DDoS-Angriffe nehmen Applikationen ins Visier

6. März 2014

Die „Distributed Denial of Service“-Attacken (DDoS) gehören zu den wichtigsten Gefahren für die IT-Sicherheit in diesem Jahr. Dabei kennzeichnen wichtige Aspekte dieses Gefahrenpotenzial: Angriffe laufen mit erhöhter Bandbreite und Intensität ab, DDoS-Attacken passten sich schneller an, DDoS-Attacken nehmen die Anwendungsebene ins Visier, und Angriffe über 50 Gigabit pro Sekunde sind keine Seltenheit mehr. Zu diesen Ergebnissen kommen die Sicherheits-Reports und Studien von Radware und Myra Security.

Neben einer generellen Zunahme der DDoS-Attacken lässt sich nach den Erfahrungen aus 2013 eine neue Fokussierung bei den Angreifern erkennen: In immer mehr Fällen richten sich die Angriffe direkt auf die Anwendung, wobei sowohl die Intensität als auch die Dauer der gesamten Attacken weiter zunimmt.

Der DDoS-Schutz-Anbieter Myra Security hat die Fälle des letzten Jahres evaluiert, um anhand dieser Ergebnisse die Funktionsweise und vor allem auch Notwendigkeit von Schutzmechanismen für E-Commerce-Shops und App-Nutzer besser vorzustellen. So waren im vergangenen Jahr in Deutschland beispielsweise Attacken über 50 Gigabit pro Sekunde bereits keine Seltenheit mehr.

DDoS-Attacken zielen vermehrt auf die Anwendung ab

Die beobachteten Angriffe fallen mittlerweile wesentlich gezielter aus, als dies noch vor einigen Monaten der Fall war: Sie konzentrieren sich mittlerweile nicht mehr nur auf den Layer 3 und 4, sondern nehmen vermehrt auch den sogenannten Layer 7 als Hauptangriffsfläche. Die Angreifer attackieren mit einer großen Anzahl an Anfragen zum Beispiel das Suchfeld einer Website.

Dieser Angriff löst eine Vielzahl von Suchanfragen aus, die den Webserver des Opfers über Gebühr belasten. Hier muss der DDoS-Schutz ansetzen. Er sollte in der Lage sein während des Angriffs zu entscheiden, ob die Anfrage zum Webserver gelangen darf oder nicht. Bei großen Angriffen bedarf es auch eines entsprechend umfassenden Schutzes, um diesen standzuhalten.

Eine detaillierte Kategorisierung der DDoS-Angriffsarten sowie Lösungsvorschläge für eine Schutzinfrastruktur gegen DDoS-Angriffe, die sich auch für kleinere und mittlere Unternehmensgrößen und die entsprechenden IT-Budgets eignet, bringt der Beitrag „So verlieren DDoS-Angriffe ihren Schrecken“.

Angriffe stiegen im letzten Quartal 2013 an

Im Rückblick auf das vergangene Jahr fällt primär die Quantität der Attacken auf: Im letzten Quartal 2013 wurden mehr Angriffe als je zuvor verzeichnet, zudem erhöhten sich deren Volumen und Bandbreite (Quelle: Prolexic Quarterly Global DDoS Attack Report 2013).

Da mittlerweile auch immer mehr mobile Geräte über immer höhere Rechenleistungen verfügen und in leistungsfähigen Mobilfunknetzen hängen, läuft auch auf diesen vermehrt Schadsoftware unbemerkt im Hintergrund mit. Dank der ungebrochenen Beliebtheit mobiler Geräte und der konstanten Leistungssteigerung dieser, ist auch für dieses Jahr mit erhöhtem Aufkommen dieser Geräte als Angriffswerkzeug zu rechnen. Angreifer „faken“ bei Angriffen den User-Agent, was die Identifizierung von Mobile-Bots erschwert.

Dauer und Intensität der Attacken länger

Die Intensität der Angriffe ist sehr groß und endet erst dann, wenn die Website offline ist oder der DDoS-Schutz greift. Sobald eine Attacke abgewehrt ist, zieht sich der Angreifer zurück und sammelt neue Informationen. Mit diesen nehmen sie zielgerichtet auch in den nachfolgenden Tagen die Webseite erneut ins Visier.

„Die Zahlen aus dem vergangenen Jahr zeigen, dass noch immer viele Unternehmen auf notwendige Schutzmaßnahmen verzichten. Bestes Beispiel hierfür sind kritische Berichterstattungen in der Finanzbranche, die regelmäßig angegriffen werden – und im Falle von wallstreet:online durch myracloud geschützt werden. Teilweise richten sich die Attacken dann auch direkt gegen den DDoS-Schutz-Provider oder gegen das ganze Rechenzentrum, in dem die Website betrieben wird“, erklärt Sascha Schumann, Gründer und Geschäftsführer von Myra Security. „Das alles zeigt: Zeitgemäßer DDoS-Schutz ist wichtiger als je zuvor.“

Global Application and Network Security Report

Zu ähnlichen Ergebnissen kommt der Jahresberichts zur IT-Sicherheit (Global Application and Network Security Report 2013) von Radware. Sie beruhen auf den Daten und Erfahrungen von Radwares „Emergency Response Team“ (ERT), das Angriffe auf Anwendungen und Netzwerke in Echtzeit verfolgt und abwehrt.

