DDoS-Angriffe: Zahl der Hacker-Attacken nimmt während Coronakrise zu

Es heißt häufig, dass die Coronakrise die Gesellschaft „digitaler“ mache: Viele lernten nun zum ersten Mal die Vorzüge von Homeoffice und online-basierten Arbeitslösungen kennen. Tatsächlich bietet die Dauerpräsenz von vielen Millionen Menschen vor den Bildschirmen aber auch Cyberkriminellen eine Chance, Profit aus der Quarantänezeit zu schlagen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte bereits Anfang April vor einem erhöhten Aufkommen von Phishing-Angriffen. Nun lässt sich der Anstieg der Cyberkriminalität während der Coronakrise erstmals auch quantitativ darstellen. Der IT-Sicherheitsanbieter Link 11 wird in dieser Woche seine Auswertungszahlen für das erste Quartal 2020 präsentieren. Sie liegen Tagesspiegel Background vor.

Angriffe durch Distributed Denial of Service (DDoS) zielen darauf ab, durch eine Vielzahl von Zugriffen auf ein System die Verfügbarkeit von Diensten einzuschränken oder lahmzulegen. Laut den Zahlen von Link 11 hat die Intensität der Angriffe im Vergleich zum Vorjahresquartal deutlich zugenommen. Die maximale Bandbreite dieser Angriffe hat sich mit 406 Gigabit pro Sekunde (Gbps) nahezu verdoppelt.

[Alle wichtigen Updates des Tages zum Coronavirus finden Sie im kostenlosen Tagesspiegel-Newsletter "Fragen des Tages". Dazu die wichtigsten Nachrichten, Leseempfehlungen und Debatten. Zur Anmeldung geht es hier.]

Insgesamt 51 Großangriffe mit über 50 Gbps registrierte das Unternehmen. Auch die durchschnittliche Bandbreite nahm von 4,3 auf 5,0 Gbps zu. Währenddessen hat sich auch der Anteil von komplexen Multi-Vektoren-Angriffen erhöht, bei denen Angreifer auf verschiedenen Wegen die Systeme attackieren, meist um gängige Verteidigungssysteme zu umgehen: Ihr Anteil hat sich von 47 Prozent im ersten Quartal 2019 auf 64 Prozent in den ersten drei Monaten des Jahres 2020 erhöht.

Italienische Nothilfe-Website wurde zum Ziel

Diese Zahlen sind auch deswegen ein wichtiger Indikator für die Lage der Cybersicherheit während der Coronakrise, weil viele Unternehmen entweder auf netzgestützte Homeoffice-Arbeit umgestellt haben oder ihre Waren und Dienstleistungen über Online-Plattformen anbieten. Damit einhergehend hat sich auch der Datenverkehr in den deutschen Netzen intensiviert: Der Telekommunikationsanbieter Vodafone meldete Ende März einen um 40 Prozent angestiegenen Traffic, Youtube und Netflix hatten zuvor bereits angekündigt, die Bildqualität aufgrund des hohen Downloadaufkommens zu drosseln, um die Netze zu entlasten.

„Die Bandbreiten sind derzeit ohnehin sehr stark ausgeschöpft“, sagt Marc Wilczek, Geschäftsführer bei Link 11. „Wenn Unternehmen Telearbeit praktizieren, dann braucht es wenig Aufwand, um großen Schaden anzurichten.“

[Die Coronavirus-Krise ist auch für die Politik eine historische Herausforderung. Jeden Morgen informieren wir Sie, liebe Leserinnen und Leser, in unserer Morgenlage über die politischen Entscheidungen, Nachrichten und Hintergründe. Zur kostenlosen Anmeldung geht es hier.]

Es gibt einige prominente Beispiele für DDoS-Angriffe in den vergangenen Wochen. Längst sind nicht nur Firmen davon betroffen: Anfang April hatten Angreifer in Italien die Website des wichtigsten Sozialversicherungsträgers INPS lahmgelegt, über die auch Corona-Nothilfen beantragt werden können. Auch das US-Gesundheitsministerium wurde im März zum Ziel eines DDoS-Angriffs. Kurz vor Verkündung der Ausgangsbeschränkungen in Deutschland versuchten DDoS-Angreifer außerdem, 10.000 Euro Lösegeld von dem Dienstleister Lieferando zu erpressen.

DDoS-Angriffe im Internet bestellbar

Zwar nehme die Zahl der DDoS-Angriffe schon seit einiger Zeit zu, sagt Wilczek. Die Coronakrise schaffe jedoch noch einmal eine besondere Situation. „Dramatischerweise haben wir derzeit einen ‚Perfect Storm‘: Unternehmen werden verwundbar, weil sie ein digitales Geschäft anbieten“, so der Link 11-Geschäftsführer. „Gleichzeitig sind derzeit viele Menschen aufgrund der Coronakrise im Netz unterwegs und nehmen digitale Dienste in Anspruch. Und dann sind da eben jene, die aus dieser Situation nun Kapital schlagen wollen.“

Hinzu kämen noch zwei weitere Faktoren: Mittlerweile könne man DDoS-Angriffe als „Cybercrime as a Service“ im Darknet einkaufen. Die Bezahlung laufe über Kryptowährungen, Sicherheitsbehörden hätten aufgrund ausgefeilter Verschleierungstaktiken nur sehr selten Zugriff, so Wilczek.

Und: Elektronische Geräte, die mit dem Internet of Things (IoT) verbunden sind, seien schlecht geschützt. Cyberkriminelle könnten sie deswegen kapern und so manipulieren, dass sie Teil eines Angriffsnetzwerks werden. „Zum Glück haben wir jetzt noch keine 5G-Technologie. Das würde dazu führen, dass es noch stärkere Angriffe gäbe“, sagt Wilczek.

Täter sind oft schwer zu attribuieren Über die Motivlage hinter den gestiegenen Angriffszahlen lasse sich bisher kaum etwas sagen, so Wilczek. Die Bandbreite der Motivationen bei unterschiedlichen Akteuren sei groß. Einerseits gebe es Cyberkriminelle, die mit DDoS-Angriffen die Systeme von Unternehmen in die Knie zwingen, um Lösegeld zu erpressen. Je länger die Systeme nicht erreichbar sind, desto höher fallen die Umsatzeinbußen aus und desto stärker steigt der wirtschaftliche Druck, ein Lösegeld zu bezahlen. Andererseits gebe es auch Wettbewerber oder unzufriedene Ex-Mitarbeiter, die sich mit einer DDoS-Attacke rächen wollen.

Auch Jugendliche kauften sich bisweilen solche Attacken ein, um aus einem gefährlichen Spieltrieb Schaden anzurichten. Und schließlich nutzten auch Nationalstaaten die Technologie, um Wahlen zu beeinflussen oder Verwirrung zu stiften. Doch egal welche Motivlage vorliegen mag: Eine Attribution sei oft nur sehr schwer möglich.