43 Prozent der deutschen Unternehmen wurden in den vergangenen zwölf Monaten Opfer einer DDoS-Attacke - so das Ergebnis einer internationalen Studie von BT. Darunter versteht man einen - in der Regel absichtlichen - Angriff auf Server oder auf Netzkomponenten, der von vielen verteilten Rechnern ausgeht und die Überlastung der Infrastruktur seines Opfers zum Ziel hat.
Hinzu kommt, dass solche Angriffe immer länger dauern und auch an Stärke zunehmen. Herkömmliche Abwehrlösungen wie Firewalls und Intrusion-Prevention-Systeme (IPS) reichen da meist nicht aus. Der Schaden für die betroffenen Unternehmen ist immens - im Schnitt sind ihre Systeme mehr als einen ganzen Arbeitstag lang "down". So haben Reklamationen und Rückfragen von Kunden und Lieferanten in den letzten zwölf Monaten um durchschnittlich 36 Prozent zugenommen, wie die Umfrage ergab.
Wer DDoS-Angriffe abwehren möchte, sollte folgende Punkte beachten:
Schutzbedarf analysieren
Bevor Sie sich für eine Lösung zum Schutz vor DDoS-Angriffen entscheiden, sollten Sie den Schutzbedarf Ihres Unternehmens analysieren. Entscheidend ist dabei, welche übers Internet erreichbaren Systeme Ihr Unternehmen einsetzt, wie kritisch die dazugehörigen Geschäftsprozesse sind und welche Auswirkungen ihr Ausfall hätte. Ein durch eine DDoS-Attacke verursachter System- oder Netzausfall dauert durchschnittlich zwölf Stunden. Was konkret bedeutet das fürs Geschäft - etwa wenn die Website einen Tag lang nicht erreichbar ist? Welche Kosten würden Ihrem Unternehmen dadurch entstehen?
Art des Angriffs berücksichtigen
Auch die unterschiedlichen Arten von DDoS-Attacken spielen bei der Schutzbedarfsanalyse eine Rolle. Neben großen, volumetrischen Angriffen, bei denen der Angreifer die Leitung so lange bombardiert, bis sie voll ist, kommen so genannte Multi-Vector-Taktiken immer häufiger vor, bei denen verschiedene Unternehmensplattformen gleichzeitig mit Anfragen bombardiert werden.
Foto: BT
Beide Angriffsarten setzen voraus, dass das System des Angreifers über mehr Bandbreite verfügt als das des Opfers. Oft handelt es sich dabei um Ablenkungsmanöver: Während die IT-Abteilung versucht, dem so sogenannten Flooding der Internet-Verbindung Herr zu werden, verschafft sich der Angreifer beispielsweise über eine andere Schwachstelle im Netzwerk Zugriff auf Firmendaten.
Aber auch Angriffe mit niedrigen Bandbreiten können Schaden anrichten. Ein Beispiel sind Connection-Angriffe, bei denen der Angreifer den ständigen Aufbau von TCP-Verbindungen an das Zielsystem simuliert. Zunehmend kommen auch Angriffe auf Applikationsebene vor, beispielsweise indem der Angreifer permanent versucht, sich mit falschen Login-Daten anzumelden. Da das Backend ununterbrochen damit beschäftigt ist, die Login-Informationen zu überprüfen, bricht die Anwendung irgendwann zusammen. Angriffe auf Applikationsebene erfordern weniger Bandbreite. Dadurch können sie langsamer durchgeführt werden und sind wesentlich schwerer zu erkennen.
Absicherung evaluieren
Um sich gegen DDoS-Angriffe abzusichern, benötigen Sie einen Schutz im Internet-Zugang, der den Angriffs-Traffic filtert und nur "saubere" Daten weiterleitet. Je nach Schutzbedarf empfehlen sich hier die Varianten "On-Premise" oder "in the Cloud". Wenn Sie ganz sicher gehen wollen, investieren Sie in eine Lösung, die beide Varianten kombiniert.
On-Premise: Hier wird eine Appliance im Internet-Zugang installiert - entweder direkt in Ihrem Unternehmen oder im Backbone Ihres Providers. Diese Appliance filtert einen Großteil des Traffic heraus - ähnlich wie ein spezialisierter Virenscanner. Der Vorteil: Der Schutz greift sofort und erfordert keine Änderungen am Netzwerk. Allerdings eignet sich die On-Premise-Variante nicht für große volumetrische Angriffe. Hier ist der Upstream-Provider schnell so ausgelastet, dass der Angriffs-Traffic nicht mehr bis zur Appliance gelangt.
