DDoS

Trends 2023 rund um Distributed-Denial-of-Service-Attacken

, München

Trends 2023 rund um Distributed-Denial-of-Service-Attacken

Von DDoS-Attacken als Waffe im Cyberkrieg, über DDoS-Turboangriffe, mehr Multivektor-Attacken bis hin zu verschärften Sicherheitsstandards

Von Lisa Fröhlich, Link11

Wir haben branchenspezifische Ereignisse im weltweiten Link11-Sicherheits-Netzwerk analysiert. Wie die DDoS-Attacken selbst verändert sich die gesamte Cyberlandschaft kontinuierlich. Im vergangenen Jahr hat sich besonders deutlich gezeigt, wie groß der Einfluss geopolitischer Konflikte auf die Bedrohungslage im digitalen Raum ist.

Einer dieser verschärfenden Faktoren war der russische Einmarsch in die Ukraine im Februar 2022. Mit dem daraus resultierenden Krieg gab es verstärkt DDoS-Angriffe auf Medien, staatliche Institutionen und kritische Infrastrukturen in den die Ukraine unterstützenden Ländern.

DDoS-Attacken als Waffe im Cyberkrieg

Durch den Einsatz von DDoS-Angriffen im Rahmen der Cyberkriegsführung werden auch im kommenden Jahr Cyberangriffe auf globale kritische Infrastrukturen immer häufiger vorkommen. Bereits 2022 haben Angriffe auf Bereiche wie den Energiesektor, Banken und Finanzen sowie das Gesundheitswesen zugenommen. Es ist damit zu rechnen, dass die Cyberattacken auf kritische Infrastrukturen (KRITIS) weiter zunehmen, da diese zunehmend digitalisiert werden und es immer mehr geopolitische Konflikte gibt.

Neben den politisch motivierten Cyberbedrohungen gibt es einige offensichtliche, sich wiederholende Muster, die bereits in den letzten Jahren beobachtet wurden und sich im Jahr 2023 fortsetzen werden.

DDoS-Attacken werden intensiver und erreichen schneller ihren Höhepunkt

Bei den im Link11-Netzwerk registrierten DDoS-Attacken konnte im Jahr 2022 beobachtet werden, dass sich die Dauer bis zum Höhepunkt eines Angriffes deutlich verkürzt hat. Statt kontinuierlich und exponentiell anzuwachsen, erreicht der Traffic innerhalb kürzester Zeit seinen Maximalwert. Durch das sehr schnelle Erreichen ihrer kritischen Nutzlast kann diese Angriffsvariante die Netzwerksysteme lahmlegen, bevor herkömmliche Schutz- und Abwehrmaßnahmen ihre Wirkung entfalten können. Eine große Anzahl der vom Link11 Security Operations Center (LSOC) automatisiert abgewehrten DDoS-Angriffe waren solche „Turboangriffe“. Daher gehen wir davon aus, dass sich dieser Trend im kommenden Jahr weiter verstärken wird und wir einen Anstieg dieser schnell einsetzenden DDoS-Attacken beobachten werden.

Gleichzeitig werden DDoS-Angriffe weiterhin ein größeres Volumen (Bits pro Sekunde sowie Pakete pro Sekunde) und eine längere Dauer aufweisen. Dies ist besonders auf die Verbreitung von IoT-Geräten und den Zugriff von Cyberkriminellen auf mehr ungesicherte Rechenleistung und Kapazität in Hosting- und öffentlichen Clouds zurückzuführen.

Verstärkt Multivektor-Angriffe, bei denen Angriffsvektoren innerhalb kürzester Zeit wechseln

Multivektor-Angriffe werden zunehmen. Immer mehr Angreifer versuchen, die Verteidigungsstrategien ihrer Opfer mit einer Vielzahl von Angriffsmethoden auf einmal zu überwältigen. Für sich genommen ist nicht neu, dass verschiedene Angriffsvektoren bei sogenannten Multi-Vektor-Attacken zum Einsatz kommen. Jedoch kommen in immer mehr DDoS-Angriffen innerhalb kürzester Zeit verschiedene Angriffsvektoren zum Einsatz. Im Link11-Netzwerk wurden deutlich mehr sogenannte „Carpet-Bombing-Attacken“ registriert. Dabei handelt es sich um ein Flächenbombardement mit kleinen Nadelstichen, bei denen die jeweiligen Datenpakete so unauffällig klein sind, so dass sie den Radar vieler Schutzsysteme unterwandern. Bei diesen Angriffen wurden beispielsweise mehrere Vektoren innerhalb eines Angriffs mit wechselnden Ports und Protokollen während einer einzigen Angriffsepisode eingesetzt. Das führt dazu, dass konventionelle Schutzlösungen schnell an ihre Grenzen stoßen. Für das Jahr 2023 erwarten wir, dass die Angreifer immer stärker Angriffe einsetzen, die sehr variabel und dadurch schwerer abzuwehren sind.

