Anzeige
SECURITY18. Juni 2021

Finanzindustrie sieht sich überproportional vielen DDoS-Angriffen ausgesetzt

Christian Syrbe, Chief Solutions Architect bei NETSCOUTNETSCOUT

Da die Online-Aktivitäten während des Lockdowns weltweit zugenommen haben, zielten Bedrohungsakteure auf systemrelevante Branchen wie E-Commerce, E-Learning, Gesundheitswesen und Streaming-Dienste ab. Darüber hinaus verzeichnete der Finanzsektor in der zweiten Jahreshälfte 2020 im Vergleich zum Vorjahr eine überproportionale Anzahl von DDoS-Angriffen, so der aktuelle Threat Intelligence Report von NETSCOUT. Hochkarätige Institutionen wie die neuseeländische Börse waren die ersten, die der im August 2020 initiierten globalen DDoS-Erpressungskampagne zum Opfer fielen. Auch der deutsche Finanzsektor zeigte in der jüngeren Vergangenheit gravierende Schwachstellen: Im vergangenen Jahr haben zwei Teenager ohne nennenswerte IT-Kenntnisse zwei große Direktbanken angegriffen und einen Millionenschaden verursacht.

von Christian Syrbe, Chief Solutions Architect bei NETSCOUT

Es versteht sich von selbst, dass der Finanzsektor aufgrund der enormen Mengen an Geld und privaten Daten, um die es geht, ein bevorzugtes Ziel ist. Angesichts der niedrigen Einstiegshürde und geringer Kosten für die Ausführung solcher Angriffe werden Cyberkriminelle diese Schwächen weiterhin ausnutzen und ebenso ihre Taktiken verbessern, um schnellere und wirkungsvollere Angriffe durchzuführen.

Finanzbranche ist dem vollen Arsenal von DDoS-Angriffen ausgesetzt

Während die Wirkweise von DDoS-Attacken hinreichend bekannt ist, sollten sich die Kombination von den Attacken – und die Trends dabei – immer wieder ins Gedächtnis gerufen werden.

Besonders werden Organisationen in der Finanzbranche mit klassischen DDoS-Erpressungsangriffen konfrontiert, wobei Bedrohungsakteure vor der Forderung erst einen Demo-DDoS-Angriff gegen Bestandteile der Online-Infrastruktur eines Unternehmens starten.”

Im August 2020 wurde eine globale Kampagne mit Erpressungsangriffen von einer Gruppe von Cyberkriminellen gestartet. Die Bedrohungsakteure dahinter behaupten, mit Gruppen wie z. B. “Lazarus Group”, “Fancy Bear” und “Armada Collective” verbunden zu sein. Auf diese Weise wird versucht, Ziele einzuschüchtern, um sie zur Zahlung zu bringen. Der erste Angriff der Gruppe richtete sich gegen die neuseeländische Börse und legte das System zwei Tage hintereinander lahm, so dass kein Handel stattfinden konnte.

Nach dem ersten Angriff der Gruppe auf die neuseeländische Börse haben die Angreifer neben Börsen, Banken und anderen Finanzinstituten auch Internetdienstleister, Gesundheitsorganisationen und große Technologieunternehmen ins Visier genommen. Es ist also ein Weckruf für Finanzorganisationen, dass sie das erste Ziel darstellen. Diese Art von Angriffen kann wegen der Ausfallzeiten dazu führen, dass sie hohe Geldsummen verlieren, selbst wenn Unternehmen das Lösegeld nicht zahlen.

Autor Christian Syrbe, NETSCOUT
Experte bei DDoS-Angriffen: Christian Syrbe Christian Syrbe ist als Chief Solutions Architect beim Business Assurance und Security Anbieter Netscout (Webseite) in der Sales Organisation für Netwerk Visibiltät, Security sowie für Cloud und Virtualisierung verantwortlich. Er ist seit über 20 Jahren in der IT-Branche tätig und verfügt über umfassende Erfahrung im Bereich Netzwerk, Netzwerkmanagement, Analyse, Security, Service Assurance, Data Analytics und IT Performance.

Auch der Reflection/Amplification-Angriff, wobei Bedrohungsakteuren die Quellen des Angriffsverkehrs verschleiern und durch die Kombination aus Reflexions- und Verstärkungsangriffen Angriffe auf enorm hohes Volumen zurückgreifen können, wird vermehrt gegen Unternehmen im Finanzsektor eingesetzt.

Durch die Tatsache, dass es sich bei den dabei verwendeten Geräten um alltägliche Server oder Endkundengeräte handeln kann, die oft keine eindeutigen Anzeichen für eine Kompromittierung geben, was Gegenmaßnahmen deutlich erschwert.

Cyberkriminelle können mit nur einem Server oder einer überschaubaren Anzahl von Bots enorme volumetrische Angriffe durchführen. Neue Bandbreiten-Rekorde werden aufgestellt, wobei die 1000 GBit/s laut NETSCOUTS letztem Threat Intelligence Report schon im letzten Jahr überschritten wurden. Dies macht es zu einer Herausforderung, diese Form von DDoS-Angriffen zu verhindern.

