Carpet Bombing und Erpressung Unter Beschuss: Hosting- und Internet-Service-Provider

Autor / Redakteur: Marc Wilczek* / Ulrike Ostler

Das digitale Universum ist von IT-Netzwerken und -Diensten abhängig, die dauerhaft online sein müssen. Deshalb sind ISPs und Hosting-Provider zu beliebten Zielen für Cyber-Angriffe geworden.

Firmen zum Thema

Wenn Botnetze im Cyberspace auf Kriegspaden wandeln, ist zumeist eine flächendeckende Störung die Absicht.
Wenn Botnetze im Cyberspace auf Kriegspaden wandeln, ist zumeist eine flächendeckende Störung die Absicht.
(Bild: Gemeinfrei bei Pixabay)

In weniger als einem Jahrzehnt hat sich Cyber-Sicherheit zu einem äußerst kritischen Faktor für die Weltwirtschaft entwickelt. Mehr als je zuvor hängen das moderne Leben und der internationale Handel von einem funktionierenden und zugänglichen Internet ab.

Laut Cisco werden innerhalb der nächsten zwei Jahre 66 Prozent der Weltbevölkerung Zugang zum Internet haben, und bis zu diesem Zeitpunkt wird es insgesamt 5,3 Milliarden Internet-Nutzer geben. Darüber hinaus werden mehr als 70 Prozent der Weltbevölkerung mobil vernetzt sein, und die Zahl der an IP-Netzwerke angeschlossenen Geräte wird dreimal größer sein als die Gesamtzahl der Menschen auf der Erde.

In diesem Zusammenhang blühen Cyber-Vorfälle und -Angriffe förmlich auf. Da Prognosen einen stark ansteigenden Nutzeranteil digitaler Dienstleistungen vorhersagen, wird sich die derzeitige Gefahrenlage mit großer Wahrscheinlichkeit noch zusätzlich intensivieren. Und da die zunehmende Digitalisierung und Vernetzung maßgeblich mit den ISPs und Hosting-Providern zusammenhängt, ist es wenig verwunderlich, dass diese zu Hauptzielen für Cyberkriminelle geworden sind.

Angriffe kommen Unternehmen immer teurer zu stehen

Für Unternehmen wird der Aufbau von Cyber-Resilienz immer komplexer und kostspieliger. Die 9. jährliche Accenture-Studie „Costs of Cybercrime“ berichtet, dass Malware-, Web-basierte und DDoS-Angriffe zu den teuersten Angriffsarten gehören und „eine der Hauptfaktoren für Umsatzverlusten darstelle“". Allerdings sind einige Branchen häufiger Opfer als andere.

Für ISPs oder Hosting-Provider – und E-Commerce, Online-Gaming und Glücksspiel - ist die Verfügbarkeit von größter Bedeutung und jede Minute Ausfallzeit ist gleichbedeutend mit verlorenem Geld. Im Jahr 2020 gab ein Viertel der befragten Unternehmen an, dass die durchschnittlichen stündlichen Kosten für Serverausfälle zwischen 301.000 und 400.000 Dollar lagen, wie auf Statista zu lesen ist.

BOT-Netze auf dem Kriegspfad

Die Ursache für diese finanziellen Rückschläge sind Cyber-Kriminelle, die jedes Mittel nutzen, um Netzwerkschwachstellen auszunutzen und Schaden anzurichten, Geld zu erpressen oder gar beide Ziele gleichzeitig verfolgen. Carpet-Bombing [deutsch: Flächenbombardement] ist ein Beispiel für eine Angriffsart, die aufgrund der einfachen Verfügbarkeit von billigen DDoS-Diensten im Dark Net allgegenwärtiger wird. Dabei handelt es sich um Angriffe, die aufgrund ihres schleichenden Auftretens unter dem Radar der meisten Netzwerk-Überwachungssysteme bleiben. Sie werden meisten über DDoS-Botnetze mit mehreren Tausend infizierten Geräten ausgeführt.

Fast jeder kann für ein Botnet bezahlen, um ein Unternehmen oder eine Regierungsbehörde seiner Wahl ernsthaft zu stören. Das sich schnell ausbreitende Internet der Dinge (IoT) könnte ebenfalls den Anstieg von Carpet-Bombing erklären, da die meisten Geräte nur schlecht gegen feindliche Übernahmen geschützt sind und jederzeit leicht in Bots umgewandelt werden können.

