Link11. Distributed Denial of Service Report für die DACH-Region
|
|
- Brigitte Martin
- vor 8 Jahren
- Abrufe
Transkript
1 Link11 Distributed Denial of Service Report für die DACH-Region Q1 2016
2 Im 1. Quartal 2016 stieg die Anzahl der DDoS-Attacken um 29,6%. Besonders bedrohlich ist die Zunahme der Hyper-Attacken um 625%.
3 Inhaltsverzeichnis 1. Überblick Executive Summary Bedrohungslage für die DACH-Region Analyse der DDoS-Angriffe Attackendauer Downtimes unzureichend geschützter DDoS-Ziele Attackenstärke DDoS-Angriffsvektoren Reflection-Attacken nach Quellenländern Zunahme von DDoS-Erpressungen Gutes Botnetz, böses Botnetz Fallstudie: DDoS-Gefahr für Kinobetreiber Schutzmöglichkeiten gegen DDoS-Attacken Ausblick auf die Bedrohungslage Impressum 27 03
4 Methodik Der Link11 DDoS-Report für die DACH-Region basiert auf Daten von ca abgewehrten Attacken auf Webseiten und Server, die durch Link11 geschützt sind. Die Zahlen und Daten wurden im Zeitraum vom 1. Januar bis zum 31. März 2016 erhoben und decken damit das gesamte 1. Quartal ab. Die Attacken zielten auf Unternehmen aller Größenordnungen und aus fast allen Branchen wie ITK, Online-Handel, Finanzen, Versicherungen sowie Medien. Neben Netzwerk-Analysen stützt sich der Link11 DDoS-Report für die DACH-Region auch auf Open Source Intelligent Analysen (OSINT). Link11-Analysen zu aktuellen DDoS-Sicherheitsvorfällen wie den DDoS-Erpressungen durch Armada Collective, Gladius und RedDoor liefern weitere detaillierte Informationen. Über Link11 Die Link11 GmbH mit Sitz in Frankfurt am Main ist ein deutsches IT-Unternehmen mit Kernkompetenzen in den Bereichen DDoS- Schutz und Server Hosting. Mit der DDoS Protection Cloud hat Link11 im Jahr 2011 ein neues und innovatives Produkt erfolgreich am Markt etabliert. Dieser Link11 DDoS-Schutz ist bereits zum Patent angemeldet und ermöglicht es, jede Webseite oder ganze Serverinfrastrukturen vor DDoS-Angriffen zu schützen. Für ihre innovativen DDoS-Schutzlösungen wurde Link mit dem Deutschen Rechenzentrumspreis ausgezeichnet. Alle 2 Minuten stand ein Unternehmen in der DACH-Region unter einer DDoS-Attacke. Neben DAX-Konzernen zählt Link11 führende Unternehmen aus den Bereichen E-Commerce, Finanzen & Versicherung, Medien und Produktion als Kunden. Mit Netzwerkstandorten und eigenen Glasfaserstrecken zwischen Frankfurt, Amsterdam und London gehört Link11 heute zu den großen DDoS-Filter-Anbietern weltweit. Der kontinuierliche Ausbau des Netzes umfasst aktuell weitere Standorte in der Schweiz, Asien und den USA. Über das LSOC Ein Team aus erfahrenen DDoS-Schutzexperten bildet das Link11 Security Operation Center (LSOC). Im 24/7-Betrieb betreut es namhafte deutsche, österreichische und Schweizer Unternehmen beim Schutz vor Cybercrime und DDoS-Attacken. Die Weiterentwicklung des Link11 DDoS-Filter-Clusters und der permanente Ausbau der dafür benötigten Infrastrukturen liegen ebenfalls im Zuständigkeitsbereich des LSOC. Die Ergebnisse seiner Arbeit und die Analysen der Angriffe veröffentlicht das LSOC regelmäßig in Reports.
5 1. Überblick Die Zahl von DDoS-Attacken ist im 1. Quartal 2016 im Vergleich zum vorherigen Quartal um 29,6% gewachsen. Das LSOC hat fast DDoS-Attacken auf Ziele in Deutschland, Österreich und der Schweiz abgewehrt (Q4 2015: 5.339). Alle zwei Minuten steht damit ein Unternehmen unter DDoS-Attacke. Die hohe Angriffszahl bedeutet für die Wirtschaft in der DACH-Region ein gesteigertes Risiko von DDoS-Attacken getroffen zu werden. Die größte Attacke, die das LSOC im 1. Quartal 2016 gemessen und abgewehrt hat, betrug über 147 Gigabit pro Sekunde (Gbps). Der Spitzenwert im 4. Quartal 2015 lag bei 104 Gbps. Bei dem 147-Gbps-Angriff handelte es sich um eine Vier-Vektoren-Attacke mit UDP-Floods-, UDP-Fragments-, DNS-Reflection- und ICMP-Floods-Techniken. Als Spitzenwert bei der Datenübertragungsrate konnte das LSOC einen Wert von über 47 Millionen Paketen pro Sekunde (pps) nachweisen (Q4 2015: 32,9 Mio pps). Die dazugehörige DDoS-Attacke zielte auf einen Online-Händler und kombinierte im Verhältnis 10:1 die zwei Angriffsvektoren UDP Floods und TCP SYN Floods. Der Anteil von Volumenattacken im Verhältnis zu Applikationsattacken ist weiter gestiegen. Im 1. Quartal 2016 machten Angriffe auf Netzwerkebene 98,1% aller Attacken aus. DDoS-Angreifer nutzten am häufigsten UDP Floods (29,2%), um ihr Ziel zu attackieren, gefolgt von TCP SYN Floods (18,7%) und UDP Fragments (17,2%). Bei 3 von 5 Volumenattacken handelte es sich um Multivektor-Angriffe. Ihr Anteil stieg im Vergleich zum vorherigen Quartal um 18,1%. Die Kombination aus drei Vektoren (36,3%) und zwei Vektoren (26,3%) sind dabei die Regel. Bei den abgewehrten Attacken konnte das LSOC einen Angriff mit neun und einen mit acht Vektoren nachweisen. 3. Bedrohungslage für die DACH-Region Der folgende DDoS-Report Q führt die mit dem DDoS-Report Q begonnene detaillierte Betrachtung von DDoS-Attacken und DDoS-Erpressungen für die drei Länder Deutschland, Österreich und Schweiz fort. Der Bericht konzentriert sich auf die Auswertung verschiedener Attacken-Merkmale im ersten Quartal diesen Jahres und vergleicht sie mit den Kennzahlen aus dem DDoS-Report Q Eine Analyse zu DDoS-Erpressungen in den ersten drei Monaten von 2016 und eine Case Study zu DDoS-Angriffen auf Kinobetreiber in Deutschland ergänzen das Lagebild. Entscheider und IT-Verantwortliche sollen mit dem Link11 DDoS-Report Q einen Überblick über die aktuelle Bedrohungslage erhalten. Aussagekräftige Statistiken und fundierte Analysen werden ihnen helfen, das eigene DDoS-Risiko besser einzuschätzen und die verschiedenen Infrastrukturen im Unternehmen effizienter zu schützen. 2. Executive Summary Im 1. Quartal 2016 waren DDoS-Attacken und DDoS-Erpressungen fast täglich in den Medien. In allen drei Ländern der DACH-Region schlugen unterschiedliche Tätergruppen mit unterschiedlichen Motiven in hoher Frequenz zu. Schweiz: Die DDoS-Gefahrenlage war so ernst, dass das ME- LANI/Govcert.ch am 11. März des Jahres vor erneuten DDoS-Erpressungen von Finanzunternehmen durch Armada Collective warnte. 1 Kurz darauf übernahm eine Gruppe von Grey Hats, die sich hinter der Abkürzung NSHC versteckte, die Verantwortung für DDoS-Attacken auf zahlreiche Online-Shops in der Schweiz. Zu den Opfern von NSHC zählten neben den E-Commerce-Angeboten von Interdiscount und Microspot auch die Schweizerische Bundesbahn (SBB). Als Motiv gaben die Angreifer an, in der Schweiz eine Diskussion über die unzureichende Sicherheit des Landes gegen Cyberangriffe starten zu wollen. Österreich: Die Regierung in Österreich plant derzeit ein neues Gesetz zum Thema IT-Sicherheit. Die mehrtägige DDoS-Attacke auf die Telekom Austria ab dem 30. Januar bewies, wie wichtig ausreichende Schutzmaßnahmen zur Sicherstellung von Performance und Verfügbarkeit sind. Nach Angaben des Unternehmens waren 2,3 Millionen Festnetz- und 5,4 Millionen Mobilfunkkunden von den Ausfällen betroffen und die Dimension des Angriffs bislang einmalig. 2 Deutschland: Laut CERT-Bund sind DDoS-Attacken aktuell die zweithäufigste Angriffsform auf Webseiten der Bundesverwaltung. 3 DDoS-Angriffe auf Regierungswebseiten sind häufig politisch motiviert, während Angreifer bei Unternehmen oft Bitcoins erpressen wollen. Für Deutschland registrierte das LSOC im 1. Quartal 2016 gleich zwei neue Erpresserbanden. Die Gruppe Gladius nahm Online-Apotheken ins Visier. Die Täter von RedDoor richteten ihre DDoS-Erpressungen ausschließlich gegen Online-Shops (siehe auch Seite 20 und 21). Das LSOC warnte im März 2016 außerdem in Deutschland vor erneuten DDoS-Erpressungen im Namen des Armada Collective. 1 Quelle: MELANI / SGCERT, Details siehe S Quelle: Handelsblatt.com, Details siehe S Quelle: Allianz für Cybersicherheit, Details siehe S. 27 LINK11.DE Bedrohungslage für die DACH-Region 05
6 4. Analyse der DDoS-Angriffe 4.1. Attackendauer DDoS-Superlative Im 1. Quartal 2016 betrug die Angriffsdauer bei der Mehrheit der Attacken weniger als eine Stunde. Während die Gesamtzahl der Attacken im Vergleich zum vorherigen Quartal gestiegen ist, verblieb die durchschnittliche Attackendauer bei unter 60 Minuten. Damit setzt sich der Trend fort, dass Angreifer kleine, kurze Angriffe bevorzugen. Mit solchen minutenkurzen DDoS-Attacken testen die Täter die Verwundbarkeit von Servern und identifizieren so potenzielle Opfer für Folgeattacken. Das LSOC hat diese Impuls-Attacken bereits im DDoS-Report Q detailliert beschrieben. 29 Hyper-Attacken Für 29 Attacken konnte das LSOC Spitzenbandbreiten von über 80 Gbps nachweisen. Angriffe in dieser Größenordnung klassifiziert das LSOC als Hyper-Attacken. Interessante Abweichungen von diesem Muster stellen Angriffe von mehreren Stunden dar. Dabei richten sich die vom LSOC erfassten Attacken ausschließlich gegen gut geschützte Ziele. In der Regel verfolgen die Angreifer genau mit, ob die gestartete Attacke Erfolg hat und die attackierten Server und Infrastrukturen offline gehen. Bleiben die Attacken ohne Wirkung, brechen die Angreifer meistens ab. Sie schonen so ihre Ressourcen und konzentrieren sich auf ein neues Ziel. Das LSOC hat hingegen auch Dutzende von Attacken abgewehrt, bei denen die Angreifer über Stunden nicht von ihrem Ziel abließen. Um über mehrere Stunden Angriffsbandbreiten von bis zu 36 Gbps zu erzeugen, arbeiteten die Täter vornehmlich mit UDP Floods und TCP SYN Floods. 2 min Alle 2 Minuten stand ein Unternehmen in der DACH-Region unter einer DDoS-Attacke. 147,5 Gbps Die größte Attacke, die das LSOC im 1. Quartal 2016 gemessen und abgewehrt hat, betrug über 147 Gbps. Der Trend zu Impuls- Attacken setzt sich fort. Angreifer bevorzugen kleine, kurze Angriffe. 47,2 Mio pps Bei einer Attacke konnte das LSOC eine Paketrate von über 47 Mio pps messen. Das war der Rekordwert im 1. Quartal Analyse der DDoS-Angriffe Attackendauer LINK11.DE
