Beschrieb, Prävention und Schutzmassnahmen für DDoS-Attacken

Beschrieb und Schutz vor DDoS-Angriffen

Wenn der Daten-Tsunami zuschlägt


Hacker-Angriffe mittels DDoS (Distributed Denial of Service) legen ganze Web-Plattformen und IT-Systeme lahm. Was eine solche Datenflut ausrichten kann und wie sich Unternehmen schützen können.


Text: Felix Raymann, Bild: iStock by Getty Images,




Es war wohl kein Zufall, dass die Hacker an einem Samstag zuschlugen – also dann, wenn Personal und IT-Überwachung auf ein Minimum reduziert sind und ein Angriff länger unbemerkt bleibt als an einem Wochentag. Am 12. März 2016 sorgten gezielte Server-Überlastungsangriffe dafür, dass diverse Schweizer Onlinehändler wie Digitec, Galaxus, Interdiscount oder Microspot während mehrerer Stunden für Kunden nicht mehr erreichbar waren. Dieser Fall war zwar einer der grössten und prominentesten in der Schweiz, jedoch nur einer von Tausenden DDoS-Angriffen, die jährlich von Cyberkriminellen gezielt auf Schweizer Unternehmen ausgeführt werden.

Wer hinter den Angriffen steckt, bleibt oft im Dunkeln. Laut offiziellen Verlautbarungen gingen bei den oben genannten Fällen keine Erpresserschreiben an die betroffenen Unternehmen ein. Fest steht aber, dass solche Ausfälle der Infrastruktur erhebliche Schäden fürs Unternehmen mit sich ziehen können. Sind die Webdienste für eine gewisse Zeit nicht erreichbar, kann ein massiver Umsatzverlust drohen. Dies kann etwa bei Onlineshops, Banken oder allen anderen Dienstleistern, die auf ihre Web-Präsenz angewiesen sind, zu empfindlichen Einbussen führen. Dazu kommt ein Reputationsverlust, weil die Website das Stigma «unsicher» erhalten kann. Zudem kann die Wiederherstellung des Status Quo mit Kosten verbunden sein. Im Nachgang der Angriffe wiederum drohen für betroffene Unternehmen Datenverluste. Dass die Auswirkungen der DDoS-Attacken schnell auch auf andere Bereiche Einfluss haben können, zeigte sich bei Digitec. Dort blieb es nach der Attacke nicht nur beim Ausfall des Onlineshops, sondern übertrug sich auch auf die IT-Systeme der Filialen und des Kundendienstes, die ebenfalls für eine gewisse Zeit nicht mehr genutzt werden konnten.


Angriffe auf verschiedenen Ebenen

Grundsätzlich laufen die DDoS-Attacken mehrheitlich nach ähnlichen Mustern ab: Die Server von Web-Dienstleistern werden mit unzähligen Anfragen bombardiert, sodass sie die grosse Datenmenge oder die hohe Anzahl IP-Pakete per Sekunde nicht mehr verarbeiten können und die Web-Services unter der Last zusammenbrechen. Um überhaupt so viele Server-Anfragen ausführen zu können, benötigen die Angreifer entsprechende Infrastruktur oder sie «mieten» einen solchen Service von illegalen Quellen im Darknet. Eine andere Angriffsstrategie ist die Erstellung eines sogenannten Botnets: Angreifer hacken möglichst viele mit dem Internet verbundene Geräte und manipulieren sie so, dass sie auf Kommando die Anfragen an ein betreffendes Ziel schicken und dieses mit Daten überfluten. Bei den gekaperten Geräten kann es sich etwa um mangelhaft geschützte PCs, aber auch um vernetzte Alltagsgeräte wie Überwachungskameras, Router, Haushaltgeräte oder andere Maschinen handeln, die über eine öffentliche IP-Adresse verfügen.

Die DDoS-Angriffe können auf unterschiedliche Netzwerkschichten (OSI-Layers) gerichtet sein. Häufig finden DDoS-Angriffe auf der Anwendungsschicht (Layer 7) statt, dazu gehören etwa HTTP- oder FTP-Server, die per sogenanntem Flooding mit grossen Datenmengen «überflutet» werden. Ebenfalls sehr verbreitet sind Angriffe auf der Vermittlungsschicht (Network Layer oder Layer 3), für die jedoch oftmals höhere Kapazitäten erforderlich sind. Grundsätzlich aber können Angriffe auf allen 7 Layern stattfinden.