In the Cloud: Mit dieser Variante lassen sich Angriffe möglichst nah an ihrem Ausgangspunkt abfangen und so ein Großteil der Angriffe ausfiltern. Je nachdem wie umfassend der Schutz sein soll, ist die Cloud-Variante in zwei Optionen erhältlich: Zum Schutz von einzelnen Servern wird der DNS-Eintrag des Unternehmens im "Scrubbing Center" des Providers in eine virtuelle Adresse umgewandelt (Proxy Service). Eingehender Traffic wird geprüft und nur wenn er "sauber" ist, an das Unternehmen weitergeleitet. Um ein Netz komplett abzusichern, wird der Datenverkehr über das Routing-Protokoll BGP (Border Gateway Protocol) an das Scrubbing Center übertragen; der saubere Traffic wird über einen GRE-Tunnel (Generic Routing Encapsulation) an das Unternehmen weitergeleitet. Mit Cloud-Lösungen lassen sich auch große Angriffe wirksam abfangen. Sie werden meist als On-Demand-Lösungen angeboten: Sobald der Verdacht einer DDoS-Attacke besteht, veranlasst das Unternehmen eine entsprechende Umleitung seiner Daten. Der Nachteil: Es sind manuelle Eingriffe in die Netzwerkkonfiguration erforderlich. Dadurch greift der Schutz erst mit einigen Minuten Verzögerung. Es gibt aber auch Always-on-Lösungen, bei denen die Daten permanent durch das Scrubbing Center geleitet werden.
Zur zusätzlichen Absicherung dienen spezialisierte Monitoring-Lösungen, die den Netzwerkverkehr auf typische Muster von DDoS-Attacken untersuchen.
Notfallplan erstellen
Wie in vielen Bereichen gilt auch beim Thema DDoS: Die Implementierung entsprechender Sicherheitsmaßnahmen ist ein Prozess. Es reicht nicht, eine passende Lösung zu implementieren, sie muss auch in entsprechende Notfallpläne wie Incident Response und BCM (Business Continuity Management) integriert werden. Darin legen Sie fest, wie das Geschäft in einer Krisensituation aufrechterhalten werden kann, und wer dann für welche Aufgaben zuständig ist.
Erstellen Sie ein Playbook, das die einzelnen Reaktionen genau festschreibt, und integrieren Sie die Maßnahmen in Ihre betrieblichen Abläufe. Denken Sie dabei aber nicht nur an die IT-Abteilung. Auch die Pressestelle und je nach Art des Unternehmens weitere Abteilungen benötigen einen Notfallplan, den sie im Falle eines Angriffs abarbeiten. So muss ein Internetversender seine Kunden über den Ausfall informieren und ihnen alternative Kontakt- beziehungsweise Bestellwege anbieten. Proben Sie den Notfall in regelmäßigen Abständen. Denn in der Praxis erweisen sich manche Maßnahmen als nicht praktikabel oder als zu zeitaufwändig. Außerdem gibt es Aspekte, auf die man ohne den konkreten Ernstfall gar nicht kommen würde.
Aus Angriffen lernen
Gehen Sie nach einem überstandenen Angriff nicht gleich wieder zu Tagesordnung über. Sorgen Sie dafür, dass alle Verantwortlichen die Situation gründlich reflektieren und daraus Handlungsanweisungen für eventuelle künftige Angriffe ableiten. Oft reicht es schon, einer bestimmten Branche anzugehören, um zur Zielscheibe von DDoS-Angriffen zu werden. So waren viele Attacken der Vergangenheit politisch motiviert und richteten sich vor allem gegen Finanzdienstleister.
Fragen nach Urheber und Absicht eines DDoS-Angriffs lassen sich zwar nur in seltenen Fällen beantworten. Ob es sich bei den Angreifern um Hacker oder um Cyberkriminelle handelt, ob sie "nur" die Nichtverfügbarkeit eines Dienstes beabsichtigten oder mit einem Ablenkungsmanöver Schlimmeres im Sinn hatten - Sie werden es kaum zweifelsfrei herausfinden. Trotzdem sollten Sie sich fragen, warum ausgerechnet Ihr Unternehmen einem Angriff zum Opfer gefallen ist und welche Absicht die wahrscheinlichste ist. Prüfen Sie zudem eingehend, ob der vor mehreren Jahren ermittelte Schutzbedarf noch aktuell ist - oder ob es einer Aufstockung der Maßnahmen bedarf.
Foto:
Mitarbeiter ausbilden
Um alle genannten Maßnahmen gezielt anwenden zu können, brauchen Sie entsprechend qualifizierte IT-Experten. Wenn Ihnen die Skills intern fehlen, suchen Sie sich frühzeitig einen "Trusted Advisor", der Sie bei der Umsetzung ihrer Sicherheitsstrategie unterstützt. Und wie immer beim Thema Sicherheit ist es wichtig, die eigenen Mitarbeiter entsprechend aufzuklären und ihr Bewusstsein für die Gefahren von DDoS-Angriffen zu schärfen. (sh/hal)