Ein Höhepunkt wurde am 13. Juni erreicht, 2 Tage vor der Videoansprache des ukrainischen Präsidenten Selenski an das Bundesparlament. 20 DDoS-Angriffe der Gruppierung "NoName057(16)" auf Schweizer Websites zählte das Security-Unternehmen Avast allein an diesem Tag. Nach der Rede nahm diese Zahl dann wieder ab. Ins Visier der pro-russischen Gruppe gerieten Flughäfen, die SBB und die Post, zahlreiche Städte und Kantone, Swiss Banking sowie Websites des Bundes.

Auch Richard Hummel, Senior Threat Intelligence Manager bei Netscout, hat einen Anstieg beobachtet: "Die Zahl der Angriffe auf die Schweiz hat seit Juni deutlich zugenommen. Davor war die Zahl der Angriffe ziemlich konstant." Im ganzen EMEA-Raum seien die Angriffe seit März generell angestiegen. Cloudflare hat ebenso eine Zunahme festgestellt. In einigen Fällen habe der Angriffsverkehr fast 40% des gesamten Verkehrs auf Schweizer Websites mit .ch als Top-Level-Domain erreicht.

"In den letzten Monaten haben wir eine Zunahme von ausgeklügelten, HTTP-basierten DDoS-Angriffen und DNS-DDoS-Angriffen beobachtet", erklärt Omer Yoachimik, Senior Product Manager DDoS Protection von Cloudflare, auf unsere Anfrage. Diese seien ohne eine intelligente Lösung besonders schwer abzuwehren. "Fähigkeiten, die früher staatlichen Akteuren zugeschrieben wurden, scheinen nun auch für nichtstaatliche Bedrohungsakteure zugänglich zu sein."

Wie reagieren Provider auf diese Zunahme? "Wir analysieren die Bedrohungslage rund um die Uhr und beobachten, dass die Zahl der Cyberbedrohungen seit Monaten ungebrochen hoch ist", schreibt die Medienstelle von Swisscom. Auch die Gefahr, die von DDoS-Attacken ausgeht, werde als steigend eingestuft. Vom E-Government-Spezialisten I-web, der viele Verwaltungen zu seinen Kunden zählt, heisst es zu den letzten Wochen: "Es wurden lediglich wenige I-web-Kunden direkt angegriffen. Unsere Abwehrmechanismen haben die Angriffe geblockt und unsere Kunden wurden orientiert."

Eine Beunruhigung bei den Kunden stellt der Provider Infomaniak fest, oft falle bei Anfragen der Begriff NoName. "Wir setzen verschiedene Schutzsysteme ein und verfügen über IP-Filtersysteme (z. B. Iptables) sowie eine systematische Redundanz, um die Stabilität unserer Produkte zu gewährleisten." Volumetrische Angriffe von bis zu 500Gbit/1Tbit pro Sekunde würden die internen Abwehrkapazitäten der meisten Schweizer Unternehmen übersteigen. "Aus diesen Gründen setzen wir auf eine vorgelagerte Mitigation unseres Netzwerks, um die Widerstandsfähigkeit gegenüber DDoS-Angriffen zu stärken."

"Aus Provider-Sicht sind vor allem Volumen-DDoS relevant. Das heisst, der Angreifer produziert sehr viel Traffic zwecks Überlastung der Leitungskapazität. Solche Angriffe ('Vorschlaghammer-Methode') werden seltener", schreibt Init7-Chef Fredy Künzler. "Die neue Art von Angriffen sind kleinere speziell produzierte 'böse' Datenpakete, also eher 'Skalpell'. Diese fallen vom Volumen her gar nicht mehr auf, sind aber nicht weniger wirksam, da sie Applikationen in die Knie zwingen."

