Link11. Distributed Denial of Service Report für die DACH-Region

Transkript

1 Link11 Distributed Denial of Service Report für die DACH-Region Q1 2016

2 Im 1. Quartal 2016 stieg die Anzahl der DDoS-Attacken um 29,6%. Besonders bedrohlich ist die Zunahme der Hyper-Attacken um 625%.

3 Inhaltsverzeichnis 1. Überblick Executive Summary Bedrohungslage für die DACH-Region Analyse der DDoS-Angriffe Attackendauer Downtimes unzureichend geschützter DDoS-Ziele Attackenstärke DDoS-Angriffsvektoren Reflection-Attacken nach Quellenländern Zunahme von DDoS-Erpressungen Gutes Botnetz, böses Botnetz Fallstudie: DDoS-Gefahr für Kinobetreiber Schutzmöglichkeiten gegen DDoS-Attacken Ausblick auf die Bedrohungslage Impressum 27 03

4 Methodik Der Link11 DDoS-Report für die DACH-Region basiert auf Daten von ca abgewehrten Attacken auf Webseiten und Server, die durch Link11 geschützt sind. Die Zahlen und Daten wurden im Zeitraum vom 1. Januar bis zum 31. März 2016 erhoben und decken damit das gesamte 1. Quartal ab. Die Attacken zielten auf Unternehmen aller Größenordnungen und aus fast allen Branchen wie ITK, Online-Handel, Finanzen, Versicherungen sowie Medien. Neben Netzwerk-Analysen stützt sich der Link11 DDoS-Report für die DACH-Region auch auf Open Source Intelligent Analysen (OSINT). Link11-Analysen zu aktuellen DDoS-Sicherheitsvorfällen wie den DDoS-Erpressungen durch Armada Collective, Gladius und RedDoor liefern weitere detaillierte Informationen. Über Link11 Die Link11 GmbH mit Sitz in Frankfurt am Main ist ein deutsches IT-Unternehmen mit Kernkompetenzen in den Bereichen DDoS- Schutz und Server Hosting. Mit der DDoS Protection Cloud hat Link11 im Jahr 2011 ein neues und innovatives Produkt erfolgreich am Markt etabliert. Dieser Link11 DDoS-Schutz ist bereits zum Patent angemeldet und ermöglicht es, jede Webseite oder ganze Serverinfrastrukturen vor DDoS-Angriffen zu schützen. Für ihre innovativen DDoS-Schutzlösungen wurde Link mit dem Deutschen Rechenzentrumspreis ausgezeichnet. Alle 2 Minuten stand ein Unternehmen in der DACH-Region unter einer DDoS-Attacke. Neben DAX-Konzernen zählt Link11 führende Unternehmen aus den Bereichen E-Commerce, Finanzen & Versicherung, Medien und Produktion als Kunden. Mit Netzwerkstandorten und eigenen Glasfaserstrecken zwischen Frankfurt, Amsterdam und London gehört Link11 heute zu den großen DDoS-Filter-Anbietern weltweit. Der kontinuierliche Ausbau des Netzes umfasst aktuell weitere Standorte in der Schweiz, Asien und den USA. Über das LSOC Ein Team aus erfahrenen DDoS-Schutzexperten bildet das Link11 Security Operation Center (LSOC). Im 24/7-Betrieb betreut es namhafte deutsche, österreichische und Schweizer Unternehmen beim Schutz vor Cybercrime und DDoS-Attacken. Die Weiterentwicklung des Link11 DDoS-Filter-Clusters und der permanente Ausbau der dafür benötigten Infrastrukturen liegen ebenfalls im Zuständigkeitsbereich des LSOC. Die Ergebnisse seiner Arbeit und die Analysen der Angriffe veröffentlicht das LSOC regelmäßig in Reports.

5 1. Überblick Die Zahl von DDoS-Attacken ist im 1. Quartal 2016 im Vergleich zum vorherigen Quartal um 29,6% gewachsen. Das LSOC hat fast DDoS-Attacken auf Ziele in Deutschland, Österreich und der Schweiz abgewehrt (Q4 2015: 5.339). Alle zwei Minuten steht damit ein Unternehmen unter DDoS-Attacke. Die hohe Angriffszahl bedeutet für die Wirtschaft in der DACH-Region ein gesteigertes Risiko von DDoS-Attacken getroffen zu werden. Die größte Attacke, die das LSOC im 1. Quartal 2016 gemessen und abgewehrt hat, betrug über 147 Gigabit pro Sekunde (Gbps). Der Spitzenwert im 4. Quartal 2015 lag bei 104 Gbps. Bei dem 147-Gbps-Angriff handelte es sich um eine Vier-Vektoren-Attacke mit UDP-Floods-, UDP-Fragments-, DNS-Reflection- und ICMP-Floods-Techniken. Als Spitzenwert bei der Datenübertragungsrate konnte das LSOC einen Wert von über 47 Millionen Paketen pro Sekunde (pps) nachweisen (Q4 2015: 32,9 Mio pps). Die dazugehörige DDoS-Attacke zielte auf einen Online-Händler und kombinierte im Verhältnis 10:1 die zwei Angriffsvektoren UDP Floods und TCP SYN Floods. Der Anteil von Volumenattacken im Verhältnis zu Applikationsattacken ist weiter gestiegen. Im 1. Quartal 2016 machten Angriffe auf Netzwerkebene 98,1% aller Attacken aus. DDoS-Angreifer nutzten am häufigsten UDP Floods (29,2%), um ihr Ziel zu attackieren, gefolgt von TCP SYN Floods (18,7%) und UDP Fragments (17,2%). Bei 3 von 5 Volumenattacken handelte es sich um Multivektor-Angriffe. Ihr Anteil stieg im Vergleich zum vorherigen Quartal um 18,1%. Die Kombination aus drei Vektoren (36,3%) und zwei Vektoren (26,3%) sind dabei die Regel. Bei den abgewehrten Attacken konnte das LSOC einen Angriff mit neun und einen mit acht Vektoren nachweisen. 3. Bedrohungslage für die DACH-Region Der folgende DDoS-Report Q führt die mit dem DDoS-Report Q begonnene detaillierte Betrachtung von DDoS-Attacken und DDoS-Erpressungen für die drei Länder Deutschland, Österreich und Schweiz fort. Der Bericht konzentriert sich auf die Auswertung verschiedener Attacken-Merkmale im ersten Quartal diesen Jahres und vergleicht sie mit den Kennzahlen aus dem DDoS-Report Q Eine Analyse zu DDoS-Erpressungen in den ersten drei Monaten von 2016 und eine Case Study zu DDoS-Angriffen auf Kinobetreiber in Deutschland ergänzen das Lagebild. Entscheider und IT-Verantwortliche sollen mit dem Link11 DDoS-Report Q einen Überblick über die aktuelle Bedrohungslage erhalten. Aussagekräftige Statistiken und fundierte Analysen werden ihnen helfen, das eigene DDoS-Risiko besser einzuschätzen und die verschiedenen Infrastrukturen im Unternehmen effizienter zu schützen. 2. Executive Summary Im 1. Quartal 2016 waren DDoS-Attacken und DDoS-Erpressungen fast täglich in den Medien. In allen drei Ländern der DACH-Region schlugen unterschiedliche Tätergruppen mit unterschiedlichen Motiven in hoher Frequenz zu. Schweiz: Die DDoS-Gefahrenlage war so ernst, dass das ME- LANI/Govcert.ch am 11. März des Jahres vor erneuten DDoS-Erpressungen von Finanzunternehmen durch Armada Collective warnte. 1 Kurz darauf übernahm eine Gruppe von Grey Hats, die sich hinter der Abkürzung NSHC versteckte, die Verantwortung für DDoS-Attacken auf zahlreiche Online-Shops in der Schweiz. Zu den Opfern von NSHC zählten neben den E-Commerce-Angeboten von Interdiscount und Microspot auch die Schweizerische Bundesbahn (SBB). Als Motiv gaben die Angreifer an, in der Schweiz eine Diskussion über die unzureichende Sicherheit des Landes gegen Cyberangriffe starten zu wollen. Österreich: Die Regierung in Österreich plant derzeit ein neues Gesetz zum Thema IT-Sicherheit. Die mehrtägige DDoS-Attacke auf die Telekom Austria ab dem 30. Januar bewies, wie wichtig ausreichende Schutzmaßnahmen zur Sicherstellung von Performance und Verfügbarkeit sind. Nach Angaben des Unternehmens waren 2,3 Millionen Festnetz- und 5,4 Millionen Mobilfunkkunden von den Ausfällen betroffen und die Dimension des Angriffs bislang einmalig. 2 Deutschland: Laut CERT-Bund sind DDoS-Attacken aktuell die zweithäufigste Angriffsform auf Webseiten der Bundesverwaltung. 3 DDoS-Angriffe auf Regierungswebseiten sind häufig politisch motiviert, während Angreifer bei Unternehmen oft Bitcoins erpressen wollen. Für Deutschland registrierte das LSOC im 1. Quartal 2016 gleich zwei neue Erpresserbanden. Die Gruppe Gladius nahm Online-Apotheken ins Visier. Die Täter von RedDoor richteten ihre DDoS-Erpressungen ausschließlich gegen Online-Shops (siehe auch Seite 20 und 21). Das LSOC warnte im März 2016 außerdem in Deutschland vor erneuten DDoS-Erpressungen im Namen des Armada Collective. 1 Quelle: MELANI / SGCERT, Details siehe S Quelle: Handelsblatt.com, Details siehe S Quelle: Allianz für Cybersicherheit, Details siehe S. 27 LINK11.DE Bedrohungslage für die DACH-Region 05

