Alle Beiträge von Guido Schaffner

Botnetze: So schützen Sie Ihre Unternehmensdaten

Spätestens mit der Mirai-Schadsoftware vor zwei Jahren erreichten Botnetze fragwürdige Prominenz und sind nicht mehr länger nur IT-Profis ein Begriff. 

Anfangs nutzen IT-Experten Botnetze noch als legale Werkzeuge zur Automatisierung von Routineaufgaben. So wurde im Jahr 1993 beispielsweise „eggdrop“, als eines der ersten dokumentierten Botnetze, eingesetzt, um IRC-Channels, rein textbasierte Chatsysteme, gegen Übernahmeversuche zu schützen. Es dauerte nicht lange, bis Hacker diese Methode für sich entdeckten und missbräuchlich nutzten. Und heutige Botnet-Malware umfasst verschiedene Angriffstechniken, die zeitgleich über mehrere Vektoren ausgeführt werden können. Ähnlichkeiten ergeben sich allerdings in der Funktionsweise: Cyberangreifer kompromittieren Rechner, mobile Endgeräte und auch IoT-Devices und übernehmen dadurch deren Steuerung. Die Besitzer bekommen im Normalfall nichts von der Übernahme mit, sodass Angreifer oft in der Lage sind, in sehr kurzer Zeit eine Vielzahl an Geräten zu infizieren, unbemerkt in einem Rechnerverbund, auch Cluster oder Netz genannt, zusammenzuschließen und für ihre Zwecke zu verwenden.

Zusammenschluss von IP-basierten Geräten

Das bereits angesprochene Mirai-Botnetz brachte es nach Schätzungen auf bis zu 500.000 vernetzten Endgeräten, darunter vor allem unzureichend gesicherte IP-Sicherheitskameras. Im Falle des Telekom-Ausfalls im November 2016 wurde hingegen versucht Router für die Erstellung eines Botnetzes zu missbrauchen, wodurch mehr als eine Millionen Kunden betroffen waren.

IoT-Geräte werden zweckentfremdet

Trotz eines gesteigerten Gefahrenbewusstseins seitens der Hersteller, werden IoT-Devices noch viel zu häufig mit Standard-Anmeldeinformationen, einfachen Passwörtern oder bereits bekannten Sicherheitslücken ausgeliefert. Somit eignen sich diese Geräte hervorragend, um von Kriminellen in Botnetzen zusammengeschlossen zu werden. Besonders die steigende Anzahl und die breiteren Einsatzgebiete von IoT-Geräten begünstigen dabei das Wachstum der Cluster. Das Analystenhaus IDC rechnet bis zum Jahr 2025 mit mehr als 75 Milliarden im IoT vernetzten Geräten. Auch Rechner, wie beispielsweise Computer von Privatpersonen, können betroffen sein: Der Internet-Verband eco stellte fest, dass von 175.000 überprüften Rechnern knapp 40 Prozent mit Bots infiziert waren. Den Hackern bietet sich also ein konsequent wachsender Markt voll offener Einfallstore, um ihre Botnetze auszuweiten.

Werden Botnetze für DDoS-Angriffe verwendet, dann meist mit der Intention, Internet-Services, IT-Komponenten oder die IT-Infrastruktur eines attackierten Unternehmens oder einer Organisation lahmzulegen. Hierzu werden Komponenten des Netzwerks, beispielsweise Server, solange mit Datenverkehr in Form von Anfragen überlastet, bis diese nicht mehr verfügbar sind. Ein einzelnes zweckentfremdetes IoT-Device kann zwar nur wenig Datenverkehr erzeugen, doch ein großes Cluster von ihnen kann sogar Ausmaße im dreistelligen GbpS-Bereich (Gigabit pro Sekunde) erreichen.

Die „Bot-Ökonomie“ ist für Kriminelle durchaus attraktiv

Diese Form der Cyberkriminalität stellt für Hacker eine lohnenswerte Einnahmequelle dar. Da sie auf fremde IP-basierte Geräte zurückgreifen, fallen für sie keine weiteren Infrastrukturkosten an, um Angriffe zu starten. Für sie ergeben sich durch die Anonymität des Darknets und dem intransparenten Handel mit Kryptowährungen viele Vorteile: So können bestehende Botnetze auch einfach an Dritte vermietet werden, die dann in der Lage sind, einen Angriff gegen Bezahlung ausführen. Für 7.500 US-Dollar wurde beispielsweise der Zugriff auf das Mirai-Botnetz gewährt. Ein kurzzeitiger Angriff über ein vergleichsweise kleines Botnetz lässt sich heute schon für weniger als 5 US-Dollar im Darknet akquirieren.