7 Verteilung der Angriffsdauer innerhalb des Quartals Vergleichswerte Q Alle mitigierten und analysierten DDoS-Attacken zusammen ergaben eine Gesamtangriffsdauer von 779 Stunden bzw Minuten. Das ist eine Steigerung von 27% im Vergleich zum vorherigen Untersuchungszeitraum. In den ersten drei Monaten stand alle 2 Minuten ein Opfer in der DACH-Region unter einer DDoS-Attacke. Zum Vergleich: Im 4. Quartal 2015 betrug die Angriffsdauer in Summe noch 613 Stunden. 25k min 15k min min 10k 5k 1k Oktober November Dezember Januar Februar März Angriffsstärkster Monat im 1. Quartal war der März Minuten lang liefen in diesem Monat Attacken gegen Unternehmen, die durch Link11 geschützt sind. Das waren 43,8% der Gesamtangriffsdauer von Minuten. Seit der Veröffent- lichung des ersten DDoS-Reports für die DACH-Region ist das der bisherige monatliche Spitzenwert. Januar und Februar verzeichneten mit Minuten und Minuten ein deutlich geringeres Aufkommen von DDoS-Angriffen. LINK11.DE Analyse der DDoS-Angriffe Attackendauer 07
8 4.2 Downtimes unzureichend geschützter DDoS-Ziele In den ersten drei Monaten des Jahres 2016 gab es wieder zahlreiche Fälle von Ausfallzeiten und schweren Beeinträchtigungen durch DDoS-Attacken. Wie schon im vorherigen Quartal brachen unzureichend geschützte Webseiten und Online-Services von Wirtschaftsunternehmen, Verlagen sowie Logistikdienstleistern unter der Anfragelast ein. Der Fall des Schweizer Unternehmens Digitec zeigt eindrücklich, dass die Folgen von DDoS-Attacken sehr viel weiter als bis zur Webseite reichen können. Die wiederholten und lang anhaltenden Angriffe Mitte März gegen den Online-Händler von Unterhaltungselektronik ließen neben dem Online-Shop auch das ERP-System ausfallen. Die Folge: Die Verkaufsfilialen und das Callcenter, das den Kundenservice abwickelt, fielen ebenfalls aus. DDoS-Attacken wie gegen die österreichische A1 und die Schweizer Digitec zogen sich über Tage hin. Eine Auflistung für das 1. Quartal 2016 zeigt, wie unterschiedlich lange ausgewählte Unternehmen und Online-Services nach DDoS-Angriffen offline waren: 168 h DDoS-Attacken auf das Datennetz des österreichischen Telekommunikationsanbieters A1 verursachen ab dem 30. Januar über eine Woche lang Störungen im mobilen und Festnetz-Internet. 96 h Langanhaltende DDoS-Attacken führen beim Schweizer Online-Händler Digitec ab dem 12. März über einen Zeitraum von ca. 96 Stunden immer wieder zu Ausfällen und schweren Beeinträchtigungen. 10 h Die britische Bank HSBC wird am 29. Januar Opfer eines DDoS-Angriffs. Internet- und Mobile-Banking sind für Millionen von Kunden mehr als 10 Stunden nicht erreichbar. 10 h Die Webseite der kasachischen Nachrichtenagentur zakon.kz ist am 19. Januar von 17 Uhr bis 3 Uhr am nächsten Morgen für insgesamt 10 Stunden wegen DDoS-Attacken offline. 6 h Der japanische Autohersteller Nissan nimmt am 13. Januar seine nationalen sowie internationalen Webseiten nach DDoS-Attacken durch Anonymous für mindestens 6 Stunden vom Netz. 4 h Vom 7. auf den 8. Januar ist die europäische Bitcoin-Börse BTC-e für insgesamt 4 Stunden nicht erreichbar. Laut Betreibern lief das Trading-Geschäft trotz DDoS-Attacken dennoch weiter. 3,5 h DDoS-Attacken durch die Gruppe Anonymous stürzen den größten japanischen Flughafen Narita am späten Abend des 22. Januars für 3,5 Stunden ins Chaos, da die Webseite ausfällt. 2 h Der Jackpot von 12 Millionen Euro steht in Irland am 20. Januar kurz vor der Auslosung, als DDoS-Attacken die Lotto-Webseite und die Lottoschein-Terminals für 2 Stunden überfluten. 0,5 h Die DDoS-Erpresserbande Gladius setzt Anfang Februar deutsche Online-Apotheken mit Warnattacken unter Druck. Deren Webseiten sind für mindestens eine halbe Stunde offline. 08 Analyse der DDoS-Angriffe Downtimes LINK11.DE
9 4.3 Attackenstärke Im 1. Quartal 2016 betrug die mittlere Attackenstärke 3,3 Gbps. Damit ist sie im Vergleich zum vorherigen Quartal um 10% gestiegen. In den letzten drei Monaten des Jahres 2015 lag die durchschnittliche Angriffsbandbreite noch bei 3 Gbps. Das LSOC erwartet, dass die Bandbreitenstärke der Angriffe in den nächsten Monaten weiter wachsen wird. Als besorgniserregend schätzt das LSOC die Zunahme der Hyper-Attacken von über 80 Gbps ein. Während das LSOC im 4. Quartal 2015 nur bei 4 Angriffen Attackenstärken von über 80 Gbps gemessen hat, waren es im aktuellen Untersuchungszeitraum 29 Angriffe. Das bedeutet eine Steigerung von 625%. 24 Attacken übertrafen sogar die 100 Gbps-Marke. Der Höchstwert bei der Datenüberübertragungsrate lag im 1. Quartal 2016 bei 47,2 Millionen pps (Q4 2015: 32,9 Millionen pps). Im Vergleich zum vorherigen Quartal bedeutete das eine Steigerung um 43%. Im Durchschnitt erreichten die Angriffe eine Paketrate von 12,9 Millionen pps. Bandbreite 120 Gbps Gbps Gbps Gbps Gbps <5 Gbps 5-10 Gbps Gbps Gbps 40-80Gbps >80 Gbps Klassifizierung LINK11.DE Analyse der DDoS-Angriffe Attacken-Stärke 09
10 4.4 DDoS-Angriffsvektoren Volumenattacken dominierten die vom LSOC untersuchten DDoS-Angriffe mit 98,1%. Applikationsattacken kamen nur auf einen verschwindend geringen Anteil von 1,9%. Zum Vergleich: Im 4. Quartal 2015 identifizierte das LSOC 94,9% aller Angriffe als Volumenattacken. Der Anteil der Angriffe auf Applikationsebene betrug noch 5,1%. Der häufigste Angriffsvektor bei Volumenattacken waren und sind UDP Floods mit 29,2% (Q4 2015: 49,5%). 18,7% (Q4 2015: 12,2%) der Angriffe basierten auf TCP SYN Floods. 17,2% (Q4 2015: 13,3%) der Attacken nutzten UDP Fragments. Angriffe unter Einsatz von NTP-Reflection-Technologien (5,6%) nahmen im Vergleich zum vorherigen Quartal um 33% ab (Q4 2015: 8,3%). Bei DNS Reflection stieg hingegen der Einsatz auf 10,6% (Q4 2015: 6,5%). Unter dem Oberbegriff Gaming-Server-Reflection fasste das LSOC DDoS-Angriffe über gekaperte Gaming-Server wie Half-Life und Battlefield 4 zusammen. Sie kamen bei 3,3% der untersuchten DDoS-Attacken zum Einsatz. Die meisten Multivektoren- Angriffe erfolgten über drei verschiedene Vektoren. Bei 41,2% der vom LSOC analysierten Attacken beschränkten sich die Angreifer auf nur einen Angriffsvektor (Q4 2015: 50,2%). Ein-Vektor-Attacken wurden fast immer über UDP Floods und UDP Fragments realisiert. Vereinzelt konnte das LSOC aber auch DDoS-Attacken nachweisen, die ausschließlich Gaming-Server- Reflection einsetzten. Multivektor-Attacken machten den Großteil der untersuchten DDoS-Attacken aus: 58,8% (Q ,8%). Ihr Anteil stieg im Vergleich zum vorherigen Quartal um 9%. Wie viele Vektoren und wie lange die Angreifer sie einsetzen, schwankt von Attacke zu Attacke. Die meisten Multivektoren-Angriffe erfolgten über drei Vektoren (36,3%). Im DDoS-Report Q kamen Attacken mit drei Vektoren noch auf 34,3%. Zwei-Vektoren-Angriffe rangierten mit 26,3% (Q4 2015: 39,1%) nur noch knapp auf Platz zwei vor Vier-Vektoren-Attacken mit 25,5% (Q4 2015: 16,6%). Bei der größten gemessenen Attacke mit 147,5 Gbps arbeiteten die Angreifer mit UDP-Floods-, UDP-Fragments-, ICMP-Floodsund DNS-Reflection-Techniken. Dabei dominierten UDP Floods und UDP Fragments. Die Kombination aus den vier genannten Angriffsvektoren ist nach Analysen des LSOC typisch für großvolumige Attacken: Sie kamen bei 13 der 29 Hyper-Attacken zum Einsatz. DDoS-Attacken mit mehr als sieben Angriffsvektoren sind selten. Dennoch konnte das LSOC im 1. Quartal 2016 je eine Attacke mit acht und eine mit neun verschiedenen Vektoren abwehren und dann analysieren. Die einzelnen Vektoren mussten mit mindestens 1% am Angriffstraffic beteiligt sein. 10 Analyse der DDoS-Angriffe DDoS-Angriffsvektoren
11 Angriffsvektoren Vergleichswerte Q Verteilung der einzelnen Vektoren ausgehend von der Gesamtzahl der Attacken. UDP Floods sind der dominierende Vektor vor TCP SYN Floods und UDP Fragments. UDP Floods TCP SYN Floods UDP Fragments 49,4% 29,2% 12,2% 18,7% 13,3% 17,2% DNS Reflection ICMP Floods NTP Reflection 6,5% 10,6% 6,5% 7,1% 8,3% 5,6% Chargen Gaming-Server-Reflection SSDP Reflection 3,2% 3,9% N/A 3,3% 3,2% 2,9% Other 1,5% (Teamspeak 0,8% - Sentinel 0,3% - SNMP 0,2% - RIP 0,1% - Portmap 0,1%) Anzahl von eingesetzten Vektoren in Multivektor-Attacken Vergleichswerte Q Angreifer kombinieren am häufigsten zwei bis vier Vektoren. Attacken mit mehr als sieben Angriffsvektoren sind die Ausnahme. 3 Vektoren 2 Vektoren 4 Vektoren 34,3% 36,3% 39,1% 26,3% 16,6% 25,5% 5 Vektoren 6 Vektoren 7 Vektoren 6,7% 2,5% 0,6% 8,6% 2,5% 0,7% 8 Vektoren 9 Vektoren N/A 0,1% 0,02% 0,02% LINK11.DE DDoS-Angriffe DDoS-Angriffsvektoren 11
12 Die Angreifer zielten erfolglos mit einer Neun-Vektoren- Attacke auf einen deutschen E-Commerce-Betreiber. 12 DDoS-Angriffe Multivektor-Angriffe LINK11.DE
