D-Day für die digitale Sicherheit: Am 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) in Kraft getreten, um den zunehmenden Cyberbedrohungen entgegenzuwirken. Laut dem Allianz Risk Barometer 2025 stellen sie das weltweit größte Risiko für Unternehmen dar. Mit dem erneuten Anstieg von DDoS-Angriffen, der verstärkten Nutzung neuer Technologien wie generativer KI durch Cyberkriminelle, und einem globalen Mangel an Cybersicherheitsexperten, wird die Bedrohungslage immer komplexer.

DORA zielt darauf ab, die digitale Widerstandsfähigkeit von Finanzinstituten zu stärken, sie besser vor Cyberangriffen zu schützen und einheitliche Sicherheitsstandards innerhalb der EU zu schaffen. Doch welche Chancen und Herausforderungen bringt DORA für deutsche Finanzunternehmen? 

Warum ist DORA für deutsche Banken so wichtig?

Deutsche Finanzinstitute gelten als Vorreiter in den Bereichen Sicherheit und Compliance. Mit der Umsetzung von DORA haben sie die Chance, diese Spitzenposition weiter auszubauen. Die Verordnung bietet zahlreiche Vorteile: 

• Erhöhte Cybersicherheit: Strenge Anforderungen an die IT-Sicherheit sorgen für einen besseren Schutz vor Cyberangriffen. 
• Mehr Vertrauen: Kunden und Investoren schätzen höhere Sicherheitsstandards, was das Vertrauen in den Finanzplatz Deutschland stärken kann. 
• Wettbewerbsvorteil: Einheitliche Regelungen innerhalb der EU schaffen gleiche Wettbewerbsbedingungen, so dass etwa Banken ihre Expertise optimal einsetzen können. 

Die 5 Kernanforderungen von DORA

Der DORA-Rahmen zur Stärkung der Cybersicherheit und Widerstandsfähigkeit des EU-Finanzsektors besteht aus fünf Kernanforderungen: 

1. Finanzunternehmen brauchen ein robustes IKT-Risikomanagement, das Strategien, Richtlinien und Verfahren zum Schutz von Informationen, Software und physischen Vermögenswerten umfasst, und regelmäßige Tests. 
2. Management, Klassifizierung und Berichterstattung von IKT-Vorfällen: Unternehmen müssen IKT-bezogene Vorfälle und Cyberbedrohungen schnell melden und beheben. Vorfälle müssen innerhalb von vier Stunden gemeldet werden, ein detaillierter Bericht muss innerhalb einer Woche vorliegen. Solide Reaktionspläne und Ursachenanalysen sind unerlässlich. 
3. Digitale Betriebsstabilitätstests: IKT-Systeme werden regelmäßig getestet, um Schwachstellen und die Wirksamkeit von Schutzmaßnahmen zu bewerten.  
4. IKT-Risikomanagement für Dritte: Unternehmen müssen Risiken externer Dienstleister aktiv managen. Dazu gehören Due-Diligence-Prüfungen, Audits und klare vertragliche Regelungen. Auch Drittanbieter müssen die DORA-Anforderungen erfüllen.  
5. Informationsaustausch: Unternehmen werden ermutigt, sich an einem freiwilligen Informationsaustausch zu beteiligen, um „Best Practices“ zu entwickeln. Die Datenschutzbestimmungen sind dabei zu beachten. 

Durch die Umsetzung dieser Anforderungen können Finanzunternehmen ihre digitale Betriebsstabilität stärken und besser auf schwerwiegende Störungen reagieren. 

Herausforderungen bei der Umsetzung

Trotz der offensichtlichen Vorteile bringt die Umsetzung von DORA auch Herausforderungen mit sich: 

• Fachkräftemangel: Die Nachfrage nach IT-Sicherheitsexperten übersteigt das Angebot deutlich. Viele Banken haben Schwierigkeiten, qualifiziertes Personal zu finden. 
• Komplexe Anforderungen: Die umfassenden Regelungen von DORA erfordern einen erheblichen Ressourceneinsatz. 
• Hohe Kosten: Die Umsetzung neuer Sicherheitsmaßnahmen ist mit zum Teil hohen Investitionen verbunden. 