6 4. Analyse der DDoS-Angriffe 4.1. Attackendauer DDoS-Superlative Im 1. Quartal 2016 betrug die Angriffsdauer bei der Mehrheit der Attacken weniger als eine Stunde. Während die Gesamtzahl der Attacken im Vergleich zum vorherigen Quartal gestiegen ist, verblieb die durchschnittliche Attackendauer bei unter 60 Minuten. Damit setzt sich der Trend fort, dass Angreifer kleine, kurze Angriffe bevorzugen. Mit solchen minutenkurzen DDoS-Attacken testen die Täter die Verwundbarkeit von Servern und identifizieren so potenzielle Opfer für Folgeattacken. Das LSOC hat diese Impuls-Attacken bereits im DDoS-Report Q detailliert beschrieben. 29 Hyper-Attacken Für 29 Attacken konnte das LSOC Spitzenbandbreiten von über 80 Gbps nachweisen. Angriffe in dieser Größenordnung klassifiziert das LSOC als Hyper-Attacken. Interessante Abweichungen von diesem Muster stellen Angriffe von mehreren Stunden dar. Dabei richten sich die vom LSOC erfassten Attacken ausschließlich gegen gut geschützte Ziele. In der Regel verfolgen die Angreifer genau mit, ob die gestartete Attacke Erfolg hat und die attackierten Server und Infrastrukturen offline gehen. Bleiben die Attacken ohne Wirkung, brechen die Angreifer meistens ab. Sie schonen so ihre Ressourcen und konzentrieren sich auf ein neues Ziel. Das LSOC hat hingegen auch Dutzende von Attacken abgewehrt, bei denen die Angreifer über Stunden nicht von ihrem Ziel abließen. Um über mehrere Stunden Angriffsbandbreiten von bis zu 36 Gbps zu erzeugen, arbeiteten die Täter vornehmlich mit UDP Floods und TCP SYN Floods. 2 min Alle 2 Minuten stand ein Unternehmen in der DACH-Region unter einer DDoS-Attacke. 147,5 Gbps Die größte Attacke, die das LSOC im 1. Quartal 2016 gemessen und abgewehrt hat, betrug über 147 Gbps. Der Trend zu Impuls- Attacken setzt sich fort. Angreifer bevorzugen kleine, kurze Angriffe. 47,2 Mio pps Bei einer Attacke konnte das LSOC eine Paketrate von über 47 Mio pps messen. Das war der Rekordwert im 1. Quartal Analyse der DDoS-Angriffe Attackendauer LINK11.DE

7 Verteilung der Angriffsdauer innerhalb des Quartals Vergleichswerte Q Alle mitigierten und analysierten DDoS-Attacken zusammen ergaben eine Gesamtangriffsdauer von 779 Stunden bzw Minuten. Das ist eine Steigerung von 27% im Vergleich zum vorherigen Untersuchungszeitraum. In den ersten drei Monaten stand alle 2 Minuten ein Opfer in der DACH-Region unter einer DDoS-Attacke. Zum Vergleich: Im 4. Quartal 2015 betrug die Angriffsdauer in Summe noch 613 Stunden. 25k min 15k min min 10k 5k 1k Oktober November Dezember Januar Februar März Angriffsstärkster Monat im 1. Quartal war der März Minuten lang liefen in diesem Monat Attacken gegen Unternehmen, die durch Link11 geschützt sind. Das waren 43,8% der Gesamtangriffsdauer von Minuten. Seit der Veröffent- lichung des ersten DDoS-Reports für die DACH-Region ist das der bisherige monatliche Spitzenwert. Januar und Februar verzeichneten mit Minuten und Minuten ein deutlich geringeres Aufkommen von DDoS-Angriffen. LINK11.DE Analyse der DDoS-Angriffe Attackendauer 07

