Beschrieb und Schutz vor DDoS-Angriffen
Wenn die DDoS-Attacke zuschlägt
Cyberangriffe mittels DDoS (Distributed Denial of Service) legen ganze Websites und IT-Systeme lahm. Was eine solche Datenflut ausrichten kann und wie sich Unternehmen davor schützen können.
Text: Felix Raymann/Andreas Heer, Bild: Swisscom, 14. November 2018, aktualisiert am 28.06.2023
Der Juni 2023 geht als «angriffiger» Monat in die Cybersecurity-Geschichte ein. Gleich zwei grosse DDoS-Attacken legten Websites und Online-Dienste lahm und beeinträchtigten damit Menschen und Unternehmen auch in der Schweiz.
Anfangs Juni waren einige Cloud-Dienste von Microsoft aufgrund einer DDoS-Attacke nur eingeschränkt verfügbar. Und etwa eine Woche später traf es dann die Schweiz direkt. Verschiedene Websites des Bundes und von grösseren Städten waren aufgrund der Attacke zeitweise ganz oder teilweise nicht erreichbar.
DDoS-Attacken mit politischem Hintergrund
Auffällig war, dass in beiden Fällen weniger finanzielle kriminelle Motive im Vordergrund standen, sondern politische. Sowohl die Hacktivisten von «Anonymous Sudan» als auch «NoName» stellten ihre Angriffe auf Microsoft und die öffentliche Hand in der Schweiz in den Kontext des Angriffkriegs auf die Ukraine. NoName scheint im Rahmen ihres Angriffsprojekts «DDosia» Personen zudem zu bezahlen, die ihre Infrastruktur zur Verfügung stellen. Rund 7000 Personen soll dieser Kreis gemäss Sicherheitsforschern von Avast zählen.
Die Schweiz und damit auch hiesige Unternehmen sind von DDoS-Attacken also genauso betroffen. Die Beispiele aus dem Juni zeigen nur, wie vielfältig die Gründe sind und dass immer ein Risiko lauert. Auch der aktuelle Swisscom Cybersecurity Threat Radar bezeichnet die Bedrohung als zunehmend.
Erpressung mit DDoS-Drohung
Ein Grossteil der Angriffe dürfte rein finanzielle Motive haben. Allen voran, um mit einer DDoS-Drohung Opfer einer Ransomware-Attacke zusätzlich unter Druck zu setzen, Lösegeld zu bezahlen. Denn solche Ausfälle der Infrastruktur können erhebliche Schäden fürs Unternehmen mit sich ziehen. Sind die Webdienste für eine gewisse Zeit nicht erreichbar, kann ein massiver Umsatzverlust drohen. Dies kann etwa bei Onlineshops, Banken oder allen anderen Dienstleistern, die auf ihre Web-Präsenz angewiesen sind, zu empfindlichen Einbussen führen. Dazu kommt ein Reputationsverlust, wenn die Website das Stigma «unsicher» erhält. Zudem ist die Wiederherstellung des Status Quo mit Kosten verbunden. Im Nachgang der Angriffe wiederum drohen für betroffene Unternehmen Datenverluste.
Immer raffiniertere Angriffe
DDoS-Attacken laufen alle nach ähnlichen Mustern ab: Die Internet-Server eines Unternehmens werden mit unzähligen Anfragen bombardiert, sodass sie die grosse Datenmenge oder die hohe Anzahl IP-Pakete nicht mehr verarbeiten können und unter der Last zusammenbrechen. Um überhaupt so viele Anfragen ausführen zu können, benötigen die Angreifer entsprechende Infrastruktur oder sie mieten ein Botnet mit verseuchten Geräten. Dabei kann es sich um mangelhaft geschützte PCs handeln, aber auch um vernetzte Alltagsgeräte wie Überwachungskameras, Router, Haushaltsgeräte und dergleichen, die über eine Internetverbindung verfügen.
Was die Abwehr erschwert ist, dass die Angriffe immer ausgeklügelter werden. Anfänglich fanden Attacken häufig auf den unteren Netzwerkschichten (OSI-Layer) statt, beispielsweise mittels PING- oder SYN-Flood. Derartige Unterfangen lassen sich mit Schutzsystemen wie Firewall oder IDS/IPS verhältnismässig einfach ausfiltern.
Angreifer wie «NoName» kombinieren dagegen verschiedene Angriffsvektoren und UDP-Reflection-Attacken. Hierbei machen sich die Cyberkriminellen die Tatsache zunutze, dass Dienste wie DNS (Domain Name Service) auf ein kleines Anfragepaket eine umfangreiche Antwort liefern. Bei Formen wie DNS Amplification genügt es deshalb, zahlreiche Anfragen mit der IP-Adresse des Opfers (IP Spoofing) zu stellen, um dieses mit einer ungleich grösseren Datenmenge zu überfluten. In Kombination mit anderen Angriffsformen auf der Anwendungsschicht (Layer 7) wie etwa HTTP(S) Flooding sind derartige DDoS-Attacken sehr effizient und auf den Systemen des Opfers schwierig zu blockieren.
