Interview mit Markus Manzke, CTO von zeroBS
Zero Bullshit – der Name ist Programm. 2017 gegründet hat sich zeroBS ganz auf das Thema DDoS-Resilienz spezialisiert. Statt selbst Schutzlösungen zu verkaufen, konzentriert sich das Unternehmen darauf, Systeme und Organisationen auf Angriffe vorzubereiten, sie gezielt zu testen und anschließend die richtigen Maßnahmen abzuleiten. Neben klassischen DDoS-Tests bietet zeroBS auch Architekturberatung und mit einer eigenen Plattform sogar die Möglichkeit, Angriffe selbst zu simulieren – DDoS-as-a-Service sozusagen. In unserem Interview gibt uns Markus Manzke, CTO von zeroBS, Einblick in die aktuellen Entwicklungen im Bereich DDoS, erklärt, warum diese Angriffsform so gefährlich ist – und wie Unternehmen sich effektiv darauf vorbereiten können.
Laura Kaltenbrunner: Beginnen wir ganz grundlegend: Was genau ist eigentlich ein DDoS-Angriff – und wie unterscheidet er sich von anderen Cyber-Attacken?
Markus Manzke: Ganz einfach gesagt: DDoS ist ein Überlastungsangriff.
Man versucht, so viel Traffic auf ein Netzwerk oder eine Applikation zu schießen, dass kein legitimer Traffic mehr durchkommt. Man kann sich das so vorstellen: Aldi hat früher supergünstige, superstarke PCs verkauft. Alle sind gleichzeitig hingelaufen und haben sich darum gerissen. Am Ende kam dadurch aber dann keiner mehr rein.
Das ist im Grunde ein DDoS-Angriff. Also: Extrem viele Anfragen an ein System, so stark, dass das System nicht mehr alle beantworten kann und selbst die echten Nutzer nicht mehr durchkommen.
Laura Kaltenbrunner: Was macht DDoS so besonders?
Markus Manzke: DDoS ist die Waffe des kleinen Mannes. Jeder kann einen DDoS-Angriff für 10 Euro kaufen oder selbst durchführen. Ich muss nicht – wie bei anderen Cyberangriffen – in ein Netzwerk eindringen oder mich irgendwo durchkämpfen. DDoS ist so einfach wie eine Scheibe einzuschlagen.
Und es funktioniert theoretisch bei jedem Unternehmen, das sich nach außen exponiert. Am leichtesten geht es natürlich bei ungeschützten Systemen –das kann buchstäblich jeder 16-Jährige mit etwas krimineller Energie.
Der Effekt ist aber groß: Stell dir vor, jemand schießt die elektronische Gesundheitsakte ab – kein Arzt kann mehr etwas eintragen. Die Auswirkungen auf die Gesellschaft sind massiv.
Laura Kaltenbrunner: Wie hat sich die Bedrohungslage in den letzten Jahren verändert?
Markus Manzke: In der Form, wie wir sie heute kennen, gibt es DDoS-Angriffe seit etwa 2010. Damals haben Gruppen wie Anonymous gezeigt: Wenn sich Tausende zusammenschließen und gleichzeitig auf ein Ziel schießen, um es offline zu nehmen, dann schaffen sie es auch.
Ab 2013 wurde das dann zu einem echten Business. Seit rund zehn Jahren ist das Angebot für derartige Angriffe relativ stabil – wenn zehn Anbieter verschwinden, tauchen zwanzig neue auf. Was sich aber geändert hat, ist die geopolitische Lage. Covid, Russland, Israel – all das hatte Auswirkungen. Staatsnahe DDoS-Gruppen wurden vielfältiger.
Zudem können kleinere Gruppen heute deutlich mehr. Sie lernen von den Großen wie z.B. Killnet. Die haben die russische Invasion in der Ukraine hacktivistisch begleitet, waren erfolgreich in den Medien, und viele kleine Gruppen haben sich das abgeschaut.
Laura Kaltenbrunner: Wie sieht es auf Seiten der Verteidiger aus?
Markus Manzke: Auf der Verteidigungsseite sind wir bei klassischen Volumenangriffen gut aufgestellt – wenn man Schutz hat und den regelmäßig testet. Da kommt kaum noch was durch.