Strategien zur erfolgreichen Umsetzung

Um diese Herausforderungen zu meistern und die Chancen von DORA voll auszuschöpfen, sollten Finanzinstitute folgende Strategien verfolgen: 

1. Investitionen in IT-Sicherheit: Höhere Budgets für Sicherheitsmaßnahmen sind unabdingbar. 
2. Weiterbildung der Mitarbeitenden: Kontinuierliche Schulungen stellen sicher, dass die Mitarbeitenden mit den neuen Anforderungen Schritt halten können. 
3. Kooperationen: Die Zusammenarbeit mit anderen Banken, IT-Dienstleistern und Regulatoren kann die Umsetzung erleichtern.  
4. Einsatz von Technologie: Künstliche Intelligenz (KI) und Automatisierung helfen bei der Risikobewertung und Compliance. 

Die Rolle von Künstlicher Intelligenz bei der DORA-Compliance

Künstliche Intelligenz bietet vielversprechende Lösungen, um die DORA-Anforderungen effizient zu erfüllen: 

• Anomalie-Erkennung: KI-Algorithmen können große Datenmengen analysieren und auffällige Muster identifizieren, die auf potenzielle Sicherheitsvorfälle hinweisen. 
• Automatisierung von Prozessen: Routineaufgaben wie die Überprüfung von Logdateien oder die Erstellung von Berichten können automatisiert werden, wodurch Fehler reduziert und die Effizienz gesteigert werden. 
• Optimierte Resilienztests: KI kann helfen, Cyberangriffe zu simulieren und die Widerstandsfähigkeit von Systemen zu bewerten. 

Durch den gezielten Einsatz von KI können Banken ihre Cyber-Resilienz stärken und gleichzeitig Ressourcen effizient nutzen. 

Auswirkungen von DORA auf Kunden

DORA wirkt sich nicht nur auf die Finanzinstitute selbst aus, sondern bringt auch Vorteile für die Kundinnen und Kunden: 

• Höherer Datenschutz: Strengere Sicherheitsanforderungen schützen persönliche Daten besser vor unberechtigtem Zugriff. 
• Stabilere Dienste: Robustere IT-Systeme sorgen für eine zuverlässigere Bereitstellung von Finanzdienstleistungen. 
• Vertrauensgewinn: Höhere Cybersicherheit steigert das Vertrauen der Kundinnen und Kunden in den Finanzsektor. 

Fazit

Mit DORA hat die EU einen entscheidenden Schritt zur Stärkung der Cybersicherheit im Finanzsektor getan. Für den Finanzsektor bietet sich die Chance, seine Vorreiterrolle zu festigen und von einheitlichen Standards zu profitieren. Die Umsetzung erfordert jedoch Investitionen und eine strategische wie ganzheitliche Cybersicherheitsstrategie. Mit gezielten Maßnahmen und dem Einsatz moderner Technologien können etwa deutsche Banken die Herausforderungen meistern und gleichzeitig das Vertrauen von Kunden und Investoren weiter stärken. DORA ist mehr als eine Verordnung – es ist ein Schutzschild für die Zukunft des Finanzsektors. 

Die Einhaltung der DORA-Verordnung erfordert nicht nur robuste Strategien, sondern auch die richtige technische Absicherung gegen Bedrohungen wie DDoS-Attacken. Mit unserem umfassenden DDoS-Schutz verteidigen wir Ihre IT-Infrastruktur vor Überlastungsangriffen und gewährleisten die ständige Verfügbarkeit Ihrer Finanzdienstleistungen – auch unter höchster Belastung. 

Setzen Sie sich jederzeit mit uns in Verbindung, um Ihre digitale Resilienz zu stärken und sich optimal gegen Cyberangriffe zu wappnen. 

Jetzt kontaktieren >>

Größte Attacke des Jahres mit einer Bandbreite von 1,4 Tbps wurde erfolgreich abgewehrt

Im Oktober 2024 wurde Link11 mit einem der größten DDoS-Angriffe konfrontiert, die je im Link11-Netzwerk registriert wurden. Der Angriff erreichte Spitzenwerte von 1,4 Terabit pro Sekunde (Tbps) und 120 Millionen Paketen pro Sekunde (Mpps). Er basierte nicht auf ausgeklügelten Angriffstechniken, sondern auf schierer Masse. Trotz der enormen Last konnte die Attacke vollständig abgewehrt werden, sodass die Dienste des Kunden ohne Unterbrechung aufrechterhalten wurden.

