Datenschutz im Jahr 2022: DDoS-Angriffe

Bei sogenannten „Distributed Denial of Service“(DDoS)-Angriffen handelt es sich um eine weitere permanente Bedrohung, die die Cybersicherheitslandschaft bestimmen wird. In diesem aktuellen Beitrag unserer Reihe zu den wichtigsten Cyberbedrohungen im Jahr 2022 werfen wir einen Blick auf DDoS-Angriffe durch die Brille unserer Analogie: das Haus als Zuhause unseres digitalen Selbst.

An dieser Stelle ist es wichtig anzumerken, dass DDoS-Angriffe sich von den in unseren vorausgegangenen Beiträgen dieser Serie in Augenschein genommenen Bedrohungen unterscheiden. Zunächst stellen DDoS-Angriffe an sich nicht automatisch eine Gefahr für von einer Organisation gehandhabte personenbezogene Daten dar. Jedoch ist allgemein bekannt, dass sie in der Vergangenheit dazu verwendet wurden, als Tarnung für oder Ablenkung von anderen böswilligen Handlungen zu dienen, die wiederum zu Datenschutzverletzungen führen können. Zweitens sind für die Verteidigung gegen DDoS-Angriffe sowohl Software- als auch Hardwarelösungen nötig, wobei sie insbesondere von letzteren abhängig ist.

Was sind DDoS-Angriffe?

Jeder Cybervorfall, in dem Angreifer einen Service unterbrechen und den Zugriff für berechtigte Anfragen verwehren, kann als Dienstverweigerungsangriff (engl. „denial of service attack“) angesehen werden. DDoS-Angriffe richten ihren Fokus auf eine Überladung der Infrastruktur, die einen Service zugänglich macht, anstatt auf die vom Service genutzten Systeme – ganz so, wie es auch traditionelle „Denial of Service“-Angriffe tun. So weit, so gut, nicht wahr...?

Lassen Sie uns noch einmal zum ersten Beitrag unserer Reihe zurückkehren, in dem wir die Nutzung eines Cloudservices mit dem Verwahren Ihres Reisepasses in einem Safe im Haus Ihres Nachbarn verglichen haben. DoS- und DDoS-Angriffe konzentrieren sich darauf, Ihnen den Zugriff auf Ihren Pass zu verweigern, anstatt ihn direkt zu stehlen. Wenn wir nun Ihren Pass durch eine in der Cloud gehostete und von einer Firma mit 5000 Mitarbeitern verwendete Aufgabenverwaltungssoftware ersetzen, ist es einfach nachzuvollziehen, warum ein verweigerter Zugriff auf diesen Service katastrophale finanzielle Konsequenzen für ein Unternehmen nach sich ziehen kann.

Aber wie funktionieren diese Angriffe? Auf hohem Niveau betrachtet gibt es drei Arten von DDoS-Angriffen, die einen gemeinsamen Nenner haben: eine massive Datenverkehrsflut. Jedoch bewirken sie diese mit unterschiedlichen Mitteln.

Angriffe auf der Anwendungsebene (auch bekannt als Ebene-7-Angriffe) zielen darauf ab, die Funktionsweise der Anwendungen, auf denen Cloudsysteme basieren, auszunutzen. Anstelle von Fehlern oder Schwachstellen haben sich diese Angriffe die vorgesehene Funktionalität der Software zur Zielscheibe gesetzt, um Probleme zu verursachen. Sie sind auf Funktionalitäten angewiesen, für die ein sehr geringer Datentransfer zwischen dem angreifenden Botnetz und den Servern erforderlich ist. Authentifizierung (also die Überprüfung von Anmeldedaten) ist ein Beispiel für eine solche Aktion: Eine E-Mail-Adresse und ein Passwort repräsentieren eine minimale Datenmenge, aber die Aufgabe, einen Nutzer zu authentifizieren, verlangt erheblich umfangreichere Serverressourcen.