Init7 habe Flowspec Monitoring (FastNetMon) zur Alarmierung im Einsatz, aber die Kapazitäten seien so dimensioniert, dass man bis zu einem gewissen Mass an Volumen-DDoS nicht zusammenbreche. "Es ist nicht falsch, genug Kapazität bereit zu halten", erklärt Künzler, "also zum Beispiel 10 Gbps Links statt nur 1 Gbps oder nur 100 Mbps zu bauen." Auf keinen Fall sollte ein Unternehmen bei einer Attacke Lösegeld bezahlen. "Jeder DDoS-Angriff geht irgendwann vorbei."

Die meisten DDoS-Attacken seien "kurz und klein, eine Art Cyber-Vandalismus", so Omer Yoachimik von Cloudflare. Andererseits würden grosse Angriffe an Umfang und Häufigkeit zunehmen. "Erst vor ein paar Monaten hat Cloudflare den grössten Angriff aller Zeiten abgewehrt – 71 Millionen Anfragen pro Sekunde." Die Anfangsspitze dieses Angriffs dauerte nur 30 Sekunden. "Die Angreifer bündeln die Kraft ihres Botnetzes, um mit einem einzigen schnellen K.O.-Schlag Schaden anzurichten."

Netscout hat für inside-it.ch die Art der Angriffe in der Schweiz aufgeschlüsselt (siehe Grafik), dabei handle es sich um eine Mischung aller Vektortypen. "DNS und UDP (DNS Water Torture und typische Reflection/Amplification-Angriffe) sind etwas stärker vertreten. TCP-basierte Angriffe, oft aus Botnetzen, sind immer noch weit verbreitet, aber in der Schweiz weniger stark als im Rest der Welt", erklärt Richard Hummel. Aktuell würden Killnet, Anonymous Sudan, NoName und DDoSia zu den aktivsten Bedrohungsakteuren gehören.

Und damit zurück zu NoName, der Gruppe, die dafür gesorgt hat, dass DDoS-Attacken auch einer breiteren Öffentlichkeit wieder ein Begriff sind. Avast analysiert die Gruppierung, seit diese nach Beginn des Ukraine-Kriegs aktiv wurde. Deren Angriffe seien zwar in dem Sinne nicht gefährlich, dass Systeme gehackt werden. "Aber sie können sehr lästig sein und dem Ruf eines Unternehmens schaden", erklärt Martin Chlumecky, Malware Researcher bei Avast.

Der Hauptzweck der Angriffe sei pro-russische Propaganda. "Darüber hinaus belohnt NoName ihre Freiwilligen mit Kryptowährungen. Die Herkunft des Geldes ist ungewiss." NoName nutze die Freiwilligen, um ihr DDoS-Tool für Windows, MacOS und Linux zu verbreiten und Angriffe durchzuführen. "Die Angreifer verwenden auch Proxy-Server, um die C2-Hauptserver zu verstecken, die schwieriger zu verfolgen sind. Wenn also ein Proxy-Server kompromittiert oder ausgeschaltet wird, können die Angreifer schnell einen neuen Server konfigurieren", so Chlumecky. Die meisten dieser Server befinden sich in Europa.

Wie sollen Unternehmen mit der möglicherweise ansteigenden DDoS-Gefahr umgehen? "Bereiten Sie sich vor und gehen Sie davon aus, dass Sie ein Ziel werden können, auch wenn Sie nicht an DDoS-Angriffe gewöhnt sind", empfiehlt Netscout. Angesichts von Dutzenden bis Hunderten von Millionen DDoS-Angriffen pro Jahr gibt es im Internet keinen sicheren Ort mehr. "Wenn Sie diese Angriffe wirklich vollständig verhindern wollen, sollten Sie die Verbindung zum Internet vollständig trennen."

Das NCSC empfiehlt in einem Papier zu DDoS: "Suchen Sie in jedem Fall den Kontakt zu Ihrem Internetanbieter – auch präventiv. Viele ISPs bieten zusätzliche Dienste für DDoS-Schutz an. Das Abonnieren eines solchen Dienstes lohnt sich in vielen Fällen bereits vor einem DDoS-Angriff." Update 22.6.: Der Artikel wurde um das Statement von I-web ergänzt.