DDoS-Angriffe wirksam erkennen und bekämpfen

* Santiago Caneiro ist Country Manager von Interoute Schweiz Obwohl es sich bei DDoS (Distributed-Denial-of-Service) um eine der ältesten Angriffsformen im Internet handelt, gehört sie heute zu den gefährlichsten. Die Bedrohung hat in den vergangenen Jahren stark zugenommen und stellt eine der Hauptrisiken für Nutzer und Anbieter von Cloud Services dar, denn sie kann verheerende Schäden anrichten. Diese Entwicklung hat mehrere Gründe: Zum einen hat die Bedeutung des Internet für den weltweiten Handel stark zugenommen und zum anderen werden immer mehr Dienste in bzw. aus der Cloud genutzt. Auch die vielen unsicheren Gerte im Internet of Things sind fr Kriminelle eine ntzliche Ressource. Wie anfällig die Wirtschaft für DDoS-Attacken ist, zeigen unter anderem die Attacken auf eine Reihe von Schweizer Online-Shops, die Schweizerischen Bundesbahnen und Schweizer Finanzinstitute im Frühjahr 2016.

Die Liste der Angriffsziele reicht von Web- und Mailservern über Shopping-Systeme bis hin zu ganzen Netzwerken, über die diese Dienste genutzt werden. Angriffe auf Webseiten und deren integrierte Anwendungen führen sehr schnell zu verärgerten Kunden und Partnern. Denn ein DDoS-Angriff wird im Gegensatz zur Verbreitung von Würmern und Trojanern in den meisten Fällen sofort sichtbar, da beispielsweise der Online-Shop nicht mehr zu erreichen ist. Neben dem Imageverlust ist damit in der Regel auch ein Umsatzverlust verbunden. Aber auch intern kann ein Angriff schwerwiegende Folgen haben, da Standorte und deren Geschäftsprozesse gestört oder ganz zum Erliegen gebracht werden können. Und die Gefährdung und das damit verbundene Schadenspotenzial wird künftig weiter deutlich steigen, da die Welt durch die zunehmende Vernetzung ? nicht zuletzt durch die Verbreitung des Internet of Things ? immer abhängiger vom Internet wird und damit auch verwundbarer. Die Angriffe sind unterschiedlich motiviert. Manche Angreifer wollen einfach Stärke und Macht demonstrieren. Darüber hinaus haben sie oftmals auch das Ziel, Systeme mit Viren oder Trojanern zu infiltrieren. Mittlerweile gibt es spezialisierte Gruppen wie DD4BC (DDoS for BitCoin) die sich diesbezüglich einen Namen gemacht haben. Diese Gruppen bieten DDoS-Attacken gegen Bezahlung an oder erpressen die Unternehmen und fordern Geld, damit sie deren Systeme nicht attackieren. Aber nicht nur privat organisierte Hacker sind aktiv. In den vergangenen ein bis zwei Jahren haben sich die Anzeichen verdichtet, dass auch Nationalstaaten und deren Geheimdienste mit Angriffen begonnen haben. Dem Security-Experten Bruce Schneier zufolge tasten ein oder mehrere Staaten mit gezielten Angriffen kritische Netzinfrastruktur nach Schwachstellen ab. Die Angriffe erfolgen in Wellen und mit zunehmender Intensität. Ziel ist es, die Infrastruktur zu kartieren.