Zurück zu unserer Analogie: Sie möchten Ihren Reisepass vor einer Reise ins Ausland von Ihrem Nachbarn abholen. Als Sie bei seinem Haus vorbeischauen, stehen bereits einhundert andere Personen vor der Haustür Schlange, die ebenfalls behaupten, dass sie wichtige Dokumente in dem Safe hinterlegt haben. Ihr Nachbar muss die Identität jeder einzelnen Person prüfen, um zu ermitteln, ob ihre jeweilige Behauptung der Wahrheit entspricht. Sie stehen in der Schlange hinter diversen anderen Personen, die sich allesamt als Lügner herausstellen. Letzten Endes sind jedoch so viele Personen vor Ihnen an der Reihe, dass Sie Ihren Flug verpassen.

DDoS-Angriffe auf Protokollebene richten den Fokus auf die Ressourcen der Netzwerkgeräte, wie z. B. Router und Verteiler, die es einem Gerät erlauben, eine Verbindung zum allgemeinen Internet herzustellen. Es gibt mehrere unterschiedliche Methoden für solche Angriffe. Zum Beispiel führt eine dieser Methoden dazu, dass Nutzern eine gefälschte Version einer Webseite oder Dienstleistung gezeigt wird, auf die sie zugreifen möchten. In unserer Analogie wären Sie hier auf dem Weg, um Ihren Pass abzuholen, aber werden unterwegs von Personen, die sich als Polizisten ausgeben, umgeleitet, bis Sie schließlich am falschen Haus landen. Dieses Haus sieht genauso aus, wie das Haus mit dem Pass im Safe, aber der Hausbesitzer ist nicht da. In der Zwischenzeit nutzen die Angreifer die Gelegenheit, sich auf den echten Safe und somit auf Ihre Dokumente Zugriff zu verschaffen.

Und bei volumetrischen Angriffen handelt es sich schließlich um eine Methode brachialer Gewalt, bei der eine Flut von Datenpaketen an die Server des Services gesendet wird, um deren gesamte Bandbreite und Ressourcen aufzubrauchen. Auch wenn diese Art von Angriffen weniger komplex sind, können sie dennoch extrem schädlich sein. Stellen Sie sich einmal vor, dass Sie sich auf dem Weg befinden, Ihren Pass abzuholen, aber im Stau feststecken. Als Sie endlich am Haus ankommen, haben sich tausende von Menschen darum herum versammelt und versuchen, ins Innere des Hauses einzudringen. Der Hauseigentümer hat sogar aus Angst aufgegeben, die Türen und Fenster zu versperren. Und in Wahrheit haben nur ungefähr vier der zweitausend Leute tatsächlich ihre Reisepässe in dem Haus hinterlegt.

Wie Sie sich gegen DDoS-Angriffe verteidigen können

Die Verteidigung gegen DDoS-Angriffe sieht völlig anders als die Bekämpfung der anderen Bedrohungen aus, die wir bereits in unseren bisherigen Beiträgen diskutiert haben. Auf der einen Seite der Gleichung bedarf es an der nötigen Pferdestärke und Bandbreite, um ein derartiges erhöhtes Verkehrsaufkommen und eine Zunahme der Anfragen zu handhaben. Jedoch sind beim Eintreten solcher böswilligen Handlungen noch weitere Tools notwendig: z. B. Geräte, die den echten Datenverkehr vom falschen Verkehrsaufkommen unterscheiden können, das Bestandteil des Angriffs ist. Auch ist es unerlässlich, Schutzvorrichtungen wie Lastenverteiler und Filter zwischen Ihren Services und dem weiteren Internet einzusetzen.

Die Bekämpfung von DDoS-Angriffen läuft auf vier Schritte hinaus:

1. Erkennung – also die Feststellung, dass ein erhöhtes Verkehrsaufkommen unrechtmäßig, unerwartet oder wiederkehrend ist. Haben Sie gerade einen bedeutenden Schlussverkauf gestartet? Dann ist das erhöhte Datenaufkommen wahrscheinlich legitim. Das Erkennen von unerwarteten Steigerungen des Anfragevolumens und erhöhten Verkehrsaufkommen in regelmäßigen Zeitabständen wird Ihnen dabei helfen, einen Angriff frühzeitig aufzudecken.
2. Im Anschluss müssen Sie mit der Filterung des bösartigen Datenverkehrs aus dem rechtmäßigen Datenaufkommen beginnen. Dies gewährleistet, dass allen Nutzern, die auf Ihren Service zugreifen müssen, dies auch tun können.
3. Der gefälschte Datenverkehr sollte auf DNS-Sinkholes umgeleitet und umverteilt werden, anstatt die für die Funktion Ihres Systems benötigten EDV-Ressourcen zu verstopfen.
4. Und zu guter Letzt sollten alle Daten, die mit dem Vorfall in Verbindung stehen, sowohl an Ihre Sicherheitsteams als auch an die Behörden Ihrer zuständigen Gerichtsbarkeit zur Analyse weitergeleitet werden.

