DDoS-Ratgeber Gefährdungspotenzial und Schutz für mein Unternehmen Mit integriertem Kurztest
Der Preis der Nichtverfügbarkeit Im Zuge sogenannter hacktivistischer Protestaktionen wurden und werden in unregelmäßigen Abständen die Webpräsenzen namhafter Finanzdienstleister attackiert und lahmgelegt. Online-Versandhandel, Lieferservices oder Banking- und Finanzportale sind nur einige der weiteren betroffenen Webdienste, die Schäden beklagen. Angriffe nehmen zu Bot-Netz attackiert Pizza-Bestelldienste, lautete die Schlagzeile in einem der bekanntesten deutschen IT-News-Ticker. Ein sogenanntes Miner-Bot-Netz hatte vor allem deutsche Pizza- Dienste und Immobilien-Portale ins Visier genommen und versucht, durch DDoS-Angriffe die Web-Server lahmzulegen. Eines der bekanntesten Opfer, das Portal pizza.de, registrierte während eines Angriffs Zugriffe von rund 50.000 IP-Adressen, die etwa 20.000 bis 30.000 Anfragen pro Sekunde erzeugten. Und erst vor Kurzem erwischte es auch den IT-Newsletter selbst. Rund 3.000 sogenannte Name-Server schütteten die Portal-Server über eine Stunde kontinuierlich mit Antworten auf Anfragen zu, die diese nie gestellt hatten, und legten so die Verfügbarkeit lahm. Das sind nur zwei Beispiele aus einer langen Angriffsliste. Nach einer Studie der Arbor Networks, basierend auf der Befragung von 114 in aller Welt tätigen Internet-Providern, gewinnen politisch und ideologisch motivierte Angriffe nebst vandalistischen und cyberkriminellen immer mehr an Gewicht. In den letzten Jahren ist ein deutlicher Anstieg der DDoS-Angriffe (Distributed Denial of Service) zu sehen. Angegriffen werden Unternehmen, Organisationen und selbst ganze Staaten. Für die Opfer wird es immer kostspieliger: Die Folgen der Nichtverfügbarkeit summieren sich zu Schäden in Millionenhöhe.
Was ist ein DoS DoS ist das Akronym für Denial of Service (Dienstblockade oder Dienstverweigerung). Es bedeutet den Ausfall der Verfügbarkeit einer Website und deren Service. Bei einem DoS- Angriff wird ein Netzwerk so lange gezielt mit überflüssigem Datenverkehr überflutet, bis gewisse oder alle Dienste lahmgelegt sind. So ist es möglich, ganze Webserver-Cluster in die Knie zu zwingen. und was eine DDoS-Attacke? Das D vor DoS steht in diesem Zusammenhang für Distributed (Denial of Service) bzw. Verteilte (Dienstblockade), weil es nie einen einzigen zentralen Ausgangspunkt einer Attacke gibt. Im Gegensatz zur DoS-Attacke erfolgt der Angriff von vielen verteilten Rechnern aus. Die Opfer meist Unternehmen werden dabei von einer großen Anzahl von Computern mit einer Unmenge von IP-Paketen angegriffen. Natürlich wird längst nicht nur mit der Masse von Paketen auf die Opfer geschossen, sondern gezielt werden Applikationen, Dienste und Netzwerkgeräte überlastet und deren Schwachstellen ausgenutzt. Immer häufiger sind auch kombinierte Angriffe zu sehen, bei denen Applikationen und Schutzsysteme gleichzeitig angegriffen werden, um deren Abwehrmaßnahmen auszuhebeln. Wer steckt dahinter und wie arbeiten die Täter? Das Täterprofil reicht von verfeindeten Staaten über konkurrierende Unternehmen, von schlichter Erpressung bis hin zu politischem Aktivismus und darüber hinaus. Für eine DDoS- Attacke schließt sich eine gewisse Anzahl Personen zu einer Gruppe zusammen, deren Interesse es ist, einen bestimmten Server so weit an seine Grenzen zu bringen, dass er kollabiert. Jeder Einzelne schießt sich nun bspw. mit einer Anwendung, wie sie in der IT als Stresstest-Tool für Netzwerke benutzt werden würde, auf die IP-Adresse eines vereinbarten Ziels ein. Für den Attackierenden ist dabei kein Fachwissen vonnöten: Einschlägige Programme stehen zum Download zur Verfügung, sind somit schnell beschafft und durch ihre selbsterklärende Nutzeroberfläche kinderleicht zu bedienen.