8 4.2 Downtimes unzureichend geschützter DDoS-Ziele In den ersten drei Monaten des Jahres 2016 gab es wieder zahlreiche Fälle von Ausfallzeiten und schweren Beeinträchtigungen durch DDoS-Attacken. Wie schon im vorherigen Quartal brachen unzureichend geschützte Webseiten und Online-Services von Wirtschaftsunternehmen, Verlagen sowie Logistikdienstleistern unter der Anfragelast ein. Der Fall des Schweizer Unternehmens Digitec zeigt eindrücklich, dass die Folgen von DDoS-Attacken sehr viel weiter als bis zur Webseite reichen können. Die wiederholten und lang anhaltenden Angriffe Mitte März gegen den Online-Händler von Unterhaltungselektronik ließen neben dem Online-Shop auch das ERP-System ausfallen. Die Folge: Die Verkaufsfilialen und das Callcenter, das den Kundenservice abwickelt, fielen ebenfalls aus. DDoS-Attacken wie gegen die österreichische A1 und die Schweizer Digitec zogen sich über Tage hin. Eine Auflistung für das 1. Quartal 2016 zeigt, wie unterschiedlich lange ausgewählte Unternehmen und Online-Services nach DDoS-Angriffen offline waren: 168 h DDoS-Attacken auf das Datennetz des österreichischen Telekommunikationsanbieters A1 verursachen ab dem 30. Januar über eine Woche lang Störungen im mobilen und Festnetz-Internet. 96 h Langanhaltende DDoS-Attacken führen beim Schweizer Online-Händler Digitec ab dem 12. März über einen Zeitraum von ca. 96 Stunden immer wieder zu Ausfällen und schweren Beeinträchtigungen. 10 h Die britische Bank HSBC wird am 29. Januar Opfer eines DDoS-Angriffs. Internet- und Mobile-Banking sind für Millionen von Kunden mehr als 10 Stunden nicht erreichbar. 10 h Die Webseite der kasachischen Nachrichtenagentur zakon.kz ist am 19. Januar von 17 Uhr bis 3 Uhr am nächsten Morgen für insgesamt 10 Stunden wegen DDoS-Attacken offline. 6 h Der japanische Autohersteller Nissan nimmt am 13. Januar seine nationalen sowie internationalen Webseiten nach DDoS-Attacken durch Anonymous für mindestens 6 Stunden vom Netz. 4 h Vom 7. auf den 8. Januar ist die europäische Bitcoin-Börse BTC-e für insgesamt 4 Stunden nicht erreichbar. Laut Betreibern lief das Trading-Geschäft trotz DDoS-Attacken dennoch weiter. 3,5 h DDoS-Attacken durch die Gruppe Anonymous stürzen den größten japanischen Flughafen Narita am späten Abend des 22. Januars für 3,5 Stunden ins Chaos, da die Webseite ausfällt. 2 h Der Jackpot von 12 Millionen Euro steht in Irland am 20. Januar kurz vor der Auslosung, als DDoS-Attacken die Lotto-Webseite und die Lottoschein-Terminals für 2 Stunden überfluten. 0,5 h Die DDoS-Erpresserbande Gladius setzt Anfang Februar deutsche Online-Apotheken mit Warnattacken unter Druck. Deren Webseiten sind für mindestens eine halbe Stunde offline. 08 Analyse der DDoS-Angriffe Downtimes LINK11.DE

9 4.3 Attackenstärke Im 1. Quartal 2016 betrug die mittlere Attackenstärke 3,3 Gbps. Damit ist sie im Vergleich zum vorherigen Quartal um 10% gestiegen. In den letzten drei Monaten des Jahres 2015 lag die durchschnittliche Angriffsbandbreite noch bei 3 Gbps. Das LSOC erwartet, dass die Bandbreitenstärke der Angriffe in den nächsten Monaten weiter wachsen wird. Als besorgniserregend schätzt das LSOC die Zunahme der Hyper-Attacken von über 80 Gbps ein. Während das LSOC im 4. Quartal 2015 nur bei 4 Angriffen Attackenstärken von über 80 Gbps gemessen hat, waren es im aktuellen Untersuchungszeitraum 29 Angriffe. Das bedeutet eine Steigerung von 625%. 24 Attacken übertrafen sogar die 100 Gbps-Marke. Der Höchstwert bei der Datenüberübertragungsrate lag im 1. Quartal 2016 bei 47,2 Millionen pps (Q4 2015: 32,9 Millionen pps). Im Vergleich zum vorherigen Quartal bedeutete das eine Steigerung um 43%. Im Durchschnitt erreichten die Angriffe eine Paketrate von 12,9 Millionen pps. Bandbreite 120 Gbps Gbps Gbps Gbps Gbps <5 Gbps 5-10 Gbps Gbps Gbps 40-80Gbps >80 Gbps Klassifizierung LINK11.DE Analyse der DDoS-Angriffe Attacken-Stärke 09

10 4.4 DDoS-Angriffsvektoren Volumenattacken dominierten die vom LSOC untersuchten DDoS-Angriffe mit 98,1%. Applikationsattacken kamen nur auf einen verschwindend geringen Anteil von 1,9%. Zum Vergleich: Im 4. Quartal 2015 identifizierte das LSOC 94,9% aller Angriffe als Volumenattacken. Der Anteil der Angriffe auf Applikationsebene betrug noch 5,1%. Der häufigste Angriffsvektor bei Volumenattacken waren und sind UDP Floods mit 29,2% (Q4 2015: 49,5%). 18,7% (Q4 2015: 12,2%) der Angriffe basierten auf TCP SYN Floods. 17,2% (Q4 2015: 13,3%) der Attacken nutzten UDP Fragments. Angriffe unter Einsatz von NTP-Reflection-Technologien (5,6%) nahmen im Vergleich zum vorherigen Quartal um 33% ab (Q4 2015: 8,3%). Bei DNS Reflection stieg hingegen der Einsatz auf 10,6% (Q4 2015: 6,5%). Unter dem Oberbegriff Gaming-Server-Reflection fasste das LSOC DDoS-Angriffe über gekaperte Gaming-Server wie Half-Life und Battlefield 4 zusammen. Sie kamen bei 3,3% der untersuchten DDoS-Attacken zum Einsatz. Die meisten Multivektoren- Angriffe erfolgten über drei verschiedene Vektoren. Bei 41,2% der vom LSOC analysierten Attacken beschränkten sich die Angreifer auf nur einen Angriffsvektor (Q4 2015: 50,2%). Ein-Vektor-Attacken wurden fast immer über UDP Floods und UDP Fragments realisiert. Vereinzelt konnte das LSOC aber auch DDoS-Attacken nachweisen, die ausschließlich Gaming-Server- Reflection einsetzten. Multivektor-Attacken machten den Großteil der untersuchten DDoS-Attacken aus: 58,8% (Q ,8%). Ihr Anteil stieg im Vergleich zum vorherigen Quartal um 9%. Wie viele Vektoren und wie lange die Angreifer sie einsetzen, schwankt von Attacke zu Attacke. Die meisten Multivektoren-Angriffe erfolgten über drei Vektoren (36,3%). Im DDoS-Report Q kamen Attacken mit drei Vektoren noch auf 34,3%. Zwei-Vektoren-Angriffe rangierten mit 26,3% (Q4 2015: 39,1%) nur noch knapp auf Platz zwei vor Vier-Vektoren-Attacken mit 25,5% (Q4 2015: 16,6%). Bei der größten gemessenen Attacke mit 147,5 Gbps arbeiteten die Angreifer mit UDP-Floods-, UDP-Fragments-, ICMP-Floodsund DNS-Reflection-Techniken. Dabei dominierten UDP Floods und UDP Fragments. Die Kombination aus den vier genannten Angriffsvektoren ist nach Analysen des LSOC typisch für großvolumige Attacken: Sie kamen bei 13 der 29 Hyper-Attacken zum Einsatz. DDoS-Attacken mit mehr als sieben Angriffsvektoren sind selten. Dennoch konnte das LSOC im 1. Quartal 2016 je eine Attacke mit acht und eine mit neun verschiedenen Vektoren abwehren und dann analysieren. Die einzelnen Vektoren mussten mit mindestens 1% am Angriffstraffic beteiligt sein. 10 Analyse der DDoS-Angriffe DDoS-Angriffsvektoren