13 Analyse einer DDoS-Attacke mit acht und neun Angriffsvektoren Als Ziel ihrer Neun-Vektoren-Attacke hatten sich die Angreifer ein E-Commerce-Unternehmen in Deutschland ausgewählt. Die Angriffsvektoren waren UDP Floods (48,5%), TCP SYN Floods (21,4%), UDP Fragments (10,9%), Chargen (6,7%), NTP (4,3%) und DNS Reflection (1,2%), SNMP (2,9%), Portmap (2,7%) und ICMP Floods (1,4%). Die Angreifer erreichten mit ihrer Multiektoren-Kampagne eine Angriffsbandbreite von 5,3 Gbps und eine Datenübertragungsrate von pps. Der meiste DDoS-Traffic für diese Attacke kam aus den USA (25,9%), China (20,1%), Russland (4,2%), Japan (3,1%) und Südkorea (3,1%). Die Attacke mit acht verschiedenen Angriffsvektoren hat das LSOC ebenfalls detailliert untersucht. Die dominierenden Vektoren waren UDP Fragements und DNS Reflection: UDP Fragments (46,6%), DNS Reflection (25%), TCP SYN Floods (8,2%), NTP Reflection (7,2%), Half-Life (5,3%), UDP Floods (3,8%) und ICMP SYN Floods (2,4%). Ziel des Angriffs war ein deutsches Rechenzentrum. Die Angreifer brachen ihre Acht-Vektoren-Kampagne bereits nach 5 Minuten wieder ab. Zur zeitlichen Verteilung der Vektoren hat das LSOC herausgefunden, dass UDP Fragments als einziger Angriffsvektor während der gesamten Angriffsdauer eingesetzt wurde. DNS Reflection startete in der zweiten Attacken-Minute. NTP Reflection kam erst in der letzten Angriffsminute zum Einsatz. Half-Life konnte das LSOC in den beiden ersten und den beiden letzten Minuten nachweisen. Die übrigen Vektoren kamen nur minutenweise zum Einsatz. Als wichtigste Quellenländer identifizierte das LSOC Russland (19,7%), die USA (13,4%), die Ukraine (6,6%), Brasilien (5,9%) und China (4%). Der Einsatz von neun verschiedenen Vektoren in einer Attacke ist aus Sicht des LSOC die Ausnahme. Die neun Vektoren traten im Attackenverlauf zeitlich versetzt und unterschiedlich lange auf. UDP Floods 15min TCP 10min UDP Fragments 15min Chargen 15min NTP 2min SNMP 7min Portmap 2min DNS 2min ICMP 3min Angriffsdauer 5min 10min 15min LINK11.DE Analyse der DDoS-Angriffe DDoS-Angriffsvektoren 13
14 4.5 Reflection-Attacken nach Quellenländern DDoS-Attacken mit DNS-Reflection-, NTP-Reflection- und SSDP-Reflection-Techniken gehörten auch im 1. Quartal 2016 zum Standardrepertoire der Angreifer. Offene DNS-Server verstärkten bei 10,6 % der Attacken die Angriffsbandbreite (Q4 2015: 6,5%). Das bedeutet eine Wachstumsrate von 63%. Der Einsatz von SSDP Reflection zeigt sich relativ konstant mit ca. 3% (Q1 2016: 2,9%, Q4 2015: 3,2%). Angriffe unter Einsatz von NTP-Reflection-Technologien (5,6%) nahmen im Vergleich zum vorherigen Quartal um 33% ab (Q4 2015: 8,3%). Sehr viele Unternehmen und Hosting-Anbieter verfügen über einen Name-Server. Für die Angreifer ist es relativ leicht, diese DNS-Infrastrukturen für DDoS-Reflection-Attacken zu missbrauchen und sehr große Antwortpakete an die gespoofte IP-Adresse senden zu lassen. Die Einführung der DNS Security Extensions (DNSSEC) im Jahr 2010 spielt den Angreifern zusätzlich in die Hände. Die Sicherheitstechnik soll die erhaltenen DNS-Zonendaten verifizieren und Missbrauch vorbeugen. Damit die DNS-Einträge signiert werden können, sind sehr große Antwortpakete nötig. Schickt der Angreifer eine Anfrage von 44 Bytes an eine Domain, die den DNSSEC-Standard unterstützt, kann er eine über Bytes große Antwort generieren. In der Masse über viele Tausende DNS-Server erzeugt das einen gewaltigen Angriffstraffic. Administratoren können ihre Name-Server so konfigurieren, dass sie wiederholte manipulierte Anfragen erkennen und ignorieren. Experten weisen allerdings seit langem darauf hin, dass es noch zu viele offene rekursive DNS-Server gibt. Laut Open Resolver Projekt ist ihre Zahl leicht zurückgegangen. Anfang des 1. Quartals 2016 wurde ihre Zahl auf beziffert. Ende März 2016 betrug die Zahl nur noch DNS-Server. 4 Diese Server akzeptieren dieselbe Anfrage von einer gespooften IP-Adresse und zwar immer und immer wieder. 4 Quelle: Open Resover Project, Details siehe Seite 27 Der Anteil der DNS-Reflection-Attacken wuchs im Vergleich zum vorherigen Quartal um 63%. 14 Analyse der DDoS-Angriffe DNS-Reflection-Attacken
15 Top10 der Quellenländer & DACH-Verteilung bei DNS-Reflection-Attacken Offene und rekursive DNS-Server, die für DDoS-Attacken missbraucht werden, sind auf der ganzen Welt verteilt. An der Spitze der Länder, aus denen das LSOC DNS-Angriffstraffic nachweisen konnte, steht weiterhin Russland (19,9%, Q4 2015: 23,8%) vor den USA (9,9%, Q4 2015: 8,8%). Die Ukraine (6,4%, Q4 2015: 7,4%) verdrängt Brasilien (5,5%, Q4 2015: 8,2%) von Platz drei. Der Anteil der missbrauchten DNS-Server, die in Deutschland registriert sind, steigt von 1,3% in Q auf aktuell 1,8%. 19,9 % 9,9 % 6,4 % 6,0 % 5,5 % Russland USA Ukraine China Brasilien 3,4 % 2,5 % 2,7 % 2,1 % 1,9 % Thailand Taiwan Polen Japan Indien 1,8 % 0,6 % 0,2 % Deutschland Schweiz Österreich LINK11.DE Analyse der DDoS-Angriffe DNS-Reflection-Attacken 15
16 Das OpenNTPProject scannt regelmäßig das öffentliche Netz nach Zeit-Servern, die für NTP-Reflection-Attacken missbraucht werden können. Im 1. Quartal 2016 schwankte die Anzahl der verwundbaren Server zwischen und Bei NTP-Servern liegt die Schwachstelle für DDoS-Angreifer in der NTP Mode 7 Kommando Monlist-Funktion. Ob der eigene Server dafür anfällig ist, prüfen Administratoren mit der Abfrage: ntpdc -n -c monlist <IP> Sollte daraufhin vom Server eine Liste an zuletzt verbundenen Clients ausgegeben werden, ist der Server anfällig für DDoS-Attacken. Bei älteren Versionen von NTP-Servern umfasst die Antwort eine Liste von bis zu 600 Systemen, die den NTP-Server zuletzt kontaktiert haben. 6 Experten raten daher dringend, den NTP-Server auf eine neuere Version ab ntp 4.2.7p26 oder höher zu aktualisieren, denn mit dieser fällt der monlist-befehl vollständig weg. Statt eines Updates ist es auch möglich, den Daemon mit der Option disable monitor zu starten. Die Entwickler des NTP-Dienstes geben in der offiziellen Dokumentation ntpd access restrictions außerdem detaillierte Infos, um das Problem mit der monlist-funktion zu fixen. 7 5 Quelle: OpenNTPProject, Details siehe Seite 27 6 Quelle: Allianz für Cybersicherheit, Details siehe Seite 27 7 Quelle: Network Time Protocol Support, Details siehe Seite 27 Der Angriffstraffic, der auf NTP-Server aus China zurückgeht, hat sich im Vergleich zum 4. Quartal 2015 mit 17,8% fast verdoppelt. 16 Analyse der DDoS-Angriffe NTP-Reflection-Attacken
17 Top10 der Quellenländer und DACH-Verteilung bei NTP-Reflection-Attacken Das LSOC hat die abgewehrten NTP-Reflection-Attacken auf die geografische Verteilung der missbrauchten Server untersucht. Der Angriffstraffic, der auf NTP-Server aus China zurückgeht, hat sich im Vergleich zum 4. Quartal 2015 mit 17,8% fast verdoppelt. Das ist der Höchstwert für den aktuellen Untersuchungszeitraum. Die USA ist mit 15,8% (Q4 2015: 15,7%) das zweithäufigste Quellenland nach China. Russland rutscht mit 9,3% (Q4 2015: 10,3%) vom zweiten auf den dritten Platz. Deutschland fällt mit 3,2%, (Q4 2015: 10,1%) nicht nur aus der Top3, sondern auch aus der Top10. Neu in der Übersicht der 10 häufigsten Quellenländer von NTP-Attacken sind Frankreich, Großbritannien und Taiwan. 17,8 % China 15,8 % 9,3 % 3,7 % 3,6 % USA Russland Frankreich Brasilien 3,4 % 3,2 % 3,2 % 2,9 % 2,5 % Taiwan Japan Deutschland Polen Großbritannien 0,8 % 0,3 % Schweiz Österreich LINK11.DE Analyse der DDoS-Angriffe NTP-Reflection-Attacken 17
18 Aktuell gibt es auf der ganzen Welt über 10 Millionen SSDP-kontrollierte Geräte, die potentiell für DDoS-Attacken missbraucht werden können. 8 Der Anteil von DDoS-Attacken unter Einsatz von SSDP-Reflection-Techniken liegt bei 2,9% im 1. Quartal Im Vergleich zum vorangegangenen Quartal ist der Anteil von SSDP-Attacken von 3,2% um 0,3% gesunken. Reine SSDP-Attacken sind nach den Erfahrungen des LSOC selten zu beobachten. Der höchste Anteil von SSPD-Reflection-Techniken innerhalb einer Attacke lag im 1. Quartal 2016 bei fast 97%. Der SSDP-Vektor tritt meist in Kombination mit anderen Vektoren wie UDP Floods und UDP Fragments auf. SSDP-Attacken können eine hohe Schlagkraft entwickeln. Das zeigen vier Angriffe, die das LSOC im Detail analysiert hat. Alle vier Attacken erreichten Angriffsbandbreiten von über 10 Gbps und zwar 15,7 Gbps, 15,1 Gbps, 14,0 Gbps und 11,1 Gbps, die bei ungeschützten Infrastrukturen große Schäden oder vollständige Blockierung erreichen könnten. Nach Angaben des LSOC sind die Ziele von SSDP-Attacken in fast allen Branchen zu finden. Im 1. Quartal 2016 wurden solche Angriffe in den folgenden Bereichen registriert: E-Commerce, Medien, Rechenzentrumsbetreiber, Gaming und Versicherungen. 8 Quelle: Shadowserver Foundation, Details siehe Seite 27 Bei SSDP-Reflection-Angriffen konnte das LSOC Angriffsbandbreiten von über 10 Gbps nachweisen. 18 Analyse der DDoS-Angriffe SSDP-Reflection-Attacken
19 Top10 der Quellenländer und DACH-Verteilung bei SSDP-Reflection-Attacken Bei den Herkunftsländern der SSDP-Attacken hat sich wenig geändert. Der Hauptteil des Angriffstraffics stammt nach wie vor aus China (55,3%, Q4 2015: 73,1%) und den USA (16,6%, Q4 2015: 6,9%). Über zwei Drittel aller SSDP-Attacken lassen sich in diese beiden Länder zurückverfolgen. Weitere Quellenländer sind Kolumbien (2,6%), Vietnam (1,9%), Kanada (1,7%) und Russland (1,6%). In den drei Ländern der DACH-Region werden SSDP-kontrollierte Geräte nur geringfügig für DDoS-Attacken missbraucht. 55,3 % China 16,6 % 2,6 % 1,9 % 1,7 % USA Kolumbien Vietnam Kanada 1,6 % 1,6 % 1,2 % 1,2 % 0,7 % Russland Venezuela Japan Panama Niederlande 0,5 % Österreich 0,4 % 0,1 % Deutschland Schweiz LINK11.DE Analyse der DDoS-Angriffe SSDP-Reflection-Attacken 19
