Security

DDos of Things: Vernetzung vergrößert die Angriffsfläche

Torsten Jensen

© Shutterstock.com/ pinana_treeangle

Technologien wie Cloud-Computing und Trends wie Smart Home oder Industrie 4.0 treiben die Vernetzung zwischen Unternehmen, Institutionen und Kunden voran. Das machen sich Kriminelle für Angriffe auf Unternehmen in Form von Distributed Denial of Service (DDoS) zunutze – mit erheblichen Folgen für ihre Opfer.

In den letzten Jahren haben sich Distributed Denial of Services einen festen Platz in den Schlagzeilen gesichert. Zu den bekanntesten Opfern gehören der Deutsche Bundestag, O2, eBay, die New York Times oder auch Sony. Kriminelle starten DDoS-Attacken, um die IT-Infrastruktur von Unternehmen mit extrem vielen Anfragen auf Netzwerk- oder Systemebene zu überfluten. Sind die für den Betrieb notwendigen Ressourcen aufgebraucht oder überlastet, quittieren die Systeme ihren Dienst. Der eigene Webshop ist dann beispielsweise nicht mehr verfügbar.

Statt dass im Sekundentakt Bestellungen eingehen, passiert nichts. Kunden werden um ihr Einkaufsvergnügen gebracht und wandern zur Konkurrenz ab, die im Internet nur wenige Klicks entfernt ist – für Onlinehändler ein Super-GAU. Der durch DDoS angerichtete Schaden ist immens und reicht von Umsatzeinbußen durch die Nichtverfügbarkeit von Services bis hin zu Reputationsverlusten. Der Quartalsreport 4/2017 von Kaspersky Lab hat ergeben, dass bei jedem DDoS-Angriff auf kleine und mittlere Unternehmen Kosten von 123 000 US-Dollar entstehen, bei Großunternehmen beträgt der finanzielle Schaden durchschnittlich sogar 2,3 Millionen US-Dollar.

Deutschland als beliebtes Ziel

Nicht nur große Unternehmen stehen im Fokus der Angreifer. In Zeiten, in denen Branchen immer stärker digitalisiert sind, ist jedes mit dem Internet verbundene
Unternehmen potenziell gefährdet. Deutschland gehört ebenso durch seinen starken Mittelstand mit zahlreichen spezialisierten Weltmarktführern mit zu den attraktivsten Zielen der Kriminellen. Hierzulande gibt es jährlich zehntausende Angriffe auf die IT von Unternehmen, Behörden oder öffentlichen Einrichtungen. Und das Ende der Fahnenstange ist noch nicht erreicht.

Experten gehen einhellig davon aus, dass die Angriffszahlen in naher Zukunft weiter steigen werden. Das Internet of Things (IoT) erzeugt zusätzlich Handlungsbedarf, denn Kriminelle machen aus internetfähigen Geräten wie Babyphones, Webcams oder vernetzten Haushaltsgeräten Tatwerkzeuge für ihre Attacken. Sie nutzen Sicherheitslücken aus, kapern die Geräte und bauen ein Botnetz auf, das ihnen als Ressourcenpool für ihre Attacken dient. In seinem „Lagebericht IT-Sicherheit 2017“ benennt das Bundesamt für Sicherheit in der Informationstechnik (BSI) DDoS-Attacken als ernst zu nehmendes Risiko: Neben direkten Angriffen auf Privatsphäre, persönliche Daten, Zugangsinformationen sowie Vermögenswerte der Endnutzer führe der Missbrauch von IoT-Geräten durch DDoS-Angriffe auf größere (kritische) Infrastrukturkomponenten und Services zu massiven wirtschaftlichen Schäden.

Täter passen ihr Vorgehen an

DDoS-Attacken sind keine neue Bedrohung. Bereits seit Jahren treiben Kriminelle mit solchen Angriffen auf die IT-Infrastruktur ihr Unwesen. Was sie zu einer gleichermaßen gefährlichen wie ständigen Bedrohung macht, ist zum einen das Tempo, mit dem die Hintermänner ihr Vorgehen an neue technologische Möglichkeiten anpassen, zum anderen die strategische Rafinesse. Im Jahr 2000 fand einer der ersten größeren DDoS-Angriffe statt, über den Medien berichteten. Er zielte auf die Webseiten von Yahoo! und Amazon ab. Seitdem hat sich die Art und Weise der Angriffe deutlich verändert. Stand in den Anfangsjahren vor allem das Stören und Lahmlegen von Prozessen bei den betroffenen Unternehmen im Vordergrund, verfolgen die Drahtzieher mittlerweile zunehmend monetäre Interessen. Immer häufiger stehen DDoS-Angriffe in Zusammenhang mit Erpressungsversuchen.

