Durch die Corona-Pandemie rückten Internetdienste zur Kommunikation, Browser- und E-Mail-Aktivitäten ins Zentrum unseres Berufslebens – und sind langfristig unabdingbar geworden.
Mit welchen Bedrohungen aus dem Netz sahen sich Unternehmen bislang konfrontiert und gegen welche Art der Cyberkriminalität müssen sie sich 2022 wappnen?
In gleichem Maße wie der externe Zugriff auf Unternehmensinterna und -netzwerke relevanter geworden ist, wuchs auch die Angriffsfläche gegenüber Bedrohungen aus dem Internet. Je näher das Jahresende rückt, desto schwerwiegender fällt das Resümee über die Bedrohungen aus, denen Unternehmen dieses Jahr ausgesetzt waren. Das Angriffsspektrum reicht von massiven HTTP-DDoS-Attacken und Terabit-starken Angriffen auf Netzwerkebene bis hin zu Lösegeldforderungen und DDoS-Androhungen bei Voice-over-IP-Diensten.
Vermehrt Multi-Vektor-Angriffe erwartet
Ein DDoS-Angriff stört mittels Bots den normalen Traffic eines Zielservers, -dienstes oder -netzwerks, indem er das Ziel oder seine umliegende Infrastruktur mit einer Flut von Internet-Traffic überlastet: Bot-Netze (mit Malware infizierte Geräte, die vom Angreifer ferngesteuert werden) senden vermehrt Anfragen an die IP-Adresse ihres Angriffsziels. Das führt zur Überlastung von Server oder Netzwerk. Die Folge: Dienstausfall für den normalen Traffic – Denial-of-Service.
Bei einem solchen DDoS-Angriff unterscheidet man zwischen sieben verschiedenen Angriffsarten, die sich gegen die einzelnen Ebenen (Layer) einer Netzwerkverbindung richten. Im Jahr 2021 standen insbesondere DDoS-Attacken gegen Netzwerk-Layer 3/4 und Layer 7 im Fokus der Angreifer. Auf solche Multi-Vektor-Attacken (Angriffe, die sich gegen Ebene 3/4 und 7 richten) müssen sich Unternehmen auch im Jahr 2022 einstellen.
Voice-Over-IP-Dienste im Schussfeld der Angreifer
VoIP bezeichnet jede Art von Multimedia-Angebot, die Kommunikation über das Internet ermöglicht. Viel genutzte Beispiele aus dem Berufsalltag sind Zoom oder Microsoft Teams. Das Schlüsselprotokoll für viele VoIP-Anrufe ist das Session Initiation Protocol (SIP), das Sprach- oder Videoanrufe einleitet. Um eine reibungslose Echtzeitkommunikation zu ermöglichen, implementieren VoIP-Dienste ihr SIP häufig über das UDP-Grundlagenprotokoll (User Datagram Protocol). Die Router und Server können UDP-Protokoll-Pakete schneller verarbeiten, da sie weniger Rechenleistung fordern als andere Formate. Der Vorteil: Schnellere Verarbeitung verbessert die Anrufqualität und unterstützt die Echtzeitkommunikation.
Angreifer haben sich UDP und SIP-Protokoll in den letzten Monaten für ihre Attacken zunutze gemacht und ungeschützte VoIP-Server mit einer Flut speziell gestalteter UDP-Pakete überflutet. Diese richten sich insbesondere gegen die Netzwerk- (Layer 3) und Transport-Ebene (Layer 4): Jedes Mal, wenn eine bösartige Anfrage zur Einleitung eines Anrufs an das Opfer gesendet wird, verbraucht dessen Server Rechenleistung und Speicher, um die Anfrage zu authentifizieren. Wenn es dem Angreifer gelingt, genügend Anrufe zu generieren, kann er den Server des Opfers überlasten und es daran hindern, legitime Anrufe zu bearbeiten.
Diese Art von Angriffen aus dem Netz trifft einen wunden Punkt zahlreicher Unternehmen, schließlich gestaltet sich die tägliche Kommunikation seit Beginn der Corona-Krise vielfach über VoIP-Dienste. So greifen Kriminelle nicht nur den Dienst an sich, sondern direkt die gesamte Kommunikationsbasis von Unternehmen an.
