Beschrieb und Schutz vor DDoS-Angriffen

Wenn der Daten-Tsunami zuschlägt


Hacker-Angriffe mittels DDoS (Distributed Denial of Service) legen ganze Web-Plattformen und IT-Systeme lahm. Was eine solche Datenflut ausrichten kann und wie sich Unternehmen schützen können.


Text: Felix Raymann, Bild: iStock by Getty Images, 14. November 2018, aktualisiert am 21.07.2021




Die Mischung ist explosiv: Die Nutzung und damit die Bedeutung von Cloud- und Internetdiensten ist während der Corona-Pandemie nochmals deutlich gestiegen. Gleichzeitig sinken die Preise für DDoS-Attacken in den einschlägigen Foren des Darknet. Ein Botnet für einen solchen «Distributed Denial of Service»-Angriff lässt sich für wenige Dollar mieten und damit unter Umständen wichtige Teile einer Unternehmensinfrastruktur lahmlegen wie Website oder Online-Shop.


Die Folgen dieser Mischung spüren auch Unternehmen in der Schweiz. Die Zahl derartiger Attacken nimmt zu, auch hierzulande. Um wie viel genau, darüber sind sich die diversen Security-Anbieter uneinig. Die Schätzungen reichen von einer Steigerung um 20 Prozent bis zu einer Verdreifachung als Spitzenwert. Aufgrund des Massengeschäfts kann jedes Unternehmen mehr oder weniger zufällig Opfer einer DDoS-Attacke werden.


Erpressung mit DDoS-Drohung

Wer hinter den Angriffen steckt, bleibt oft im Dunkeln. Fest steht aber, dass solche Ausfälle der Infrastruktur erhebliche Schäden fürs Unternehmen mit sich ziehen können. Sind die Webdienste für eine gewisse Zeit nicht erreichbar, kann ein massiver Umsatzverlust drohen. Dies kann etwa bei Onlineshops, Banken oder allen anderen Dienstleistern, die auf ihre Web-Präsenz angewiesen sind, zu empfindlichen Einbussen führen. Dazu kommt ein Reputationsverlust, wenn die Website das Stigma «unsicher» erhält. Zudem ist die Wiederherstellung des Status Quo mit Kosten verbunden. Im Nachgang der Angriffe wiederum drohen für betroffene Unternehmen Datenverluste.


Im letzten August wurden zudem DDoS-Angriffe einer bislang unbekannten Gruppe von Cyberkriminellen entdeckt, die aus dieser Angriffsform ein Geschäftsmodell entwickelten. Nach einer eher milden Attacke verschickten die meistens als «Lazarus Bear Armada» betitelten Angreifer ein Erpresserschreiben mit einer Bitcoin-Forderung. Im Falle einer Nichtzahlung drohten sie mit einer ungleich grösseren DDoS-Attacke. Das erwies sich zwar in vielen Fällen als leere Drohung. Doch eine Garantie dafür gibt es nicht, wie einige Institutionen zu spüren bekamen. Auch bei diesem DDoS-Erpressungsversuch werden beliebige Unternehmen angegriffen.


Immer raffiniertere Angriffe

DDoS-Attacken laufen alle nach ähnlichen Mustern ab: Die Internet-Server eines Unternehmens werden mit unzähligen Anfragen bombardiert, sodass sie die grosse Datenmenge oder die hohe Anzahl IP-Pakete nicht mehr verarbeiten können und unter der Last zusammenbrechen. Um überhaupt so viele Anfragen ausführen zu können, benötigen die Angreifer entsprechende Infrastruktur oder sie mieten ein Botnet mit verseuchten Geräten. Dabei kann es sich um mangelhaft geschützte PCs handeln, aber auch um vernetzte Alltagsgeräte wie Überwachungskameras, Router, Haushaltsgeräte und dergleichen, die über eine Internetverbindung verfügen.


Was die Abwehr erschwert ist, dass die Angriffe immer ausgeklügelter werden. Anfänglich fanden Attacken häufig auf den unteren Netzwerkschichten (OSI-Layer) statt, beispielsweise mittels PING- oder SYN-Flood. Derartige Unterfangen lassen sich mit Schutzsystemen wie Firewall oder IDS/IPS verhältnismässig einfach ausfiltern.

 

Angreifer wie die Lazarus Bear Armada kombinieren dagegen verschiedene Angriffsvektoren und UDP-Reflection-Attacken. Hierbei machen sich die Cyberkriminellen die Tatsache zunutze, dass Dienste wie DNS (Domain Name Service) auf ein kleines Anfragepaket eine umfangreiche Antwort liefern. Bei Formen wie DNS Amplification genügt es deshalb, zahlreiche Anfragen mit der IP-Adresse des Opfers (IP Spoofing) zu stellen, um dieses mit einer ungleich grösseren Datenmenge zu überfluten. In Kombination mit anderen Angriffsformen auf der Anwendungsschicht (Layer 7) wie etwa HTTP(S) Flooding sind derartige DDoS-Attacken sehr effizient und auf den Systemen des Opfers schwierig zu blockieren.