Schwieriger wird es bei Applikationen. Eine Bank hat heute zig Services nach außen - das alles ist Angriffsoberfläche. Und je mehr Applikationen und Angriffsoberflächen, desto komplexer wird es auch.
Ein Beispiel: Wir hatten eine Architekturberatung und es sah alles recht gut aus, bis wir gemerkt haben – Jira, eigentlich nur für intern gedacht, war über eine Firewall nach außen hin offen. Ein Angreifer konnte dadurch die zentrale Firewall in Mitleidenschaft ziehen und damit gleich mehrere damit verbundene Systeme beschädigen.
Die eigentliche Herausforderung auf Verteidigerseite ist also heutzutage zu verstehen, wie alles miteinander verbunden ist.
Laura Kaltenbrunner: Was genau passiert bei eurer Architekturberatung?
Markus Manzke: Wir schauen uns an, was ein Angreifer von außen sieht – und wie der Datenfluss bis zur Applikation läuft und zurück.
Dann prüfen wir die Angriffsoberfläche: Wo könnte jemand angreifen, und was passiert, wenn er das tut?
Ein Beispiel für einen kritischen Angriff mit unvorhergesehenen Folgen: Viele Unternehmen haben ein geregeltes Access Management mit 2-Faktor-Authentifizierung auf allen Applikationen. Wenn ich zuerst das 2-Faktor-Authentifizierungs-System abschieße, kommt kein Mitarbeiter mehr in seine Applikationen rein. Dann kann der Angreifer sich in Ruhe weitere Ziele aussuchen, weil gerade sowieso keiner mehr Zugriff hat.
Laura Kaltenbrunner: Aktuell hört man viel von Gruppen wie NoName057(16). Welche Rolle spielen die?
Markus Manzke: Die sind eine Stufe über den 10-Euro-Angriffen aus dem Internet, aber nicht die gefährlichsten. NoName ist jedoch eine der aktivsten Gruppen – sie machen seit zwei Jahren fast täglich Angriffe. Die haben eine richtige Infrastruktur inklusive Bonus-System aufgebaut. So vergeben sie beispielsweise Bonus-Auszahlungen in Form von Kryptowährungen an die, die am meisten Angriffe ausführen.
Ihr Modus Operandi: Jede Woche ein anderes Land. Sie greifen dort viel Logistik, Flughäfen, Banken oder lokale Transportunternehmen an – zum Beispiel in Deutschland die Stadtbahnen in Hannover oder München. Aber eigentlich wird mittlerweile alles angegriffen – vom Finanzamt bis zum Bundestag. Oft wissen sie selbst nicht genau, was sie da treffen. Aber etwa die Hälfte der Ziele sind Ministerien oder Regierungswebseiten.
Die Auswirkungen von NoName sind heute meist begrenzt, da sich ihre Angriffstaktiken seit einiger Zeit wiederholen. Aber wenn sie plötzlich ihren Modus ändern würden, ginge das Spiel wieder von vorn los und man müsste sich neu vorbereiten.
Das Ziel solcher Gruppen ist jedenfalls häufig Aufmerksamkeit – oft im Sinne einer hybriden Kriegsführung.
Laura Kaltenbrunner: Wie ist das DDoS-Ökosystem aufgebaut? Wer verdient daran?
Markus Manzke: Früher gab es viele Erpressungsversuche im Zusammenhang mit DDoS, heute ist das eher selten. Das Business funktioniert einerseits über Booter-Services – also kleine Botnetze, die man stundenweise mieten kann. Andererseits gibt es auch richtige Marktplätze, wo Profis ihre Dienste anbieten – mit Bewertungen, Rankings und allem drum und dran. Da sind teilweise so professionelle Leute unterwegs, dass selbst wir sagen: Hut ab.
Dann gibt’s Botnetz-Operatoren, die keine Booter betreiben, sondern ihre Bots auf den Marktplätzen anbieten. Man kann da 20.000 bis 50.000 Bots kaufen. Das ist ein lukratives Geschäft. Wir haben mal eine Kampagne aufgeklärt, die hat 20.000 Dollar im Monat gekostet. Nach Abzug der Kosten hat der Angreifer rund 10.000 verdient – steuerfrei. Wenn der in z.B. Asien sitzt, lebt er davon richtig gut. Bei Gruppen wie NoName gibt’s sicher irgendeine Form staatlicher Toleranz oder Finanzierung im Hintergrund – anders ist die tägliche Aktivität seit zwei Jahren kaum erklärbar.