Wirksame Schutzmassnahmen gegen DDoS
DDoS-Attacken finden täglich und auf alle via Internet erreichbaren Ziele statt. Potenziell können alle Anbieter von Web- und Internetdiensten, also jede öffentlich erreichbare IP-Adresse, zum Angriffsziel werden. Präventive Massnahmen (siehe Auflistung unten) sind deshalb unabdingbar. Sie reichen jedoch nicht aus, um vollumfänglich gewappnet zu sein. Unternehmen können sich selbst nur bedingt vor DDoS-Attacken schützen. Wird beispielsweise ein einfacher DoS-Filter auf der Unternehmens-Firewall aktiviert, kann dieser zwar den ankommenden Datenverkehr analysieren und filtern. Doch wenn der Angriff verteilt ausgeführt wird und die verfügbare Bandbreite des Internetanschlusses oder die Leistung der Firewall übersteigt, bietet dieser Filter keinen Schutz mehr. Dieselbe Situation resultiert bei einer grossen Anzahl von IP-Paketen.
Ein wirksamer DDoS-Schutz setzt deshalb beim Internet-Backbone des Service Providers an. Dort wird ein verteilter Angriff mit einem «verteilten Verteidigungsmechanismus» abgewehrt. Beim DDoS Protection Service von Swisscom etwa liefern Sensoren, die auf verschiedenen Routern im Internet-Backbone eingerichtet werden, jederzeit wichtige Informationen über den laufenden Internetverkehr. So können die Protection-Systeme in Echtzeit reagieren und entsprechende Filter aktivieren. Auf diese Weise können Angriffe abgewehrt und gleichzeitig sichergestellt werden, dass nur der legitime Traffic auf die Kundeninfrastruktur geroutet wird.
Prävention und Schutzmassnahmen gegen DDoS
Einen Webdienst ohne wirksame DDoS-Schutzmassnahmen zu betreiben und zu hoffen, dass man für Cyberkriminelle ohnehin nicht als interessantes Ziel angesehen wird, muss aus Unternehmersicht als vorsätzliches und fahrlässiges Verhalten eingestuft werden. Deshalb sollten Vorkehrungen getroffen werden, um Schäden bei möglichen Angriffen zu verhindern:
Prävention im Internet-Backbone
Um wirkungsvoll gegen DDoS-Angriffe gewappnet zu sein, hilft der Swisscom DDoS Protection Service. Alle relevanten Services, die auf verschiedenen Servern betrieben werden, müssen durch denselben DDoS Protection Service geschützt werden.
Früherkennung
Der Normalzustand der Systeme (Baseline) sollte den IT-Verantwortlichen bekannt sein, sodass besondere Ereignisse sofort auffallen. Regelmässige automatische Auswertungen der Log Files geben Auskunft über Auffälligkeiten. Zur Überwachung gehört auch die externe Sicht: Die Verfügbarkeit der Dienste von ausserhalb des Unternehmens muss übers Internet kontrolliert werden.
Folgenabwägung
Welche Folgen hätte ein Systemausfall infolge eines DDoS-Angriffs? Unternehmen sollten den direkten und den indirekten Schaden berechnen, der bei einem Unterbruch ihrer Systeme während Stunden, Tagen oder gar Wochen resultieren könnte.
Notfallplan
Für den Ernstfall sollte ein interner Notfallplan vorhanden sein, der auch ein Worst-Case-Szenario abdeckt. Die verantwortlichen Personen müssen entsprechend geschult werden, das notwendige Vorgehen kennen sowie relevante Kontakte (intern und extern) schnell benachrichtigen können.
Zugriffe einschränken
Der Zugriff auf den eigenen Webservice kann durch Einschränkung der Absender-IP eingeschränkt werden. Zum Beispiel können bei Bedarf alle Server-Anfragen von ausserhalb der Schweiz oder bestimmter Länder gesperrt werden. Zudem sollte die Rechtevergabe für das gesamte Netzwerk jederzeit strikte eingehalten werden.
Cloud-basierte Firewall mit skalierbaren Ressourcen
Die Firewall sollte über ausreichend Ressourcen verfügen und im Falle eines Angriffs kurzfristig mit zusätzlichen Blockierungsregeln versehen werden können. Hier bietet sich eine Cloud-basierte Managed Firewall an, deren Ressourcen skalierbar sind.
Drohungen
Bei Androhung eines Angriffs sollten mit dem Internet Service Provider technische Massnahmen ergriffen werden, um sich auf einen Angriff vorzubereiten. Auf Lösegeldforderungen sollte man nie eingehen.
Newsletter
Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?