Leider nimmt die Intensität von DDoS-Angriffen stetig zu. Der Rekord für den umfangreichsten erfassten Angriff wurde allein im Jahr 2021 zweimal gebrochen. Zuerst berichtete Yandex, dass das Unternehmen einen Angriff in Rekordgröße mit einem Spitzenbetrag von 21,8 Millionen Anfragen pro Sekunde erfolgreich abwehren konnte. Später verkündete auch Microsoft, dass ein Angriff mit einer Bandbreite von 3,47 Tbps und mit 340 Millionen Paketen pro Sekunde gekontert werden konnte.

Kann Verschlüsselung bei der Verteidigung gegen DDoS-Angriffe helfen?

Wir bei Tresorit sind der Überzeugung, dass echte Ende-zu-Ende-Verschlüsselung (e2ee) ein grundlegender Bestandteil eines jeden Firmen-Toolkits für Cybersicherheit sein sollte. DDoS-Angriffe haben sich als Tarnung für andere böswillige Aktivitäten entpuppt und lenken die für die Verteidigung gegen echte Bedrohungen notwendigen Ressourcen auf sich ab. Im Jahr 2016 war Linode dazu gezwungen, alle Nutzerpasswörter zurückzusetzen, nachdem Angreifer sich im Zuge eines DDoS-Angriffs Zugriff auf die Systeme des Cloudanbieters verschafft hatten.

Ein verschlüsselter Speicher kann beim Schutz der von Ihrem Unternehmen gespeicherten Daten hilfreich sein – egal, ob es sich um vertrauliche Geschäftsinformationen oder durch die DSGVO oder andere relevante Gesetze geschützte personenbezogene Daten handelt. Und die in Tresorit integrierten Features für den sicheren Datentausch werden Ihnen außerdem dabei helfen, jegliche Informationen zu Angriffen mit den zuständigen Behörden auf einfache und sichere Weise zu teilen.

Um Unternehmen und Privatpersonen gleichermaßen beim Schutz ihrer eigenen und der ihnen anvertrauten Daten zu helfen, haben wir im Zuge des Datenschutztags eine Reihe von Blogbeiträgen veröffentlicht, in denen wir die wichtigsten Cybersicherheits- und (im weiteren Sinne) Datensicherheitsbedrohungen im Jahr 2022 diskutieren möchten. Lesen Sie unsere bereits erschienenen Artikel und schauen Sie in den kommenden Wochen wieder vorbei, um mehr zu folgenden Themen zu erfahren:

• Zurück zu den Wurzeln – eine Definition von Sicherheit, Privatsphäre, Informationssicherheit und Datenschutz im Jahr 2022
• Wie Social Engineering (Phishing, Smishing) immer ausgefeilter wird
• Erpressersoftware ist auch im Jahr 2022 allgegenwärtig, aber ein Tunnelblick im Bereich Cybersicherheit kann ebenfalls zur Bedrohung werden
• Wie Lieferkettenangriffe, Schwachstellen in der Software von Drittanbietern und Sideloading Unternehmen weltweit beeinträchtigen könnten
• Man-in-the-Middle-Angriffe umgehen inzwischen TLS-Verschlüsselung in bestimmten Szenarien

Wir werden die Technologien hinter den jeweiligen Bedrohungen und die Unternehmen und Privatpersonen zur Verfügung stehenden Schutzmaßnahmen gegen diese Gefahren untersuchen sowie erkunden, wie Ende-zu-Ende-Verschlüsselung helfen kann. Schauen Sie demnächst wieder vorbei!