Wirksame Schutzmassnahmen gegen DDoS

DDoS-Attacken finden täglich und auf alle via Internet erreichbaren Ziele statt. Potenziell können alle Anbieter von Web- und Internetdiensten, also jede öffentlich erreichbare IP-Adresse, zum Angriffsziel werden. Präventive Massnahmen (siehe Auflistung unten) sind deshalb unabdingbar. Sie reichen jedoch nicht aus, um vollumfänglich gewappnet zu sein. Unternehmen können sich selbst nur bedingt vor DDoS-Attacken schützen. Wird beispielsweise ein einfacher DoS-Filter auf der Unternehmens-Firewall aktiviert, kann dieser zwar den ankommenden Datenverkehr analysieren und filtern. Doch wenn der Angriff verteilt ausgeführt wird und die verfügbare Bandbreite des Internetanschlusses oder die Leistung der Firewall übersteigt, bietet dieser Filter keinen Schutz mehr. Dieselbe Situation resultiert bei einer grossen Anzahl von IP-Paketen.

Ein wirksamer DDoS-Schutz setzt deshalb beim Internet-Backbone des Service Providers an. Dort wird ein verteilter Angriff mit einem «verteilten Verteidigungsmechanismus» abgewehrt. Beim DDoS Protection Service von Swisscom etwa liefern Sensoren, die auf verschiedenen Routern im Internet-Backbone eingerichtet werden, jederzeit wichtige Informationen über den laufenden Internetverkehr. So können die Protection-Systeme in Echtzeit reagieren und entsprechende Filter aktivieren. Auf diese Weise können Angriffe abgewehrt und gleichzeitig sichergestellt werden, dass nur der legitime Traffic auf die Kundeninfrastruktur geroutet wird.


Prävention und Schutzmassnahmen gegen DDoS  


Einen Webdienst ohne wirksame DDoS-Schutzmassnahmen zu betreiben und zu hoffen, dass man für Cyberkriminelle ohnehin nicht als interessantes Ziel angesehen wird, muss aus Unternehmersicht als vorsätzliches und fahrlässiges Verhalten eingestuft werden. Deshalb sollten Vorkehrungen getroffen werden, um Schäden bei möglichen Angriffen zu verhindern:


Prävention im Internet-Backbone 

Um wirkungsvoll gegen DDoS-Angriffe gewappnet zu sein, hilft der Swisscom DDoS Protection Service. Alle relevanten Services, die auf verschiedenen Servern betrieben werden, müssen durch denselben DDoS Protection Service geschützt werden.


Früherkennung 

Der Normalzustand der Systeme (Baseline) sollte den IT-Verantwortlichen bekannt sein, sodass besondere Ereignisse sofort auffallen. Regelmässige automatische Auswertungen der Log Files geben Auskunft über Auffälligkeiten. Zur Überwachung gehört auch die externe Sicht: Die Verfügbarkeit der Dienste von ausserhalb des Unternehmens muss übers Internet kontrolliert werden.


Folgenabwägung

Welche Folgen hätte ein Systemausfall infolge eines DDoS-Angriffs? Unternehmen sollten den direkten und den indirekten Schaden berechnen, der bei einem Unterbruch ihrer Systeme während Stunden, Tagen oder gar Wochen resultieren könnte.


Notfallplan

Für den Ernstfall sollte ein interner Notfallplan vorhanden sein, der auch ein Worst-Case-Szenario abdeckt. Die verantwortlichen Personen müssen entsprechend geschult werden, das notwendige Vorgehen kennen sowie relevante Kontakte (intern und extern) schnell benachrichtigen können.


Zugriffe einschränken

Der Zugriff auf den eigenen Webservice kann durch Einschränkung der Absender-IP eingeschränkt werden. Zum Beispiel können bei Bedarf alle Server-Anfragen von ausserhalb der Schweiz oder bestimmter Länder gesperrt werden. Zudem sollte die Rechtevergabe für das gesamte Netzwerk jederzeit strikte eingehalten werden.


Cloud-basierte Firewall mit skalierbaren Ressourcen

Die Firewall sollte über ausreichend Ressourcen verfügen und im Falle eines Angriffs kurzfristig mit zusätzlichen Blockierungsregeln versehen werden können. Hier bietet sich eine Cloud-basierte Managed Firewall an, deren Ressourcen skalierbar sind.


Drohungen

Bei Androhung eines Angriffs sollten mit dem Internet Service Provider technische Massnahmen ergriffen werden, um sich auf einen Angriff vorzubereiten. Auf Lösegeldforderungen sollte man nie eingehen.




Newsletter

Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?




Mehr zum Thema