APT und gezielte Angriffe
DoS, die unterschätzte Bedrohung
Denial-of-Service (DoS) ist eine der ältesten Angriffsmethoden und immer häufiger politisch motiviert. Die ENISA hat 310 Vorfälle gründlich analysiert, um das Verständnis dafür zu verbessern und gibt Empfehlungen für die Vorsorge und den Schutz.
Denial-of-Service (DoS)-Angriffe stellten schon immer ein Sicherheitsproblem für Organisationen dar, von multinationalen Unternehmen bis hin zur örtlichen öffentlichen Bibliothek. Sie bringen wichtige Dienste zum Erliegen, beeinträchtigen den Ruf der Marke und treiben die IT-Kosten in die Höhe. In den letzten paar Jahren sind die DoS-Attacken für Angreifer einfacher, billiger geworden und werden mit mehr Aggressivität ausgeführt.
Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat nun ein Kompendium veröffentlicht. Durch eine sorgfältige Analyse der Beweggründe und Auswirkungen von DoS-Angriffen hilft dieser Bericht Organisationen, die Bedrohung zu verstehen und sich besser zu schützen, falls sie Ziel eines Angriffs werden. Zudem befassen sich die Autoren mit den technischen Entwicklungen von DoS-Angriffen und den zugrundeliegenden Motivationen, die sich mehr hin zu politischen und aktivistischen Agendas verlagert haben. Das lässt sich auch daran erkennen, dass die Attacken häufiger Regierungsbehörden betreffen, um deren politische Aktionen zu sabotieren.
Diese Erkenntnisse sind für unser Verständnis der modernen Cyber-Kriegsführung von entscheidender Bedeutung und zeigen, wie Kriege nicht nur am Boden und in der Luft geführt werden, sondern auch in den unsichtbaren Spektren von Daten und Netzwerken.
Klassifizierungsschema kategorisiert genauer
Der ENISA-Bericht stellt ein neuartiges Klassifizierungssystem vor, mit dem DoS-Angriffe genauer kategorisiert werden können. Dieses System berücksichtigt nicht nur die technischen Details der Angriffe, sondern auch die Art der Ziele. Die vorgeschlagene Klassifizierung zielt darauf ab, die strategische Erkenntnis zu verbessern und das Verständnis für dieser Art von Bedrohung und der möglichen Gegenmaßnahmen zu fördern. Auch ermöglicht es einen systematischeren Ansatz zur Analyse der Trends und Methoden der Angreifer.
Der Bericht bietet einen eingehenden Überblick über die Beweggründe und Ziele von DoS-Angriffen: DoS-Angriffe können finanziell motiviert sein, sei es, um Geld zu verdienen (durch Erpressung) oder um das Ziel durch die Unterbrechung seiner Dienste um Geld zu bringen. Der Beweggrund kann auch politischer oder aktivistischer Natur sein, wenn Bedrohungsgruppen versuchen, ein Zeichen zu setzen, Druck auszuüben, Krieg zu führen oder sich für eine Sache zu rächen. Soziale Beweggründe können ebenfalls eine Triebfeder für DoS-Angriffe sein, die auf Missgunst, persönlicher Anerkennung, Rache usw. beruhen. Strategie steckt dahinter, wenn die Angriffe vom Staat gesponsert werden oder darauf abzielen, einen strategischen Wettbewerbsvorteil im Unternehmenssektor oder in einer Kriegssituation zu erlangen.
DoS-Angriffe können verteilt sein (Distributed DoS) und stützen sich in der Regel auf groß angelegte Botnets oder Proxys. DoS-Angriffe können auch nicht-verteilt sein (DoS) und beruhen oft auf manuellen Angriffen und der Ausnutzung von Schwachstellen.
Die Autoren haben 310 verifizierte DoS-Vorfälle zwischen Januar 2022 und August 2023 analysiert, die entweder aufgrund der technischen Charakteristiken oder der Störungseffekte aus der Menge der Angriffe hervorstachen. Dazu zählte unter anderen der DDoS-Angriff gegen Microsoft Azure-Anwendungsschicht-Infrastruktur, angeblich nach der Nachricht einer möglichen Invasion der USA im Sudan.
Ein weiterer Fall war ein DDoS-Angriff gegen Krankenhäuser in den Vereinigten Staaten durch eine mit Russland verbundene Gruppe. Auf Telegram wurde behauptet, die Angriffe seien eine Vergeltung für die Unterstützung der Ukraine nach der russischen Invasion.
Auswirkungen
Im Allgemeinen ist kein Industriesektor immun gegen DoS-Angriffe, doch war die öffentliche Verwaltung mit 46 % aller dokumentierten Angriffe überproportional stark betroffen. Des Weiteren traf es in 11 % der Fälle das Transportwesen. Diese Statistik unterstreicht die strategische Bedeutung von Regierungsdiensten, die im Fokus von Angreifern stehen.
Die Analyse ergab, dass 66 % der Angriffe in erster Linie von politischen Motiven oder der Agenda von Aktivistengruppen getrieben wurden, was eine dramatische Verschiebung hin zu Cyberangriffen als Mittel der geopolitischen Einflussnahme verdeutlicht. Was das Ziel der Angriffe anbelangt, so zeigt die Untersuchung, dass fast 43 % der beobachteten Vorfälle als Vergeltung oder Rache gegen ein Ziel gedacht waren. Der Großteil dieser Angriffe wurde von pro-russischen Hacktivistengruppen verübt, die Angriffe gegen alle Länder oder Organisationen durchführen, die sich gegen Russlands Invasion in der Ukraine stellen oder die Ukraine unterstützen.
