DDoS passiert: Die Schweizer Cybersicherheit im Ukraine-Konflikt
Als Hosting-Provider stehen wir täglich vor der Herausforderung, Angriffe zu verhindern und abzuwehren. Ein aktueller Analysebericht des NCSC erläutert die Hintergründe und Auswirkungen einer politisch motivierten DDoS-Welle auf Schweizer Organisationen.
Das Nationale Zentrum für Cybersicherheit (National Cyber Security Center, NCSC) hat eine detaillierte Analyse der Vorfälle im Zusammenhang mit den DDoS-Angriffen auf Schweizer Organisationen und Behörden in der ersten zwei Juniwochen 2023 veröffentlicht.
Die Drahtzieher und der Kontext
Der Bericht identifiziert als Akteur die pro-russische Hacktivistengruppe «NoName057(16)» und zeigt deren Vorgehen auf. Die Angriffe erfolgten im Nachgang zu einem Entscheid des Ständerats in Zusammenhang mit dem Kriegsmaterialgesetz zugunsten der Ukraine sowie der Ankündigung einer Online-Rede des ukrainischen Präsidenten Selenskyj vor der Bundesversammlung. Im Fokus des Akteurs standen Behörden oder Organisationen, die eine gewisse Nähe zur Bundesverwaltung aufweisen und in der Öffentlichkeit ein hohes Ansehen geniessen (z. B. das Schweizer Parlament, die Schweizerische Post AG und die Schweizerischen Bundesbahnen SBB).
Der Bericht geht auch auf den geopolitischen Kontext rund um den Krieg in der Ukraine und die politische Motivation der Angreifer ein. Auch der technische Teil, sowohl was den Angriff als auch die Abwehr betrifft, wird ausführlich und verständlich diskutiert. Er kommt zu dem Schluss, dass klassische Anti-DDoS-Sicherheitsstrategien, die eher gegen volumetrische DDoS-Angriffe ausgerichtet sind, nicht mehr ausreichen, um sich gegen Angriffe auf der Applikationsebene (wie z.B. durch den aktuellen Akteur) zu schützen. Er sieht die Unternehmen in der Verantwortung, im Rahmen eines kontinuierlichen Verbesserungsprozesses ihr Risiko hinsichtlich DDoS-Angriffe neu zu bewerten und die notwendigen Anpassungen vorzunehmen.
Schutzmassnahmen, Sensibilisierung und Eigenverantwortung
Als Anbieter von Hosting-Dienstleistungen für geschäftskritische Systeme ist aspectra tagtäglich mit solchen Situationen konfrontiert. Zur Prävention werden Internet-Uplinks, Router, Firewall, WAF und weitere Komponenten sowie resiliente Architekturen für die Anwendungen realisiert. Im Falle eines Angriffs stehen die dafür ausgebildeten und trainierten Mitarbeitenden im Mittelpunkt, die anhand von Checklisten, Erfahrungen und im Austausch mit anderen Stakeholdern oder auch dem NCSC die verschiedenen zur Verfügung stehenden Massnahmen abwägen und die Angriffe mitigieren.
Aber auch der Einbezug der betroffenen Kunden bzw. deren Lösung ist relevant. Die Entscheidung, ob allenfalls Teile einer Applikation global oder lokal "offline" genommen werden, muss letztlich von den Betroffenen selbst getroffen werden. Entsprechend ist die Sensibilisierung und die Auswirkung von DDoS-Angriffen ein Thema für alle, die Anwendungen im Internet zur Verfügung stellen.
Den gesamten Bericht samt "Lessons Learned" finden Sie hier:
Nachgelagerte Vorfallanalyse DDoS-Angriffe «NoName057(16)», Juni 2023 (PDF, 2 MB, 02.11.2023)