Eine Studie von F5 Labs zeigt, dass DDoS-Angriffe (Distributed Denial of Service) im letzten Jahr stark zugenommen haben. Der Bericht „DDoS Attack Trends 2024“ verzeichnete 2.127 Angriffe im Jahr 2023. Das entspricht einem Anstieg von 112 Prozent gegenüber 1.003 im Jahr 2022. Die Ergebnisse basieren auf einer Analyse der per F5 Distributed Cloud Plattform aufgezeichneten Vorfälle – in Kombination mit Erkenntnissen der F5-Teams für Security Incident Response, Threat Analytics und Reporting. Demnach waren Unternehmen im Jahr 2023 durchschnittlich 11 DDoS-Angriffen ausgesetzt. Die am stärksten betroffene Organisation verzeichnete 187 separate Attacken, darunter befand sich der größte von F5 Labs registrierte Einzelangriff.

„Durch eine Kombination aus geopolitischen Unruhen, ausgenutzten Schwachstellen und dem Aufkommen neuer Botnets sind die Denial-of-Service-Vorfälle seit unserem letzten Bericht „DDoS Attack Trends 2023“ im Februar 2023 explodiert“, so David Warburton, Direktor von F5 Labs. „Da sich die Bedrohung durch DDoS-Angriffe ständig weiterentwickelt und laut unserer Studie wächst, ist für Selbstzufriedenheit kein Platz.“

Angriffe verändern sich

Gemäß der Analyse von F5 Labs blieben die Angriffsgrößen fast während des gesamten Jahres 2023 hoch und lagen über 100 Gb/s, viele sogar über 500 Gb/s. DDoS-Angriffe variierten nicht nur in ihrer Größe, sondern griffen auch auf verschiedenen Ebenen an: von volumetrischen Angriffen, die Bandbreite verbrauchen, über Protokollangriffe auf Netzgeräte bis zu Anwendungsangriffen, die verfügbaren Speicher oder CPU-Zyklen verbrauchen.

Zudem verändern sich die Taktiken: So nahmen im Jahr 2022 Attacken auf die Anwendungsschicht (einschließlich HTTP(S)-Floods und DNS-Abfragen) zu und erreichten im ersten Quartal 2023 einen Anteil von fast 40 Prozent an allen Angriffen. Während des Jahres 2023 kehrte sich diese Entwicklung jedoch um. Der Anteil der Angriffe auf die Anwendungsschicht fiel auf etwa 25 Prozent, wohingegen volumetrische und Protokoll-Angriffe stiegen. Dies wirkte sich auch auf die Größe der Angriffe aus. Die Attacken auf Anwendungen lagen vorwiegend im Bereich von 50 bis 200 Mb/s und wurden als Mikro-DDoS-Angriffe kategorisiert. Die beiden anderen Angriffsarten weisen hingegen eine viel breitere Verteilung auf, mit bis zu 1 TBit/s.

Am stärksten betroffene Branchen

Die Branche Software und Computerdienste verzeichnete 2023 mehr als doppelt so viele DDoS-Aktivitäten wie im Vorjahr. Der weiterhin am stärksten betroffene Sektor war das Ziel von 37 Prozent aller Angriffe. Den stärksten Anstieg erlebte die Telekommunikationsbranche. Dort nahmen die Angriffe im vergangenen Jahr um 655 Prozent zu. Damit machten sie knapp ein Viertel (23 %) aller von F5 Labs im Jahr 2023 erfassten DDoS-Angriffe aus.

Auf Platz drei liegen die Support Services mit 11 Prozent aller Angriffe. Dieser Sektor war Ziel des größten registrierten Angriffs mit 1 TBit/s, der im März stattfand. Hier sollte das betroffene Unternehmen mit einer Flut von TCP SYN-Paketen lahmgelegt werden. Die Medienbranche sah ebenfalls einen deutlichen Anstieg der Denial-of-Service-Angriffe um 250 Prozent. Dies lag an der sich verändernden Geopolitik in einem Jahr, in dem globale Spannungen und Konflikte nur selten aus den Schlagzeilen verschwanden.

Regionale Unterschiede

So wie die meisten Angriffe auf relativ wenige Sektoren entfielen, konzentrierten sie sich auch auf einzelne Länder. Die USA, Frankreich, Saudi-Arabien, Italien, Belgien und Großbritannien waren im vergangenen Jahr Ziel von 80 Prozent aller DDoS-Angriffe. Alleine die USA erlebten 38 Prozent der Attacken, mehr als doppelt so viele wie das am zweithäufigsten angegriffene Frankreich. Die gesamte EMEA-Region war im Jahr 2023 von 57 Prozent aller Vorfälle betroffen, wobei sich die Zahl der Vorfälle im Vergleich zu 2022 mehr als verdreifachte. Die durchschnittliche Spitzenbandbreite stieg dabei deutlich von 50 Mb/s im Januar auf 5 Gb/s im Dezember. Der größte Angriff erreichte im Juni knapp 500 Gbit/s.

„Die Dauer eines DDoS-Angriffs kann kurz sein, aber seine Auswirkungen auf den Ruf durchaus langwierig“, erklärt Warburton. „Ein Managed Service von Experten, der durch eine Multi-Terabit-Bandbreite unterstützt wird, bietet sicherlich den größtmöglichen Schutz und kann oft mit sehr geringen Unterbrechungen eingesetzt werden. Aufgrund von Datenschutz und Compliance müssen Unternehmen in einigen Branchen jedoch zumindest Teile der DDoS-Abwehr vor Ort beibehalten.“

Für Unternehmen, die sich nicht vollständig auf einen verwalteten DDoS-Service verlassen können, empfiehlt F5 Labs den Einsatz von DNS-Firewalls, die bösartige IP-Adressen blockieren. Zudem sollten sie Lösungen zur Identifizierung von Bots und nicht-menschlichem Datenverkehr einsetzen. Ebenfalls wichtig ist der Schutz vor neuen DoS-Angriffsvektoren, die häufig ungepatchte Software- oder Hardware-Lösungen ausnutzen. Die Studie von F5 Labs unterstreicht auch, dass robuste Cyber-Bedrohungsdaten einen tiefen Einblick in die Aktivitäten von Angreifern und deren Absichten bei der Durchführung von DDoS- und anderen Cyber-Angriffen geben.