11 Angriffsvektoren Vergleichswerte Q Verteilung der einzelnen Vektoren ausgehend von der Gesamtzahl der Attacken. UDP Floods sind der dominierende Vektor vor TCP SYN Floods und UDP Fragments. UDP Floods TCP SYN Floods UDP Fragments 49,4% 29,2% 12,2% 18,7% 13,3% 17,2% DNS Reflection ICMP Floods NTP Reflection 6,5% 10,6% 6,5% 7,1% 8,3% 5,6% Chargen Gaming-Server-Reflection SSDP Reflection 3,2% 3,9% N/A 3,3% 3,2% 2,9% Other 1,5% (Teamspeak 0,8% - Sentinel 0,3% - SNMP 0,2% - RIP 0,1% - Portmap 0,1%) Anzahl von eingesetzten Vektoren in Multivektor-Attacken Vergleichswerte Q Angreifer kombinieren am häufigsten zwei bis vier Vektoren. Attacken mit mehr als sieben Angriffsvektoren sind die Ausnahme. 3 Vektoren 2 Vektoren 4 Vektoren 34,3% 36,3% 39,1% 26,3% 16,6% 25,5% 5 Vektoren 6 Vektoren 7 Vektoren 6,7% 2,5% 0,6% 8,6% 2,5% 0,7% 8 Vektoren 9 Vektoren N/A 0,1% 0,02% 0,02% LINK11.DE DDoS-Angriffe DDoS-Angriffsvektoren 11

12 Die Angreifer zielten erfolglos mit einer Neun-Vektoren- Attacke auf einen deutschen E-Commerce-Betreiber. 12 DDoS-Angriffe Multivektor-Angriffe LINK11.DE

13 Analyse einer DDoS-Attacke mit acht und neun Angriffsvektoren Als Ziel ihrer Neun-Vektoren-Attacke hatten sich die Angreifer ein E-Commerce-Unternehmen in Deutschland ausgewählt. Die Angriffsvektoren waren UDP Floods (48,5%), TCP SYN Floods (21,4%), UDP Fragments (10,9%), Chargen (6,7%), NTP (4,3%) und DNS Reflection (1,2%), SNMP (2,9%), Portmap (2,7%) und ICMP Floods (1,4%). Die Angreifer erreichten mit ihrer Multiektoren-Kampagne eine Angriffsbandbreite von 5,3 Gbps und eine Datenübertragungsrate von pps. Der meiste DDoS-Traffic für diese Attacke kam aus den USA (25,9%), China (20,1%), Russland (4,2%), Japan (3,1%) und Südkorea (3,1%). Die Attacke mit acht verschiedenen Angriffsvektoren hat das LSOC ebenfalls detailliert untersucht. Die dominierenden Vektoren waren UDP Fragements und DNS Reflection: UDP Fragments (46,6%), DNS Reflection (25%), TCP SYN Floods (8,2%), NTP Reflection (7,2%), Half-Life (5,3%), UDP Floods (3,8%) und ICMP SYN Floods (2,4%). Ziel des Angriffs war ein deutsches Rechenzentrum. Die Angreifer brachen ihre Acht-Vektoren-Kampagne bereits nach 5 Minuten wieder ab. Zur zeitlichen Verteilung der Vektoren hat das LSOC herausgefunden, dass UDP Fragments als einziger Angriffsvektor während der gesamten Angriffsdauer eingesetzt wurde. DNS Reflection startete in der zweiten Attacken-Minute. NTP Reflection kam erst in der letzten Angriffsminute zum Einsatz. Half-Life konnte das LSOC in den beiden ersten und den beiden letzten Minuten nachweisen. Die übrigen Vektoren kamen nur minutenweise zum Einsatz. Als wichtigste Quellenländer identifizierte das LSOC Russland (19,7%), die USA (13,4%), die Ukraine (6,6%), Brasilien (5,9%) und China (4%). Der Einsatz von neun verschiedenen Vektoren in einer Attacke ist aus Sicht des LSOC die Ausnahme. Die neun Vektoren traten im Attackenverlauf zeitlich versetzt und unterschiedlich lange auf. UDP Floods 15min TCP 10min UDP Fragments 15min Chargen 15min NTP 2min SNMP 7min Portmap 2min DNS 2min ICMP 3min Angriffsdauer 5min 10min 15min LINK11.DE Analyse der DDoS-Angriffe DDoS-Angriffsvektoren 13

14 4.5 Reflection-Attacken nach Quellenländern DDoS-Attacken mit DNS-Reflection-, NTP-Reflection- und SSDP-Reflection-Techniken gehörten auch im 1. Quartal 2016 zum Standardrepertoire der Angreifer. Offene DNS-Server verstärkten bei 10,6 % der Attacken die Angriffsbandbreite (Q4 2015: 6,5%). Das bedeutet eine Wachstumsrate von 63%. Der Einsatz von SSDP Reflection zeigt sich relativ konstant mit ca. 3% (Q1 2016: 2,9%, Q4 2015: 3,2%). Angriffe unter Einsatz von NTP-Reflection-Technologien (5,6%) nahmen im Vergleich zum vorherigen Quartal um 33% ab (Q4 2015: 8,3%). Sehr viele Unternehmen und Hosting-Anbieter verfügen über einen Name-Server. Für die Angreifer ist es relativ leicht, diese DNS-Infrastrukturen für DDoS-Reflection-Attacken zu missbrauchen und sehr große Antwortpakete an die gespoofte IP-Adresse senden zu lassen. Die Einführung der DNS Security Extensions (DNSSEC) im Jahr 2010 spielt den Angreifern zusätzlich in die Hände. Die Sicherheitstechnik soll die erhaltenen DNS-Zonendaten verifizieren und Missbrauch vorbeugen. Damit die DNS-Einträge signiert werden können, sind sehr große Antwortpakete nötig. Schickt der Angreifer eine Anfrage von 44 Bytes an eine Domain, die den DNSSEC-Standard unterstützt, kann er eine über Bytes große Antwort generieren. In der Masse über viele Tausende DNS-Server erzeugt das einen gewaltigen Angriffstraffic. Administratoren können ihre Name-Server so konfigurieren, dass sie wiederholte manipulierte Anfragen erkennen und ignorieren. Experten weisen allerdings seit langem darauf hin, dass es noch zu viele offene rekursive DNS-Server gibt. Laut Open Resolver Projekt ist ihre Zahl leicht zurückgegangen. Anfang des 1. Quartals 2016 wurde ihre Zahl auf beziffert. Ende März 2016 betrug die Zahl nur noch DNS-Server. 4 Diese Server akzeptieren dieselbe Anfrage von einer gespooften IP-Adresse und zwar immer und immer wieder. 4 Quelle: Open Resover Project, Details siehe Seite 27 Der Anteil der DNS-Reflection-Attacken wuchs im Vergleich zum vorherigen Quartal um 63%. 14 Analyse der DDoS-Angriffe DNS-Reflection-Attacken

15 Top10 der Quellenländer & DACH-Verteilung bei DNS-Reflection-Attacken Offene und rekursive DNS-Server, die für DDoS-Attacken missbraucht werden, sind auf der ganzen Welt verteilt. An der Spitze der Länder, aus denen das LSOC DNS-Angriffstraffic nachweisen konnte, steht weiterhin Russland (19,9%, Q4 2015: 23,8%) vor den USA (9,9%, Q4 2015: 8,8%). Die Ukraine (6,4%, Q4 2015: 7,4%) verdrängt Brasilien (5,5%, Q4 2015: 8,2%) von Platz drei. Der Anteil der missbrauchten DNS-Server, die in Deutschland registriert sind, steigt von 1,3% in Q auf aktuell 1,8%. 19,9 % 9,9 % 6,4 % 6,0 % 5,5 % Russland USA Ukraine China Brasilien 3,4 % 2,5 % 2,7 % 2,1 % 1,9 % Thailand Taiwan Polen Japan Indien 1,8 % 0,6 % 0,2 % Deutschland Schweiz Österreich LINK11.DE Analyse der DDoS-Angriffe DNS-Reflection-Attacken 15

