IT-Sicherheit: DDoS-Attacken

DDoS-Attacken gefährden Kontinent

04. November 2016
Verfasst von Sarah Schaudel

21. Oktober 2016

In letzter Zeit liest man immer mehr über DDoS-Attacken. Erst vor zwei Wochen, am 21. Oktober, sorgten Hacker dafür, dass bekannte Internetdienste in den USA nicht mehr zu erreichen waren.
Betroffen waren Paypal, Spotify, eBay und Twitter um nur einige zu nennen. In Japan war Twitter sogar komplett offline und zeitweise war Amazon in Deutschland betroffen.
Eins haben alle Websites gemeinsam: Sie sind Kunden beim DNS-Provider Dyn, der Opfer des Angriffes wurde.

Wie konnte das passieren?

Durch eine DDoS-Attacke, ausgehend von einem Botnet, das hauptsächlich IoT-Geräte für den Angriff nutzten.

Ähm… Was?

Ein DNS-Provider wie Dyn macht nichts Anderes als Domainnamen in IP-Adressen zu übersetzen. Rufen Sie in Ihrem Browser bspw. die Website paypal.com auf, werden Sie über einen DNS-Eintrag von Dyn zum entsprechenden Server weitergeleitet.
Wenn viele verschiedene Geräte massenweise Anfragen gezielt auf Server schicken, also bis diese einfach überlastet sind, spricht man von einer DDoS-Attacke.

Bots und Botnets

Mirai ist eine Malware, die das Internet automatisch nach IoT-Geräten durchsucht, die Werkseinstellungen oder hartcodierte Benutzernamen und Passwörter nutzen.
Durch den unzureichenden Schutz können die Geräte leicht mit Schadsoftware kompromittiert werden und als Bot in ein Botnet, also eine Gruppe von kompromittierten Geräten eingebunden werden. Der Angreifer kann das Botnet aus der Ferne kontrollieren und für seine Pläne missbrauchen, wie in diesem Fall für die DDoS-Attacke.

Das Internet der Dinge

IoT ist die Abkürzung für „Internet of Things“ und meint die zunehmende Vernetzung von Geräten. IoT-Geräte sind solche, die Daten erfassen, speichern, verarbeiten oder übertragen können, bspw. Überwachungskameras, Webcams, Router, Digitale Videorekorder und Thermostate. Jedes dieser Geräte verfügt über eine eindeutige Adresse (URL) und kann über das Internet angesprochen werden.
Bei diesen Geräten handelt es sich zwar nicht um leistungsfähige Computer, dennoch können sie Server mit schädlichem Traffic überschwemmen.

Aber ein ganzer Kontinent ohne Internet?

Heise berichtete, dass das Mirai-Botnet die Internet-Infrastruktur von Liberia attackiert und das komplette Land vom Internet getrennt hat. Über ein aus Europa kommendes Untersee-Glasfaserkabel ist Liberia an das Internet angebunden.
Fast die ganze Westküste Afrikas geht über dieses Kabel online. Angenommen das Botnet würde weiter wachsen, könnten Cyberkriminelle einen halben Kontinent vom Internet trennen.

Wie oft finden solche Angriffe statt?

Die IT Security Risks Studie von Kaspersky Lab und B2B International zeigt, dass DDoS-Attacken keine Einzelfälle sind, vielmehr wurden Unternehmen im vergangenen Jahr Opfer mehrerer Angriffe. 79% gaben an, mehr als einmal angegriffen worden zu sein, und fast die Hälfte wurden sogar viermal oder öfter angegriffen.
Der Schaden ist nicht ausschließlich der Verlust von Reputation, sondern überdies mit hohen Folgekosten verbunden:

  • Bei kleinen Unternehmen Ø 100.000 €
  • Bei Großunternehmen sogar bis zu Ø 1,5 Mio. €

27 % der Unternehmen bemerkten erst aufgrund von Kundenhinweisen, dass sie Opfer einer Attacke waren. Mit einer frühzeitigen Erkennung und rechtzeitigen Maßnahmen ist es möglich den Schaden einzudämmen.
Mit der Digital Attack Map werden DDoS-Attacken weltweit visualisiert. Mit @MiraiAttacks gibt es einen live Feed über aktuelle Angriffe vom Mirai-Botnet.

Wie kann ich mich schützen?

Folgende Empfehlungen werden von US-CERT ausgesprochen:

  • Standardpasswörter durch sichere Passwörter ersetzen
  • Aktualisierung von IoT-Geräten um Sicherheitslücken zu schließen
  • Abschalten von Universal Plug and Play (UPnP) auf Routern, sofern dies nicht zwingend erforderlich ist
  • Kauf von IoT-Geräte nur von Unternehmen, die Wert auf Sicherheit legen

Wir von InterConnect empfehlen Ihnen außerdem Ihre Mitarbeiter zum Thema Sicherheit zu schulen. E-Mail-Anhänge mit infiziertem Inhalt werden öfter als erwartet geöffnet.
Ebenso wichtig ist es den Datenverkehr zu überwachen und gezielt nach verdächtigem Datenverkehr zu suchen, unter Umständen durch einen Remote-Dienst um Gefahren frühzeitig zu erkennen und einzugrenzen.

Was bringt die Zukunft?

Für den Angriff auf Dyn nutzten die Täter vermutlich nur 50.000 Geräte, etwa ein Zehntel des auf 500.000 geschätzte Mirai-Botnet. Mit Bashlite existiert ein noch weitaus größeres IoT-Botnet mit mehr als 1 Millionen. infizierten IoT-Geräten. Im Vergleich zu den bisher üblichen PC-Botnets wirken die IoT-Botnets fast schmächtig:
Das Mariposa-Botnet kontrollierte 12 Millionen, das Metulji-Botnet sogar 20 Millionen Computer.
Ein Angriff ist oft nur Mittel zum Zweck, um die Aufmerksamkeit weg von parallellaufenden Angriffen abzulenken, die auf sensible Firmen- oder Kundendaten abzielen; oder die Unternehmen erhalten Drohbriefe mit Geldforderungen, im Falle einer Nichtzahlung werden die Angriffe fortgesetzt und intensiviert.
IT-Security ist ein Thema, das schon seit geraumer Zeit an Bedeutung gewinnt. Diese aktuellen Geschehnisse sollten auf jeden Fall einen Denkanstoß zur Prüfung und Anpassung aktuell verwendeter Sicherheitskonzepte geben, dahingehend, sich proaktiv um Sicherheitsfragen zu kümmern.

 

 

Wir verwenden Cookies. Diese helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Website stimmst du der Erfassung von Informationen durch Cookies zu.  Mehr erfahren...

OK