ChannelPartner
Alternatives Drucklayout:
› reiner Text
Link: https://www.channelpartner.de/a/wie-haendler-auf-schutzgelderpressungen-reagieren,2384166

DDoS-Attacken auf Online-Shops

Wie Händler auf Schutzgelderpressungen reagieren

Datum:12.04.2011
Autor(en):Ronald Wiltscheck
In letzter Zeit machten immer wieder kehrende DDoS-Angriffe auf Online-Shop-Betreiber die Runde. So machten etwa dem Provider Strate hartnäckige DDoS-Attacken schwer zu schaffen. Erst nach knapp eineinhalb Stunden konnte der Angriff wirkungsvoll abgewehrt werden. Auch der Provider Host Europe machte ähnliche Erfahrungen.

In letzter Zeit machten immer wieder kehrende DDoS-Angriffe1 auf Online-Shop-Betreiber die Runde. So machten etwa dem Provider Strato hartnäckige DDoS-Attacken schwer zu schaffen. Erst nach knapp eineinhalb Stunden konnte der Angriff wirkungsvoll abgewehrt werden. Auch der Provider Host Europe machte ähnliche Erfahrungen.

Unabhängig vom Motiv der Angreifer in diesem Fall sehen sich Online-Händler2 immer wieder mit der Androhung von DDoS-Angriffen konfrontiert. Dahinter stehen in der Regel Schutzgelderpressungen nach dem Motto "Zahlst Du nicht, machen wir Deinen Shop3 platt!", so das Fazit des Online-Portals shopanbieter.de4.

Das Phänomen der Schutzgelderpressung via DDoS-Androhung ist weder neu kann mann hoffen, dass es bald wieder verschwindet. Denn das dahinter stehende "Geschäftsmodell" ist einfach, profitabel und (noch) relativ risikoarm. Es gibt viele Gründe, warum diese Spielart der Online-Kriminalität bei Cyber-Ganoven beliebt ist - und Online-Händler5 sich mit der Bedrohung auseinander setzen müssen.

Angreifer kennen die Schwachstellen

Viele Händler sind dem "Spuk" einer (versuchten) Schutzgelderpressung bereits begegnet: Die Erpressermails trudeln besonders gern zur "Unzeit" ein, beispielsweise an Wochenenden, wenn die Reaktionszeiten6 aller Beteiligter verlängert sind. In den Mails wird unter Hinweis auf eine kurz zurückliegende, erfolgreiche DDoS-Attacke auf den Shop7 zur Zahlung eines größeren Geldbetrages per Ukash, PaySafeCard oder via einen anderen anonymen Geldflußkanal aufgefordert. Manchmal wird die kurzzeitige DDoS-Attacke als Macht-Demonstration auch erst in der Mail angekündigt.

Oft werden solche Mails als Testballons von "Möchtegerns" abgetan, immer öfter aber begleiten echte Attacken die Erpresser-Mails und legen die Shops zunächst nur wenige Minuten, später unter Umstände. sogar für Stunden lahm. Solche Downtimes bedeuten für Onlineshops nicht nur einen Umsatzausfall in den Zeiten der Nichtverfügbarkeit: Ist ein Webladen nicht rund um die Uhr problemlos erreichbar, leidet auch das Vertrauen der Kunden - für Shop8-Betreiber ist das eine of Existenz bedrohende Gefahr!

Onlinehändler sind Verkaufsprofis, keine Netzwerkspezialisten. Solche sitzen aber in den Rechenzentren der Hosting-Provider, die sich schon zum eigenen Schutz9 mit dem Thema der DDoS-Abwehr seit längerem auseinandersetzen. Für das neue kostenlose Whitepaper "Nachgefragt: DDoS-Schutzgelderpressung - was tun?" befragte Shopanbieter.de große Hosting-Provider nach ihren Erfahrungen mit solchen Attacken.

Ratgeber für Online-Händler

Herausgekommen ist ein Ratgeber, der Shop-Betreibern10 konkrete Tipps zum Umgang mit dieser Form der Cyber-Kriminalität gibt: So sollte der erste Schritt beim Eintreffen einer DDoS-Ankündigung immer die Information des Hosting-Providers sein. Denn auf technischer Ebene kann viel unternommen werden, um Angriffe zu erkennen, zu analysieren und abzuwehren. Gleichzeitig raten Provider den Online-Händlern, die Erpresser-Mail sowie sonstige Hinweise11 auf die Verursacher zu sichern und bei der Polizei Anzeige zu erstatten.

Leider passiert das viel zu selten. So weisen die Statistiken des LKA NRW für das Jahr 2010 nur 102 Anzeigen wegen "Erpressung/Datendiebstahls" auf, davon waren 14 reine "Versuche". Die Pressestelle des LKA NRW betont, dass die Anzeige auf jeder örtlichen Polizeidienststelle aufgegeben werden kann. Die Polizei verfügt mittlerweile über geschultes Personal zur IuK-Kriminalität, die die Beweismittel (das ist zunächst einmal die Erpressermail) auswerten können.

Außerdem raten die Kriminalbeamten den Online-Händlern12, niemals den Erpressern Geld zu überweisen, selbst wenn die geforderten Summen im Vergleich zum durch einen Angriff entstehenden Aufwand gering erscheinen: Eine Zahlung13 würde die Erpresser nur in ihrem Handeln bestärken.