ISPs und Hosting-Provider sind attraktive Ziele für Carpet-Bomber, denn vielen fehlen grundlegende Tools zur DDoS-Abwehr, während sich andere auf veraltete und unzureichende Schutzlösungen verlassen. Die Ergebnisse sind vorhersehbar. Im November 2018 litten Kunden der kambodschanischen ISPs EZECOM, SINET, Telcotech und Digi eine Woche lang unter unterbrochenen Verbindungen, die durch einen DDoS-Angriff mit 150 Gbps verursacht wurden. Ein paar Monate später legte eine Reihe von Capet-Bombing-DDoS-Angriffen einen südafrikanischen ISP einen gesamten Tag lang lahm.

Erpressung auf dem Vormarsch

Seit Mitte 2020 ist eine neue Art von DDoS-Erpressungen ins Rampenlicht gerückt. Cyber-Kriminelle, die sich als Teil der staatlich unterstützten Gruppen Fancy Bear, Lazarus Group und Armada Collective ausgaben, versendeten Lösegeldforderungen. In den E-Mails drohten sie den Empfängern mit DDoS-Angriffen von bis zu 2 Terabit pro Sekunde (Tbps), wenn sie nicht innerhalb einer Woche eine Zahlung von 20 Bitcoins leisteten.

Viele Unternehmen ignorierten die Drohmails ohne Konsequenzen. Andere - darunter auch einige bekannte - erlitten durch die nachfolgenden Angriffe erhebliche operative Einbußen, wie das FBI berichtet. Das FBI schrieb frühere Erpressungskampagnen in den Jahren 2017 und 2019 denselben Cybercrime-Gruppen zu, die damals auf Finanzinstitute, Einzelhändler und E-Commerce-Firmen abzielten.

Angriffe nehmen exponentiell zu

Aber Carpet-Bombing ist nicht die einzige DDoS-Bedrohung. Es gibt noch zahlreiche andere, und sie nehmen in Anzahl und Häufigkeit so schnell zu, dass es immer schwieriger wird, sie mit herkömmlichen Tools oder lokal installierten Schutzlösungen abzuwehren. Ein Grund dafür ist, dass aktuelle Angriffe mehr als 100 Mal größer sein können als die verfügbare Leitung oder der Backbone eines Unternehmens.

Als Folge bricht das gesamte System zusammen und der Datenverkehr (einschließlich des legitimen IP-Verkehrs) ist für Stunden oder Tage vollständig blockiert. Laut dem US-Ministerium für Heimatschutz hat sich das Ausmaß der Angriffe in den letzten Jahren verzehnfacht, und „es ist unklar, ob die aktuelle Netzwerkinfrastruktur zukünftigen Angriffen standhalten kann, wenn diese weiter an Umfang zunehmen“.

Marc Wilczek ist als Geschäftsführer bei Link11 für die strategische Geschäftsentwicklung, Wachstumsinitiativen sowie für Marketing und Vertrieb verantwortlich.
Marc Wilczek ist als Geschäftsführer bei Link11 für die strategische Geschäftsentwicklung, Wachstumsinitiativen sowie für Marketing und Vertrieb verantwortlich.
(Bild: Sunita Benzing Photography)

Im Oktober 2019 wurde Amazon Web Services (AWS) von einer großen DDoS-Attacke getroffen, die etwa acht Stunden lang andauerte und Benutzer daran hinderte, sich mit dem Cloud-Service zu verbinden. Der Angriff führte dazu, dass AWS legitime Kundenanfragen fälschlicherweise als böswillig kategorisierte.

Google Cloud Platform hatte ungefähr zur gleichen Zeit Probleme, sagt aber, dass der Vorfall nichts mit DDoS zu tun hatte. Im Februar 2020 meldete AWS einen Angriff mit 2,3 Tbps – das entspricht etwa der Hälfte des gesamten Datenverkehrs, den die British Telecom an einem normalen Arbeitstag in seinem gesamten britischen Netzwerk verzeichnet.

* Marc Wilczek ist Geschäftsführer der Link11 GmbH. Neben Management-Funktionen innerhalb des Deutsche Telekom Konzerns war er zuvor als Senior Vice President Asien-Pazifik/Lateinamerika/Naher Osten und Afrika beim eHealth-Konzern Compugroup Medical tätig und leitete unter anderem das Asiengeschäft beim IT-Sicherheitsexperten Utimaco Safeware (heute Sophos).

(ID:47359543)