20 5. Zunahme von DDoS-Erpressungen Die Prognose des LSOC im DDoS-Report Q war eindeutig: Professionelle DDoS-Erpressungen werden in den kommenden Monaten in der DACH-Region zunehmen. Mit zahlreichen Trittbrettfahrern und Nachahmern ist zu rechnen. Diese Befürchtungen haben sich bereits im 1. Quartal 2016 bewahrheitet: Neben der schon bekannten Tätergruppe Armada Collective sind neue Erpresserbanden zum Teil äußerst aggressiv gegen Unternehmen in Deutschland, Österreich und der Schweiz vorgegangen. Banden mit Namen wie Gladius und RedDoor orientieren sich bei ihrem Vorgehen teils an Armada Collective und DD4BC, teilweise wichen sie aber auch von bekannten Erpressermustern ab. Zitat aus Erpresser-Mail von Armada Collective: Most importantly, we have launched largest DDoS in Swiss history and one of the largest DDoS attacks ever. Search for ProtonMail DDoS All your servers will be DDoS-ed starting Monday (March 14) if you don t pay protection 25 Der Zunahme von DDoS-Erpressungen steht die intensive Ermittlungsarbeit der Polizei gegenüber, der in den vergangenen Monaten zwei wichtige Schläge gegen die zum Teil sehr gut organisierten Täter gelungen ist. Zitat aus Erpresser-Mail von RedDoor: You are going under DDoS attack unless you pay 3 Bitcoin. Pay to XXXX Please note that it will not be easy to mitigate our attack, because our current UDP flood power is Gbps. Don t worry, it will not be hard (we will try not to crash it at his moment) and will stop in 10 minutes. It s just to prove that we are serious. We are aware that you probably don t have 3 BTC at the moment, so we are giving you 24 hours to get it and pay us. Zitat aus Erpresser-Mail von Gladius: We operate deep behind enemy lines in hostile territory what your online shop represents to us. As you hopefully realised, we attacked your online shop infrastructure: 21:43-23:48 your local time 00:02-01:06 your local time for the beginning this attack was limited. 20 DDoS-Erpressungen LINK11.DE
21 03/ /2016 Die Warnung des Swiss Governmental Computer Emergency Response Teams vor neuen Erpressungen von Schweizer Finanzinstituten durch die DDoS-Erpresserbande Armada Collective wird am 9. März veröffentlicht. Mindesten zehn Banken haben Erpresser-Mails von dieser Gruppe erhalten. Wenig später erreichen Erpresserschreiben auch große E-Commerce-Unternehmen in der Schweiz wie Digitec, Galaxus, LeShop, Micasa, Do-it und Melectronics. Wie in der Vergangenheit fordert Armada Collective eine hohe Summe von inzwischen 25 Bitcoins. Mindestens ein Unternehmen geht auf die Forderungen der Erpresser ein und zahlt die geforderten Franken. Ab dem 24. März weiten die Täter ihre Erpressungen auch auf Unternehmen in Deutschland aus. Erst im Dezember 2015 setzte die Tätergruppe die Betreiber von deutschen Rechenzentren in Aufruhr. 01/2016 Am letzten Januar-Wochenende fällt das Netz des österreichischen Mobilfunkanbieters A1 immer wieder aus. Auch das Festnetz ist betroffen. Die Störungen halten über Tage an, der Verbindungsaufbau funktioniert gar nicht oder nur langsam. Betroffen sind neben A1-Kunden auch Nutzer der Discount-Mobilfunkanbieter Yesss!, Georg und Bob. Grund für die Ausfälle sind massive und lang anhaltende DDoS-Attacken mit Bandbreiten von bis zu 60 Gbps. Ziel der Angriffe ist die Erpressung von Euro zahlbar in Bitcoins. Der Telekommunikationsanbieter geht nicht auf die Forderungen der Erpresser ein, benötigt aber mehrere Tage, um Verfügbarkeit und Performance auf gewohntem Niveau wiederherzustellen. 01/2016 Anfang des Jahres veröffentlichen Europol und das BKA die Meldung, mutmaßliche Täter der DDoS-Erpresserbande DD4BC festgenommen zu haben. Der Zugriff erfolgte bereits im Dezember des Vorjahres in Bosnien-Herzegovina. Unter den sieben Festgenommenen befindet sich ein 32-jähriges mutmaßliches Führungsmitglied der Bande, die im Sommer 2015 verstärkt Finanzunternehmen, Hosting- und SaaS-Anbieter in Deutschland, Österreich und der Schweiz attackiert hatte. Unter dem Namen RedDoor bedrohen DDoS-Erpresser zahlreiche Online-Shops in Deutschland, Österreich und der Schweiz. RedDoor geht nach bekannten und bewährten Mustern von DDoS-Erpressungen vor: Die Kriminellen versenden von einem anonymen Mail- Dienst eine , in der sie 3 Bitcoins fordern. Die angeschriebenen Unternehmen haben 24 Stunden Zeit, um das Geld auf ein individuelles Bitcoin-Konto zuüberweisen. Für den Fall, dass keine Zahlung erfolgt, kündigt RedDoor großvolumige DDoS-Attacken an. Die Erpresser drohen mit UDP Floods zwischen 400 bis 500 Gbps. Außerdem erhöht sich die Forderung auf 10 Bitcoins und wird stündlich weiter steigen. 02/2016 Die neue Erpressergruppe Gladius nimmt Online-Apotheken ins Visier. Die Vorgehensweise der Täter entspricht nahezu der von DD4BC, sodass von Trittbrettfahrern auszugehen ist. Erst erhält das bedrohte Unternehmen ein Erpresserschreiben, in dem die Bande eine Lösegeldsumme innerhalb von 72 Stunden verlangt. Begleitet wird die Ankündigung mit einer Warnattacke auf die IT-Infrastruktur des Unternehmens, um ihre Bestimmtheit zu verdeutlichen. Sollte das Unternehmen die Lösegeldsumme nicht zahlen, wird ein längerer DDoS-Angriff gestartet. Anders als bei DD4BC und Armada Collective bietet Gladius als Zahlungsoption für die geforderten Euro neben Bitcoins auch Paysafecards an. 01/2016 Ein wichtiger Schlag gegen DDoS-Erpresser gelingt der Polizei Ende Januar In der Ukraine nehmen die Cybercrime-Ermittler der Polizei Nordrhein-Westfalen einen 28-jährigen Deutschen fest. Ihm wird vorgeworfen, zahlreiche Online-Händlern mit mehrstündigen DDoS-Attacken unter Druck gesetzt zu haben, um Lösegeld zu erpressen. Der Täter operierte von Kiew aus. Trotz umfangreicher Verschleierungsmaßnahmen kamen ihm die Spezialisten des Cybercrime-Kompetenzzentrums des LKA dennoch auf die Spur. LINK11.DE DDoS-Erpressungen 21
22 Die Angreifer erreichten mit dem Nitol-Botnetz eine ungewöhnlich große HTTP- Post-Flut von bis zu Anfragen pro Sekunde. 22 Gutes Botnetz, böses Botnetz LINK11.DE
23 6. Gutes Botnetz, böses Botnetz DDoS-Angreifer verwendeten auch im 1. Quartal 2016 viel Energie auf die Schaffung und Erweiterung ihrer Botnetze. Nach Einschätzung des LSOC hält der Trend zur Infektion von Linux- Servern weiter an. Gleich zwei neue Malware-Arten mit Fokus auf Linux-Systeme wurden in den vergangenen Monaten von Sicherheitsexperten identifiziert und beschrieben. Unter dem Namen Remaiten ist seit Anfang des Jahres ein neues Botnetz auf Linux-Basis aktiv, das sich u. a. für DDoS-Attacken missbrauchen lässt. Es greift eingebettete ( embedded ) Systeme wie Router, Gateways und WLAN Access Points an und verbreitet sich über Telnet-Scans. Forscher haben inzwischen mehrere Versionen der Malware identifiziert. Diese nutzen die verschiedene Funktionen der bereits gekannten Bots Tsunami/Kaiten und Gafgyt bzw. führen sie in einer weiterentwickelten Form aus. Unter dem Namen Linux/DDOSTF ist laut Malware Must Die! seit Kurzem DDoS-Malware aktiv, die sowohl Linux- als auch Windows-Rechner befällt. Anfällig für die Malware sind Linux-Rechner, die Elasticsearch installiert haben, sowie Windows-Rechner mit Betriebssystemen älter als Windows XP und Windows Die Forscher sind sich sicher, dass die Malware zu einem größeren Botnetz gehört, das hauptsächlich DDoS-Attacken ausführt. Sie konnten die Malware zum ddos[.] tf Webservice zurückverfolgen. Ganz offiziell bietet die chinesische Webseite ein Wrath DDoS Cluster zur Ausführung von DDoS-Pentests an. In Wahrheit handele es sich aber nach Meinung von Experten um ein Kontroll-Panel für DDoS-Attacken. Für Applikationsattacken haben Angreifer im untersuchten Zeitraum Geräte missbraucht, die mit einer Nitol-Schadsoftware infiziert waren. Charakteristisch an den Attacken war eine sehr hohe Belastung der Rechenressourcen. Die Angreifer erreichten dies über eine ungewöhnlich große HTTP-Post-Flut von bis zu Anfragen pro Sekunde. Das war möglich, weil das eingesetzte Nitol-Skript nach dem Zufallsprinzip große Dateien generiert und versucht, diese auf den Ziel-Server zu laden. So erzeugten die Angreifer eine für Applikationsattacken untypisch hohe Bandbreite von 8,7 Gbps. DDoS-Schutzexperten weisen schon lange darauf hin, wie gefährlich Zombie-Rechner sind. Hacker können die infizierten Rechner und Server unbemerkt fernsteuern und für DDoS-Attacken sowie Spam-Mailings missbrauchen. Das Anti-Botnet- Beratungszentrum botfrei.de hat in seiner im Februar 2016 veröffentlichten Jahresstatistik 2015 festgestellt, dass die Zahl der Zombie-Rechner in Deutschland leicht zurückgegangen ist. Trotz Aufklärungsarbeit bleibt die Lage weiterhin bedrohlich: Im Jahr 2015 waren 38% (2014: 40%) der über gescannten Rechner infiziert und damit Teil von Botnetzen. 9 Ist ein Gerät als gehackt identifiziert, lässt sich die Malware jedoch leicht wieder entfernen. Die Hacker-Gruppe The White Team hat einen anderen Weg eingeschlagen, um Botnetze zu zerstören. Die weißen Hacker arbeiten an der Übernahme des Botnetzes, mit dem die DDoS-Angreifer von Lizard Squad ihre Attacken ausführen. Das Botnetz soll aus bis infizierten IoT-Geräten wie Routern bestehen und für die aufsehenerregenden Weihnachtsattacken von 2014 auf das Sony Playstation- und Microsoft Xbox-Netzwerk verantwortlich sein. Unter kann jeder nach erfolgreicher Registrierung solche DDoS-Attacken bei Lizard Squad und ihrem Botnetz in Auftrag geben. Das White Team will dieser Form von DDoS as a Service die Grundlage entziehen. Dazu haben sie ein eigenes peer-to-peer-botnetz aufgebaut, das Router mit guter Malware infiziert und die Löschung von bösen Schadcodes veranlasst. Angeblich haben die weißen Hacker damit schon zwischen bis Router unter ihre Kontrolle gebracht Quelle: eco/botfrei.de, Details siehe Seite Quelle: Forbes.com, Details siehe Seite 27 LINK11.DE Gutes Botnetz, böses Botnetz 23