Ein weiterer bedrohlicher Trend ist der sogenannte Triple-Extortion-Angriff. Diese Dreifach-Erpressungs-Angriffe bestehen aus der Integration von DDoS-Angriffen (Distributed-Denial-of-Service) in ein RaaS-Portfolio (Ransomware-as-a-Service) und üben besonders hohen Druck auf IT-Teams von Unternehmen aus.

Was können Unternehmen der Finanzbranche tun, um sich zu schützen?

Was alle DDoS-Angriffe so gefährlich macht, ist, dass ein Angriff legitime Netzwerkanfragen am Durchkommen hindert. Dies kann lebenswichtige Abläufe stören, zu Geldverlusten führen und den Ruf des Unternehmens schädigen. Daher ist es für Organisationen, die im Finanzsektor tätig sind, unerlässlich, die notwendigen Maßnahmen zu ergreifen, um zu verhindern, dass sie Opfer einer DDoS-Attacke werden.

Die, die jedoch Opfer eines DDoS-Erpressungsangriffs sind, stehen vor dem Dilemma, ob sie die geforderte Erpressung zahlen sollen oder nicht:

Man sollte die Erpressung keinesfalls bezahlen. Während die Notwendigkeit, das Geschäft schnell wiederherzustellen, ein starker Anreiz für Führungskräfte in der Finanzbranche ist, kann die Zahlung der Erpressung zahlreiche negative Auswirkungen haben.”

Unter Umständen können gegen Unternehmen sogar Sanktionen verhängt werden, weil sie eine kriminelle Operation unterstützt haben. Außerdem gibt es keine Garantie, dass die Cyberkriminellen nicht zurückkehren, um einen weiteren DDoS-Angriff zu starten und weitere Zahlungen zu verlangen, da die Bedrohungsakteure mit ihrem ersten Angriff erfolgreich waren. Durch die Weigerung, die Erpressungsforderung zu bezahlen, können diese Probleme vermieden werden.

Wenn es um DDoS-Schutzmaßnahmen geht, ist es für Unternehmen im Finanzsektor am wichtigsten, ein starkes DDoS-Abwehrsystem zu installieren. Durch die Implementierung eines umfassenden DDoS-Schutzes sind Bedrohungsakteure nicht in der Lage, ihre Angriffe zu starten, da präventive Maßnahmen vorhanden sind, wodurch die Bedrohung durch DDoS-Angriffe neutralisiert wird.

Im Hinblick auf die laufenden DDoS-Erpressungsangriffe haben beispielsweise die Zielunternehmen, die über einen angemessenen DDoS-Schutz verfügen, nur sehr geringe oder gar keine negativen Auswirkungen im Zusammenhang erfahren.”

Denn mit kompetenten Tools kann der Traffic in Echtzeit analysiert werden. Die Tools wiederum erkennen Angriffsmuster flexibel und kommunizieren „Clean Traffic“ an den Filter, der diesen vom bösartigen Traffic trennt: Die Dienste können aufrechterhalten werden.

Darüber hinaus ist es für Unternehmen in der Finanzbranche unerlässlich, einen soliden Aktionsplan für den Fall zu haben, dass sie von einem DDoS-Angriff betroffen sind. Dies setzt voraus, dass die Unternehmen wissen, wen sie kontaktieren und benachrichtigen müssen, falls sie von einem DDoS-Angriff betroffen sind. Die Liste der Gruppen, die kontaktiert werden sollten, umfasst Sicherheitsanbieter, wichtige Stakeholder und lokale Regulierungsbehörden.

Interessant ist für Finanzorganisationen auch der Umgang mit der Terminierung von SSL- und TLS-Protokollen im Zusammenhang mit den Datenschutzgesetzen wie etwa der DSGVO oder BDSG. Per sé ist der Aufbruch solcher Verschlüsselungen nicht verboten, denn ganz ohne Einsicht von Sicherheitssystemen ist ebenfalls der Datenschutz gefährdet:

Der Austausch von schutzwürdigen Daten kann so nicht gestoppt werden. Allerdings sollte in diesem Interessenskonflikt – Datenschutz gegenüber Schutz vor Cyberangriffen – nicht nach eigenem Ermessen von IT-Teams entschieden werden, da sonst hohe Strafen der Aufsichtsbehörden drohen.”

Angemessene Schutzkonzepte führender Sicherheitsanbieter orientieren sich immer an den aktuellen Richtlinien, um innerhalb der offiziellen Regularien das beste Gleichgewicht zwischen den verschiedenen Ansprüchen zu halten.

Fazit

Ein DDoS-Angriff hat zwar das Potenzial, verheerende Auswirkungen auf die im Finanzsektor tätigen Unternehmen zu haben, doch wenn sie über einen angemessenen Schutz und einen Aktionsplan verfügen, kann der durch DDoS-Angriffe verursachte Schaden auf ein Minimum beschränkt werden. Daher sollten Unternehmen in der besonders angegriffenen Finanzbranche über einen starken und effektiven DDoS-Schutz verfügen.Christian Syrbe, NETSCOUT

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert