Die Informations- und Kommunikationstechnik beeinflusst unsere Gesellschaft gegenwärtig und wird sie auch zukünftig verändern. Das Internet bringt dabei aber nicht nur Fortschritte, sondern auch Gefahren mit sich. Besonders massiv ist die Bedrohung aktuell durch DDoS-Attacken: Laut Recherchen des BSI (Bundesamt für Sicherheit in der Informationstechnik) zählen die Attacken zu den am häufigsten beobachteten Sicherheitsvorfällen im Internet. Aufgrund der Zunahme von Cloud Computing, günstigem Hosting, schnell verfügbarer Bandbreite, Open-Source-Angriffstools und das IoT ist das Starten eines DDoS-Angriffs viel einfacher geworden. Die verschiedenen Tätergruppen reichen vom Jugendlichen, der bei Online-Spielen schummeln möchte, bis hin zum Cyberkriminellen, der sich durch das Vermieten von Botnets bereichert.

DDoS-Attacke: Botnets greifen an

Bei einer DDoS-Attacke bekommt ein vom Angreifer ausgewählter Server von verschiedenen IP-Adressen im Netz binnen kurzer Zeit massenhaft Anfragen, die er so lange beantwortet, bis er zusammenbricht. Die Angreifer verwenden dazu allerdings nicht ihre eigene IP-Adresse, sondern hacken sich in fremde Geräte ein, häufig auch in die des Opfers. Diese Taktik garantiert nicht nur die Anonymität der Täter, sondern auch eine höhere Bandbreite an Internetverbindungen. Der Zusammenschluss der vielen verschiedenen IP-Adressen, also das Errichten von Botnets, macht es mit wenig Aufwand möglich, eine Vielzahl an Anfragen zu versenden.

Botnets und das Internet der Dinge

Im Internet wird inzwischen nicht mehr nur von Mensch zu Mensch oder Mensch zu Maschine kommuniziert – die Maschinen können untereinander kommunizieren. Die Personen, welche die Maschinen beauftragen, verfolgen dabei aber nicht immer gute Absichten. Die angeleiteten Maschinen, die Robots, auch als Bots bezeichnet, verursachen die DDoS-Attacken. Sie beschaffen sich ihre Informationen im Internet selbst und das viel schneller als der Mensch es je könnte. Die Botnets können aus allen Geräten zusammengefügt werden, die sich mit dem Internet verbinden können. Es können zum Beispiel Computer, Smartphones, Server, Router, Drucker und vor allem auch IoT-Geräte zu Botnets zusammengeschlossen werden. Die Internet-fähigen Geräte, die uns den Alltag vereinfachen sollen, sind meist unzureichend geschützt und sind inzwischen massenhaft in Gebrauch. Zu diesen Geräten zählen inzwischen nicht nur Fitnesstracker und Zahnbürsten, sondern auch Kühlschränke, Glühbirnen und vieles mehr. Der Pool der Geräte, die für Botnets generiert werden können, ist dementsprechend stark gewachsen. Inzwischen übersteigt der von Bots verursachte Traffic (51,8%) den der menschlichen Besucher (49,2%).

Verisign DDoS-Trendbericht

Verisign veröffentlicht pro Quartal einen DDoS-Trendbericht, der unter anderem über Angriffsstatistiken und Verhaltenstrends bei DDoS-Angriffen berichtet. Hierzu werden im Auftrag von und in Zusammenarbeit mit Verisign-Kunden Angriffstrends untersucht. Laut des Verisign Reports ist die durchschnittliche Höhe der Spitzenangriffe von 2015 bis 2016 um 167% angestiegen. Mehr als 50% der Verisign-Kunden, die im 4. Quartal 2016 Opfer eines DDoS-Angriffs waren, wurden im Quartal mehr als ein Mal angegriffen. Vom dritten zum vierten Quartal 2016 ist die Zahl der Angriffe um 5% angestiegen. Die Anzahl der DDoS-Angriffe ist seit dem dritten Quartal um 5% angestiegen. Dabei betrug die maximale Angriffsgröße 127 Gbit/s (Gigabit pro Sekunde), die Geschwindigkeit lag bei 50 Mpps (Millionen Pakete pro Sekunde). Vergleicht man die Spitzenangriffshöhe in den vergangenen Jahren, ist diese bis 2016 kontinuierlich angestiegen. Die Hälfte der Angriffe im beobachteten Zeitraum waren über 5 Gbit/s groß. Für die internen IT-Abteilungen der meisten Unternehmen ist bei dieser Größe die Schwächung eines DDoS-Angriffs eine enorme Herausforderung. DDoS-Angriffe bleiben weiterhin komplex und fordern eine laufende Überwachung: 86% derjenigen Angreifer, die von Verisign im angegebenen Zeitraum beobachtet werden konnten, nutzten mehrere Angriffsformen.