Neu sind Denial-of-Service-Angriffe zu Trainingszwecken von Angreifern, die sich in der Kunst des DoS üben. Dabei geht es um kleinere Ziele, um Erfahrungen zu sammeln, die ihnen den Weg für Angriffe auf größere und wichtigere Ziele ebnen. Ein Beispiel für eine solche Aktivität ist die Hackergruppe Killnet, die Angriffe auf den öffentlichen Sektor Italiens.
Etwa 50 % der DoS-Vorfälle standen im Zusammenhang mit dem russischen Angriffskrieg gegen die Ukraine und spiegeln die Verschärfung der Cyberkonflikte im Zusammenhang mit den internationalen Spannungen wider, was auf eine enge Verflechtung der Cyberoperationen mit der aktuellen Kriegsführung hinweist.
Dem Bericht zufolge führte eine Mehrheit von 56,8 % der Angriffe zu einer vollständigen Unterbrechung der angegriffenen Dienste. Das sind schwerwiegende Folgen dieser Angriffe für die Kontinuität und Zuverlässigkeit kritischer Dienste. Bei 24,8 % der Vorfälle lagen keine Informationen über die Dauer des Vorfalls vor. Dies verdeutlicht einen weiteren Aspekt von DoS-Angriffen, der im Gegensatz zu anderen Arten von Cyber-Bedrohungen, in der Berichterstattung wenig Beachtung findet.
Der eindeutige Trend dieser Angriffe geht zum Einsatz der Attacken als Instrument für geopolitische Auseinandersetzungen und soziale Störungen. Die Angriffe auf die öffentliche Verwaltung stellen einen kalkulierten Angriff auf gesellschaftliche Funktionen dar, der nicht nur auf Störung, sondern auch auf Destabilisierung abzielt.
Da zwei Drittel dieser Vorfälle politisch motiviert sind, ist es offensichtlich, dass die Cybersicherheit über die Technologie hinausgeht und zu einem integralen Bestandteil der nationalen Sicherheit und der internationalen Beziehungen geworden ist.
Eine proaktive Verteidigung
Die erheblichen Auswirkungen dieser Angriffe auf kritische Dienste machen deutlich, dass dringend robuste Cybersicherheitsmaßnahmen erforderlich sind, die den sich weiterentwickelnden Techniken der Gegner standhalten und die inhärente Widerstandsfähigkeit wichtiger Systeme erhalten können.
ENISA gibt mehrere wichtige Empfehlungen für öffentliche Verwaltungen zur proaktiven Verteidigung gegen DoS-Angriffe:
Prävention
Zu den Präventionsmaßnahmen gehören eine gründliche Bedrohungsmodellierung, Risikobewertungen, die Ermittlung von Schwachstellen und das Verständnis der sich entwickelnden Bedrohungslandschaft.
- Setzen Sie Prioritäten beim Schutz kritischer Infrastrukturen, staatlicher Dienste und Medien.
- Nutzen Sie für Unternehmen mit hohem Risiko CDNs (Content Delivery Networks), ISP-Schutz, Abhilfemaßnahmen von Cloud-Anbietern und Lösungen vor Ort.
- Layer-7-Angriffe erfordern maßgeschneiderte Schutzmaßnahmen. Implementieren Sie automatische statt manuell zu bedienende Schutzlösungen, um schneller reagieren zu können.
- Berücksichtigen Sie den Datenschutz und die rechtlichen Implikationen, wenn Sie Cloud-basierte DoS-Schutzstrategien verwenden, um Vorschriften wie GDPR einzuhalten.
Wiederherstellung
Nach einem DoS-Angriff ist eine schnelle Behebung entscheidend, um den Schaden zu minimieren und den regulären Betrieb wiederherzustellen. Ein solider Plan umfasst Sofortmaßnahmen wie die Bestätigung des Angriffs, die Überprüfung von Präventivmaßnahmen und die Beauftragung von Schutzdiensten Dritter, falls erforderlich.
Kommunikation ist der Schlüssel; die Information der Partner über mögliche Ausfallzeiten ist unerlässlich. Bei der Formulierung einer öffentlichen Erklärung müssen Unternehmen zwischen Transparenz und dem Risiko, weitere Angriffe zu provozieren, abwägen. Öffentliche Bestätigungen könnten die Situation verschlimmern, indem sie die Aufmerksamkeit der Angreifer auf sich ziehen. Trotz der Komplexität ist die Meldung des Angriffs an die Behörden für eine bessere Verteidigungsstrategie unerlässlich.
Fazit
Die sich ausweitende DoS-Landschaft lässt vermuten, dass neue Angriffsvarianten auftauchen werden, die zusätzliche Klassifizierungsmerkmale erfordern. Der Wandel von DoS-Angriffen ist nicht nur technischer Natur. Laufende bewaffnete Konflikte, wie die russische Aggression in der Ukraine, beeinflussen die aktuellen Bedrohungen. Es ist wichtig, die Motive der Angreifer zu verstehen. Motive wie Rache, Vergeltung und Kriegsführung sind in letzter Zeit immer häufiger der Grund für DoS-Angriffe.
Öffentliche und staatliche Infrastrukturen sind wichtige Ziele für Bedrohungsakteure, denn DoS-Angriffe darauf erregen die Aufmerksamkeit der Medien und betreffen Organisationen jeder Größe. Eine Verbesserung der Mechanismen zur Erkennung und Meldung von Angriffen ist für eine bessere Reaktion und Unterstützung unerlässlich.
Den vollständigen Bericht können Sie auf der ENISA-Website lesen.