Bundesamt für Cybersicherheit Schweiz
Der Bericht des Nationalen Zentrums für Cybersicherheit (NCSC) zur Analyse der DDoS-Angriffe (Distributed Denial of Service) von NoName057(16) im Juni 2023 bietet einen umfassenden Überblick über die durchgeführten Angriffe auf verschiedene Schweizer Organisationen und Behörden. Diese Angriffe fanden in den ersten beiden Wochen des Monats statt und sind vor dem Hintergrund geopolitischer Spannungen und der Rolle der Schweiz im Ukraine-Konflikt zu verstehen.
Hintergrund und Motivation
Die DDoS-Angriffe wurden durch die prorussische Hacktivisten-Gruppe NoName057(16) initiiert. Diese Gruppe nutzt Cyberaktivismus, um politische Botschaften zu verbreiten und auf Entscheidungen des Schweizer Parlaments, wie die Genehmigung von Waffenexporten, zu reagieren. Ziel war es, die Verfügbarkeit wichtiger Webauftritte, insbesondere von staatlichen Institutionen, zu beeinträchtigen und dadurch mediale Aufmerksamkeit zu erzeugen. Die Angriffe wurden als Protest gegen die Unterstützung der Ukraine durch die Schweiz verstanden, insbesondere im Hinblick auf die bevorstehende Rede von Wolodymyr Selenskyj im Schweizer Parlament.
Art des Angriffs
Die Angriffe konzentrierten sich auf die Applikationsebene (OSI Layer 7), was bedeutet, dass legitimes Nutzerverhalten simuliert wurde, um die Serverkapazitäten der angegriffenen Webseiten zu erschöpfen. Diese Technik führte dazu, dass Webdienste vorübergehend nicht erreichbar waren, ohne jedoch einen direkten Abfluss von sensiblen Daten zu verursachen. Die DDoS-Angriffe zielten darauf ab, die Benutzererfahrung zu stören, indem sie Webauftritte überlasteten.
Verlauf der Angriffe
Der Verlauf der Angriffe zeigt, dass zwischen dem 7. und 19. Juni 2023 insgesamt 57 erfolgreiche DDoS-Angriffe registriert wurden. Die Ziele reichten von der Schweizerischen Bundesverwaltung über verschiedene Kantone bis hin zu großen Unternehmen und Dienstleistungen. In den ersten Tagen konzentrierten sich die Angriffe vor allem auf die Webseiten des Schweizer Parlaments und der Bundesbehörden, während später auch Flughäfen und andere öffentliche Dienstleistungen betroffen waren.
Auswirkungen der Angriffe
Trotz der intensiven Angriffe blieb der nachhaltige Schaden gering. Die betroffenen Organisationen hatten oft bereits Maßnahmen zur Abwehr von DDoS-Angriffen implementiert, wodurch die meisten Angriffe rechtzeitig mitigiert werden konnten. Der maximale Ausfall betraf lediglich einige Stunden bis zu maximal drei Tage in Ausnahmefällen.
Die mediale Berichterstattung über die Angriffe war erheblich. Rund 50 Artikel in Printmedien und über 370 Online-Artikel berichteten über die Vorfälle, was zu einer breiten Wahrnehmung und Besorgnis in der Bevölkerung führte. Der NCSC erhielt zahlreiche Anfragen von Medien, die Informationen zu den Angriffen suchten.
Politische und rechtliche Reaktionen
Politisch gab es keine dramatischen Reaktionen auf die DDoS-Angriffe im Schweizer Parlament, abgesehen von wenigen Erwähnungen. Ein Vorstoß zur Diskussion über den Status der Schweiz im Cyberkrieg wurde eingereicht, jedoch wurde von offiziellen Stellen betont, dass die Angriffe als Vandalismus und nicht als Kriegshandlungen einzustufen seien.
Die Bundesanwaltschaft hat ein Verfahren wegen der DDoS-Angriffe auf die Website des Parlaments eingeleitet, was die rechtlichen Folgen der Angriffe verdeutlicht.
Empfehlungen und Schlussfolgerungen
Der Bericht schließt mit Empfehlungen zur Verbesserung der Sicherheitsmaßnahmen gegen DDoS-Angriffe. Es wird betont, dass die bestehenden Sicherheitsstrategien oft nicht ausreichen, um gegen die neuen Techniken der Angreifer zu bestehen. Proaktive Maßnahmen, wie die Implementierung von Web Application Firewalls (WAFs) und die Durchführung von Business Impact Analysen, sind entscheidend, um sich auf mögliche Angriffe vorzubereiten.
Zusammenfassend zeigt die Analyse der DDoS-Angriffe von NoName057(16), dass trotz der minimalen Schäden und der schnellen Reaktionen der betroffenen Organisationen die Bedrohung durch solche Angriffe weiterhin ernst genommen werden muss. Der Bericht fordert eine kontinuierliche Anpassung der Sicherheitsstrategien und eine enge Zusammenarbeit zwischen den betroffenen Institutionen und dem NCSC, um die Resilienz gegen zukünftige Angriffe zu erhöhen.