Eine weitere Motivation der Täter: Die Attacke als Deckmantel für andere Angriffe wie Datendiebstahl nutzen. Sie setzen darauf, dass die IT-Experten ihres Opfers durch die explodierenden Trafficzahlen zu beschäftigt sind, um etwa den Abzug sensibler Daten zu bemerken. DDoS dient auch als Ablenkung für das Einschleusen von Malware. 2017 beobachteten Experten ein solches Vorgehen: Kriminelle nutzten DDoSAttacken, um Lücken in die IT-Infrastruktur ihrer Ziele zu reißen und darüber die Malware WannaCry einzuschleusen. WannaCry verschlüsselt Windows-Programme und hat im selben Jahr für den bisher größten bekannten Ransomware-Angriff gesorgt. Autobauer wie Renault oder Nissan mussten wegen WannaCry zum Teil für mehrere Tage ihre Produktion stoppen.

Komplexere Angriffe

Die Drahtzieher sind schwer zu fassen. Schätzungsweise 90 Prozent der Computersabotagedelikte, zu denen DDoS zählt, kommen nicht zur Anzeige oder bleiben unentdeckt. Aufsehenerregend war dagegen der erfolgreiche Schlag Europols gegen die Plattform Webstresser. Sie galt als mutmaßlich größter Marktplatz für Tools zum Ausführen von DDoS-Angriffen. Diese erfordern keine tiefergehenden Programmierkenntnisse und sind schon für wenig Geld zu haben. Die Täter entwickeln ihre Methoden ständig weiter. Ist eine Offensive auf eine Plattform nicht erfolgreich, schwenken sie auf eine andere um. So klopfen sie verschiedene Ansatzpunkte nach Schwachstellen ab. Sie verwenden unterschiedliche Angriffsvektoren und wechseln sie noch während einer laufenden Attacke. Infrastrukturelle Ziele auf den Layern_2 bis_4 des OSI-Modells gehören zu den klassischen Szenarien.

Doch mittlerweile sind auch die anwendungsorientierten Layer 5 bis 7 betroffen. Solche Angriffe enden im Vergleich zwar noch selten statt, doch wird sich dies in Zukunft ändern. Der Trend zu einem umfangreicheren Einsatz von Software in Unternehmen sowie in Cloud-Umgebungen macht diese Layer zu einem interessanten Ziel. Der DDoS-Spezialist Akamai registrierte in seinem „State of the Internet“-Report für das vierte Quartal_2017 folgende Werte: In der Gesamtbetrachtung machen Angriffe auf Anwendungsebene aktuell nur 1_Prozent aus. Im Vergleich zum vorhergehenden Quartal stiegen diese Angriffe jedoch um 115 Prozent. DDoS-Attacken werden komplexer und erzielen enorme Schlagkraft.

Das hat im März 2018 GitHub zu spüren bekommen. Sie musste einen DDoS-Angriff mit einem Volumen von 1,4 Terabit pro Sekunde (Tbps) überstehen und war zeitweise nicht verfügbar. Kurz darauf überrollte ein Angriff von 1,7 Tbps ein US-amerikanisches Unternehmen, das damit den aktuellen DDoS-Weltrekord hält. Zum Vergleich: Im Jahr 2015 berichtete Akamai noch von „Megaattacken“ mit mehr als 100 Gigabits pro Sekunde. Dabei reichen bereits 5 Gigabit pro Sekunde aus, um die Business-Continuity von Unternehmen zu gefährden. Immer öfter erreicht das Volumen von DDoS-Attacken eine neue Höchstmarke. Es ist nur eine Frage der Zeit, bis der aktuelle Rekord gebrochen werden wird. Jüngst gab Kaspersky Lab eine andere Bestzeit bekannt: Die IT-Infrastruktur des Ziels stand 297 Stunden unter Dauerfeuer, die längste andauernde DDoS-Attacke seit 2015.

DDoS-Ressourcen aus dem IoT

Um großvolumige, andauernde Angriffe auszuführen, benötigen die Täter entsprechende Ressourcen. Die schier unbegrenzte Verfügbarkeit von ungesicherten Geräten im Internet ist für Kriminelle ein gigantischer Ressourcenpool. 2016 erfolgten erstmals großflächige Attacken, die ihre Kapazitäten von den im IoT vernetzten Geräten bezogen.

Es handelte sich unter anderem um Babyphones, Drucker oder IP-Kameras. Den Tätern gelang es, sie zum einen über nicht geänderte Standardpasswörter zu kapern und zum anderen über offene bekannte Schwachstellen, für die noch keine neuen Sicherheitspatches verfügbar waren oder die der Besitzer noch nicht ausgeführt hatte.