Als langfristige Strategie muss den Tätern die Einträglichkeit ihres "Geschäftes" zerstört und ihr persönliches Risiko14 heraufgesetzt werden. Auf dass der kürzlichen Verurteilung des DDoS-Erpressers Störtebekers noch ein paar weitere folgen - und andere Erpresser abschrecken mögen.

Technische Abwehr von DDoS-Angriffen

Natürlich können Online-Shop-Betreiber einem DDoS-Angriff auch auf technischer Ebene begegnen. Zur Abwehr derartiger Attacken gibt es verschiedene Möglichkeiten. Zunächst geht es darum, den Angriff festzustellen und zu analysieren. Es gilt auszumachen, ob die Anzahl der eingehenden Pakete angestiegen ist, ob der Datenverkehr insgesamt außergewöhnlich start zugelegt hat und ob der Online-Shop von außen überhaupt noch erreichbar ist.

Oft stellt sich dabei heraus, dass der Angriff aus dem Ausland kommt und das sehr häufig von einem Land, von dem sonst keine Bestellungen in dem Webshop eintreffen. Danach kann der Provider einfach diese ausländischen IP-Adressen aussperren, sprich: ihnen den Zugang zum Online-Shop von Haus aus verwehren.

Professionelle Angreifer gehen heute allerdings mitunter geschickter vor, sie fälschen beispielsweise die IPs oder greifen direkt mit inländischen Botnetzen an. Ein Ausperren der IP-Adressen würde dann dazu führen, dass auch diverse echte Kunden abgewiesen werden: Nämlich die, deren IP-Adresen für die Fälschung hergenommen wurden oder solche, die dynamisch eben erst gesperrte IPs von ihren Providern zugewiesen bekamen.

In diesem Fall muss sich der Webshop-Betreiber zusammen mit seinem Provider neue Strategien einschlagen. Er könnte zum Beispiel die Zeiten, in denen Verbindungen vom Webserver gehalten werden, herunter setzen - so werden die Ressourcen des Webservers geschont.

Da bei dynamischen Datenbank basierten Shop-Systemen oft gar nicht die Netzwerkverbindung oder der Webserver das schwächste Glied bei DDoS-Angriffen darstellen, sondern die notwendigen Datenbankabfragen im Shopsystem, ist es vorteilhaft, während eines Angriffes das Shop-System auf eine statische Version umzuschalten Diese Option bieten jedoch leider nicht alle Shops.

Es gibt ferner eine ganze Reihe von Hardware basierten Abwehrmechanismen ("Hardware DDoS Firewall") sowie diverse Softwarelösungen (zum Beispiel "Traffic Scrubbing"), die DoS-, und auch DDoS-Angriffe abwehren und die eigenen Systeme vor Überlastungen schützen sollen. Ob damit im Ernstfall tatsächlich eine Abwehr gelingt, hängt jedoch immer auch davon ab, wie "gut" (technisch versiert und aufwendig gestaltet) die Angreifer vorgehen. Denn so wie die Verteidiger entwickeln natürlich auch die Angreifer ihre Werkzeuge wie im Hase-und-Igel-Spiel ständig weiter. Zudem sind solche speziellen Schutz-Komponenten teuer, so kosten beispielsweise die spezialisierten Produkte von RioRey je nach Dimensionierung zwischen 14.000 bis 50.000 Euro.

Natürlich bieten auch Hosting-Provider spezielle DDoS-Schutz-Service-Pakete an - für die monatliche Gebühren anfallen. Daneben gibt es auch spezialisierte Dienstleister, die die IP-Adresse des Shops verschleiern. Hierzu wird nach außen die Shop-IP auf eine eigene IP-Adresse geändert und der Datenverkehr erst von dieser aus wieder auf das Shop-System umgeleitet sowie die Antworten des Shopsystems vom Dienstleister sozusagen "im Namen des eigentlichen Shop-Sytems" ausgeliefert. Dabei wird der Datenverkehr ständig überwacht und notfalls "gesäubert" ("Traffic Scrubbing"). (rw)

Links im Artikel:

1 http://de.wikipedia.org/wiki/Ddos
2 https://www.channelpartner.de/handel/ecommerce/2384044/index.html
3 https://www.channelpartner.de/handel/ecommerce/2383689/index.html
4 http://www.shopanbieter.de/
5 https://www.channelpartner.de/handel/ecommerce/2383867/index.html
6 https://www.channelpartner.de/handel/ecommerce/2383094/index.html
7 https://www.channelpartner.de/handel/ecommerce/2383167/index.html
8 https://www.channelpartner.de/handel/ecommerce/2382844/index.html
9 https://www.channelpartner.de/handel/ecommerce/299723/index.html
10 https://www.channelpartner.de/handel/ecommerce/299350/index.html
11 https://www.channelpartner.de/handel/ecommerce/299350/index.html
12 https://www.channelpartner.de/channelcenter/security/298590/index.html
13 https://www.channelpartner.de/handel/ecommerce/298149/index.html
14 https://www.channelpartner.de/handel/ecommerce/297902/index.html
IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.