Auch die ERT-Sicherheitsexperten beobachteten 2013 eine erhebliche Zunahme von DDoS-Attacken, die sowohl zu kompletten Systemausfällen als auch zu erheblichen Beeinträchtigungen im Betrieb führten – mit der Folge von Umsatzeinbrüchen, sinkender Kundenzufriedenheit und Imageverlusten. Der Radware-Bericht deckt zudem auf, dass die Angreifer selbst neu installierte Abwehrwerkzeuge immer schneller ausschalten können.

„Unser Bericht macht deutlich, dass DoS-/DDoS-Attacken zu einem bevorzugten Werkzeug von ‚Hacktivisten‘-Gruppen geworden sind und auch in Zukunft immensen Schaden in Unternehmen und Organisationen anrichten werden“, sagt Werner Thalmeier, Radwares Botschafter für IT-Sicherheit in Europa. „87 Prozent der von uns untersuchten Organisationen wurden 2013 durch DoS/DDoS-Angriffe mehr oder weniger intensiv geschädigt. Die negativen Folgen von Totalausfällen sind offensichtlich, doch auch nicht ganz so dramatische Beeinträchtigungen des Rechnerbetriebs können schädliche Langfristfolgen nach sich ziehen.“

Eine wichtigste Erkenntnis des Berichts lautet: Nicht nur Totalausfälle schädigen das Geschäft nachhaltig. Denn 60 Prozent der untersuchten Unternehmen verzeichneten im vergangenen Jahr Störungen und Leistungseinbußen in ihrem IT-Betrieb als Folge von Angriffen. Solche Einbußen gelten zwar als nicht so schwerwiegend wie ein Totalstillstand.

Doch zeigen gleichzeitig Studien, dass 57 Prozent der Online-Kunden nach mehr als drei Sekunden Ladezeit eine Webseite verlassen und 80 Prozent von ihnen nicht mehr zurückkehren. Für Dienstleistungsunternehmen können also schon Teilausfälle zu sofortigen Umsatzeinbußen führen.

Flexible Angriffsstrategien

Des Weiteren sind die Angreifer in immer stärkerem Maße in der Lage, auch frisch aktualisierte Sicherheitssysteme in Unternehmen außer Gefecht zu setzen, indem sie neue Angriffsstrategien verwenden. Zum Beispiel mithilfe des sogenannten „HTTP Floodings“ oder Werkzeugen wie „Kill’em All“ sind sie teilweise schon nach wenigen Stunden in der Lage, gerade neu installierte Abwehrsysteme zu überwinden.

Mit zerstörerischen Angriffen vor allem in den Jahren 2011 und 2012 haben die Intensität und der Anteil der besonders risikoträchtigen Attacken in den vergangenen Jahren zugenommen. Radwares DoS-/ DDoS-Risikobarometer zufolge stieg die Härte der DDoS-Angriffe im vergangenen Jahr um 20 Prozent. Nach DoS-/DDoS- sind DNS-Attacken die derzeit zweithäufigste Angriffsform. Sie sind für Angreifer interessant, weil sich mit ihnen trotz eingeschränkter Ressourcen massiver Datenverkehr erzeugen lässt und da ihre Mehrebenen-Architektur eine Nachverfolgung der Angreifer fast unmöglich macht.

Neben diesen DNS-Attacken tauchten jüngst weitere, für Unternehmen gefährliche Angriffsarten auf. Verschlüsselte anwendungsbasierte Angriffe machten rund 50 Prozent alle Web-Attacken aus, wobei in 15 Prozent aller Fälle Login-Seiten von Internetanwendungen täglich unter Beschuss genommen wurden.

Neben Regierungsbehörden sind Finanzdienstleister zu den häufigsten Zielen von Cyberangriffen geworden. DDoS-Aktionen hatten nicht nur zerstörerische Motive, wie zum Beispiel bei der Angriffsserie „Operation Ababil“ auf US-Finanzinstitute oder bei Attacken auf mehrere Bitcoin-Börsen. Viele sollten zugleich andere Systemeinbrüche verschleiern, die betrügerischen Zwecken dienten. Auch bei Webhosting- und Internet-Dienstleistern stieg 2013 die Zahl der Angriffe.

Rainer Huttenloher

Lesen Sie auch