Sensibler Datenverkehr: Layer-7-DDoS-Angriffe sind der neue Standard
Layer 7 ist die einzige Schicht in der Netzwerkinfrastruktur, die direkt mit Benutzerdaten interagiert. Zu den Protokollen der Anwendungsebene gehören HTTP und SMTP (Simple Mail Transfer Protocol). Sie umfassen Aktivitäten mit Webbrowsern und E-Mail-Clients.
DDoS-Angriffe auf den Application-Layer finden auf zwei Arten statt: Entweder fluten sie die Netzwerk- oder Serverressourcen eines Unternehmens mit einer Masse an Datenverkehr (meist HTTP-Datenverkehr), um sie so zu überlasten. In Folge eines solchen HTTP-Floodings kommt es zum Dienstausfall der Ressourcen. Eine andere Möglichkeit ist, dass das Angriffsmanöver so lange Netzwerkschnittstellen (APIs) aufruft, bis der gesamte Dienst zusammenbricht. In vielen Fällen reicht es schon aus, eine einzelne API mit einem L7-Angriff anzugreifen, um den gesamten Dienst zu blockieren.
Ein Angriff auf diesen Layer zielt auf den Großteil der Unternehmenskommunikation. Die dort verarbeiteten Informationen sind hochsensibel und müssen um jeden Preis geschützt werden. Haben Datendiebe Interna erst einmal unter ihrer Kontrolle, sind Unternehmen den Forderungen ihrer Erpresser oft hilflos ausgeliefert. Layer-7-Angriffe sind nur schwer abwehrbar, da man bösartigen und gutartigen Traffic oft nicht unterscheiden kann. Jede Attacke stellt eine scheinbar legitime Netzwerkanfragen dar. So erscheint der Datenverkehr im Netzwerk „normal“. Organisationen beugen Angriffen auf der Anwendungsebene vor, indem sie den Datenverkehr auf der Grundlage bestimmter Regelsätze begrenzen.
Fazit: Flächendeckende Zero-Trust-Strategie benötigt
Im Jahr 2021 wurde die größte, bisher gemessene DDoS-Attacke festgestellt (17,2 Mio. Anfragen/s). Massive Multi-Vektor-Attacken auf die Ebenen 3, 4 und 7 trafen Unternehmen genau da, wo es sie am meisten schmerzt, denn durch Homeoffice und Remote Work sind sie zwingend auf VoIP-Dienste, E-Mail-Clients und einwandfrei funktionierende Webbrowser-Aktivitäten angewiesen. Wie schützen sich Unternehmen gegen die Gefahr aus dem Netz? Sie können zwar allerlei Einzelmaßnahmen treffen, um sich gegen Attacken abzusichern, doch die Implementierung von vielen kleineren Maßnahmen bekämpft lediglich die Symptome, ohne sich der zugrundeliegenden Krankheit zu widmen.
Ein Standard, der sich diesem Problem annimmt, ist Zero Trust. Dieses Sicherheitsverfahren setzt auf Autorisierung – egal ob sich diese Anfragen inner- oder außerhalb der Netzwerkperimeter befinden. Ausschließlich vom Unternehmen authentifizierte Benutzer und Geräte erhalten Zugang zum Firmennetzwerk, deren Anwendungen und Daten. So behalten sie stets einen Überblick über die Zugriffe. So vermeiden Unternehmen Risiken, die durch Sicherheitslücken in Einzelmaßnahmen (z.B. VPN-Missbrauch) entstehen können.
Ein Vorteil von Zero-Trust liegt auch im Angriffsverhalten bei Layer-7-Attacken: Durch die Authentifikation wird erst gar kein „falsches“ Vertrauen zu vermeintlich legitimen Netzwerkanfragen zugelassen. Unternehmen müssen sich folglich nicht dem Dilemma zwischen der Analyse gut- und bösartigen Traffics stellen. Für die Zukunft bedeutet die Implementierung von Zero-Trust jedoch nicht nur, legitime Netzwerkanfragen zu prüfen, sondern auch, aktive Sicherheitsmaßnahmen zu hinterfragen. Nur so begegnen Unternehmen Cyber-Gefahren adäquat und können sich erfolgreich auf Ihr Kerngeschäft konzentrieren.