kompromittierung und Ausnutzung sind. Die Infektion von IoT-Geräten bleibt von Nutzern oft unbemerkt, und ein Angreifer könnte problemlos Hunderttausende dieser Geräte kompromittieren, um einen großflächigen Angriff durchzuführen.