16 Das OpenNTPProject scannt regelmäßig das öffentliche Netz nach Zeit-Servern, die für NTP-Reflection-Attacken missbraucht werden können. Im 1. Quartal 2016 schwankte die Anzahl der verwundbaren Server zwischen und Bei NTP-Servern liegt die Schwachstelle für DDoS-Angreifer in der NTP Mode 7 Kommando Monlist-Funktion. Ob der eigene Server dafür anfällig ist, prüfen Administratoren mit der Abfrage: ntpdc -n -c monlist <IP> Sollte daraufhin vom Server eine Liste an zuletzt verbundenen Clients ausgegeben werden, ist der Server anfällig für DDoS-Attacken. Bei älteren Versionen von NTP-Servern umfasst die Antwort eine Liste von bis zu 600 Systemen, die den NTP-Server zuletzt kontaktiert haben. 6 Experten raten daher dringend, den NTP-Server auf eine neuere Version ab ntp 4.2.7p26 oder höher zu aktualisieren, denn mit dieser fällt der monlist-befehl vollständig weg. Statt eines Updates ist es auch möglich, den Daemon mit der Option disable monitor zu starten. Die Entwickler des NTP-Dienstes geben in der offiziellen Dokumentation ntpd access restrictions außerdem detaillierte Infos, um das Problem mit der monlist-funktion zu fixen. 7 5 Quelle: OpenNTPProject, Details siehe Seite 27 6 Quelle: Allianz für Cybersicherheit, Details siehe Seite 27 7 Quelle: Network Time Protocol Support, Details siehe Seite 27 Der Angriffstraffic, der auf NTP-Server aus China zurückgeht, hat sich im Vergleich zum 4. Quartal 2015 mit 17,8% fast verdoppelt. 16 Analyse der DDoS-Angriffe NTP-Reflection-Attacken

17 Top10 der Quellenländer und DACH-Verteilung bei NTP-Reflection-Attacken Das LSOC hat die abgewehrten NTP-Reflection-Attacken auf die geografische Verteilung der missbrauchten Server untersucht. Der Angriffstraffic, der auf NTP-Server aus China zurückgeht, hat sich im Vergleich zum 4. Quartal 2015 mit 17,8% fast verdoppelt. Das ist der Höchstwert für den aktuellen Untersuchungszeitraum. Die USA ist mit 15,8% (Q4 2015: 15,7%) das zweithäufigste Quellenland nach China. Russland rutscht mit 9,3% (Q4 2015: 10,3%) vom zweiten auf den dritten Platz. Deutschland fällt mit 3,2%, (Q4 2015: 10,1%) nicht nur aus der Top3, sondern auch aus der Top10. Neu in der Übersicht der 10 häufigsten Quellenländer von NTP-Attacken sind Frankreich, Großbritannien und Taiwan. 17,8 % China 15,8 % 9,3 % 3,7 % 3,6 % USA Russland Frankreich Brasilien 3,4 % 3,2 % 3,2 % 2,9 % 2,5 % Taiwan Japan Deutschland Polen Großbritannien 0,8 % 0,3 % Schweiz Österreich LINK11.DE Analyse der DDoS-Angriffe NTP-Reflection-Attacken 17

18 Aktuell gibt es auf der ganzen Welt über 10 Millionen SSDP-kontrollierte Geräte, die potentiell für DDoS-Attacken missbraucht werden können. 8 Der Anteil von DDoS-Attacken unter Einsatz von SSDP-Reflection-Techniken liegt bei 2,9% im 1. Quartal Im Vergleich zum vorangegangenen Quartal ist der Anteil von SSDP-Attacken von 3,2% um 0,3% gesunken. Reine SSDP-Attacken sind nach den Erfahrungen des LSOC selten zu beobachten. Der höchste Anteil von SSPD-Reflection-Techniken innerhalb einer Attacke lag im 1. Quartal 2016 bei fast 97%. Der SSDP-Vektor tritt meist in Kombination mit anderen Vektoren wie UDP Floods und UDP Fragments auf. SSDP-Attacken können eine hohe Schlagkraft entwickeln. Das zeigen vier Angriffe, die das LSOC im Detail analysiert hat. Alle vier Attacken erreichten Angriffsbandbreiten von über 10 Gbps und zwar 15,7 Gbps, 15,1 Gbps, 14,0 Gbps und 11,1 Gbps, die bei ungeschützten Infrastrukturen große Schäden oder vollständige Blockierung erreichen könnten. Nach Angaben des LSOC sind die Ziele von SSDP-Attacken in fast allen Branchen zu finden. Im 1. Quartal 2016 wurden solche Angriffe in den folgenden Bereichen registriert: E-Commerce, Medien, Rechenzentrumsbetreiber, Gaming und Versicherungen. 8 Quelle: Shadowserver Foundation, Details siehe Seite 27 Bei SSDP-Reflection-Angriffen konnte das LSOC Angriffsbandbreiten von über 10 Gbps nachweisen. 18 Analyse der DDoS-Angriffe SSDP-Reflection-Attacken

19 Top10 der Quellenländer und DACH-Verteilung bei SSDP-Reflection-Attacken Bei den Herkunftsländern der SSDP-Attacken hat sich wenig geändert. Der Hauptteil des Angriffstraffics stammt nach wie vor aus China (55,3%, Q4 2015: 73,1%) und den USA (16,6%, Q4 2015: 6,9%). Über zwei Drittel aller SSDP-Attacken lassen sich in diese beiden Länder zurückverfolgen. Weitere Quellenländer sind Kolumbien (2,6%), Vietnam (1,9%), Kanada (1,7%) und Russland (1,6%). In den drei Ländern der DACH-Region werden SSDP-kontrollierte Geräte nur geringfügig für DDoS-Attacken missbraucht. 55,3 % China 16,6 % 2,6 % 1,9 % 1,7 % USA Kolumbien Vietnam Kanada 1,6 % 1,6 % 1,2 % 1,2 % 0,7 % Russland Venezuela Japan Panama Niederlande 0,5 % Österreich 0,4 % 0,1 % Deutschland Schweiz LINK11.DE Analyse der DDoS-Angriffe SSDP-Reflection-Attacken 19

20 5. Zunahme von DDoS-Erpressungen Die Prognose des LSOC im DDoS-Report Q war eindeutig: Professionelle DDoS-Erpressungen werden in den kommenden Monaten in der DACH-Region zunehmen. Mit zahlreichen Trittbrettfahrern und Nachahmern ist zu rechnen. Diese Befürchtungen haben sich bereits im 1. Quartal 2016 bewahrheitet: Neben der schon bekannten Tätergruppe Armada Collective sind neue Erpresserbanden zum Teil äußerst aggressiv gegen Unternehmen in Deutschland, Österreich und der Schweiz vorgegangen. Banden mit Namen wie Gladius und RedDoor orientieren sich bei ihrem Vorgehen teils an Armada Collective und DD4BC, teilweise wichen sie aber auch von bekannten Erpressermustern ab. Zitat aus Erpresser-Mail von Armada Collective: Most importantly, we have launched largest DDoS in Swiss history and one of the largest DDoS attacks ever. Search for ProtonMail DDoS All your servers will be DDoS-ed starting Monday (March 14) if you don t pay protection 25 Der Zunahme von DDoS-Erpressungen steht die intensive Ermittlungsarbeit der Polizei gegenüber, der in den vergangenen Monaten zwei wichtige Schläge gegen die zum Teil sehr gut organisierten Täter gelungen ist. Zitat aus Erpresser-Mail von RedDoor: You are going under DDoS attack unless you pay 3 Bitcoin. Pay to XXXX Please note that it will not be easy to mitigate our attack, because our current UDP flood power is Gbps. Don t worry, it will not be hard (we will try not to crash it at his moment) and will stop in 10 minutes. It s just to prove that we are serious. We are aware that you probably don t have 3 BTC at the moment, so we are giving you 24 hours to get it and pay us. Zitat aus Erpresser-Mail von Gladius: We operate deep behind enemy lines in hostile territory what your online shop represents to us. As you hopefully realised, we attacked your online shop infrastructure: 21:43-23:48 your local time 00:02-01:06 your local time for the beginning this attack was limited. 20 DDoS-Erpressungen LINK11.DE