Hinzu kommt: DDoS-Attacken werden immer intelligenter. Der Angreifer untersucht sein Opfer meist schon Tage vorher auf Schwachstellen, die er dann gezielt angreift. Meist wird der Angriff über ein Bot-Netz initiiert. Computer werden über Trojaner infiziert und zu sogenannten Zombies gemacht. Diese setzen sich dann mit dem Command- & Control-Server (C & C) des Angreifers in Verbindung. Über diesen Weg können die Zombie- Rechner ihre Erreichbarkeit übermitteln und/oder sich einen neuen Programmcode abholen. Der Betreiber des Command- & Control-Servers erlangt damit die Kontrolle über die fremden Computer-Zombies, die er dann dazu nutzt, Angriffe zu starten oder Spam zu versenden, erläutert Harald Krimmel, Senior Consultant bei depulsio GmbH. Die Wirkung der Attacke ist unmittelbar von der Anzahl der attackierenden Benutzer bzw. der Anzahl der mobilisierten Bots abhängig. Je nach Breite des künstlich erzeugten Traffics werden die Datenleitung, das Netzwerkgerät, der Server oder die Applikationen überlastet und es kommt zum Kollaps.
Sofern der Angriff nicht angekündigt wurde, ist er als solcher oftmals erst dann zu erkennen, wenn es schon zu spät ist. Und das kann dann teuer werden. Was bedeutet das für mein Unternehmen? Für auf Online-Verkehr angewiesene Unternehmen ist stete Verfügbarkeit nicht allein Grundlage für sichere Umsätze. Durch DDoS-Attacken verursachte Downtimes führen zu Negativpresse und Reputationsverlust. Dieser Image-Schaden kann besonders groß werden: Wird etwa der Online-Auftritt einer Bank lahmgelegt, erweckt es den Eindruck eines Sicherheitsproblems beim Kunden. Wenn man die Sensibilität vertraulicher Userdaten bei Transaktionen jedweder Art bedenkt, sind Zweifel an der Integrität des genutzten Online- Dienstes kaum vermeidbar. Ein Ausfall bedeutet den Verlust baren Geldes, wenn der geneigte Kunde sich dazu gezwungen sieht, sich der Konkurrenz zuzuwenden. Potenziell ist nunmehr jedes Unternehmen mit Schwerpunkt Web denkbares Opfer eines DDoS-Angriffs. Niemand, dessen Existenz auf ständiger Erreichbarkeit fußt, ist als Ziel auszuschließen. Wie kann ich mich schützen und wie funktioniert dieser Schutz? Beim effektiven DDoS-Schutz spielen verschiedene Abwehrmechanismen zusammen, bspw. durch Echtzeitschutz durch speziell für DDoS-Abwehr entwickelte Inline-Geräte, die Angriffe auf Applikationsebene direkt abwehren. Intrusion-Prevention-Systeme (IPS) und Firewalls sind hierzu nur bedingt geeignet, da sie durch ihre primäre Aufgabe, nämlich die inhaltliche Datenverkehrsüberprüfung, selbst ein leichtes Ziel für Angriffe sind. Spezielle DDoS-Abwehr-Devices verfügen über eine Vielzahl von Maßnahmen, die Legitimität des Datenverkehrs zu bewerten, und sind durch DDoS-spezifische Update Feeds immer auf dem neusten Stand.
Auch speziell für den DDoS-Schutz ausgelegte Inline-Geräte verhindern Angriffe nur im Rahmen der eigenen Anbindungsbandbreite. Volumenangriffe können nur in der Cloud abgefangen werden. Soweit wie möglich wird der Angriffsverkehr im Internet abgefangen und nur der legitime Traffic auf die Leitung zum Server geschickt.
Wie gefährdet ist mein eigenes Unternehmen? Risiko und Wahrscheinlichkeit einer DDoS-Attacke sollten nicht unterschätzt werden. Firmen, die sich selbst für zu klein, ihre Produkte für zu unbedeutend halten, fliegen nicht automatisch unter dem Radar, sondern sind umso anfälliger für Erpressungsversuche. Der folgende Fragebogen soll Ihnen helfen, Ihr persönliches Risiko, Opfer einer DDoS-Attacke zu werden, abzuschätzen. Für Rückfragen und eine persönliche Beratung stehen wir gern zur Verfügung. 1.) Wie hoch schätzen Sie die Wahrscheinlichkeit ein, Opfer einer DDoS-Attacke zu werden? hoch mäßig gering 2.) Wie abhängig ist Ihr Unternehmen von Webpräsenz und Online-Dienstleistungen? sehr mäßig wenig 3.) Wie wettbewerbsorientiert ist der Markt, in dem Ihre Firma tätig ist? sehr mäßig wenig 4.) Welchen Erkennungswert hat Ihre Marke? (regional, branchenintern oder global) hoch mäßig niedrig 5.) Ist Ihr Unternehmen in einem der folgenden Bereiche tätig: Finanzdienstleistungen, Reisen, Internet-Gaming, Einzelhandel, Transport, Lieferdienst oder Dienstleistung für Behörden? alle einige keins
Kontakt: depulsio GmbH Schulze-Delitzsch-Str. 36 70565 Stuttgart Tel.: +49 711 7823949-0 E-Mail: info@depulsio.de