In diesem Artikel wird ein Überblick gegeben, was sich hinter DDos (Distributed Denial of Service))Attacken verbirgt, wie welche Angriffspunkte genutzt werden und wie sich Unternehmen davor schützen können.
Milliarden vernetzte Geräte weltweit führen zu unzähligen Sicherheitslücken, die Cyberkriminelle ausnutzen, solange sie nicht behoben sind. DDoS (Distributed Denial of Service)-Angriffe fluten zum Beispiel Server oder ganze Netze mit Datenverkehr und überlasten Geräte durch fehlerhafte Anfragen, um sie zu stören oder funktionsunfähig zu machen. „Distributed“ heißt dabei, dass die Attacken von verschiedenen Orten ausgehen, die man aufgrund von IP-Spoofing (eine Technik zur Verschleierung von IP-Adressen) nur schwer zurückverfolgen kann. In jüngster Zeit bilden Botnets den Kern der meisten DDoS-Angriffe. Ein Botnet ist eine Sammlung „infizierter“ einzelner Geräte wie Heimcomputer, Router, IP-Kameras und sogar Parkuhren – sofern diese vernetzt sind. Die gekaperten Endgeräte werden meist als Bots oder Zombie-Computer bezeichnet und werden in der Regel von einer zentralen Stelle gesteuert.
DDoS-Angriffe nutzen die Schwachstellen in IP-Protokollen und Systemen aus. Einige Protokolle wie z. B. das Domain Name System (DNS) haben inzwischen zusätzliche Sicherheitsfunktionen, die jedoch nicht überall eingesetzt werden. Viele Protokolle folgen nach wie vor dem Prinzip der Offenheit, auf das sich die Internet-Community zu Beginn festgelegt hat. Bösartige Angriffe waren damals nicht vorgesehen, als das Internet noch jung war. Die Gründe für DDoS-Angriffe sind dabei unterschiedlich. Oft geht es um Erpressung, etwa von Wettbewerbern. Die Täter fordern Geld, bevor z. B. eine Website wieder funktioniert. Aber auch Staaten setzen DDoS als Waffe ein und greifen kritische Netzinfrastrukturen an, um sie außer Funktion zu setzen.
DDoS-Angriffe nehmen stark zu
Im Cloud-, IoT- und 5G-Zeitalter werden die Netze immer wichtiger. Gleichzeitig haben insbesondere seit Beginn der Corona-Pandemie die DDoS-Angriffe zugenommen. Mit einer Zunahme um 100 Prozent bei den täglichen Spitzenwerten im DDoS-Datenverkehr sind DDoS-Angriffe für viele Netze eine tägliche Realität in Terabit-Größenordnung. Nokia Deepfield hat beispielsweise mehr als 10.000 Angriffe auf Internetanbieter weltweit analysiert und stellte dabei fest, dass sich die Bedrohungsmuster verändern: Die Angriffe gehen über PCs hinaus, erfolgen von außerhalb und innerhalb der Netze von Internetanbietern und zielen auf Internetserver sowie Kunden und Netzinfrastrukturen in aller Welt. Ein Problem: Viele IoT-Geräte haben Sicherheitslücken in ihren Betriebssystemen oder werden zum Beispiel mit einem Standardpasswort ausgeliefert.
Während die meisten DDoS-Angriffe „nur“ lästig sind, sind große Angriffe mit hoher Bandbreite und Paketintensität besorgniserregend. Groß angelegte DDoS-Angriffe können für Netzwerk-Infrastrukturen fatale Folgen haben, die Konnektivität und Verfügbarkeit von Diensten bei Telekommunikationsanbietern, Unternehmen und Verbrauchern unterbrechen und zu hohen wirtschaftlichen Verlusten führen.
Botnetz-DDoS-Angriffe auf dem Vormarsch
Botnets führen heute täglich Zehntausende von DDoS-Angriffen durch, wobei jeder Angriff zwischen mehreren Tausend und mehreren Millionen IP-Adressen umfasst. Schätzungen zeigen, dass zwischen 100.000 und 200.000 aktive Bots an diesen Angriffen beteiligt sind. Im Jahr 2021 erreichte das gesamte tägliche DDoS-Datenverkehrsvolumen einen Spitzenwert von über 3 Terabit pro Sekunde. Nokia Deepfield schätzt das Gesamtpotenzial von IoT-Botnetz- und Verstärker-Angriffen sogar auf über 10 Terabit pro Sekunde.
Das wäre ein Anstieg um das Zwei- bis Dreifache der Größe aller bisher öffentlich gemeldeten DDoS-Angriffe. Eine Herausforderung ist, die Angriffe zu erkennen und einzudämmen. Bisher gehörten so genannte „Scrubber“ zum gängigen Instrumentarium, um Angriffe zu identifizieren. Dieser Ansatz funktionierte gut bei überschaubarem Verkehrsaufkommen. Aber das Volumenwachstum stellt die Kosteneffizienz dieses Ansatzes in Frage.
Netzbetreiber müssen sich also vorbereiten. Dazu gehört, das Hersteller von IoT-Geräten besser geschult werden und branchenweit bewährte Lösungen nutzen. Zweitens darf die Sicherheit nicht nur ein nachträgliches Add-on im Netzwerk sein. Sie muss zur Grundlage der Infrastruktur werden. Und drittens müssen Sicherheitsexperten neue Wege gehen, um DDoS-Angriffe zu erkennen und einzudämmen. Denn die Angriffe kommen nicht mehr von einzelnen Ländern oder Servern, sondern von Botnets – von überall, auch aus dem eigenen Netzwerk.
Schutz vor einer neuen Generation von Bedrohungen
Da sich DDoS-Angriffe weiterentwickeln, müssen Internet- und Cloud-Anbieter, Endnutzer, Regulierer und Regierungen auch enger zusammenwirken. Eine wirklich robuste DDoS-Abwehr muss in der Lage sein, alles und jeden zu schützen und Gefahren in Echtzeit mit hoher Genauigkeit zu erkennen. Sie muss kosteneffiziente, flexible Abwehrmaßnahmen gegen Angriffe im Terabit-Bereich beinhalten und schließlich die präzise und schnelle Beseitigung von DDoS-Bedrohungen mit Hilfe von Automatisierung ermöglichen. Und sie muss in der Lage sein, neu aufkommende Bedrohungen frühzeitig zu erkennen.
Hybride Netzwerkarchitekturen, die physische und virtualisierte Netzwerkdomänen kombinieren, nehmen weiter zu und schaffen noch mehr verteilte Netzwerkbereiche, die überwacht werden müssen. Angesichts der massiv gestiegenen Anzahl von Endpunkten, die geschützt werden müssen, muss DDoS-Sicherheit mehr Leistung bringen und skalierbar sowie automatisiert sein.
Hochentwickelte Big-Data-IP-Netzwerkanalysen und programmierbare Router können den Großteil der DDoS-Angriffe im Internet effizient abwehren. Mit einem sich selbst verteidigenden Netzwerk ist eine skalierbarere und kosteneffizientere Abwehr möglich. Das bedeutet auch, dass die Sicherheit in das IP-Netz eingebettet und erweiterte Erkennungsfunktionen mit hochentwickelten Merkmalen der neuesten Routergenerationen kombiniert werden, die eine bessere Sicherheit in Leitungsgeschwindigkeit (line speed) ermöglichen. Dabei kommt es neben der Technologie vor allem auf die Zusammenarbeit aller Akteure an.
Quelle: nokia.com