24 7. Fallstudie: DDoS-Gefahr für Kinobetreiber Große Kinoketten in Deutschland waren Anfang März das Ziel von DDoS-Angriffen. Die Angreifer legten zeitlich versetzt die Webserver unterschiedlicher Kinobetreiber lahm. Die Ausfallzeiten betrugen bis zu mehreren Stunden. Betroffen waren neben den Kino-Webseiten auch die Reservierungs- und Kauffunktion von Tickets. Nach Kenntnisstand des LSOC war dies die erste große DDoS-Kampagne gegen Kinobetreiber in der DACH-Region. Wer die Angreifer waren und mit welchen Motiven sie die Attacken gestartet haben, ist immer noch unklar. Sicher ist aber, dass die Attacken die Kinobetreiber gleich an drei empfindlichen Punkten getroffen haben. 1. Informationen zum aktuellen Kinoprogramm: Wer einen Kinobesuch plant, der informiert sich über die Webseite oder per App. Die Zeiten, in denen man das Kinoprogramm mit seinen Filmen und Startzeiten gedruckt in der Stadtteilzeitung nachgelesen hat, sind inzwischen vorbei. Die Abhängigkeit der Kino-Betreiber vom Internet ist damit bereits heute größer als gedacht. 2. Online-Ticket-Verkauf: Kinobetreiber generieren über ihre Webseiten immer mehr Umsatz. Ticket-Reservierung und Ticket-Kauf sind heute fester Bestandteil jedes Online-Kino-Auftritts. Die Vorteile für den, der einen Kinobesuch plant, liegen auf der Hand: Er kann die Auslastung des Kinosaals prüfen und sich in Ruhe seine besten Sitzplätze aussuchen. Der Payment-Prozess bietet, wie im E-Commerce üblich, unterschiedliche Bezahloptionen. Wer sich die Kinokarten ausdruckt oder das eticket auf das Handy lädt, für den entfällt außerdem das lange Anstehen an der Kasse. 3. Vernetzte Ticketautomaten: Kinobesucher können ihre im Internet reservierten Karten an den Ticketautomaten vor Ort in der Kinofiliale ausdrucken oder Tickets direkt kaufen und ausdrucken. Wie die Kino-Webseite müssen die Automaten online sein, damit alle Funktionen laufen. Die DDoS-Attacken von Anfang März verursachten Ausfälle in allen drei Bereichen bei den angegriffenen Kinobetreibern. Die Bandbreiten und Paketdaten lagen weit über dem, was die Unternehmen als Puffer für verstärkte Webseitenzugriffe wie an den Wochenendtagen oder im Vorfeld von spektakulären Neustarts in die Kinos eingeplant hatten. Die Kinobetreiber haben grundsätzlich zwei Möglichkeiten, um solche Überlastungen in Zukunft zu vermeiden. Sie können in eine Erweiterung der Infrastruktur investieren, um Lastspitzen mit eigenen Ressourcen abzufangen. Bei dieser Strategie lassen sich die Unternehmen jedoch auf ein Katz-und-Maus-Spiel mit den DDoS-Angreifern ein. Diese sind ihren Opfern bei Bandbreiten und Datenübertragungsraten meist immer einen Schritt voraus. Aus den Erfahrungen des LSOC können Unternehmen dieses Wettrüsten mit den Cyberkriminellen fast nicht oder nur unter größten personellen und finanziellen Anstrengungen gewinnen. Die DDoS-Attacken trafen die Kinobetreiber gleich an drei empfindlichen Punkten: Planung des Kinobesuchs, Online-Ticket-Verkauf & vernetzte Ticketautomaten. 24 DDoS-Gefahr für Kinobetreiber LINK11.DE
25 8. Schutzmöglichkeiten gegen DDoS-Attacken DDoS-Angreifer nutzen immer neue Infrastrukturen und entwickeln ihre Attackenformen permanent weiter. Um auf Augenhöhe mit den Tätern zu bleiben, müssen Unternehmen ihren DDoS-Schutz ständig an die veränderte Gefahrenlage anpassen. Diese ist aktuell von bandbreitenstarken Volumenangriffen und Multivektor-Attacken mit zwei bis vier unterschiedlichen Attackenvektoren geprägt. Die folgenden Methoden können die unterschiedlichen Arten von DDoS-Attacken wirksam abwehren: CDN, Hardware Appliances, cloud-basierter DDoS-Schutz und hybride Schutzlösungen. CDN Das Content Distribution Netzwerk (CDN) verteilt Inhalte der Webseite auf weltweit platzierte Server. Somit müssen Anfragen nicht vom Original-Server beantwortet werden. Das hilft Lastenspitzen, wie sie durch großvolumige DDoS-Attacken entstehen können, bis zu einem gewissen Level auszugleichen. Hardware Appliances Es wird ein Gerät (DDoS-Appliance) in der Infrastruktur des Unternehmens installiert. Diese Appliance überwacht den Datenverkehr. Bei Auffälligkeiten, wie dem plötzlichen Anstieg des Datenverkehrs, limitiert sie den Traffic bzw. erkennt die Anfragen des Angreifers und blockiert diese. Schutz vor Volumenangriffen Limitierte Netzwerkanbindung Schutzniveau entspricht maximaler Außenanbindung Keine Angriffserkennung von Applikationsattacken Gute Angriffserkennung Schutz der lokalen Infrastruktur Limitierte Netzwerkanbindung Schutzniveau entspricht maximaler Außenanbindung Aufwändige Integration in bestehende IT-Infrastruktur Hohe Anschaffungskosten Cloud-basierter DDoS-Schutz Der Datenverkehr für die Webseite wird über den externen Filter eines Dienstleisters geleitet. Durch eine mehrstufige Analyse der Anfragen können Angreifer erkannt und blockiert werden. Nur legitimer Datenverkehr wird weitergeleitet. Hybrid-Schutz Die Kombination aus Hardware- und Cloud-Schutzlösung bietet einen umfangreichen integrierten Schutz gegen kombinierte Angriffe auf Anwendungs- und Netzwerkebene. Gute Angriffserkennung Hohe Bandbreitenstärke Unbegrenzte Skalierbarkeit Schnelle und einfache Integration Redundanz Datenschutzstandards des Landes sind zu beachten gegebenenfalls Zertifikat-Weitergabe Doppelte Absicherung Schutz der gesamten Infrastruktur Sehr gute Angriffserkennung Hohe Bandbreitenstärke Unbegrenzte Skalierbarkeit Redundanz Hohe Anschaffungskosten für die Appliance Aufwändige Integration in bestehende IT-Infrastruktur Datenschutzstandards des Landes sind zu beachten gegebenenfalls Zertifikat-Weitergabe LINK11.DE Schutzmöglichkeiten gegen DDos-Attacken 25
26 9. Ausblick auf die Bedrohungslage Nach Einschätzung des LSOC wird es 2016 zu deutlich mehr DDoS-Attacken als in allen vorangegangenen Jahren kommen. Die Zunahme der Angriffszahlen allein in den ersten drei Monaten 2016 stufen die DDoS-Schutzexperten als bedrohlich ein. Schon jetzt steht alle 2 Minuten ein Opfer unter einer DDoS-Attacke. Das LSOC geht davon aus, dass sich die Zeitspanne, die von 4 auf 2 Minuten gesunken ist, noch weiter verkürzen wird. Die Entwicklung bei den Angriffsbandbreiten muss aus Sicht des LSOC differenziert betrachtet werden. Für die folgenden Quartale sind für die DACH-Region neue Spitzenwerte zwischen 100 und 200 Gbps zu erwarten. Denn die Angreifer haben Zugriff auf eine ITK-Infrastruktur mit wachsender Bandbreite und einer steigenden Anzahl internetfähiger Geräte. Die mittlere Angriffsbandbreite wird ebenfalls wachsen, sich aber weiterhin im einstelligen Gbps-Bereich bewegen. Damit übersteigt sie immer noch die Außenanbindung der meisten Unternehmen. Die Angreifer wissen das und gehen bei der Umsetzung der Attacken verstärkt unternehmerisch vor. Statt mit Kanonen auf Spatzen zu schießen, halten sie ihren Ressourcen-Einsatz bei der Anmietung von Botnetzen oder anderen DDoS-Tools so gering wie möglich. Unter dem Aspekt der Effizienz besteht für einen DDoS-Angreifer kein Grund eine 100-Gbps-Attacke zu starten, wenn er mit einem Angriff von 5 Gbps dasselbe Ziel erreicht. Für einen DDoS-Angreifer besteht noch kein Grund eine 100-Gbps-Attacke zu starten, wenn er mit einem Angriff von 5 Gbps dasselbe Ziel erreicht wird die Bedeutung von DDoS-Attacken in der Gesellschaft steigen. Neben der Wirtschaft werden sich mittelfristig auch verstärkt Privatanwender mit den Folgen und Auswirkungen solcher Attacken konfrontiert sehen. DDoS-Angriffe beeinflussen immer mehr Bereiche der digitalen Gesellschaft. So können Kunden und Anwender nicht mehr auf Informationen und Webservices zugreifen. Zielen die Angriffe auf Kritische Infrastrukturen drohen erhebliche Auswirkungen auf das staatliche Gemeinwesen und die Bevölkerung. Es besteht die Gefahr von Versorgungsengpässe. Die öffentliche Sicherheit und Ordnung kann gefährdet sein. Um dies zu verhindern hat Deutschland im IT-Sicherheitsgesetz Maßnahmen zur Absicherung der kontinuierlichen Verfügbarkeit festgeschrieben. Die Auseinandersetzung mit den Folgen von DDoS-Attacken und den Schutzmöglichkeiten ist aus Sicht des LSOC daher von gesamtgesellschaftlicher Relevanz. Weitere Informationen, Reports und Warnmeldungen zum Thema DDoS finden sich auf der von Link11 eingerichteten Webseite DDoS-Info.de. 26 Ausblick auf die Bedrohungslage LINK11.DE
27 Quellenangaben Seite 14 1 MELANI / Swiss Governmental Computer Emergency Response Team, govcert.admin.ch/blog/19/armada-collective- is-back- extorting-financial- institutions-in- switzerland 2 Handelsblatt.com, : Hacker legen Telekom Austria lahm. Der Angriff aus dem Netz auf das Netz handelsblatt.com/unternehmen/it-medien/hacker- legen-telekom- austria-lahm- der-angriff- aus-dem- netz-auf- das-netz/ html 3 Allianz für Cybersicherheit, : Experteninterview mit Stefan Ritter, Leiter CERT-Bund allianz-fuer-cybersicherheit.de/acs/de/informationspool/themen/vorfallsbewaeltigung/ _interview_ritter.html?nn= Seite 14 4 Open Resover Project openresolverproject.org/breakdown.cgi Seite 16 5 OpenNTPProject openresolverproject.org/breakdown.cgi 6 Allianz für Cybersicherheit: Maßnahmen gegen Reflection Angriffe, allianz-fuer-cybersicherheit.de/acs/de/_/downloads/bsi-cs_096.pdf? blob=publicationfile&v=3 7 Network Time Protocol Support support.ntp.org/bin/view/support/accessrestrictions Seite 18 8 Shadowserver Foundation ssdpscan.shadowserver.org/stats/ Seite 23 9 eco/botfrei.de, : botfrei.de Jahresstatistik 2015: Zahl der Zombierechner weiter bedrohlich eco.de/2016/pressemeldungen/botfrei-de-jahresstatistik-2015-zahl-der-zombierechner-weiter-bedrohlich.html 10 Forbes.com, : Vigilante Hackers Fight Lizard Squad For Control Of 150,000 Home Routers forbes.com/sites/thomasbrewster/2016/02/09/vigilantes-want-lizard-squad-out-of-your-home/#74be9c486fb9 10. Impressum Herausgeber: Link11 GmbH info@link11.de Bildnachweis: Link11 GmbH (Cover) Link11 GmbH (Seite 2) Link11 GmbH (Seite 12) shutterstock.com Bild-ID: (Seite 22) Telefon: +49 (0) Grafiken Link11 GmbH Texte und Redaktion: Link11 GmbH Stand: Mai 2016
28 Link11 GmbH Lindleystr Frankfurt am Main
DDoS-Schutz. Web-Shop unter Attacke?