Wirksame Schutzmassnahmen

DDoS-Attacken finden täglich und auf alle via Internet erreichbaren Ziele statt. Potenziell können alle Anbieter von Webdiensten, also jede öffentlich erreichbare IP-Adresse, zum Angriffsziel werden. Laut der Melde- und Analysestelle Informationssicherung MELANI ist die Abwehr gegen DDoS-Angriffe zwar schwierig, aber keineswegs chancenlos. Präventive Massnahmen (siehe Auflistung unten) sind deshalb unabdingbar, reichen jedoch nicht aus, um vollumfänglich gewappnet zu sein. Unternehmen können sich selbst nur bedingt vor DDoS-Attacken schützen. Wird beispielsweise ein einfacher DoS-Filter auf der Unternehmens-Firewall aktiviert, kann dieser zwar den ankommenden Datenverkehr analysieren und filtern, doch wenn der Angriff verteilt ausgeführt wird und das Volumen des Angriffs die verfügbare Bandbreite des Internetanschlusses übersteigt, bietet dieser Filter keinen Schutz mehr. Dieselbe Situation resultiert bei einer grossen Anzahl von IP-Paketen pro Sekunde.

Ein wirksamer DDoS-Schutz setzt deshalb beim Internet-Backbone des Service Providers an. Dort wird ein «verteilter Angriff» (distributed) mit einem «verteilten Verteidigungsmechanismus» abgewehrt. Beim DDoS Protection Service von Swisscom etwa liefern Sensoren, die auf verschiedenen Routern im Internet-Backbone eingerichtet werden, jederzeit wichtige Informationen über den laufenden Internetverkehr. So können die Protection-Systeme in Echtzeit reagieren und entsprechende Filter aktivieren. Auf diese Weise können Angriffe abgewehrt und gleichzeitig sichergestellt werden, dass nur der legitime Traffic auf die Kundeninfrastruktur geroutet wird.


Prävention und Schutzmassnahmen gegen DDoS


Einen Webdienst ohne wirksame DDoS-Schutzmassnahmen zu betreiben und zu hoffen, dass man für Hacker ohnehin als ein nicht interessantes Ziel angesehen wird, muss aus Unternehmersicht als vorsätzliches und fahrlässiges Verhalten eingestuft werden. Deshalb sollten Vorkehrungen getroffen werden, um Schäden bei möglichen Angriffen verhindern zu können:


Prävention im Internet-Backbone

Um wirkungsvoll gegen DDoS-Angriffe gewappnet zu sein, hilft der Swisscom DDoS Protection Service. Alle relevanten Services, die auf verschiedenen Servern betrieben werden, müssen durch denselben DDos Protection Service geschützt werden.


Früherkennung

Der Normalzustand der Systeme sollte den IT-Verantwortlichen bekannt sein, sodass besondere Ereignisse sofort auffallen. Regelmässige automatische Auswertungen der Log Files geben Auskunft über Auffälligkeiten. Zur Überwachung gehört auch die externe Sicht: Die Verfügbarkeit der Dienste von ausserhalb des Unternehmens muss übers Internet kontrolliert werden.


Folgenabwägung

Welche Folgen hätte ein Systemausfall infolge eines DDoS-Angriffs? Unternehmen sollten den direkten und den indirekten Schaden berechnen, der bei einem Unterbruch ihrer Systeme während Stunden, Tagen oder gar Wochen resultieren könnte.


Notfallplan

Für den Ernstfall sollte ein interner Notfallplan vorhanden sein, der auch ein Worst-Case-Szenario abdeckt. Die verantwortlichen Personen müssen entsprechend geschult werden, das notwendige Vorgehen kennen sowie relevante Kontakte (intern und extern) schnell benachrichtigen können.


Zugriffe einschränken

Der Zugriff auf den eigenen Webservice kann durch Einschränkung der Absender-IP eingeschränkt werden. Zum Beispiel können bei Bedarf alle Server-Anfragen von ausserhalb der Schweiz oder bestimmter Länder gesperrt werden. Zudem sollte die Rechtevergabe für das gesamte Netzwerk jederzeit strikte eingehalten werden.


Firewall anpassen

Die Firewall sollte über ausreichend Ressourcen verfügen und im Falle eines Angriffs kurzfristig mit zusätzlichen Blockierungsregeln versehen werden können.


Drohungen

Bei Androhung eines Angriffs sollten mit dem Internet Service Provider technische Massnahmen ergriffen werden, um sich auf einen Angriff vorzubereiten. Auf Lösegeldforderungen sollte man nie eingehen.




Newsletter

Jetzt Newsletter abonnieren und über Trends, Branchen-News und Benchmarks informiert bleiben.





Mehr zum Thema