Thought Leadership
Cyberkriminalität stellt eine der größten Gefahrenquellen dar, denen Unternehmen, Behörden und kritische Infrastrukturen heute ausgesetzt sind. Nicht zuletzt waren es internationale Befragungen des Beratungsunternehmens Horváth, laut denen Cybersecurity auf Platz 2 der gegenwärtig wichtigsten Herausforderungen von Entscheidern rangiert.
Bis zu 220 Milliarden EUR an finanziellen Schäden, die jedes Jahr alleine hierzulande durch gestohlene Daten, lahmgelegte Netzwerke und Erpressungen anfallen, erhöhen die Relevanz der digitalen Bedrohungslage um ein Vielfaches.
Besonders ins Auge fallen dabei die Distributed-Denial-of-Services, kurz DDoS-Attacken. Zwar gehen die Fälle dieses Angriffstypus im 1. Halbjahresvergleich 2021/22 temporär in Zahlen erkennbar zurück. Dennoch verändern Angriffe immer wesentlicher ihre DNA. Das bedeutet, dass sie größer werden und ihr massives Zerstörungspotential schneller entfalten. IT-Entscheidern bleibt weniger Zeit, um die immer komplexeren Attacken rechtzeitig zu entschärfen. Digitale Resilienz wird so zur Alternativlosigkeit.
DDoS 2022: Warum sinken die Angriffszahlen
Im Detail sprechen die neuesten Daten aus unserem aktuellen DDoS-Report eine deutliche Sprache. Insgesamt sanken die Angriffszahlen innerhalb des Link11 Security Operations Center (LSOC) zwischen dem ersten Halbjahr 2021 und 2022 temporär um -80%. Der bisherige Trend, mit den seit 2020 konstant wachsenden DDoS-Angriffszahlen, hat im ersten Halbjahr 2022 einen Dämpfer erhalten. Gleichzeitig konnten im Juli 2022 bereits wieder steigende Zahlen beobachtet werden.
Eine der Ursachen für die Reduktion der Fälle könnte höchstwahrscheinlich in Verbindung, mit dem Abschalten internationaler Darknet-Marktplätze liegen. Der „Hydra Market“, die weltweit größte Plattform aus diesem Segment steht dabei für das prominenteste Beispiel ehemaliger Hot-Spots von Straftätern im Netz. Dieser digitale Umschlagplatz für Hacker wurde in einer gemeinsamen Maßnahme von Bundeskriminalamt (BKA) und US-Behörden im April 2022 abgeschaltet. Bis zu 19.000 Verkäufer konnten in Zusammenarbeit mit circa 17 Millionen Kundenkonten von einem Tag auf den anderen keinen illegalen Cyberaktivitäten mehr nachgehen. Heißt auch, dass digitale Massenwaren wie DDoS-as-a-Service nicht mehr über Hydra angeboten und gestartet werden können.
Eine vergleichbare Wirkung erzielte außerdem die rückläufige Zahl an Erpresserwellen. Diese bildeten in den Rekordjahren 2020/21 noch einen Schwerpunkt der quantitativ hohen Zahl an DDoS-Attacken. Ziel der Erpresser war es in diesen zwei Jahren, vor allem KRITIS-Betreiber, Finanzdienstleister, E-Commerce-Anbieter und Hosting-Provider mit großvolumigen Warn-Attacken (+50 Gbps) zur Zahlung von Kryptowährungen zu zwingen. Treiber dieser Attacken waren in erster Linie bekannte Namen der Cyberbranche wie Fancy Bear, Cozy Bear, Armada Collective und Lazarus Group.
Zudem verschiebt der Krieg in der Ukraine den internationalen Fokus von Cyberkriminellen. Wurden in den Rekordjahren in quantitativ hohem Umfang Attacken auf systemrelevante Plattformen für Arbeit, Bildung und Leben gefahren, konzentrieren sich die aktuellen Wellen auf Ziele, die in direkter Verbindung mit dem Kriegsgeschehen in der Ukraine zusammenhängen.
Das bedeutet auch, dass mehr Angriffe beispielsweise aus Russland und dafür weniger aus den USA oder China stammen. Diese Entwicklung wiederum ruft auch neue Akteure auf den Plan: Die pro-russische Hackergruppe KillNet erklärte im Zuge des Ukraine-Krieges nicht nur den baltischen Staaten den digitalen Krieg. Auch die Bundesrepublik Deutschland ist neben Norwegen, Polen, Litauen und Italien priorisiertes Ziel der Hacker.
Schnittstellen, die durch Pandemie, Krieg und Digitalisierung entstanden sind, bleiben so ein attraktiver Anknüpfungspunkt für Cyberkriminelle. Die teils staatliche Unterstützung von Hackergruppen, treibt die Bedrohungslage weiter hoch – und legitimiert die im Oktober 2021 durch das BSI ausgerufene höchste Alarmstufe.
DDoS-Attacken in 2022: Schneller, gefährlicher und unberechenbarer
Nur was macht die Bedrohungslage durch DDoS heute weiterhin so kritisch für öffentliche und wirtschaftliche Strukturen? Statt wie in der Vergangenheit wahllos und in großen Mengen Attacken zu fahren, gehen Hacker mittlerweile gezielter vor und konzentrieren sich auf kürzere, intensivere und anspruchsvollere Angriffe im digitalen Raum.
Erreichte die kritische Nutzlast im Vorjahreszeitraum erst nach durchschnittlich 184 Sekunden ihren Höhepunkt, wird dieser Wert in 2022 bereits nach 55 Sekunden erreicht. Im Vergleich vergeht die Zeit im ersten Halbjahr 2022 mehr als dreimal so schnell, bis nach der Übertragung der ersten Bytes einer DDoS-Attacke der jeweilige Angriff seinen Maximalwert erreicht. Im Worst-Case-Szenario machen die Attacken Netzwerke so bereits komplett handlungsunfähig, bevor jegliche Abwehrmaßnahmen die Gefahr überhaupt registrieren können.
Was die DDoS-Attacken der Gegenwart mindestens genauso gefährlich macht, ist die stark angestiegene Bandbreite der Attacken. So ist die durchschnittliche maximale Angriffsbandbreite von 266 Gbps (1.Hj 2021) auf 325 Gbps im ersten Halbjahr 2022 angestiegen. Die größte gemessene Attacke wurde in den ersten sechs Monaten 2022 dabei mit 574 Gbps angegeben. Überforderten die massiven Angriffsbandbreiten bereits in den beiden vorangegangenen Jahren IT-Strukturen von Staat und Wirtschaft, vermehrte sich die Intensität der Angriffe im 1. Hj 2022 im Durchschnitt zusätzlich um fast 60 Gbps.
Abschließend lässt sich die extreme Änderung der DNA von DDoS in der digitalen Gegenwart anhand der durchschnittlichen Paketrate festmachen. Wurden im Angriffsfall 2021 „nur“ 277.000 Pakete pro Sekunde an digitale Opfer versendet, sind es im laufenden Halbjahr schon 1,5 Mio. Pakete, die Systeme angreifen und lahmlegen sollen. Hier spricht das LSOC über eine mehr als fünfmal so große Gefahrenlage. Auf diese neuen digitalen Gefahrenquellen zu reagieren, wird somit ein Seismograph für die unternehmerische Entwicklung in den kommenden Monaten und Jahren sein. Kein Sicherheitsverantwortlicher darf die extreme Bedrohungslage durch DDoS missinterpretieren.