Vermehrt TCP-basierte Flood-Angriffe und Attacken auf der Anwendungsebene

Wie die die jüngsten Nachrichten über einen JSON-basierten SQL-Injection-Angriff zeigen, sind mehr TCP-basierte Flood- sowie vermehrte Angriffe auf der Anwendungsebene zu erwarten. Diese Angriffsarten sind sehr viel schwieriger zu entschärfen als typische Amplifikationsangriffe, die im laufenden Jahr zurückgingen. Dadurch erfordert ihre Abwehr fortschrittliche Entschärfungstechniken wie maschinelles Lernen statt einfachen Port- und Protokollblöcken, die üblicherweise für Amplifikationsangriffe verwendet werden.

Der Wettlauf gegen Hacker verschärft sich

Obwohl volumetrische DDoS-Angriffe zu einer der am weitesten verbreiteten DDoS-Angriffsvariante gehören, haben sie besonders im Infrastrukturbereich an Effizienz verloren. Das hat damit zu tun, dass die Angriffe, die ein Netzwerk mit sehr viel Bandbreite überfluten, von herkömmlichen DDoS-Schutzmaßnahmen gut erkannt und abgewehrt werden können.

Gleichzeitig ist die Netzwerkinfrastruktur beispielsweise bei Betreibern der kritischen Infrastruktur ein besonders schützenswerter und sensibler Bereich. Gerade im Hinblick auf den andauernden Ukraine-Krieg und die damit verbundene asymmetrische Cyberkriegsführung wird die Bedrohungslage durch politisch motivierte DDoS-Angriffe weiterhin sehr hoch bleiben. Hinzu kommt, dass in der ersten Jahreshälfte der weltweit größte Darknet-Umschlagplatz Hydra-Market abgeschaltet und Mitte Dezember dem US-Justizministerium und Europol gemeinsam ein Schlag gegen sogenannte „Booter-Dienste“, die DDoS-as-a-Service anbieten, gelungen ist und knapp 50 Internet-Domains beschlagnahmt wurden. Pikant dabei ist, dass einige bekannte Cloud-Service-Anbieter, die selbst auch einen einfachen DDoS-Schutz anbieten, diese Domains und Workloads gehostet haben. Damit wurden einige Sammelstellen krimineller Energien trockengelegt. Dennoch ist davon auszugehen, dass kriminelle Angreifer im Jahr 2023 neue Umschlagplätze etablieren und sich reorganisieren, so dass die Schlagkraft ihrer „Hydra” wieder größer werden kann.

Mithilfe von künstlicher Intelligenz entwickeln sich ihre Methoden und Angriffsvarianten immer weiter, um größtmöglichen Schaden anzurichten. Das bedeutet, dass sich der Wettlauf zwischen Angreifern und Verteidigern verschärfen wird und es vor allem intelligenter und robuster DDoS-Schutzlösungen bedarf. Mit automatisiertem, KI-gestützten und Cloud-basiertem DDoS-Schutz wie dem von Link11 kann sichergestellt werden, dass die Verteidiger in diesem Rennen die Nase vorn haben.

Höhere Sicherheitsstandards führen zu mehr meldepflichtigen Cybervorfällen

Weltweit verschärfen Gesetzgeber die Cyber-Sicherheitsstandards und erlassen entsprechende Verordnungen. Kern der neuen Gesetze ist die Umsetzung höherer Sicherheitsstandards und die vollständige Offenlegung von Sicherheitsvorfällen unter Androhung harter Strafen. Ende November hat der EU-Rat den Entwurf der NIS2-Richtlinie angenommen, so dass die neuen Regelungen noch 2022 in Kraft treten und innerhalb von 21 Monaten von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden müssen.

Der Entwurf für NIS2 , der für in der EU tätigen Unternehmen durchgesetzt werden soll, enthält beispielsweise detaillierte Angaben zu den Meldepflichten, die mit Strafen in Höhe von mehreren Millionen Euro belegt sind. Auch in Kanada wird eine Gesetzgebung nach dem Vorbild der europäischen Datenschutz-Grundverordnung (DSGVO) vorgelegt, die ähnliche Strafen vorsieht.