Akamai Diversity

Der Akamai-Blog

Erpressung mit DDoS-Attacken: Was tun?

Die Corona-Pandemie hat die Digitalisierung von Unternehmen massiv vorangetrieben - allerdings bieten sich damit auch neue Angriffsziele für Cyberkriminelle. Besonders häufig greifen Hackergruppen auf DDoS-Attacken zurück, die zur Erpressung von Unternehmen genutzt werden. Was also tun, wenn ein Lösegeld erpresst wird? Und wie kann man sein Unternehmen schützen? 

Der Internet-Traffic nimmt schon seit Jahren stetig zu und die Corona-Pandemie hat noch einmal für einen kräftigen Zuwachs im Datenverkehr gesorgt: In der zweiten Jahreshälfte 2020 hat Akamai einen Traffic-Spitzenwert von über 170 Tbps (Terabits pro Sekunde) auf seiner Edge Platform ausgeliefert.  

Gleichzeitig steigt für Unternehmen die Gefahr, Opfer einer Attacke aus dem Internet zu werden. Insbesondere Distributed Denial of Service (DDoS)-Attacken haben in Anzahl, Größe und Komplexität zugenommen. Bei DDoS handelt es sich um einen weit verbreiteten Angriffstyp, den es seit den Anfängen des Internets gibt. Die erste DDoS-Attacke stammt aus dem Jahr 1999 und richtete sich gegen die Universität von Minnesota. Ich möchte Ihnen an dieser Stelle den Blog Post „10 Ways to Protect Against DDoS Attacks" meines Kollegen Gerhard Giese empfehlen.

Bei DDoS-Angriffen überhäufen Hacker Webserver mit Anfragen aus dem Internet, damit diese unter der Vielzahl der Aufrufe zusammenbrechen. Die Bandbreite wird hier mit Gigabits per Seconds (Gbps) beziffert. Alternativ (oder in Kombination) überlasten Kriminelle mit einer hohen Anzahl von Datenpaketen Netzwerkgeräte wie Router und Load-Balancer sowie Anwendungen in Rechenzentren. Hier werden die DDoS-Attacken in Millionen Paketen pro Sekunde (Mpps) gemessen.

Die größten DDoS-Attacken der letzten 10 Jahre

DDoS1.png

Noch nie gab es so große DDoS-Attacken wie im Jahr 2020. Quelle: Akamai Technologies

2020 gab es bei beiden genannten DDoS-Typen (Volumen und Pakete) die massivsten Attacken, die Akamai je gemessen hat. Der Spitzenwert des Angriffsverkehrs lag bei 1,44 Terabit pro Sekunde (am 4. Juni auf ein Hightech-Unternehmen) und 809 Millionen Pakete pro Sekunde (am 21. Juni auf eine europäische Bank). Solche Angriffsgrößen können ganze Cloud-Datencenter oder sogar kleinere Länder vom Netz nehmen. Besonders häufig von DDoS betroffen sind die Finanzbranche, Gaming- und Hightech-Unternehmen.]

DDoS-Attacken 2020 nach Branchen

DDoS2.png

Zwei Megaattacken: 1,44 Tbps am 04. Juni gegen einen Hightech-Konzern und 809 Mpps am 21. Juni gegen eine europäische Bank. Quelle: Akamai DDoS Plattform

Das Vorgehen der Kriminellen ist dabei immer gleich: Gut organisierte Hacker-Gruppen wie „Fancy Bear" starten einen Testangriff, dem eine Erpresser-E-Mail folgt. Darin erhalten die Betroffenen die Aufforderung, ein Lösegeld in einer bestimmten Höhe in Bitcoin zu bezahlen. Die Spanne kann zwischen 50.000 und mehreren Millionen US-Dollar liegen. 

Was also tun? 

Wer erpresst wird, sollte das geforderte Lösegeld keinesfalls bezahlen und sich sofort an einen Sicherheitsanbieter seines Vertrauens wenden. Akamai hat selbstverständlich eine DDoS-Angriffshotline für Sie eingerichtet. Um DDoS-Attacken mit hohem Volumen zu stoppen, ist eine Schutzplattform mit der entsprechenden Bandbreite vonnöten - eine Plattform die über freie Kapazitäten im Tbps-Bereich verfügt, um auch große DDoS-Angriffe aus dem laufenden Betrieb problemlos abwehren zu können. Denn mit der richtigen Abwehr haben die Kriminellen keine Chance. 

Alle wichtigen Informationen für den Fall einer Erpressung hat Akamai hier für Sie zusammengestellt. Zur Vorbereitung des Ernstfalls empfiehlt sich in jedem Fall eine Angriffs-Checkliste auf Papier, die zweiwöchentlich geprüft und aktualisiert werden sollte. Folgende Punkte sollte sie enthalten:

Checkliste gegen DDoS-Angriffe

1. Prozesse und Tools dokumentieren

Kontakte und Telefonnummern sollten für den Ernstfall ebenso griffbereit analog bereitstehen wie aktuelle Informationen zu Servern inklusive der Netzwerk-Architektur, Hardware-Versionen, Software-Stände (auch von Routern), Load-Balancern, IP-Adressen, DNS-Domänen sowie alle verwendeten Ports und Protokolle.

2. Notfallteam zusammenstellen

Wer ist im Ernstfall autorisiert zu handeln und darf Änderungen vornehmen? Wer ist wann erreichbar? All dies muss vorher festgelegt werden. Ebenso ist es ratsam, mögliche Änderungen im Vorfeld zu dokumentieren und den Notfall regelmäßig zu proben.

3. IT- und Management-Entscheider benennen

Auch hier muss festgelegt werden: Wer darf im Notfall neue Verträge unterzeichnen?

Wie und wann ist das Management außerhalb der Bürozeiten erreichbar?

4. Bestandsaufnahme aller Dienste

Entscheidend ist auch, sich bereits im Vorfeld einen Überblick zu verschaffen, welche Services rund um die Uhr verfügbar sein müssen und wie viel Umsatz diese generieren. Auch Dienste, die aus regulatorischen Gründen angeboten werden müssen, sollten bekannt sein - ebenso wie jene, die im äußersten Notfall ohne großen Schaden abgeschaltet werden können. 

Fazit: DDoS-Attacken sind gefährlich. Aber sie lassen sich abwehren

DDoS-Attacken werden immer gefährlicher. Verantwortliche in Unternehmen sollten für den Ernstfall Notfallpläne vorbereiten und sich proaktiv an einen Sicherheitsanbieter wenden, um ihre Firmeninfrastruktur gegen DDoS-Attacken zu schützen. Wie man einen Abwehrplan in acht Schritten erstellt, hat Akamai hier zusammengestellt.