Und für Cyberkriminelle sind Botnetze eine, aus ökonomischer Sicht, durchaus attraktive Plattform. Denn neben der Ausführung von DDoS-Attacken bieten sich Botnetze auch für weitere kriminelle Szenarien an. So können die Nutzer:

  • Spam oder Malware schnell und kaum nachvollziehbar per E-Mail verschicken
  • Klickbetrug durchführen
  • groß angelegte Phishing-Angriffe für die Verbreitung von Malware hosten
  • Software-Lizenzdaten abgreifen
  • persönliche Informationen und Identitäten stehlen
  • Kreditkarten- und anderen Kontoinformationen, einschließlich PIN-Nummern oder Passwörter ausspionieren
  • Keylogger installieren
  • Offene Proxies für einen anonymen Internetzugang bereitstellen
  • Brute-Force-Attacken auf andere Ziele im Internet ausführen

Vereinfachter Zugang zu Botnetzen

Ein weiterer Faktor, der die starke Verbreitung von Botnetzen begünstigt hat, ist der Umstand, dass die einzelnen Komponenten relativ einfach zusammengestellt, ausgetauscht und aktualisiert werden können. Einen wahren Sprung in der Szene gab es nach der Veröffentlichung vom Quellcode des LizardStresser Anfang 2015. Dieser Quellcode war frei zugänglich, einfach zu verwenden und enthielt einige komplexe DDoS-Angriffsmethoden. So war er beispielweise in der Lage, TCP-Verbindungen offen zu halten, eine zufällige Reihe von Junk-Zeichen an einen TCP- oder UDP-Port zu senden oder wiederholt TCP-Pakete mit bestimmten Flags zu senden. Die Malware enthielt ebenso einen Mechanismus, um beliebige Shell-Befehle auszuführen – etwa um aktualisierte Versionen des LizardStressers mit neuen Command-and-Control-Geräten oder ganz neuer Malware herunterzuladen. Generell wurde der Zugang zu Botnetzen und ihrer Infrastruktur immer weiter vereinfacht, sodass auch wenig technikaffine Menschen diese zu ihrem Zweck missbräuchlich nutzen konnten. Dies wurde auch dadurch begünstigt, dass Hacker den lukrativen Markt erkannten und sich immer weiter professionalisierten.

Es wird immer wahrscheinlicher, selber zum Opfer zu werden

Diese Professionalisierung, gepaart mit der wachsenden Anzahl anfälliger IoT-Geräte und dem vereinfachten Zugang für Dritte, machen Botnetze zu einem Risikofaktor für jedes Unternehmen. Dieser Trend wird nach Einschätzungen von Experten in absehbarer Zukunft auch keinen Abriss finden. Unternehmen müssen sich also der Gefahrenlage bewusst sein und sich entsprechend vorbereiten. Da Botnetze vor allem für DDoS-Attacken genutzt werden, ist eine geeignete DDoS-Abwehrlösung unabdingbar. Diese Lösung sollte, laut übereinstimmender Meinung von Sicherheitsexperten, mehrstufige Abwehrfunktionen enthalten – und sich etwa aus einer vor Ort installierten Komponente und einem cloudbasierten Element zusammensetzen. Die Komponente vor Ort ermöglicht dabei ein sofortiges Erkennen und Bekämpfen von Angriffen, etwa auf Applikationsebene, bevor es zu Auswirkungen auf die Dienste eines Unternehmens kommt. Allerdings ist sie nicht in der Lage, die besonders hochvolumigen Angriffe, etwa durch Botnetze, abzuwehren, die dazu führen können, dass die Internetkonnektivität nicht mehr gewährleistet ist. Hier kommt die cloudbasierte Komponente ins Spiel. Übersteigt die Größe eines vor Ort erkannten Angriffs einen definierten Schwellenwert, können automatisch cloudbasierte Gegenmaßnahmen aktiviert werden, um das Unternehmen zu schützen.