21 03/ /2016 Die Warnung des Swiss Governmental Computer Emergency Response Teams vor neuen Erpressungen von Schweizer Finanzinstituten durch die DDoS-Erpresserbande Armada Collective wird am 9. März veröffentlicht. Mindesten zehn Banken haben Erpresser-Mails von dieser Gruppe erhalten. Wenig später erreichen Erpresserschreiben auch große E-Commerce-Unternehmen in der Schweiz wie Digitec, Galaxus, LeShop, Micasa, Do-it und Melectronics. Wie in der Vergangenheit fordert Armada Collective eine hohe Summe von inzwischen 25 Bitcoins. Mindestens ein Unternehmen geht auf die Forderungen der Erpresser ein und zahlt die geforderten Franken. Ab dem 24. März weiten die Täter ihre Erpressungen auch auf Unternehmen in Deutschland aus. Erst im Dezember 2015 setzte die Tätergruppe die Betreiber von deutschen Rechenzentren in Aufruhr. 01/2016 Am letzten Januar-Wochenende fällt das Netz des österreichischen Mobilfunkanbieters A1 immer wieder aus. Auch das Festnetz ist betroffen. Die Störungen halten über Tage an, der Verbindungsaufbau funktioniert gar nicht oder nur langsam. Betroffen sind neben A1-Kunden auch Nutzer der Discount-Mobilfunkanbieter Yesss!, Georg und Bob. Grund für die Ausfälle sind massive und lang anhaltende DDoS-Attacken mit Bandbreiten von bis zu 60 Gbps. Ziel der Angriffe ist die Erpressung von Euro zahlbar in Bitcoins. Der Telekommunikationsanbieter geht nicht auf die Forderungen der Erpresser ein, benötigt aber mehrere Tage, um Verfügbarkeit und Performance auf gewohntem Niveau wiederherzustellen. 01/2016 Anfang des Jahres veröffentlichen Europol und das BKA die Meldung, mutmaßliche Täter der DDoS-Erpresserbande DD4BC festgenommen zu haben. Der Zugriff erfolgte bereits im Dezember des Vorjahres in Bosnien-Herzegovina. Unter den sieben Festgenommenen befindet sich ein 32-jähriges mutmaßliches Führungsmitglied der Bande, die im Sommer 2015 verstärkt Finanzunternehmen, Hosting- und SaaS-Anbieter in Deutschland, Österreich und der Schweiz attackiert hatte. Unter dem Namen RedDoor bedrohen DDoS-Erpresser zahlreiche Online-Shops in Deutschland, Österreich und der Schweiz. RedDoor geht nach bekannten und bewährten Mustern von DDoS-Erpressungen vor: Die Kriminellen versenden von einem anonymen Mail- Dienst eine , in der sie 3 Bitcoins fordern. Die angeschriebenen Unternehmen haben 24 Stunden Zeit, um das Geld auf ein individuelles Bitcoin-Konto zuüberweisen. Für den Fall, dass keine Zahlung erfolgt, kündigt RedDoor großvolumige DDoS-Attacken an. Die Erpresser drohen mit UDP Floods zwischen 400 bis 500 Gbps. Außerdem erhöht sich die Forderung auf 10 Bitcoins und wird stündlich weiter steigen. 02/2016 Die neue Erpressergruppe Gladius nimmt Online-Apotheken ins Visier. Die Vorgehensweise der Täter entspricht nahezu der von DD4BC, sodass von Trittbrettfahrern auszugehen ist. Erst erhält das bedrohte Unternehmen ein Erpresserschreiben, in dem die Bande eine Lösegeldsumme innerhalb von 72 Stunden verlangt. Begleitet wird die Ankündigung mit einer Warnattacke auf die IT-Infrastruktur des Unternehmens, um ihre Bestimmtheit zu verdeutlichen. Sollte das Unternehmen die Lösegeldsumme nicht zahlen, wird ein längerer DDoS-Angriff gestartet. Anders als bei DD4BC und Armada Collective bietet Gladius als Zahlungsoption für die geforderten Euro neben Bitcoins auch Paysafecards an. 01/2016 Ein wichtiger Schlag gegen DDoS-Erpresser gelingt der Polizei Ende Januar In der Ukraine nehmen die Cybercrime-Ermittler der Polizei Nordrhein-Westfalen einen 28-jährigen Deutschen fest. Ihm wird vorgeworfen, zahlreiche Online-Händlern mit mehrstündigen DDoS-Attacken unter Druck gesetzt zu haben, um Lösegeld zu erpressen. Der Täter operierte von Kiew aus. Trotz umfangreicher Verschleierungsmaßnahmen kamen ihm die Spezialisten des Cybercrime-Kompetenzzentrums des LKA dennoch auf die Spur. LINK11.DE DDoS-Erpressungen 21

22 Die Angreifer erreichten mit dem Nitol-Botnetz eine ungewöhnlich große HTTP- Post-Flut von bis zu Anfragen pro Sekunde. 22 Gutes Botnetz, böses Botnetz LINK11.DE