Web-Shop unter Attacke? DDoS-Angriffe machen Online-Shops platt Echte kunden DDoS-Attacken zählen zu den größten Gefahren in der IT-Security. DDoS-Angriffe führen zum Totalausfall der Webserver und Kunden
MehrInsiderwissen 2013. Hintergrund
Insiderwissen 213 XING EVENTS mit der Eventmanagement-Software für Online Eventregistrierung &Ticketing amiando, hat es sich erneut zur Aufgabe gemacht zu analysieren, wie Eventveranstalter ihre Veranstaltungen
MehrProtect 7 Anti-Malware Service. Dokumentation
Dokumentation Protect 7 Anti-Malware Service 1 Der Anti-Malware Service Der Protect 7 Anti-Malware Service ist eine teilautomatisierte Dienstleistung zum Schutz von Webseiten und Webapplikationen. Der
Mehr[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL
[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL Was bedeutet Customer Service by KCS.net? Mit der Einführung von Microsoft Dynamics AX ist der erste wichtige Schritt für viele Unternehmen abgeschlossen.
MehrAGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom 21.10.2013b
AGROPLUS Buchhaltung Daten-Server und Sicherheitskopie Version vom 21.10.2013b 3a) Der Daten-Server Modus und der Tresor Der Daten-Server ist eine Betriebsart welche dem Nutzer eine grosse Flexibilität
MehrUmfrage Mitarbeiterkapazitäten für das BCM 2010 der bcm news Mai 2010 Ergebnisse der bcm news Umfrage Mitarbeiterkapazitäten für das BCM 2010
Ergebnisse der bcm news Umfrage Mitarbeiterkapazitäten für das BCM 2010 1. Management Summary Im März/April 2010 führte bcm news eine Online Umfrage zur Mitarbeiterkapazität für das BCM durch. Spiegelt
MehrBedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen
Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 23. Oktober 2012, S-IHK Hagen Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service
MehrL10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016
L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016 Referentin: Dr. Kelly Neudorfer Universität Hohenheim Was wir jetzt besprechen werden ist eine Frage, mit denen viele
MehrFragen und Antworten. Kabel Internet
Fragen und Antworten Kabel Internet Inhaltsverzeichnis Inhaltsverzeichnis...II Internetanschluss...3 Kann ich mit Kabel Internet auch W-LAN nutzen?...3 Entstehen beim Surfen zusätzliche Telefonkosten?...3
MehrFolgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version 7.4.4. - Optional einen DHCP Server.
1. Dynamic Host Configuration Protocol 1.1 Einleitung Im Folgenden wird die Konfiguration von DHCP beschrieben. Sie setzen den Bintec Router entweder als DHCP Server, DHCP Client oder als DHCP Relay Agent
MehrAnbindung des eibport an das Internet
Anbindung des eibport an das Internet Ein eibport wird mit einem lokalen Router mit dem Internet verbunden. Um den eibport über diesen Router zu erreichen, muss die externe IP-Adresse des Routers bekannt
MehrMobile Intranet in Unternehmen
Mobile Intranet in Unternehmen Ergebnisse einer Umfrage unter Intranet Verantwortlichen aexea GmbH - communication. content. consulting Augustenstraße 15 70178 Stuttgart Tel: 0711 87035490 Mobile Intranet
MehrMatrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version 1.0.0. 23. September 2015 - 1 -
Matrix42 Use Case - Sicherung und Rücksicherung persönlicher Version 1.0.0 23. September 2015-1 - Inhaltsverzeichnis 1 Einleitung 3 1.1 Beschreibung 3 1.2 Vorbereitung 3 1.3 Ziel 3 2 Use Case 4-2 - 1 Einleitung
MehrInternetkriminalität
Informatikstrategieorgan Bund ISB Nachrichtendienst des Bundes NDB Internetkriminalität Aktuelle und zukünftige (mögliche) Bedrohungen Pascal Lamia, Leiter MELANI Bedrohungen Immer grössere Bedeutung der
Mehreco-report: Internet-Sicherheit 2014 Ein Report der eco Kompetenzgruppe Sicherheit unter der Leitung von Dr. Kurt Brand
eco-report: Internet-Sicherheit 2014 Ein Report der eco Kompetenzgruppe Sicherheit unter der Leitung von Dr. Kurt Brand Für den Report wurden 219 Experten aus der IT Branche befragt Branchenverteilung
MehrNicht kopieren. Der neue Report von: Stefan Ploberger. 1. Ausgabe 2003
Nicht kopieren Der neue Report von: Stefan Ploberger 1. Ausgabe 2003 Herausgeber: Verlag Ploberger & Partner 2003 by: Stefan Ploberger Verlag Ploberger & Partner, Postfach 11 46, D-82065 Baierbrunn Tel.
MehrAnleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem
Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem Information Wichtiger Hinweis: Microsoft hat am 8. April 2014 den Support für Windows XP eingestellt. Neue Sicherheitsaktualisierungen
MehrWie wirksam wird Ihr Controlling kommuniziert?
Unternehmenssteuerung auf dem Prüfstand Wie wirksam wird Ihr Controlling kommuniziert? Performance durch strategiekonforme und wirksame Controllingkommunikation steigern INHALT Editorial Seite 3 Wurden
MehrMatrix42. Matrix42 Cloud Trial Erste Schritte. Version 1.0.0 03.02.2016 - 1 -
Matrix42 Matrix42 Cloud Trial Erste Schritte Version 1.0.0 03.02.2016-1 - Inhaltsverzeichnis 1Einleitung 3 2Cloud Trial Steuerung 4 2.1 Starten der Cloud-Umgebung 4 2.2 Bedienen der Maschinen in der Cloud
MehrKeine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY
Keine Kompromisse Optimaler Schutz für Desktops und Laptops CLIENT SECURITY Aktuelle Software ist der Schlüssel zur Sicherheit 83 % [1] der Top-Ten-Malware hätten mit aktueller Software vermieden werden
MehrInformationen als Leistung
PUSH-NOTIFICATIONS 2 Informationen als Leistung Immer mehr Anbieter von Apps möchten mehr als nur eine schöne Oberfläche, sondern den Usern auch wirklichen Nutzen bieten. Der Nutzen besteht darin, aktuelle
MehrConTraX Real Estate. Büromarkt in Deutschland 2005 / Office Market Report
ConTraX Real Estate Büromarkt in Deutschland 2005 / Office Market Report Der deutsche Büromarkt ist in 2005 wieder gestiegen. Mit einer Steigerung von 10,6 % gegenüber 2004 wurde das beste Ergebnis seit
MehrDas Vermögen der privaten Haushalte in Nordrhein-Westfalen ein Überblick auf der Basis der Einkommens- und Verbrauchsstichprobe
Sozialberichterstattung NRW. Kurzanalyse 02/2010 09.07.2010 12.07.2010 Das Vermögen der privaten Haushalte in Nordrhein-Westfalen ein Überblick auf der Basis der Einkommens- und Verbrauchsstichprobe 2008
MehrLeitartikel Weltnachrichten 2 / 2016
Leitartikel Weltnachrichten 2 / 2016 Armut smart bekämpfen Smart heißt intelligent, schlau oder geschickt. Manchmal ist damit auch gemeint, dass man moderne Technik wie Handys oder Internet einsetzt. Zum
MehrSpeicher in der Cloud
Speicher in der Cloud Kostenbremse, Sicherheitsrisiko oder Basis für die unternehmensweite Kollaboration? von Cornelius Höchel-Winter 2013 ComConsult Research GmbH, Aachen 3 SYNCHRONISATION TEUFELSZEUG
MehrPapa - was ist American Dream?
Papa - was ist American Dream? Das heißt Amerikanischer Traum. Ja, das weiß ich, aber was heißt das? Der [wpseo]amerikanische Traum[/wpseo] heißt, dass jeder Mensch allein durch harte Arbeit und Willenskraft
MehrSCHRITT 1: Öffnen des Bildes und Auswahl der Option»Drucken«im Menü»Datei«...2. SCHRITT 2: Angeben des Papierformat im Dialog»Drucklayout«...