Bot Traffic Report

Incapsula veröffentlicht jährlich den Bot Traffic Report, der den gesamten Datenverkehr im Internet genau beziffert. Schon 2012 machten die Bots 51% des Traffics im Internet aus. Nur ein Jahr später im Jahr 2013 sollten schon 61,5% des Datenaufkommens im Internet durch sie verursacht werden. 2015 war der Bottraffic auf 47% gesunken, der „menschliche Verkehr“ hatte schwach Überhand gewonnen. Jedoch nicht auf lange Sicht, denn schon im letzten Jahr lag der Bottraffic bei 51,8% und konnte den menschlichen Traffic im Netz wieder einholen. Erschreckend ist, dass unter diesen 51,8% Bots fast 29% bösartige Bots sind, der Anteil des gutartigen Traffics also geringer ist und dass dieser bösartige Bottraffic sich konstant hält: Nur der positive Traffic ist nämlich 2015 gesunken, der negative Traffic ist beinahe konstant bei einem Wert von 30% (Spielraum von -0,01 bis +0,01%) geblieben. Der negative Traffic hält sich inzwischen schon über den gesamten beobachteten Zeitraum von 5 Jahren beinahe konstant.

Gutartige vs. bösartige Bots

Simpel ausgedrückt suchen gutartige Bots Websites auf, um die geschäftlichen und operativen Ziele ihrer Besitzer auf vielfältige Weise zu unterstützen, so zum Beispiel, um das Google-Ranking zu verbessern. Diese gutartigen Bots machen aber gerademal knapp 23% des Traffics laut des aktuellen Bot Traffic Reports aus. Bösartige Bots hingegen versuchen Websites zu hacken, unabhängig von der Beliebtheit der Website bei menschlichen Besuchern. Im Bot Traffic Report ist hier von Hacking-Tools, die Kreditkartendaten entwenden, Websites hijacken oder mit Massenanfragen überlasten, um sie lahmzulegen, die Rede.

94,2 Prozent aller Websites haben eine Bot-Attacke verzeichnet

In der von Incapsula erhobenen Studie zur Untersuchung des Bot Traffics wurden 100.000 zufällig ausgewählte Domains im Incapsula-Network untersucht, bei 94,2% wurde innerhalb von nur 90 Tagen mindestens ein Bot-Angriff registriert. In den letzten fünf Jahren war jeder dritte Website-Besucher ein bösartiger Bot. Oft sind diese Angriffe das Werk von Cyberkriminellen, die mit breit angelegten automatisierten Botnets Tausende von Domains zeitgleich ins Visier nehmen – ohne großen Aufwand und vor allem ohne die eigene IP-Adresse preiszugeben. Für die zuletzt erhobenen Angaben wurden über 16,7 Milliarden Besucher durch Bots und Menschen im Zeitraum vom 9. August 2016 bis zum 6. November 2016 analysiert. Der Jahresvergleich wurde anhand von Daten durchgeführt, die für den vorangehenden Bot Traffic Report erhoben wurden, also über 19 Milliarden Besuche durch Bots und Menschen in einem 90-Tage-Zeitraum vom 24. Juli 2015 bis zum 21. Oktober 2015. Die Probe wurde aus 35.000 Incapsula-geschützten Websites zusammengestellt, die pro Tag von mindestens zehn menschlichen Besuchern aufgesucht wurden. Die Gefahr, die von DDoS-Angriffen ausgeht, besteht also nach wie vor und scheint sogar weiterhin zu wachsen. Unternehmen sollten deshalb versuchen, sich hinlänglich zu schützen und im Falle eines Angriffs reagieren können.