23 6. Gutes Botnetz, böses Botnetz DDoS-Angreifer verwendeten auch im 1. Quartal 2016 viel Energie auf die Schaffung und Erweiterung ihrer Botnetze. Nach Einschätzung des LSOC hält der Trend zur Infektion von Linux- Servern weiter an. Gleich zwei neue Malware-Arten mit Fokus auf Linux-Systeme wurden in den vergangenen Monaten von Sicherheitsexperten identifiziert und beschrieben. Unter dem Namen Remaiten ist seit Anfang des Jahres ein neues Botnetz auf Linux-Basis aktiv, das sich u. a. für DDoS-Attacken missbrauchen lässt. Es greift eingebettete ( embedded ) Systeme wie Router, Gateways und WLAN Access Points an und verbreitet sich über Telnet-Scans. Forscher haben inzwischen mehrere Versionen der Malware identifiziert. Diese nutzen die verschiedene Funktionen der bereits gekannten Bots Tsunami/Kaiten und Gafgyt bzw. führen sie in einer weiterentwickelten Form aus. Unter dem Namen Linux/DDOSTF ist laut Malware Must Die! seit Kurzem DDoS-Malware aktiv, die sowohl Linux- als auch Windows-Rechner befällt. Anfällig für die Malware sind Linux-Rechner, die Elasticsearch installiert haben, sowie Windows-Rechner mit Betriebssystemen älter als Windows XP und Windows Die Forscher sind sich sicher, dass die Malware zu einem größeren Botnetz gehört, das hauptsächlich DDoS-Attacken ausführt. Sie konnten die Malware zum ddos[.] tf Webservice zurückverfolgen. Ganz offiziell bietet die chinesische Webseite ein Wrath DDoS Cluster zur Ausführung von DDoS-Pentests an. In Wahrheit handele es sich aber nach Meinung von Experten um ein Kontroll-Panel für DDoS-Attacken. Für Applikationsattacken haben Angreifer im untersuchten Zeitraum Geräte missbraucht, die mit einer Nitol-Schadsoftware infiziert waren. Charakteristisch an den Attacken war eine sehr hohe Belastung der Rechenressourcen. Die Angreifer erreichten dies über eine ungewöhnlich große HTTP-Post-Flut von bis zu Anfragen pro Sekunde. Das war möglich, weil das eingesetzte Nitol-Skript nach dem Zufallsprinzip große Dateien generiert und versucht, diese auf den Ziel-Server zu laden. So erzeugten die Angreifer eine für Applikationsattacken untypisch hohe Bandbreite von 8,7 Gbps. DDoS-Schutzexperten weisen schon lange darauf hin, wie gefährlich Zombie-Rechner sind. Hacker können die infizierten Rechner und Server unbemerkt fernsteuern und für DDoS-Attacken sowie Spam-Mailings missbrauchen. Das Anti-Botnet- Beratungszentrum botfrei.de hat in seiner im Februar 2016 veröffentlichten Jahresstatistik 2015 festgestellt, dass die Zahl der Zombie-Rechner in Deutschland leicht zurückgegangen ist. Trotz Aufklärungsarbeit bleibt die Lage weiterhin bedrohlich: Im Jahr 2015 waren 38% (2014: 40%) der über gescannten Rechner infiziert und damit Teil von Botnetzen. 9 Ist ein Gerät als gehackt identifiziert, lässt sich die Malware jedoch leicht wieder entfernen. Die Hacker-Gruppe The White Team hat einen anderen Weg eingeschlagen, um Botnetze zu zerstören. Die weißen Hacker arbeiten an der Übernahme des Botnetzes, mit dem die DDoS-Angreifer von Lizard Squad ihre Attacken ausführen. Das Botnetz soll aus bis infizierten IoT-Geräten wie Routern bestehen und für die aufsehenerregenden Weihnachtsattacken von 2014 auf das Sony Playstation- und Microsoft Xbox-Netzwerk verantwortlich sein. Unter kann jeder nach erfolgreicher Registrierung solche DDoS-Attacken bei Lizard Squad und ihrem Botnetz in Auftrag geben. Das White Team will dieser Form von DDoS as a Service die Grundlage entziehen. Dazu haben sie ein eigenes peer-to-peer-botnetz aufgebaut, das Router mit guter Malware infiziert und die Löschung von bösen Schadcodes veranlasst. Angeblich haben die weißen Hacker damit schon zwischen bis Router unter ihre Kontrolle gebracht Quelle: eco/botfrei.de, Details siehe Seite Quelle: Forbes.com, Details siehe Seite 27 LINK11.DE Gutes Botnetz, böses Botnetz 23

24 7. Fallstudie: DDoS-Gefahr für Kinobetreiber Große Kinoketten in Deutschland waren Anfang März das Ziel von DDoS-Angriffen. Die Angreifer legten zeitlich versetzt die Webserver unterschiedlicher Kinobetreiber lahm. Die Ausfallzeiten betrugen bis zu mehreren Stunden. Betroffen waren neben den Kino-Webseiten auch die Reservierungs- und Kauffunktion von Tickets. Nach Kenntnisstand des LSOC war dies die erste große DDoS-Kampagne gegen Kinobetreiber in der DACH-Region. Wer die Angreifer waren und mit welchen Motiven sie die Attacken gestartet haben, ist immer noch unklar. Sicher ist aber, dass die Attacken die Kinobetreiber gleich an drei empfindlichen Punkten getroffen haben. 1. Informationen zum aktuellen Kinoprogramm: Wer einen Kinobesuch plant, der informiert sich über die Webseite oder per App. Die Zeiten, in denen man das Kinoprogramm mit seinen Filmen und Startzeiten gedruckt in der Stadtteilzeitung nachgelesen hat, sind inzwischen vorbei. Die Abhängigkeit der Kino-Betreiber vom Internet ist damit bereits heute größer als gedacht. 2. Online-Ticket-Verkauf: Kinobetreiber generieren über ihre Webseiten immer mehr Umsatz. Ticket-Reservierung und Ticket-Kauf sind heute fester Bestandteil jedes Online-Kino-Auftritts. Die Vorteile für den, der einen Kinobesuch plant, liegen auf der Hand: Er kann die Auslastung des Kinosaals prüfen und sich in Ruhe seine besten Sitzplätze aussuchen. Der Payment-Prozess bietet, wie im E-Commerce üblich, unterschiedliche Bezahloptionen. Wer sich die Kinokarten ausdruckt oder das eticket auf das Handy lädt, für den entfällt außerdem das lange Anstehen an der Kasse. 3. Vernetzte Ticketautomaten: Kinobesucher können ihre im Internet reservierten Karten an den Ticketautomaten vor Ort in der Kinofiliale ausdrucken oder Tickets direkt kaufen und ausdrucken. Wie die Kino-Webseite müssen die Automaten online sein, damit alle Funktionen laufen. Die DDoS-Attacken von Anfang März verursachten Ausfälle in allen drei Bereichen bei den angegriffenen Kinobetreibern. Die Bandbreiten und Paketdaten lagen weit über dem, was die Unternehmen als Puffer für verstärkte Webseitenzugriffe wie an den Wochenendtagen oder im Vorfeld von spektakulären Neustarts in die Kinos eingeplant hatten. Die Kinobetreiber haben grundsätzlich zwei Möglichkeiten, um solche Überlastungen in Zukunft zu vermeiden. Sie können in eine Erweiterung der Infrastruktur investieren, um Lastspitzen mit eigenen Ressourcen abzufangen. Bei dieser Strategie lassen sich die Unternehmen jedoch auf ein Katz-und-Maus-Spiel mit den DDoS-Angreifern ein. Diese sind ihren Opfern bei Bandbreiten und Datenübertragungsraten meist immer einen Schritt voraus. Aus den Erfahrungen des LSOC können Unternehmen dieses Wettrüsten mit den Cyberkriminellen fast nicht oder nur unter größten personellen und finanziellen Anstrengungen gewinnen. Die DDoS-Attacken trafen die Kinobetreiber gleich an drei empfindlichen Punkten: Planung des Kinobesuchs, Online-Ticket-Verkauf & vernetzte Ticketautomaten. 24 DDoS-Gefahr für Kinobetreiber LINK11.DE