Drucken - Druckformat Frage Wie passt man Bilder beim Drucken an bestimmte Papierformate an? Antwort Das Drucken von Bildern ist mit der Druckfunktion von Capture NX sehr einfach. Hier erklären wir, wie
MehrDokumentation IBIS Monitor
Dokumentation IBIS Monitor Seite 1 von 16 11.01.06 Inhaltsverzeichnis 1. Allgemein 2. Installation und Programm starten 3. Programmkonfiguration 4. Aufzeichnung 4.1 Aufzeichnung mitschneiden 4.1.1 Inhalt
MehrDownloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler
Downloadfehler in DEHSt-VPSMail Workaround zum Umgang mit einem Downloadfehler Downloadfehler bremen online services GmbH & Co. KG Seite 2 Inhaltsverzeichnis Vorwort...3 1 Fehlermeldung...4 2 Fehlerbeseitigung...5
Mehr»d!conomy«die nächste Stufe der Digitalisierung
»d!conomy«die nächste Stufe der Digitalisierung Prof. Dieter Kempf, BITKOM-Präsident Oliver Frese, Vorstandsmitglied Deutsche Messe AG Hannover, 15. März 2015 Digitalisierung in Unternehmen Einsatz von
MehrBedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien
Sie haben von der VR DISKONTBANK GmbH ein signiertes PDF-Dokument (i.d.r. eine Zentralregulierungsliste mit dem Status einer offiziellen Rechnung) erhalten und möchten nun die Signatur verifizieren, um
MehrÜbersicht Die Übersicht zeigt die Zusammenfassung der wichtigsten Daten.
Webalizer Statistik Bedeutung der Begriffe Übersicht Die Übersicht zeigt die Zusammenfassung der wichtigsten Daten. Anfragen Gesamtheit aller Anfragen an Ihren Account. Jede Anfrage auf eine Grafik, eine
MehrVersion smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):
Supportanfrage ESN Bitte füllen Sie zu jeder Supportanfrage diese Vorlage aus. Sie helfen uns damit, Ihre Anfrage kompetent und schnell beantworten zu können. Verwenden Sie für jedes einzelne Thema jeweils
MehrAutohersteller in der Zwickmühle
Pressemeldung Auto-Patentindex 2015 Seite 1 von 7 Autohersteller in der Zwickmühle Hersteller müssen Antriebe für alte und neue Techniken gleichzeitig entwickeln Patentanmeldungen für Verbrennungsmotoren
MehrVermögensbildung: Sparen und Wertsteigerung bei Immobilien liegen vorn
An die Redaktionen von Presse, Funk und Fernsehen 32 02. 09. 2002 Vermögensbildung: Sparen und Wertsteigerung bei Immobilien liegen vorn Das aktive Sparen ist nach wie vor die wichtigste Einflussgröße
Mehr2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:
2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Configuring Terminal Services o Configure Windows Server 2008 Terminal Services RemoteApp (TS RemoteApp) o Configure Terminal Services Gateway
MehrFremdwährungsanteil bei Tilgungsträgerkrediten bei 86 % eine Analyse der Fremdwährungskreditstatistik 1
Fremdwährungsanteil bei strägerkrediten bei 86 % eine Analyse der Fremdwährungskreditstatistik 1 Christian Sellner 2 Im europäischen Vergleich ist das Volumen der Fremdwährungskredite in Österreich sehr
MehrInstallation OMNIKEY 3121 USB
Installation OMNIKEY 3121 USB Vorbereitungen Installation PC/SC Treiber CT-API Treiber Einstellungen in Starke Praxis Testen des Kartenlesegeräts Vorbereitungen Bevor Sie Änderungen am System vornehmen,
MehrNetzwerkversion PVG.view
Netzwerkversion PVG.view Installationshinweise Einführung Die Programm PVG.view kann zur Netzwerkversion erweitert werden. Die Erweiterung ermöglicht, bestehende oder neu erworbene Programmlizenzen im
MehrErfahrungen mit Hartz IV- Empfängern
Erfahrungen mit Hartz IV- Empfängern Ausgewählte Ergebnisse einer Befragung von Unternehmen aus den Branchen Gastronomie, Pflege und Handwerk Pressegespräch der Bundesagentur für Arbeit am 12. November
MehrPädagogik. Melanie Schewtschenko. Eingewöhnung und Übergang in die Kinderkrippe. Warum ist die Beteiligung der Eltern so wichtig?
Pädagogik Melanie Schewtschenko Eingewöhnung und Übergang in die Kinderkrippe Warum ist die Beteiligung der Eltern so wichtig? Studienarbeit Inhaltsverzeichnis 1. Einleitung.2 2. Warum ist Eingewöhnung
MehrWerden Sie Teil einer neuen Generation
Werden Sie Teil einer neuen Generation Gastronomie Warum Sie mit ipayst immer zwei Schritte voraus sind. Die Zukunft gehört den mobilen Bezahlsystemen. Ob beim Einkaufen, im Restaurant oder beim Online-Shopping
MehrDrucken aus der Anwendung
Drucken aus der Anwendung Drucken aus der Anwendung Nicht jeder Großformatdruck benötigt die volle Funktionsvielfalt von PosterJet - häufig sind es Standarddrucke wie Flussdiagramme und Organigramme die
MehrStatistische Materialien zu Existenzgründung und Selbstständigkeit der Wohnbevölkerung mit Migrationshintergrund
Statistische Materialien zu Existenzgründung und Selbstständigkeit der Wohnbevölkerung mit Migrationshintergrund in Berlin Diese Studie ist im Rahmen des Projektes Netzwerk ethnische Ökonomie entstanden.
MehrGästeverwaltung. Gästestammdaten. Gäste verwalten. Hotelsoftware für Klein- und Mittelbetriebe
Gästeverwaltung Hotelsoftware für Klein- und Mittelbetriebe Gästestammdaten Gäste verwalten Gästeverwaltung für Windows ermöglicht Ihnen die komfortable Erfassung Ihrer Gästestammdaten und stellt diese
MehrDer einfache Weg zu Sicherheit
Der einfache Weg zu Sicherheit BUSINESS SUITE Ganz einfach den Schutz auswählen Die Wahl der passenden IT-Sicherheit für ein Unternehmen ist oft eine anspruchsvolle Aufgabe und umfasst das schier endlose
MehrDominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH
Dominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH Peter Cullen, Microsoft Corporation Sicherheit - Die Sicherheit der Computer und Netzwerke unserer Kunden hat Top-Priorität und wir haben
MehrSynchronisations- Assistent
TimePunch Synchronisations- Assistent Benutzerhandbuch Gerhard Stephan Softwareentwicklung -und Vertrieb 25.08.2011 Dokumenten Information: Dokumenten-Name Benutzerhandbuch, Synchronisations-Assistent
MehrRhein-Main KOMPASS Der Wirtschaftstrend-Report der Helaba
Rhein-Main KOMPASS Der Wirtschaftstrend-Report der Helaba Konjunkturumfrage Herbst 2011: Wirtschaft im Bezirk der IHK Frankfurt am Main steht auf stabilen Beinen Die regionale Wirtschaft steht weiterhin
MehrNeukundentest Versicherungen 2015 Zusammenfassung Gesamtmarkt
Neukundentest Versicherungen 2015 Zusammenfassung Gesamtmarkt Neukundentest versicherungen 2015 Zielsetzung: Das Ziel des Projektes ist es, die Neukundenakquisition der größten österreichischen Versicherungsinstitute
MehrEinstellen der Makrosicherheit in Microsoft Word
Einstellen der Makrosicherheit in Microsoft Word Stand: Word 2016 Inhalt Inhalt... 2 Allgemeine Anmerkungen... 3 Microsoft Word 2013/2016... 5 Microsoft Word 2010... 10 Microsoft Word 2007... 16 Microsoft
MehrWir machen neue Politik für Baden-Württemberg
Wir machen neue Politik für Baden-Württemberg Am 27. März 2011 haben die Menschen in Baden-Württemberg gewählt. Sie wollten eine andere Politik als vorher. Die Menschen haben die GRÜNEN und die SPD in
MehrAnleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren
Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Ziel der Anleitung Sie möchten ein modernes Firewallprogramm für Ihren Computer installieren, um gegen
Mehr1 MIO ÖSTERREICHISCHE SKIFAHRER SCHÜTZEN SICH BEREITS MIT HELM - UM 370.000 MEHR ALS IM VORJAHR
1 MIO ÖSTERREICHISCHE SKIFAHRER SCHÜTZEN SICH BEREITS MIT HELM - UM 370.000 MEHR ALS IM VORJAHR 3/09 1 MIO ÖSTERREICHISCHE SKIFAHRER SCHÜTZEN SICH BEREITS MIT HELM - UM 370.000 MEHR ALS IM VORJAHR Mehr
MehrII. Zum Jugendbegleiter-Programm
II. Zum Jugendbegleiter-Programm A. Zu den Jugendbegleiter/inne/n 1. Einsatz von Jugendbegleiter/inne/n Seit Beginn des Schuljahres 2007/2008 setzen die 501 Modellschulen 7.068 Jugendbegleiter/innen ein.
MehrDie Statistiken von SiMedia
Die Statistiken von SiMedia Unsere Statistiken sind unter folgender Adresse erreichbar: http://stats.simedia.info Kategorie Titel Einfach Erweitert Übersicht Datum und Zeit Inhalt Besucher-Demographie
MehrOP-LOG www.op-log.de
Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server
MehrWeil Ihre Sicherheit für uns an erster Stelle steht.
Weil Ihre Sicherheit für uns an erster Stelle steht. phototan und mobiletan die innovativen Sicherheitsverfahren der Commerzbank Die Bank an Ihrer Seite Online Banking. Aber sicher. 2 Online Banking. Aber
MehrEARSandEYES-Studie: Elektronisches Bezahlen
www.girocard.eu Management Summary EARSandEYES-Studie: Elektronisches Bezahlen Management Summary August 2014 Seite 1 / 6 EARSandEYES-Studie: Elektronisches Bezahlen Der Trend geht hin zum bargeldlosen
MehrFolgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:
Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal
Mehrder die und in den von zu das mit sich des auf für ist im dem nicht ein eine als auch es an werden aus er hat daß sie nach wird bei
der die und in den von zu das mit sich des auf für ist im dem nicht ein eine als auch es an werden aus er hat daß sie nach wird bei einer um am sind noch wie einem über einen so zum war haben nur oder
MehrPositive Aussichten trotz verhaltenem Neugeschäft
Positive Aussichten trotz verhaltenem Neugeschäft Frankfurt, 05. August 2009: Standard Life Deutschland blickt auf ein eher durchwachsenes erstes Halbjahr 2009 zurück. Im Bestand konnte das Unternehmen
MehrErst Lesen dann Kaufen
Erst Lesen dann Kaufen ebook Das Geheimnis des Geld verdienens Wenn am Ende des Geldes noch viel Monat übrig ist - so geht s den meisten Leuten. Sind Sie in Ihrem Job zufrieden - oder würden Sie lieber
MehrMedienmitteilung. *** Sperrfrist: 4. März 2016, 00.00 Uhr ***
Medienmitteilung *** Sperrfrist: 4. März 2016, 00.00 Uhr *** 4. März 2016 Patrick Kessler Präsident VSV ASVAD +41 58 310 07 17 info@vsv.ch Thomas Hochreutener Direktor Handel +41 41 632 93 64 thomas.hochreutener@gfk.com
MehrInformationen zum neuen Studmail häufige Fragen
1 Stand: 15.01.2013 Informationen zum neuen Studmail häufige Fragen (Dokument wird bei Bedarf laufend erweitert) Problem: Einloggen funktioniert, aber der Browser lädt dann ewig und zeigt nichts an Lösung:
MehrRundum-G. Die Anforderungen durch ständig steigende
Rundum-G LevelOne bietet für jede Netzwerkanwendung alles aus einer Hand. Produkte, Schulungen und die individuelle Projektunterstützung für den Fachhandel. Die Anforderungen durch ständig steigende Produktangebote
MehrWLAN Konfiguration. Michael Bukreus 2014. Seite 1
WLAN Konfiguration Michael Bukreus 2014 Seite 1 Inhalt Begriffe...3 Was braucht man für PureContest...4 Netzwerkkonfiguration...5 Sicherheit...6 Beispielkonfiguration...7 Screenshots Master Accesspoint...8
MehrQualifikationsspezifische Arbeitslosenquoten
Aktuelle Daten und Indikatoren Qualifikationsspezifische Arbeitslosenquoten 21. November 2013 Inhalt 1. In aller Kürze...2 2. Entwicklung in Deutschland...2 3. Arbeitslosigkeit nach Qualifikation...2 4.