Laura Kaltenbrunner: Was sind die besten Schutzmaßnahmen – auch für Unternehmen ohne großes Budget?
Markus Manzke: Ganz klar: Dienstleister. Wer keine 24-Stunden-DDoS-Operation hat, sollte zu Profis gehen. Man wird es sonst allein nicht hinkriegen. Wir hatten früher eine Zeit, da waren über 80 % unserer Kunden vorher schon betroffen. Das ist weniger geworden – heute kommen rund 30 % wegen Compliance, 30 %, weil sie mal richtig auf die Nase bekommen haben, und 30 %, weil sie sagen: Das Risiko ist zu hoch, um es zu ignorieren.
Laura Kaltenbrunner: Viele Unternehmen erleben regelmäßig erfolglose Angriffe. Reichen solche „Live-Tests“ aus?
Markus Manzke: Kommt drauf an, wie die Bedrohungslage des jeweiligen Unternehmens ist. Wenn wir sehen, dass die Bedrohungslage NoName bzw. deren Level ist, und eine Firma regelmäßig NoName-Angriffe abwehrt – Hut ab, alles gut, kein Handlungsbedarf.
Wenn aber die Bedrohungslage höher ist – wie zum Beispiel bei Banken – dann empfehlen wir, gezielt komplexere Angriffe zu testen.
Generell: Wir schauen uns immer zuerst die Bedrohungslage an und die Angriffsoberfläche. Erst auf Basis davon weiß man, was man testen muss.
Laura Kaltenbrunner: Woran erkennt man, dass ein System wirklich belastbar ist?
Markus Manzke: Wir monitoren Angreifer und teilen sie in Level ein – das nennt sich DDoS Resiliency Score, kurz DRS. Level 3 ist der Klassiker: das ist zum Beispiel ein wütender Bankkunde, der mit einem Booter-Service die Hauptwebseite seiner Bank beschießt.
Level 4 ist dann schon NoName – die wissen z.B., dass es auch Login-Bereiche gibt, schicken massenhaft Fake-Logins und zwingen das System, immer wieder neu zu rechnen, bis das System einknickt.
Ab Level 5 wird es komplex – da kommen neue Methoden dazu. Level 6 ist schlussendlich staatlich gesponsert, da gibt es dann auch kein Limit mehr. Wenn China beschließt, so einen Angriff zu fahren, dann stirbt das Internet – das nennt man dann eine „Maestro Attacke“.
Wir testen Unternehmen immer auf dem Level, das ihrer Bedrohungslage entspricht – und das funktioniert sehr gut.
Laura Kaltenbrunner: Wie geht es weiter – was erwartet uns in den nächsten Jahren?
Markus Manzke: Wir sehen gerade zwei Entwicklungen.
Erstens: sogenannte Pulsewave-Angriff. Das sind extrem kurze Attacken, teilweise unter fünf Sekunden. Eine Anomalie-Erkennung braucht immer ein bisschen Zeit – z.B. eben fünf Sekunden - um einen Angriff zu erkennen. Der Impact ist aber bereits da, das Ziel ist down. Dann pausieren die Angreifer, nach 15 Sekunden ist das System wieder online, und nach weiteren 15 Sekunden geht es erneut mit dem Angriff los. So kriegt man 50 % Downtime, ohne, dass man es unmittelbar bemerkt.
Zweitens: breite Angriffe auf alles, was da ist – in der Hoffnung, dass irgendwo etwas kaputtgeht. Der Traffic pro Ziel ist gering und dadurch oft unter der Wahrnehmungsgrenze, aber wenn alles über eine zentrale Firewall oder einen Load Balancer läuft, hat man schlussendlich trotzdem einen Überlastungseffekt.
Zudem kommt immer mehr KI ins Spiel – zum Beispiel zum Lösen von Captchas oder für menschlich aussehende Webseiten-Interaktionen. Zusammengefasst kann man sagen, dass wir klassische IoT-Angriffe heutzutage schon einigermaßen im Griff haben, aber das Ganze ist wie überall in der Cyber Security ein Wettrüsten. Was heute nur Profis können, können in einem Jahr Halb-Profis – und in zwei Jahren die Booter-Services.