Cybersicherheit: DDoS-Angriffe werden für Unternehmen immer gefährlicher

Ziel eines DDoS-Angriffs ist es, Internet-Services, IT-Komponenten oder die IT-Infrastruktur eines attackierten Unternehmens lahmzulegen. Dazu werden Server oder andere Komponenten solange mit Anfragen, also Datenverkehr, überlastet, bis diese nicht mehr verfügbar sind. 2017 gab es in der DACH-Region knapp 197.000 derartiger Cyberattacken. Organisationen und Unternehmen mussten also 22 DDoS-Angriffe pro Stunde abwehren. Und einen DDoS-Angriff zu starten, ist für Cyberkriminelle heutzutage so einfach wie nie zuvor. Ein entsprechendes Know-How ist nicht mehr notwendig und Angriffe lassen sich bereits für fünf Euro im Darknet erwerben.

Angriffe verursachen nicht nur finanzielle Schäden

Doch welche konkreten Risiken birgt ein DDoS-Angriff auf die Webseite oder das Netzwerk eines Unternehmens? Unbestritten ist wohl das Risiko eines finanziellen Schadens durch Umsatzeinbußen als direkte Folge des Angriffs. Außerdem fallen Kosten für die Behebung und eine eventuelle Entschädigung betroffener Kunden an. Pro Ausfall müssen Unternehmen mit einem Schaden von durchschnittlich 8.000 bis 80.000 Euro rechnen. Zum anderen stehen juristische Fragen im Raum, wenn vertrauliche, personenbezogene Daten kompromittiert werden. Und schließlich kommt es zu einem immateriellen Schaden durch den Reputationsverlust des Unternehmens oder seiner Marke, der sich erst mit der Zeit bemerkbar macht.

Die Folgen eines Angriffs können also durchaus schwerwiegend sein und werden laut der aktuellen WISR-Studie (Worldwide Infrastructure Security Report) von Netscout Arbor zunehmend gravierender. Die Zahl der befragten Unternehmen und Service Provider, bei denen es infolge von DDoS-Angriffen zu Umsatzeinbußen kam, hat sich von 2016 auf 2017 nahezu verdoppelt. Und 57 Prozent bezeichnen den Imageschaden für ihre Marke oder ihr Unternehmen als die schwerwiegendste Folge von DDoS-Attacken. Für fast jeden Zweiten (48 Prozent) ist zudem die Abwanderung von Kunden nach einem erfolgreichen Cyberangriff eines der zentralen Probleme.

Bewusstsein für Cybersicherheit auf Führungsebene steigt

Darüber hinaus haben aufsehenerregende DDoS-Angriffe, wie durch das Mirai-Botnet oder durch offene Memcached-Server, und die zunehmend gravierenden Angriffsfolgen zu einem Umdenken auf der Führungsebene geführt und das Bewusstsein für die wachsende Bedrohungslage geschärft. 2017 berichteten drei Viertel der Unternehmen, dass DDoS-Angriffe eine feste Größe bei ihrer Analyse der Unternehmens- und IT-Risiken darstellen. Dies ist ein positiver und ermutigender Trend. Er zeigt: Führungskräfte erkennen, dass DDoS-Schutz ein wichtiger Faktor beim Risikomanagement ist.

Denn Unternehmen wenden beträchtliche finanzielle Mittel und viel Know-How für die Analyse und Verwaltung ihrer Finanz-, Regulierungs-, Unternehmens- und Marktrisiken auf. Das Risikomanagement für Cybersicherheit sollte mit einem ebenso hohen Stellenwert angegangenen werden – zumal immer mehr Geschäftsprozesse online abgewickelt werden oder auf Netzwerke angewiesen sind, die mit dem öffentlichen Internet verbunden sind. Unternehmen müssen daher die Verfügbarkeit ihrer Dienste auf Dauer sicherstellen und sich gegen Finanz-, Rechts- und Reputationsrisiken wappnen, die DDoS-Angriffe mit sich bringen.