MehrHandbuch Fischertechnik-Einzelteiltabelle V3.7.3
Handbuch Fischertechnik-Einzelteiltabelle V3.7.3 von Markus Mack Stand: Samstag, 17. April 2004 Inhaltsverzeichnis 1. Systemvorraussetzungen...3 2. Installation und Start...3 3. Anpassen der Tabelle...3
MehrDOKUMENTATION WLAN VOR ORT FREIFUNK UND OFFENES WLAN IN DEN STÄDTEN UND GEMEINDEN KOMMUNALPOLITISCHER RATSCHLAG
KOMMUNALPOLITISCHER RATSCHLAG WLAN VOR ORT FREIFUNK UND OFFENES WLAN IN DEN STÄDTEN UND GEMEINDEN DIENSTAG, 14. APRIL 2015 18.00 BIS 20.00 UHR LANDTAG NRW, RAUM E1 D 05 DOKUMENTATION IMPRESSUM WEITERE
MehrMarkus Demary / Michael Voigtländer
Forschungsberichte aus dem Institut der deutschen Wirtschaft Köln Nr. 50 Markus Demary / Michael Voigtländer Immobilien 2025 Auswirkungen des demografischen Wandels auf die Wohn- und Büroimmobilienmärkte
MehrWindows Server 2012 RC2 konfigurieren
Windows Server 2012 RC2 konfigurieren Kurzanleitung um einen Windows Server 2012 als Primären Domänencontroller einzurichten. Vorbereitung und Voraussetzungen In NT 4 Zeiten, konnte man bei der Installation
MehrCrowd investing Monitor
In den Medien Crowd investing Monitor Stand 31. März 2013 Erfolgreich selbstständig mit dem Portal Für-Gründer.de Crowd financing: Ausprägungen und Abgrenzung 2 1. Der vorliegende Für-Gründer.de-Monitor
MehrDokumentation zur Versendung der Statistik Daten
Dokumentation zur Versendung der Statistik Daten Achtung: gem. 57a KFG 1967 (i.d.f. der 28. Novelle) ist es seit dem 01. August 2007 verpflichtend, die Statistikdaten zur statistischen Auswertung Quartalsmäßig
MehrMit dem sogenannten Seriendruck können Etiketten und Briefe mit einer Adressdatei (z. B. Excel) verknüpft werden.
WORD 2010 Etiketten drucken Mit dem sogenannten Seriendruck können Etiketten und Briefe mit einer Adressdatei (z. B. Excel) verknüpft werden. Diese Anwendung erfolgt über die Registerkarte Sendungen 1
MehrSchuldenbarometer 1. Q. 2009
Schuldenbarometer 1. Q. 2009 Weiterhin rückläufige Tendenz bei Privatinsolvenzen, aber große regionale Unterschiede. Insgesamt meldeten 30.491 Bundesbürger im 1. Quartal 2009 Privatinsolvenz an, das sind
MehrSICHERER GESCHÄFTSBETRIEB - GANZ GLEICH, WAS AUF SIE ZUKOMMT. Protection Service for Business
SICHERER GESCHÄFTSBETRIEB - GANZ GLEICH, WAS AUF SIE ZUKOMMT Protection Service for Business DIE WELT IST MOBIL WLAN Die Anzahl der Endgeräte und der Verbindungen ist heute größer als jemals zuvor. Wählen
Mehr10.3.1.10 Übung - Konfigurieren einer Windows-XP-Firewall
5.0 10.3.1.10 Übung - Konfigurieren einer Windows-XP-Firewall Drucken Sie diese Übung aus und führen Sie sie durch. In dieser Übung werden Sie erfahren, wie man die Windows XP-Firewall konfiguriert und
MehrForderungsausfälle - Ergebnisse einer repräsentativen Studie von Forsa - September 2009
Forderungsausfälle - Ergebnisse einer repräsentativen Studie von Forsa - September 200 Inhalt Studiensteckbrief Management Summary Grafiken: Einschätzung der Auswirkung der Finanzmarkt- und Wirtschaftskrise
MehrVoraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)
Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting) Firma: Seite 1 von 6 1 Ansprechpartner 1.1 Ansprechpartner EDV: Name: Name: Tel: Tel: E-Mail: E-Mail: 1.2 Ansprechpartner fachlich
MehrFür über 4 Millionen Kunden: Unser Online-Shop leistet viel, damit Sie zufrieden sind. RS ONLINE. www.rs-components.at/ecommerce
Für über 4 Millionen Kunden: Unser Online-Shop leistet viel, damit Sie zufrieden sind. RS ONLINE www.rs-components.at/ecommerce RS ONLINE RS Online eröffnet Ihnen Freiräume für strategische Aufgaben.
MehrDie Zukunft der Zukunftsforschung im Deutschen Management: eine Delphi Studie
Die Zukunft der Zukunftsforschung im Deutschen Management: eine Delphi Studie Executive Summary Zukunftsforschung und ihre Methoden erfahren in der jüngsten Vergangenheit ein zunehmendes Interesse. So
MehrWindows-Sicherheit in 5 Schritten. Version 1.1 Weitere Texte finden Sie unter www.buerger-cert.de.
Windows-Sicherheit in 5 Schritten Version 1.1 Weitere Texte finden Sie unter www.buerger-cert.de. Inhalt: 1. Schritt: Firewall aktivieren 2. Schritt: Virenscanner einsetzen 3. Schritt: Automatische Updates
MehrAnleitung zum BW-Bank Computer-Check Windows-Firewall aktivieren
Anleitung zum BW-Bank Computer-Check Windows-Firewall aktivieren Ziel der Anleitung Sie möchten die Windows-Firewall auf Ihrem Computer aktivieren, um gegen zukünftige Angriffe besser gewappnet zu sein.
MehrInstallationsanleitung für das KKL bzw. AGV4000 Interface
Installationsanleitung für das KKL bzw. AGV4000 Interface Diese Anleitung ist unter Windows XP erstellt worden, ist aber auch übertragbar auf Windows 2000/ Vista / Windows 7. Je nach Einstellungen des
MehrHolen Sie das Beste aus Ihrer Kampagne heraus mit unserer Landingpage!
Holen Sie das Beste aus Ihrer Kampagne heraus mit unserer Landingpage! landingpage Holen Sie das Beste aus Ihrer Kampagne heraus. Maximale Aufmerksamkeit: Genau dorthin gelenkt, wo Sie sie haben wollen.
MehrPrint2CAD 2017, 8th Generation. Netzwerkversionen
Installation der Netzwerkversion Kazmierczak Software Print2CAD 2017, 8th Generation Print2CAD 2017, 8th Generation Netzwerkversionen Einführung Installationshinweise Die Programme von Kazmierczak Software
MehrDeutschland-Check Nr. 35
Beschäftigung älterer Arbeitnehmer Ergebnisse des IW-Unternehmervotums Bericht der IW Consult GmbH Köln, 13. Dezember 2012 Institut der deutschen Wirtschaft Köln Consult GmbH Konrad-Adenauer-Ufer 21 50668
MehrGeyer & Weinig: Service Level Management in neuer Qualität.
Geyer & Weinig: Service Level Management in neuer Qualität. Verantwortung statt Versprechen: Qualität permanent neu erarbeiten. Geyer & Weinig ist der erfahrene Spezialist für Service Level Management.
Mehrteamsync Kurzanleitung
1 teamsync Kurzanleitung Version 4.0-19. November 2012 2 1 Einleitung Mit teamsync können Sie die Produkte teamspace und projectfacts mit Microsoft Outlook synchronisieren.laden Sie sich teamsync hier
MehrWireless LAN PCMCIA Adapter Installationsanleitung
Wireless LAN PCMCIA Adapter Installationsanleitung Diese Anleitung hilft Ihnen bei der Installation des Funknetzwerkadapters für Ihre PCMCIA Schnittstelle und erläutert in wenigen Schritten, wie Sie den
MehrCD einlegen (Moment warten) Die Aktion markieren, die durchgeführt werden soll. (in diesem Beispiel»Audio-CD-Wiedergabe)
D abspielen Ds lassen sich sehr einfach über den Windows Media Player abspielen. Der schaltet sich nämlich automatisch ein. Das heißt im Klartext: Lautsprecher einschalten, D einlegen, und schon geht s
MehrANYWHERE Zugriff von externen Arbeitsplätzen
ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5
MehrAnleitung zum Prüfen von WebDAV
Brainloop Secure Dataroom Version 8.20 Copyright Brainloop AG, 2004-2014. Alle Rechte vorbehalten. Sämtliche verwendeten Markennamen und Markenzeichen sind Eigentum der jeweiligen Markeninhaber. Inhaltsverzeichnis
MehrNeue Studie zum digitalen Universum entdeckt Big Data Gap
13. Dezember 2012 Neue Studie zum digitalen Universum entdeckt Big Data Gap Big Data Gap 23 Prozent (643 Exabyte) des digitalen Universums könnten nützliche Erkenntnisse bringen. Derzeit sind nur drei
MehrVirtual Channel installieren
Virtual Channel installieren Inhaltsverzeichnis 1. Voreinstellungen... 3 2. Virtual Channel herunterladen... 3 3. Virtual Channel konfigurieren... 4 4. Ausdruck... 6 5. Tipps und Tricks... 7 Sorba EDV
Mehr» Weblösungen für HSD FM MT/BT-DATA
Die Bedeutung der Online-Verfügbarkeit von aktuellen Daten ist in vielen Bereichen fester Bestandteil der täglichen Arbeit. Abteilungen werden zentralisiert und dezentrales Arbeiten wird immer wichtiger.
MehrSystemvoraussetzung < zurück weiter >
Seite 1 von 6 Systemvoraussetzung < zurück weiter > Bitte überprüfen Sie VOR der Installation von "Traffic Signs", ob ihr System folgende Vorraussetzungen erfüllt: Ist "ArcGIS Desktop" in der Version 9.0
MehrDie elektronische Rechnung als Fortsetzung der elektronischen Beauftragung so einfach geht es:
Bei Rückfragen erreichen Sie uns unter 0571-805474 Anleitung Die elektronische Rechnung als Fortsetzung der elektronischen Beauftragung so einfach geht es: Inhalt 1 Hintergrund zur elektronischen Rechnung
Mehr