Kritische Infrastruktur : Anpassungsfähig und komplex – DDoS-Angriffe und ihre Metamorphose

Angst zu verbreiten ist Programm. Das zeigt schon der Name: „Killnet“, eine pro-russische Hackergruppe, welche bereits 2022 für hohe mediale Aufmerksamkeit sorgte. Sie hat etlichen Nato-Staaten, darunter Deutschland, den Cyberkrieg erklärt und Attacken auf deren Kritische Infrastruktur, Flughafen-Websites, Regierungsdienste, Banken und Medien durchgeführt.

Ziele waren in ukrainischen Unterstützer-Ländern in Osteuropa sowie in den nordischen und baltischen Ländern. Gepaart mit Desinformationskampagnen zählen insbesondere DDoS-Angriffe (Distributed-Denial-of-Service) zu ihrer Taktik. Meist stellt Killnet keine Lösegeldforderungen. Vielmehr werden die Aktionen und potenzielle Angriffsziele über ihre mehr als 90.000 Telegram-Abonnenten verbreitet.

Cyberangriffe haben durch Corona und dem damit verbundenen Digitalisierungsschub deutlich zugenommen. Mit dem Beginn des Krieges in der Ukraine hat sich die Situation weiter zugespitzt. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sei die Bedrohungslage „so hoch wie nie”. 91 Prozent der globalen Führungskräfte gehen 2023 gemäß dem „Global Cybersecurity Outlook“ des Weltwirtschaftsforums (WEF) von weitreichenden und katastrophalen Cybervorfällen in den kommenden Jahren aus. Welche Angriffsarten gibt es also, was für Eigenschaften machen sie so gefährlich und wie sehen die Schlussfolgerungen für Unternehmen, Behörden und Betreiber Kritischer Infrastrukturen aus, um ihre digitalen Systeme zu schützen?

Dynamische Situation

Aktuell erleben wir eine dynamische Situation: Hauseigene Daten belegen einen Rückgang der DDoS-Attacken zwischen 2021 und 2022. Grundlage für den Rückgang waren etwa die erfolgreiche Zusammenarbeit von Bundeskriminalamt und US-Justizministerium zur Schließung des größten illegalen Online-Marktplatzes im Darknet „Hydra“ im April 2022. Ende vergangenen Jahres schlugen das FBI und Europol erneut gegen die DDoS-Kriminalität zu, indem sie 48 kriminelle DDoS-for-hire-Dienste, sogenannte „Booter-Services“, geschlossen haben. Solche Aktionen sind jedoch nur kurze Verschnaufpausen, bis sich die Hacker mit neuen Plattformen wieder einen Namen machen können.

Anders sah es indes bei politisch motivierten DDoS-Attacken aus, auf die sich der Fokus verlagert hat – etwa wegen geopolitischer Spannungen zwischen China und Taiwan sowie zwischen den USA, Israel und Iran. Laut Untersuchungen verzeichnete 2022 dann auch die „Rückkehr des DDoS-Angriffes“. Und als die Bundesregierung im Januar 2023 die Lieferung von Kampfpanzern zusagte, antworteten pro-russische Gruppierungen mit DDoS-Angriffen – bislang allerdings ohne gravierende Auswirkungen.

DDoS-Angriffe – rückläufig, aber intensiver

Dass es 2022 im Link11-Netzwerk weniger DDoS-Angriffe gab, ist kein Grund zur Entwarnung. Zumal die DDoS-Attacken im Januar 2023 erneut anstiegen. Kennzeichnend dafür waren unter anderem Attacken auf deutsche Flughäfen in Düsseldorf, Hannover und Karlsruhe/Baden-Baden Mitte Februar 2023. Webseiten der Standorte waren für mehrere Stunden nicht erreichbar.

2022 hatten sich die Angreifer noch leichtere Ziele gesucht, in Form von ungesicherten oder nicht wirksam geschützten Systemen. Vor allem aber werden DDoS-Angriffe gefährlicher – und die angewandten Methoden verändern sich ständig. Statt willkürlich die IT von Unternehmen ins Visier zu nehmen, kommen nun gezielte und ausgeklügelte DDoS-Attacken zum Einsatz: Die Angriffe im Jahr 2022 waren kürzer, intensiver und anspruchsvoller. Auch kann ebenfalls gemessen werden, wie lange es dauert, bis DDoS-Offensiven ihren Maximalwert erreichen. So wurde die kritische Last bereits gemäß Datenlage durchschnittlich 55 Sekunden nach Beginn der Attacken erreicht, gegenüber 184 Sekunden im Jahr 2021. Solche Turboangriffe können das Netzwerk lahmlegen, bevor Abwehrmaßnahmen wirken.