Durch Digitalisierung und IoT wächst auch die Anfälligkeit für Angriffe

Zudem investieren Unternehmen zunehmend in Technologien, mit denen Geschäftsanwendungen durch Automatisierung, Virtualisierung, Integration und Auslagerung in die Cloud effizienter werden. So entstehen vielerorts neue, digital geprägte Geschäftsmodelle, die ohne die Konvergenz dieser Technologien nicht möglich wären. Allerdings hält die IT-Sicherheitstechnologie, die im Unternehmen vorhanden ist, mit dieser Transformation oft nicht Schritt. Die Entwicklungsdynamik des Internets der Dinge (IoT) und der über das IoT vernetzten Anwendungen, Netzwerke und Geräte ist so hoch, dass alle Anstrengungen zu ihrem Schutz hinterherhinken. IoT-Geräte und ihre Komponenten werden so zu leichten Zielen für Angreifer wie das Mirai-Botnet und IoT-Reaper gezeigt haben. Die Kriminellen konnten nicht ausreichend gesicherte IoT-Geräte mit geringem Aufwand als Botnetze zusammenschließen. Doch je mehr Geräte Angreifer miteinander verbinden, um ein Ziel zu attackieren, desto höher ist auch das erreichte Angriffsvolumen und damit der Datenverkehr, der Unternehmen oder Service Provider überschwemmt. Somit erhöht das IoT die Anfälligkeit für Angriffe wesentlich und diese sind schwieriger zurückzuverfolgen.

Multivektor-Angriffe erhöhen Chancen der Cyberangreifer

DDoS-Attacken nehmen aber auch in ihrer Komplexität zu. Sie bestehen also längst nicht mehr aus einfachen SYN-Flood-Angriffen, die den Verbindungsaufbau zwischen Client und Server stören, sondern sind Multivektor-Attacken. Angreifer können verschiedene Angriffsmethoden kombinieren und sich unterschiedliche Angriffsvektoren zunutze machen. Diese hochkomplexen Attacken richten sich gleichzeitig gegen die Verbindungsbandbreite, Applikationen, Infrastrukturen und Dienste. In diesen mehrstufigen Angriffen lässt sich beispielsweise ein volumetrischer Angriff, der durch die bloße Datenflut zur Überlastung der Bandbreite führt, mit einer getarnten Attacke gegen einen bestimmten Aspekt einer Anwendung oder eines Diensts auf Layer-7 kombinieren. Dies ist die gefährlichste Art von Angriffen, da mit nur einem attackierten Gerät, das eine niedrige Datenrate generiert, ein sehr effizienter Angriff ausgeführt werden kann – wobei die niedrige Datenrate die proaktive Erkennung und Abwehr eines solchen Angriffs zusätzlich erschwert. Auch 2018 ist mit einer weiteren Zunahme der Anzahl und der Komplexität von DDoS-Angriffen zu rechnen, die sich gegen öffentliche und private Infrastrukturen richten.

Mehrstufige Angriffe erfordern eine mehrstufige Abwehr

Damit sich Unternehmen und Service Provider effektiv vor hochvolumigen und mehrstufigen Angriffen schützen können, muss die eingesetzte DDoS-Lösung Abwehrfunktionen für jegliche Art von Bedrohungen umfassen. Eine hybride DDoS-Lösung bei der On-Premise-Schutzkomponenten mit Cloud-basierten Abwehrmechanismen kombiniert werden, gilt allgemein als Best Practice. Die Vor-Ort-Komponente bietet Funktionen, mit denen ein Großteil der Angriffe erkannt und abgewehrt werden können, seien es Angriffe auf Applikationsebene oder Überlastungsangriffe (State-Exhaustion) gegen Firewalls, IPS-Geräte und andere Infrastruktur-Komponenten. Die Cloud-Komponente wird wiederum für die Abwehr gegen volumetrische Angriffe benötigt, die mittlerweile eine Größe von bis zu 1,7 Terabit pro Sekunde erreichen. Dieser Wert misst den Umfang einer Attacke, die versucht, die Linkkapazität auszulasten. Bei einer hybriden Lösung sind die beiden Komponenten über einen intelligenten Mechanismus so integriert, dass die Abwehr in der Cloud automatisch aktiviert wird, wenn die Größe eines Angriffs den vorgegebenen Schwellwert überschreitet. Mehr als ein Drittel der Unternehmen und Service Provider (36 Prozent) nutzt bisher Technologien für die automatisierte DDoS-Abwehr.

DDoS-Abwehrlösungen sind ein Muss für Unternehmen

Die Folgen von DDoS-Angriffen in Form von Umsatz-, Kunden- und Reputationsverlusten werden gravierender. Denn sind IT- und Web-Dienste nicht verfügbar, steigen Kosten für den Betriebsausfall und können hohe Folgeschäden nach sich ziehen. Die Investition in eine dedizierte Lösung für den DDoS-Schutz ist daher eine wirksame Absicherung gegen diese zentralen Unternehmensrisiken.