25 8. Schutzmöglichkeiten gegen DDoS-Attacken DDoS-Angreifer nutzen immer neue Infrastrukturen und entwickeln ihre Attackenformen permanent weiter. Um auf Augenhöhe mit den Tätern zu bleiben, müssen Unternehmen ihren DDoS-Schutz ständig an die veränderte Gefahrenlage anpassen. Diese ist aktuell von bandbreitenstarken Volumenangriffen und Multivektor-Attacken mit zwei bis vier unterschiedlichen Attackenvektoren geprägt. Die folgenden Methoden können die unterschiedlichen Arten von DDoS-Attacken wirksam abwehren: CDN, Hardware Appliances, cloud-basierter DDoS-Schutz und hybride Schutzlösungen. CDN Das Content Distribution Netzwerk (CDN) verteilt Inhalte der Webseite auf weltweit platzierte Server. Somit müssen Anfragen nicht vom Original-Server beantwortet werden. Das hilft Lastenspitzen, wie sie durch großvolumige DDoS-Attacken entstehen können, bis zu einem gewissen Level auszugleichen. Hardware Appliances Es wird ein Gerät (DDoS-Appliance) in der Infrastruktur des Unternehmens installiert. Diese Appliance überwacht den Datenverkehr. Bei Auffälligkeiten, wie dem plötzlichen Anstieg des Datenverkehrs, limitiert sie den Traffic bzw. erkennt die Anfragen des Angreifers und blockiert diese. Schutz vor Volumenangriffen Limitierte Netzwerkanbindung Schutzniveau entspricht maximaler Außenanbindung Keine Angriffserkennung von Applikationsattacken Gute Angriffserkennung Schutz der lokalen Infrastruktur Limitierte Netzwerkanbindung Schutzniveau entspricht maximaler Außenanbindung Aufwändige Integration in bestehende IT-Infrastruktur Hohe Anschaffungskosten Cloud-basierter DDoS-Schutz Der Datenverkehr für die Webseite wird über den externen Filter eines Dienstleisters geleitet. Durch eine mehrstufige Analyse der Anfragen können Angreifer erkannt und blockiert werden. Nur legitimer Datenverkehr wird weitergeleitet. Hybrid-Schutz Die Kombination aus Hardware- und Cloud-Schutzlösung bietet einen umfangreichen integrierten Schutz gegen kombinierte Angriffe auf Anwendungs- und Netzwerkebene. Gute Angriffserkennung Hohe Bandbreitenstärke Unbegrenzte Skalierbarkeit Schnelle und einfache Integration Redundanz Datenschutzstandards des Landes sind zu beachten gegebenenfalls Zertifikat-Weitergabe Doppelte Absicherung Schutz der gesamten Infrastruktur Sehr gute Angriffserkennung Hohe Bandbreitenstärke Unbegrenzte Skalierbarkeit Redundanz Hohe Anschaffungskosten für die Appliance Aufwändige Integration in bestehende IT-Infrastruktur Datenschutzstandards des Landes sind zu beachten gegebenenfalls Zertifikat-Weitergabe LINK11.DE Schutzmöglichkeiten gegen DDos-Attacken 25

26 9. Ausblick auf die Bedrohungslage Nach Einschätzung des LSOC wird es 2016 zu deutlich mehr DDoS-Attacken als in allen vorangegangenen Jahren kommen. Die Zunahme der Angriffszahlen allein in den ersten drei Monaten 2016 stufen die DDoS-Schutzexperten als bedrohlich ein. Schon jetzt steht alle 2 Minuten ein Opfer unter einer DDoS-Attacke. Das LSOC geht davon aus, dass sich die Zeitspanne, die von 4 auf 2 Minuten gesunken ist, noch weiter verkürzen wird. Die Entwicklung bei den Angriffsbandbreiten muss aus Sicht des LSOC differenziert betrachtet werden. Für die folgenden Quartale sind für die DACH-Region neue Spitzenwerte zwischen 100 und 200 Gbps zu erwarten. Denn die Angreifer haben Zugriff auf eine ITK-Infrastruktur mit wachsender Bandbreite und einer steigenden Anzahl internetfähiger Geräte. Die mittlere Angriffsbandbreite wird ebenfalls wachsen, sich aber weiterhin im einstelligen Gbps-Bereich bewegen. Damit übersteigt sie immer noch die Außenanbindung der meisten Unternehmen. Die Angreifer wissen das und gehen bei der Umsetzung der Attacken verstärkt unternehmerisch vor. Statt mit Kanonen auf Spatzen zu schießen, halten sie ihren Ressourcen-Einsatz bei der Anmietung von Botnetzen oder anderen DDoS-Tools so gering wie möglich. Unter dem Aspekt der Effizienz besteht für einen DDoS-Angreifer kein Grund eine 100-Gbps-Attacke zu starten, wenn er mit einem Angriff von 5 Gbps dasselbe Ziel erreicht. Für einen DDoS-Angreifer besteht noch kein Grund eine 100-Gbps-Attacke zu starten, wenn er mit einem Angriff von 5 Gbps dasselbe Ziel erreicht wird die Bedeutung von DDoS-Attacken in der Gesellschaft steigen. Neben der Wirtschaft werden sich mittelfristig auch verstärkt Privatanwender mit den Folgen und Auswirkungen solcher Attacken konfrontiert sehen. DDoS-Angriffe beeinflussen immer mehr Bereiche der digitalen Gesellschaft. So können Kunden und Anwender nicht mehr auf Informationen und Webservices zugreifen. Zielen die Angriffe auf Kritische Infrastrukturen drohen erhebliche Auswirkungen auf das staatliche Gemeinwesen und die Bevölkerung. Es besteht die Gefahr von Versorgungsengpässe. Die öffentliche Sicherheit und Ordnung kann gefährdet sein. Um dies zu verhindern hat Deutschland im IT-Sicherheitsgesetz Maßnahmen zur Absicherung der kontinuierlichen Verfügbarkeit festgeschrieben. Die Auseinandersetzung mit den Folgen von DDoS-Attacken und den Schutzmöglichkeiten ist aus Sicht des LSOC daher von gesamtgesellschaftlicher Relevanz. Weitere Informationen, Reports und Warnmeldungen zum Thema DDoS finden sich auf der von Link11 eingerichteten Webseite DDoS-Info.de. 26 Ausblick auf die Bedrohungslage LINK11.DE

27 Quellenangaben Seite 14 1 MELANI / Swiss Governmental Computer Emergency Response Team, govcert.admin.ch/blog/19/armada-collective- is-back- extorting-financial- institutions-in- switzerland 2 Handelsblatt.com, : Hacker legen Telekom Austria lahm. Der Angriff aus dem Netz auf das Netz handelsblatt.com/unternehmen/it-medien/hacker- legen-telekom- austria-lahm- der-angriff- aus-dem- netz-auf- das-netz/ html 3 Allianz für Cybersicherheit, : Experteninterview mit Stefan Ritter, Leiter CERT-Bund allianz-fuer-cybersicherheit.de/acs/de/informationspool/themen/vorfallsbewaeltigung/ _interview_ritter.html?nn= Seite 14 4 Open Resover Project openresolverproject.org/breakdown.cgi Seite 16 5 OpenNTPProject openresolverproject.org/breakdown.cgi 6 Allianz für Cybersicherheit: Maßnahmen gegen Reflection Angriffe, allianz-fuer-cybersicherheit.de/acs/de/_/downloads/bsi-cs_096.pdf? blob=publicationfile&v=3 7 Network Time Protocol Support support.ntp.org/bin/view/support/accessrestrictions Seite 18 8 Shadowserver Foundation ssdpscan.shadowserver.org/stats/ Seite 23 9 eco/botfrei.de, : botfrei.de Jahresstatistik 2015: Zahl der Zombierechner weiter bedrohlich eco.de/2016/pressemeldungen/botfrei-de-jahresstatistik-2015-zahl-der-zombierechner-weiter-bedrohlich.html 10 Forbes.com, : Vigilante Hackers Fight Lizard Squad For Control Of 150,000 Home Routers forbes.com/sites/thomasbrewster/2016/02/09/vigilantes-want-lizard-squad-out-of-your-home/#74be9c486fb9 10. Impressum Herausgeber: Link11 GmbH info@link11.de Bildnachweis: Link11 GmbH (Cover) Link11 GmbH (Seite 2) Link11 GmbH (Seite 12) shutterstock.com Bild-ID: (Seite 22) Telefon: +49 (0) Grafiken Link11 GmbH Texte und Redaktion: Link11 GmbH Stand: Mai 2016

28 Link11 GmbH Lindleystr Frankfurt am Main