Blick auf die Zahlen: Die schiere Menge des Angriffsvolumens

DDoS-Attacken in Europa werden häufiger. Angriffe solcher Größe werfen die Frage auf, wie sich Europa gegen DDoS-Angriffe wehren kann. Trotz mehr Netzkapazität bleiben volumetrische Angriffe beliebt.

Ein Angriff mit 1,4 Tbps entspricht der Datenlast, die durch das gleichzeitige Streaming von mehr als 300.000 HD-Videos verursacht wird. Ein solcher Datenfluss überlastet das Netzwerk und die Server-CPUs. DDoS-Abwehr muss heute automatisch und agil gestaltet sein, da Reaktionen in Echtzeit notwendig sind und manuelle Eingriffe oder reine Filterlösungen bei großen Datenmengen nicht mehr ausreichen.

Angriffsdetails: Eine komplexe Strategie

Der DDoS-Angriff wies eine Vielzahl von Angriffsvektoren auf, wodurch die Verteidigungsmaßnahmen erheblich erschwert wurden. Die Angriffsquelle umfasste insgesamt 859.756 einzigartige IP-Adressen, was auf eine starke Verteilung der Angriffsquellen hindeutet. Es ist davon auszugehen, dass eine Vielzahl von kompromittierten Geräten weltweit an dem Angriff beteiligt war. Diese Verteilung ist typisch für moderne DDoS-Angriffe, bei denen Cyberkriminelle häufig Botnetze aus IoT-Geräten oder unsicheren Home-Routern nutzen. In diesem Fall lag die primäre Herkunft des Datenverkehrs in den USA, gefolgt von China.

Traffic aufgeteilt nach Ländern

Die Aufschlüsselung der Angriffsvektoren stellt sich wie folgt dar:

• TCP (über 50 % des gesamten Angriffsvolumens): Die Verwendung zufällig ausgewählter Quellports und das gezielte Anvisieren des Zielports 80 (HTTP) lässt darauf schließen, dass die Angreifer versuchten, die Webdienste direkt zu überlasten.
• UDP (knapp 40 % des Volumens): Da UDP-Pakete in der Regel nicht verbindungsorientiert sind, eignen sie sich besonders gut für Angriffe. Sie können schnell und in großen Mengen gesendet werden, ohne dass eine vorherige Verbindung erforderlich ist.
• ICMP (etwa 5 % des Angriffsvolumens). ICMP-Pakete können zur Erkennung von Netzwerkverbindungen verwendet werden, was darauf hindeutet, dass die Angreifer möglicherweise versuchten, die Netzwerkinfrastruktur zusätzlich zu überlasten.
• GRE: (rund 5 % des Volumens): GRE-Tunnel werden häufig zur Datenübertragung über VPNs verwendet. Dies deutet darauf hin, dass Angreifer versuchen, GRE-Pakete als legitimen Dienst zu tarnen, Filter zu umgehen und ihre Angriffe effektiver zu gestalten.

Attack Traffic in Mbps

Dynamik der Angriffsstrategien

Die Dynamik der Angriffsstrategien war besonders bemerkenswert. Nach etwa vier Minuten wurde die Paketgröße der Angriffe signifikant reduziert. Dies ist eine taktische Variation, die Cyberkriminelle häufig verwenden, um die Abwehrmechanismen zu überlisten. Die anschließende Erhöhung der Paketgröße für die TCP- und UDP-Vektoren und die moderate Anpassung bei GRE beweisen, dass die Angreifer in Echtzeit ihre Strategien an die Abwehrmaßnahmen von Link11 anpassen.

Ein solch komplexes Angriffsszenario kann unweigerlich zu einer Überlastung der Netzwerkkapazität sowie der Server-CPU des Ziels führen. Ein erfolgreicher Angriff hätte zum kompletten Stillstand des digitalen Geschäftsbetriebs geführt. Für viele Unternehmen hätte das katastrophale Folgen gehabt. Der Angriffsverlauf zeigt deutlich, dass DDoS-Abwehrstrategien kontinuierlich optimiert und an die sich ändernden Bedrohungen angepasst werden müssen.