Den Angreifern stehen eine Reihe von unterschiedlichen Ausführungsmöglichkeiten zur Auswahl. Beim hochvolumigen DDoS-Angriff sollen der Bandbreitenverbrauch erhöht und so Engpässe und Überlastungen erzeugt werden. Die zweite Möglichkeit ist die TCP-State-Exhaustion: der Angriff überlastet die State Tables (Zustandstabellen) und setzt dadurch Komponenten wie Firewalls, Loadbalancer und Server ausser Betrieb. Als dritte Form gibt es den Applikationsangriff. Er hat das Ziel, die Applikation selbst zu überlasten und damit nur die Anwendungsschicht ausser Betrieb zu setzen. Diese Methode lässt sich nur schwer erkennen und vom normalen Nutzerverhalten abgrenzen. Die Kombination verschiedener Angriffsszenarien versetzt die Angreifer in die Lage, ihr Ziel schnell und effizient zu treffen und zu schädigen. Die Häufigkeit und Heftigkeit der Angriffe steigt seit Jahren rapide an. Laut State of the Internet Security Report von Akamai haben sie sich allein im zweiten Quartal 2016 gegenüber dem Vorjahreszeitraum mit einem Anstieg von 129 Prozent mehr als verdoppelt. Arbor Networks hat in einer aktuellen Untersuchung herausgefunden, dass 70 Prozent der befragten Unternehmen im Monat einem bis zehn Angriffen ausgesetzt sind. Zwei Prozent der befragten Unternehmen sahen sich sogar mit mehr als 500 Angriffen pro Monat konfrontiert. Die Dauer der Angriffe beschränkt sich in 88 Prozent der Befragten auf weniger als 24 Stunden. In 60 Prozent aller Fälle waren die Angriffe bereits sogar nach weniger als sieben Stunden beendet. In Einzelfällen kann diese Bedrohung jedoch auch über Monate andauern. Lesen Sie auf der nächsten Seite: Intelligente Systeme zur Prävention

Investitionen in einen umfassenden DDoS-Schutz sollten angesichts der Bedrohungslage und weitreichenden Folgen selbstverständlich sein. Ein Schutz unmittelbar vor der Unternehmens-Firewall kann schon vieles leisten. Allerdings ist der Angriffspunkt damit sehr nah am Unternehmensnetz. Wird der Angriff mit grosser Vehemenz betrieben, kann er an dieser Stelle auch ein spezialisiertes System zum Versagen bringen. Besser ist ein System, das sehr frühzeitig, idealerweise schon im Providernetz, verdächtige Muster erkennt. Das am besten geeignete Mittel für eine Prävention ist ein Intelligence-DDoS-Mitigation-System (IDMS), das permanent prüft, lernt und mittels definierter Pattern und Parameter die Angriffsmuster immer besser erkennt. Es bedient sich verschiedener Verfahren zum Schutz der Cloud- und IT-Infrastrukturen. Über einen definierten Zeitraum, meist von zwölf Monaten, lernt das System stetig hinzu. Gefährlicher Datenverkehr kann vom Kundenequipment fern gehalten werden, da er bereits innerhalb des Netzwerks des Providers herausgefiltert wird. Die Bandbreiten in der Nähe des Kundennetzes bzw. der Cloud-Infrastruktur des Kunden werden nicht beeinträchtigt und können auch weiterhin wie gewohnt Ihre Services ohne zusätzliche Last ausliefern. Der Bedarf an intelligenten Systemen und Services wächst. Die Verbindung von unterschiedlichen Angriffsszenarien und kurzen Angriffszeiten (bis zu 30 Minuten) stellen sowohl Service-Provider als auch Unternehmen vor grosse Herausforderungen. Innerhalb kürzester Zeit müssen passende Massnahmen ergriffen werden, die den weiteren Betrieb sicherstellen und die Angreifer von den Nutzern trennen. Ein Anbieter sollte daher seine Kunden bei der Erstellung geeigneter Notfallpläne begleiten, um bereits im Vorfeld eines Ereignisses geeignete Prozesse und Massnahmen parat zu haben. Leider können bisher nur rund 41 Prozent der Unternehmen auf einen Notfallplan zurückgreifen, wenn das Netzwerk angegriffen wird. Hier sind Nachbesserungen dringend notwendig, angefangen bei der Sensibilisierung für das Thema bis zur Implementierung geeigneter Lösungen.

Die zentrale Lehre aus der Abwehr von Attacken ist, dass nur die Kombination aus verschiedenen Schutzmechanismen zu einem erfolgreichen Ergebnis führt. Die Systeme, Ereignisse und Massnahmen sollten in einem individuellen Sicherheitskonzept festgehalten werden, das in Umfang und Art die jeweiligen Unternehmenswerte und Anforderungen widerspiegelt.