Zentrale Gefahren von DDoS: Deshalb sind Kritische Infrastrukturen so gefährdet

Die DDoS-Angriffe auf die Webseiten deutscher Flughäfen Mitte Februar haben erneut gezeigt: Mit der Kritischen Infrastruktur rückt immer mehr die Grundlage unseres alltäglichen Lebens ins Visier der Hacker. Zur Kritischen Infrastruktur zählen dabei Unternehmen und Institutionen, die zum Beispiel Energie und Wasser liefern, den Verkehr regeln, Notfalldienste sowie medizinische Versorgung zur Verfügung stellen. Deren IT-Systeme und digitale Services müssen seit Inkrafttreten des sogenannten IT-Sicherheitsgesetzes 2.0 im Mai 2021 besonders geschützt werden. Ab dem 1. Mai 2023 haben Kritische Infrastrukturen demnach Maßnahmen und Vorkehrungen bereitzustellen, die automatisiert bestimmte Muster erkennen und bekämpfen können. 

Nur was charakterisiert die Bedrohungslage zulasten der Kritis? Wie sähen Worst-Case-Szenarien aus, die das öffentliche Leben gefährden? 

Bereits heute besitzen ausgefeilte und langanhaltende DDoS-Attacken das Potenzial, spezifische Zweige der Kritischen Infrastruktur zum Erliegen zu bringen. Gerade politisch motivierten Angreifern geht es vor allem darum, maximalen Schaden anzurichten. Energiebetreiber, die keinen Strom mehr liefern, Flughäfen, die keinen Personentransport mehr ermöglichen, Banken, die kein Geld mehr auszahlen: Trotz der Tatsache, dass bislang ein solcher Cyberangriff ausgeblieben ist, sollte sich niemand in falscher Sicherheit wiegen. Neben einem fehlenden DDoS-Schutz und menschlich bedingten Fehlerquellen sorgt die voranschreitende Vernetzung für die frappierende Anfälligkeit gegenüber Attacken. Ein erfolgreicher Angriff könnte erhebliche Auswirkungen auf das staatliche Gemeinwesen und die Bevölkerung haben, zum Beispiel durch Versorgungsengpässe.

Insoweit geben sich Cyberkriminelle, wie eben Killnet, nicht damit zufrieden, einzig und allein einen Vertrauensverlust unter der Bevölkerung gegenüber Akteuren der Kritischen Infrastruktur zu stiften, die ihre IT nicht ausreichend schützen können. Die Angst der Menschen vor Versorgungsengpässen nimmt einen wachsenden Bestandteil von DDoS-Strategien ein. Oder anders formuliert: Angriffe auf unsere Lebensgrundlagen haben großes Potenzial, sich 2023 zum Standardrepertoire der politisch motivierten Hacker zu entwickeln. Notwendige digitale Resilienz gegenüber DDoS zu bilden wird daher Wesensmerkmal der IT-Sicherheitsstrukturen von Unternehmen, Organisationen und Betreibern.

Gesetzliche TTM als mögliche Antwort

Einen sinnvollen Beitrag zum Schutz von Kritis kann neben der Implementierung eines hochmodernen DDoS-Schutzes zudem eine gesetzlich vereinbarte Time-to-mitigate (TTM) sein. Dies umschreibt den Zeitraum für die erfolgte Abwehr einer Attacke. Einheitliche Regelungen würden im Zusammenspiel mit einer digitalen Aufrüstung, die digitale Resilienz unserer Kritischen Infrastruktur erkennbar ausbauen. Risiken für Staat und Gesellschaft werden so minimiert.  

Sogenannte volumetrische DDoS-Angriffe, eine der weitverbreiteten Angriffsvarianten, bei denen ein Netzwerk mit sehr viel Bandbreite überflutet wird, haben an Wirkung verloren. Denn für diese und andere Vorgehensweisen ist ein niedrigeres Skill-Level ausreichend. Diese DDoS-Attacken stellen glücklicherweise die Mehrzahl aller Angriffe dar und sind einfach abzuwehren.

Killnet ist aus Sicht von IT-Profis vor allem eine propagandistische Herausforderung. Reflection-Attacken – Multi-Vektor-Angriffe, die falsch konfigurierte Server und Internetservices ausnutzen – sind dagegen ausgefeilter. Insgesamt sind DDoS-Angriffe enorm wandlungsfähig, zielgerichteter und intensiver geworden. Das macht sie für Organisationen jeder Art und Größe zu einer so unberechenbaren Gefahr.

Jens-Philipp Jung ist CEO von Link 11, einem Anbieter für DDoS-Schutz.