Einfache, aber effektive Angriffsstrategien

Die Schlichtheit der verwendeten Methoden – illegitime webbasierte Traffic-Verbindungen – beweist, dass die Angreifer noch immer häufig auf die am weitesten verbreiteten Internetdienstprotokolle und -ports abzielen. Diese Art von Angriffen bleibt trotz fortschrittlicherer Methoden unter Cyberkriminellen beliebt, da sie einfach zu generieren sind. Die Angreifer wissen genau, dass viele Zielsysteme nicht über die nötigen Kapazitäten verfügen, um mit solchen Angriffen umzugehen.

Auch die strategische Ausrichtung auf Home-ISP-Provider und die damit verbundenen Access/Eyeball-Netzwerke zeigt, wie Angreifer Schwachstellen im Internet nutzen. Indem sie solche Netzwerke infiltrieren, können sie Massenverkehr generieren, der in der Regel schwer zu identifizieren und zu blockieren ist.

IoT-Geräte und Schwachstellen – eine gefährliche Kombination

Die zunehmende Vernetzung von Geräten und das Internet der Dinge (IoT) haben das Bedrohungsumfeld verändert.

Viele Geräte sind anfällig für Angriffe, da sie ohne Sicherheitsmaßnahmen betrieben werden. Die Attacken beweisen, dass wir Sicherheitsstandards verbessern müssen. Die kürzlich entdeckte Schwachstelle CVE-2024-3080 verdeutlicht die Notwendigkeit, Sicherheitsstandards in der IoT-Industrie zu verbessern.

Sie kommt in bestimmten ASUS-Router-Modellen vor. Die „Authentifizierungs-Bypass“-Schwachstelle erlaubt Angreifern, sich Zugriff auf Router zu verschaffen, ohne gültige Anmeldedaten einzugeben. Normalerweise erfordert der Zugriff auf die Konfigurationsoberfläche eines Routers die Eingabe von Benutzernamen und Passwort. Bei dieser Schwachstelle können Angreifer jedoch den Authentifizierungsprozess umgehen. Ein kompromittierter Router wird zu einem Teil eines Botnetzes und missbraucht, um DDoS-Angriffe durchzuführen. Dies unterstreicht die Gefahren, die mit ungesicherten IoT-Geräten einhergehen.

Effektive Abwehr durch globale Scrubbing-Center

Um einer solchen Attacke zu begegnen, sind flexible Verteidigungsmechanismen unerlässlich. Link11 hat den Angriff dank seines globalen Netzwerks abgewehrt.

Jedes Scrubbing-Center konnte Datenströme analysieren und bösartige Daten herausfiltern. Die Scrubbing-Center in Europa haben einen Großteil übernommen. Die Verteilung der Daten auf verschiedene Standorte hat die Belastung effektiv verteilt. Die automatisierten Filter und adaptiven Algorithmen von Link11 waren dabei maßgeblich. Dank KI konnten wir illegitimen Traffic blockieren, während wir legitime Anfragen weiterverarbeiteten. So konnten wir die Abwehr ohne menschliches Eingreifen und ohne Auswirkungen auf die Systeme des Kunden durchführen.

Fazit

In einer Zeit, in der die Bedrohung durch Cyberangriffe ständig wächst, sollten Unternehmen robuste, skalierbare, automatisierte DDoS-Abwehrmechanismen implementieren, um sich vor Cyberbedrohungen zu schützen.

Automatisierte Systeme sind unerlässlich, um Angriffe in Echtzeit zu erkennen und zu neutralisieren. Die Komplexität und Dynamik der heutigen Angriffe erfordern intelligente Lösungen, die auf maschinellem Lernen basieren und sich an neue Bedrohungen anpassen können.

Mitarbeiter und Benutzer müssen im Umgang mit IoT-Geräten geschult und für Gefahren sensibilisiert werden. Zudem sind bewährte Sicherheitspraktiken und regelmäßige Updates zwingend notwendig, um Schwachstellen zu schließen und Angriffsvektoren zu reduzieren. Unternehmen müssen handeln und sich gegen die wachsenden Bedrohungen im Cyberraum rüsten.