DDoS-Attacken und empfohlene Schutzmaßnahmen

Finanzielle Schäden bei Ausfall der Webseite oder Überlastung der Infrastruktur können enorm sein

Von unserem Gastautor Raymond Hartenstein, Vetriebsleiter, Link11

[datensicherheit.de, 15.07.2015] DDoS-Angriffe sind immer einfacher zu bewerkstelligen. Der finanzielle Schaden bei Ausfall der Webseite oder Überlastung der Infrastruktur kann enorm sein: Viele der attackierten Unternehmen müssen ihre Systeme für mindestens einen Werktag abschalten und einen großen personellen und materiellen Aufwand leisten, um den Schaden zu begrenzen.

Laut einer Umfrage der britischen BT leiden vier von zehn (41 Prozent) der weltweit im Internet vertretenen Unternehmen unter DDoS-Angriffen. Bisher gibt es noch kaum Statistiken, wie stark deutsche Firmen von DDoS-Angriffen betroffen sind. Nach Schätzungen des Bundesministeriums des Innern wird nur jede zehnte Tat zur Anzeige gebracht. Mit 113 Angriffen pro Tag zählen DDoS-Attacken (Distributed Denial of Service-Attacken) laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu den größten Gefahren für die IT-Sicherheit in Deutschland. Die Bedrohungslage ist gleichbleibend hoch. Ein Technologie-Unternehmen, dessen Entwicklungsstandort vom Netz abgetrennt ist, oder der Mittelständler, dessen Produktionsstandort über Tage nicht mehr erreichbar ist, können nachhaltig geschädigt werden. Existenzbedrohend kann es für einen Online-Shop sein, der komplett abhängig ist von der Erreichbarkeit seiner Webseite.
Sein komplettes Geschäftsmodell ist darauf aufgebaut, dass Kunden jederzeit bestellen können. So wurde jeder achte Online-Shop bereits mit DDoS-Attacken erpresst. Präventive Schutzmaßnahmen sind daher umgehend zu ergreifen. Die DDoS-Angriffe der letzten Monate haben an Volumen zugenommen, sodass häufig die lokale Netzanbindung des betroffenen Unternehmens überlastet war. Zudem werden Angriffe intelligenter und kombinieren Volumen- und Applikations-Attacken. Neben dem Webserver werden verstärkt andere Server in der Infrastruktur des Unternehmens angegriffen, die Internetzugänge überlastet und damit mitunter ganze Standorte außer Betrieb gesetzt.

Bild: Link11

Raymond Hartenstein, Vertriebsleiter bei der Link11 GmbH

Der erste Schluss, den man daraus ziehen muss, ist, dass eine lokale Hardware, die in der eigenen Infrastruktur installiert ist, meist nicht ausreichend ist. Es empfiehlt sich die Kombination mit einem Cloud-Schutz oder einem CDN. Welche Punkte gibt es hier zu beachten?

• Ist es eine internationale Webseite, deren Inhalt in mehreren Ländern verteilt werden muss? Dann empfiehlt sich die Kombination mit einem CDN.
• Gibt es viele dynamische Inhalte auf der Seite? Da die Anfragen vom Original-Webserver beantwortet werden müssen, kann ein Cloud-Schutz hier optimal schützen.
• Welche Such-/Datenbankabfragen können das System stark belasten? Nur wenige Hardware- Lösungen erkennen, wie sehr eine Suchabfrage die Datenbank belastet. Auch hier bietet der Cloud-Schutz Vorteile.
• Sind nur der Webserver oder weitere Server wie für E-Mail- oder VPN zu schützen? Das CDN schützt nur den Webserver. Hier empfiehlt sich die Kombination aus Hardware und Cloud-Schutz.
• Über wie viel Security Expertise verfügt das Unternehmen? Sind zu wenig eigene Ressourcen vorhanden, sollte man von einer Hardware Lösung Abstand nehmen, da sie nicht ausreichend administriert werden kann.
• Soll eine externe Lösung permanent den Datenstrom filtern oder nur im Angriffsfall? Oft empfiehlt sich eine Standby-Lösung, die nur im Angriffsfall aktiv wird. Der DDoS-Schutzanbieter kann in diesem Fall auch als potenzielle Fehlerquelle ausgeschlossen werden.
• Wie relevant ist der Datenschutz? Wird er durch den Anbieter gewährleistet? Dies ist für die meisten Unternehmen relevant und der externe Anbieter sollte die Einhaltung wirksamer Datenschutzregelungen sicherstellen können.

Dies ist nur eine kleine Auswahl an Fragen, die sich ein Unternehmen stellen sollte, um darauf aufbauend seine Evaluierung der Schutzmöglichkeiten zu beginnen. Zu bedenken ist immer, dass DDoS-Angriffe bisher ein Nischenthema sind. In vielen Unternehmen ist die Expertise nicht vorhanden, die meist völlig überraschenden Angriffe selbst abzuwehren bzw. eine Hardware-Lösung effektiv zu bedienen. Im Zweifel sollte man sich an Spezialisten wenden, die täglich mit dieser Form der Cyber-Abwehr zu tun haben. Ein externer, Cloud-basierter Schutz, bietet viele Vorteile:

• Die Experten beschäftigen sich täglich mit der Abwehr von Angriffen.
• Große Datenvolumen können problemlos abgefangen werden, aber auch Angriffe auf Applikationsebene werden von guten Anbietern erkannt.
• Einige Cloud-Anbieter können im Angriffsfall zudem das gesamte Netzwerk des Unternehmens kurzzeitig übernehmen und damit komplett schützen, da Attacken nicht mehr nur auf die Webserver zielen. Dieser Schutz ist in einer Standby-Variante realisierbar, so dass der Datenverkehr im Normalfall nicht über den DDoS-Schutzanbieter läuft

Wichtig ist, dass die Evaluierung der Schutzmöglichkeiten nicht erst beginnt, wenn ein Angriff in vollem Gange ist. Das Risiko betroffen zu sein, steigt von Monat zu Monat. Geeignete Schutzmaßnahmen sollten vorher gefunden werden.

Weitere Informationen zum Thema:

Link11
Whitepaper „Best Practices Ansätze zum DDoS-Schutz“