Die durch die Schadenssoftware Mirai zu einem Botnetz zusammengeschlossenen Geräte stellten – unbemerkt von ihren Eigentümern – die Ressourcen für das Ausführen der DDoS-Attacke. Sie zielte auf das zentrale Domain Name System (DNS) ab und ging von Millionen IP-Adressen aus. Zahlreiche Webseiten waren weltweit über Stunden nicht verfügbar. Das Internet of Things wird dadurch zu einem neuen Angriffsvektor. Im Zusammenhang mit dieser Attacke fiel erstmals der Begriff Ära des DDoS of Things.

Der Boom internetfähiger Geräte geht auf die Digitalisierung mit ihren Trends zu Smart Home und Smart Factory zurück. Kaum vorhandene oder nicht durchgängig durchdachte Sicherheitsmechanismen sowie die Unwissenheit der Gerätenutzer werden dabei zum Problem. Sie bieten offene Flanken, die Kriminelle für ihre Zwecke nutzen. Viele vernetzte Geräte enthalten bereits in der Standardkonfiguration unnötig aktivierte Dienste,ungesicherte Ports oder Standardpasswörter, die nach Inbetriebnahme nicht geändert wurden.

Eine Analyse von Kaspersky hat offenbart: Bei schätzungsweise 15 Prozent der industriellen Steuerungen erfolgt kein Patch bekannter Schwachstellen. Im Ernstfall hat ein solches Missmanagement fatale Folgen. Doch nicht nur die Nutzer sind nachlässig. So versorgen auch nicht alle Hersteller ihre IoT-Produkte regelmäßig mit Updates, über die sich potenzielle Sicherheitslücken schließen lassen. Kriminelle erhalten durch solche Fehler ständig neue „Zombies“ für ihre Botnetze. Als Grundlage für DDoS-Angriffe bergen diese riesigen Netzwerke aus kompromittierten IoT-Geräten eine enorme Schlagkraft. Das Mirai-Botnetz ist heute noch aktiv und entwickelt sich weiter.

Mehrstufige Sicherheitsmechanismen schützen

Kriminellen fällt es leicht, DDoS-Attacken zu starten. Die Zugangshürden zum dafür notwendigen Know-how und Technologien sind aufgrund der professionell aufgestellten Täter niedrig. Auf Seite der Verteidiger braucht es daher umso mehr Expertise und Erfahrung mit DDoS. Ein effektiver Schutz umfasst ein ganzes Bündel an Maßnahmen (Abb. 1). DDoS-Attacken, die auf IoT-Systemen basieren, unterscheiden sich von den anderen Angriffsarten. Typisch ist etwa die große Anzahl beteiligter Systeme, die weite geografische Verteilung und eine sehr hohe Anstiegsrate der Anfragen sowie die Angriffsbandbreite.

Jeder dieser Faktoren stellt die Sicherheitskomponenten der IT-Landschaft von Unternehmen vor Herausforderungen. Vorrangiges Ziel sollte es sein, den eigenen Backbone zu schützen, um den Betrieb zu gewährleisten, sowie spezifische Angriffe etwa auf den Onlineshop direkt zu bekämpfen. Darüber hinaus sollte der eingehende Netzwerkverkehr von unzulässigem Traffic bereinigt werden.

Abb. 1: Effektiver Schutz vor DDoS erfodert eine Reihe von Maßnahmen (Quelle: Nexinto)

Abb. 1: Effektiver Schutz vor DDoS erfodert eine Reihe von Maßnahmen (Quelle: Nexinto)

Mehrstufige Firewalls bilden meist die erste Hürde auf dem Weg zu den internen Systemen. Sie schützen vor unerlaubtem Zugriffen von außen und aus anderen Netzwerkzonen. Während einer Attacke besteht hier eine erste Möglichkeit, zu reagieren, falls die Angriffe von einigen wenigen IP-Adressen stammen. Ebenso kann ein aktiviertes Geoblocking einen Angriff unterbinden, wenn dieser aus einem einzigen Land stammt. Da IoT-basierte Angriffe sich meist nicht auf einen einzigen Geobereich beschränken, bietet ein Geoblocking allein nur selten ausreichend Schutz. Ebenso sind Firewalls oft nicht angemessen leistungsfähig dimensioniert und haben den Angriffen wenig entgegenzusetzen.

