Wegen Anzeichen für massive Cyberangriffe rund um die Aktionstage Black Friday am 26. November, Cyber Monday am darauffolgenden Montag sowie im Verlauf des Weihnachtsgeschäfts hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die IT-Bedrohungslage "2 / Gelb" ausgerufen. Die Behörde rechnet mit ungewöhnlich starken Distributed-Denial-of-Service-Attacken (dDoS) auf Online-Plattformen. Sie empfiehlt insbesondere Online-Händlern und Organisationen im E-Commerce-Bereich, geeignete Abwehrmaßnahmen vorzubereiten und Erpressungsversuchen die kalte Schulter zu zeigen.

"Wir haben in den vergangenen Wochen dDoS-Angriffe mit bis zu 21,8 Millionen Anfragen pro Sekunde (mrps) beobachtet", erläuterte BSI-Präsident Arne Schönbohm den Schritt. "Das entspricht einer Zunahme von 28 Prozent zu vorher gemessenen Werten. Es ist zu befürchten, dass diese Angriffstechnologien auch in den umsatzstarken Tagen eingesetzt werden, besonders für DDoS-Erpressungen." Bisherige Schutzmaßnahmen gegen solche Angriffe sollten daher an die neuen Kapazitäten der Cyber-Kriminellen angepasst werden. Prävention sei im Bereich der IT-Security ein entscheidender Faktor und "Voraussetzung für eine erfolgreiche Digitalisierung".

Ausgebaute Angriffsinfrastrukturen

In der Cybersicherheitswarnung mit der Nummer 2021-269757-1132 verweist das Amt etwa darauf, dass bereits Ende August und Anfang September dDoS-Angriffsinfrastrukturen zum Einsatz gekommen seien, die seit mehreren Monaten bestehende Rekordwerte übertroffen hätten. Bei der Attacke auf die Azure-Cloud von Microsoft sei eine Spitzenangriffsbandbreite von 2,4 Tbps erreicht worden. Die Dauer habe sich über mehr als zehn Minuten erstreckt mit sehr kurzlebigen "Bursts", die jeweils innerhalb von Sekunden auf Terabit-Volumen anstiegen.

Beim Angriff gegen die russische Suchmaschine Yandex kam dem Bericht zufolge das Meris-Botnetz zum Einsatz, mit dem ein neuer Anfrageratenrekordwert (requests per second, rps) mit nahezu 22 mrps erreicht worden sei. Meris bestehe zum großen Teil aus zahlreichen Heimroutern des lettischen Herstellers MikroTik, die seit 2018 angreifbar sind. Im Oktober sei zudem die Zahl neuer Varianten der XorDDoS-Malware sprunghaft angestiegen. Dabei handele es sich um einen Linux-Trojaner, der auf Docker-Server ziele. Das XorDDoS-Botnetz werde bereits seit Jahren für großvolumige DDoS-Angriffe genutzt.

Schutzgelderpressung

Parallel komme es zu immer mehr Vorfällen von DDoS-Schutzgelderpressung, schreibt das BSI. Aktuelle Kampagnen richteten sich vornehmlich gegen Telekommunikationsanbieter und E-Mail-Provider im nationalen und internationalen Raum. Neben dem deutschen Anbieter Posteo seien etwa jüngst Runbox, Fastmail, TheXYZ, Guerilla Mail, Kolab Now, und RiseUp betroffen gewesen.

Organisationen, die ins Visier solcher Angreifer geraten könnten, rät die Behörde, ein "besonderes Augenmerk auf UDP-Reflection-Angriffe" und Attacken mit hohen Anfrageraten zu legen. Es gelte zu prüfen, welche Folgen der Ausfall verschiedener angreifbarer Komponenten sowie "benachbarter" Systeme haben könnte. Es empfehle sich, zeitnah Handlungspläne für dDoS-Erpressungsversuche zu erstellen. Zuvor war das BSI auch in seinem jüngst veröffentlichten Bericht zur Lage der IT-Sicherheit in Deutschland auf die steigende Bedrohung durch DDoS-Attacken eingegangen.