Ein nachgelagertes Intrusion Prevention System (IPS) erkennt auffällige Muster im Netzwerkverkehr und wehrt sie ab. Da sich DDoS-Angriffe im Normalfall auf die im Internet verfügbaren Komponenten und Zugangspunkte fokussieren, bietet ein IPS einen entscheidenden Vorteil, wenn ein solcher Angriff dazu dient, eine Hackerattacke zu verschleiern. Ein IPS erkennt auffällige Signaturen und wehrt sie ab. Infrastruktureinrichtungen und ein IPS allein helfen allerdings auch nicht weiter. Ihre Vielfalt und Leistungsfähigkeit erfordert ein Zusammenspiel mit weiteren Securitykomponenten. Insbesondere Load Balancer in Kombination mit einer Web Application Firewall (WAF) sind weitere wichtige Bausteine. Load Balancer sind eine wichtige Vorkehrung, um die Trafficlast zu verteilen.

Da allerdings immer wieder Angriffe auf Anwendungsebene erfolgen, gehört eine WAF mit zum Grundschutz gegen DDoS. Um diese Attacken zu unterbinden, untersucht sie die eingehenden Anfragen von einzelnen IP-Adressen, sodass sich auch verteilte Angriffe mitigieren lassen. Ein solches WAF-DoS-Profil bietet vielfältige Maßnahmen, um die Angriffslast bis zu einem gewissen Rahmen abzuwehren.

SIEM warnt vor Malware

Um ergänzende Attacken wie das Einschleusen von Malware aufzudecken, empfiehlt sich ein SIEM (Security Information and Event Management). Es erkennt und korreliert auffällige Logdaten sowie Events im Netzwerk. Bei verdächtigen Aktivitäten schlägt es Alarm. Da die lokalen Sicherheitskomponenten nur eingeschränkten Schutz bieten, muss es für Unternehmen das Ziel sein, den Angreifertraffic davon fernzuhalten. Der zusätzliche Schutz durch ein Scrubbing-Center ist die finale Instanz, um IoT-basierte, großvolumige Angriffe mit hohen Anstiegsraten auf die IT-Infrastruktur zuverlässig abwehren zu können.

In diesem Fall aktivieren die Sicherheitsexperten im Unternehmen zuvor definierte Routen auf die angebundenen Scrubbing-Center. Dieses „Umschwenken“ der Datenströme ist innerhalb kürzester Zeit automatisiert möglich. Im Scrubbing-Center durchläuft der Traffic abhängig von den vorliegenden Angriffsvektoren verschiedene Filterebenen. Anschließend wird der gereinigte Traffic an die Unternehmens-IT zurückgeführt. Nur unverdächtige zulässige Daten und Anfragen kommen bei der IT-Infrastruktur an.

Neben diesen rein technischen Maßnahmen gehört ständiges Monitoring zur Anomalieerkennung zum ganzheitlichen Ansatz gegen DDoS-Angriffe. Um diese sicher zu identifizieren, gilt es, die Auswirkung des eingehenden Netzwerkverkehrs auf die IT-Systeme kontinuierlich zu überwachen: Wie ist die CPU- oder Speicherauslastung? Weichen Anzahl der Sessions, Zugriffszeiten oder das Ansprechverhalten von üblichen Werten ab? Auch eine Netzwerkanalyse anhand der Verbindungsdaten ist hier möglich. Bei Auffälligkeiten schlagen Netzwerksensoren Alarm und liefern erste Informationen über Art und Umfang der Attacke. Sicherheitsexperten können aufgrund dessen notwendige Maßnahmen zur Abwehr einleiten.

DDoS-Attacken gehören für Unternehmen heute zur alltäglichen Bedrohungslage. Ursache dafür sind die zunehmende Digitalisierung sowie die Professionalisierung der Angreifer. Unternehmen müssen sich in Zeiten des Internet of Things auf komplexere DDoS-Angriffe einstellen, die in Zukunft noch zahlreicher werden. Dafür ist eine durchgängige Sicherheitskette mit technischen und organisatorischen Maßnahmen entscheidend, um sich bestmöglich gegen DDoS zu wappnen.

Geschrieben von
Torsten Jensen
Torsten Jensen
Torsten Jensen ist Senior Security Consultant bei Nexinto. Seit mehr als zehn Jahren beschäftigt er sich mit IT-Security insbesondere zu den Schwerpunkten IT-Sicherheit im Bereich von Industrie-Produktionsumgebungen, Smart Cards, Schwachstellen Management sowie Beratung zu IT-Sicherheitszertifizierungen. Bei Nexinto arbeitet er im Bereich Security Consulting als Security Berater sowie als Platform Security Officer unter anderem an der Absicherung geschäftskritischer Cloud-Plattformen.
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu: