ake78 (3D & photo) - Fotolia

Die richtige Abwehrstrategie gegen DDoS-Angriffe

Distributed-Denial-of-Service-Angriffe sind ein beliebtes Werkzeug, um ganze Systeme und Netzwerke lahmzulegen. Wie kann ein effektiver Schutz gegen DDoS aussehen?

Ransomware und Viren sind bei Cyberkriminellen zwar beliebt – aber der guten alten Distributed Denial of Service Attack kommen auch diese trendigen Cyberwaffen nicht bei. DDoS ist so einfach wie wirkungsvoll: Ein Angreifer schickt eine Flut von Anfragen an einen Server, der dann unter der Last zusammenbricht und die Systeme des daran gebundenen Unternehmens lahmlegt.

Internetbasierte Services und Produkte sind daraufhin für einen unbestimmten Zeitraum nicht mehr verfügbar; ein großes Risiko für Unternehmen in einer digitalisierten Wirtschaft. Nicht nur kostet die Reparatur Zeit und Geld – Unternehmen verlieren während des Ausfalls zusätzlich Einnahmen und potenzielle Kunden.

Schutzgeld motiviert

Die primäre Absicht hinter den meisten Cyberangriffen ist, Geld zu erbeuten. Auch DDoS dient letztlich einem Gewinnziel. Allein durch das Ausschalten von Infrastruktur ist noch kein Cent verdient, daher geht es den meisten Angreifern nicht um Attacken, Malware oder Daten an sich, sondern um Spionage und vor allem um Erpressung. Mit einem saftigen Lösegeld lassen sich verschlüsselte Daten nach einer Ransomware-Attacke wiederherstellen und auch ein DDoS-Angreifer lässt sich mit etwas Schutzgeld vor der Attacke von seinem Vorhaben abhalten – so zumindest lautet sein Verkaufsargument. Nicht selten wird es begleitet von einem Schuss vor den Bug.

Organisierte Hacker-Gruppen wie Anonymous, Lizard Squad und DD4BC sowie preiswerte DDoS-as-a-Service-Tools haben gezeigt, dass der Einstieg in diese Form der Cyberkriminalität kinderleicht ist. Die Schwelle sinkt, doch das Schutzgeld winkt weiterhin. Diese gefährliche Kombination lässt die Anzahl an Angriffen weiterwachsen.

Die Kriegskasse füllen

Unternehmensentscheider sind jetzt in der Pflicht, ihr Unternehmen auf die Gefahren durch DDoS-Angriffe vorzubereiten. Dazu gehört auch eine gewisse Ressourcenkraft – in anderen Worten, es müssen Zeit und Geld bereitstehen, um eine ausreichende Abwehr überhaupt erst zu ermöglichen.

Natürlich muss die Planung mit Augenmaß erfolgen: Zu wenig Ressourcen lässt den Schutzwall verkümmern, doch wer alle Ressourcen nur auf DDoS-Attacken ausrichtet, macht das Unternehmen nach anderen Seiten hin verwundbar. Um die richtige Menge zu finden, empfiehlt sich daher eine gründliche Analyse der eigenen Infrastruktur. So wird klar, wo Schutzbedarf besteht und welche Szenarien sich wie auswirken könnten.

Den Business Impact analysieren

Die Business-Impact-Analyse (BIA) offenbart Unternehmen die schwächsten Bereiche ihrer eigenen Systeme und hilft bei der Erstellung eines „Was-wäre-wenn“-Szenarios im Falle eines Ausfalles. Wer seine kritischen Systeme kennt, kann sie anschließend schützen. Dabei ist es hilfreich, Systeme entsprechend ihrer Wichtigkeit zu priorisieren, um die Reihenfolge der Verteidigung festzulegen.

Dabei sollten auch unterstützende Komponenten wie DNS-Server, Load Balancer und VPN-Konzentratoren in die Bewertung miteinfließen – denn sie sind das wichtige Fundament für den Betrieb einer Website. Diese mag die wichtigste Ressource sein, weil sie den Berührungspunkt zum Kunden darstellt, doch brechen die Stützpfeiler ein, fällt das gesamte Konstrukt in sich zusammen.

Recovery Time Objectives festlegen

Auch ein Wiederherstellungsprozess braucht Regeln und Meilensteine. Mithilfe von Recovery Time Objectives (RTOs) beziffern Unternehmen, wie lange sie ohne eine bestimmte Ressource auskommen, sollte diese aus- oder wegfallen. Damit einhergehend liefern die RTOs Erfolgskriterien für die Bewertung des Schutzes gegen DDoS-Angriffe. Je niedriger der Wert für ein RTO, desto mehr Kontrollen werden benötigt, um die Ressourcen zu schützen. Jeder RTO eine Null zuzuweisen, ist also nicht nur exorbitant teuer, sondern auch untauglich. Die Wertezuordnung sollte unbedingt in Zusammenarbeit mit dem Führungsteam geschehen. So stellt das Bewertungsteam sicher, dass die Werte besser auf die Wünsche der obersten Führungsebene angepasst sind – was es im Gegenzug auch erleichtert, an Budget für Ressourcen zu kommen.

Lösungen implementieren

Um die RTOs auch erreichen zu können, sollten Unternehmen Abwehrlösungen implementieren. Doch Vorsicht: Manche dieser Lösungen wirken sich auf die Performance und Usability der Services aus, die sie schützen sollen. Sie können also nicht 24/7 durchlaufen, sondern müssen bei Bedarf zugeschaltet werden. Hinzu kommt, dass einige Drittanbieter von Scrubbing-Lösungen ihre Preise anhand der Datenmenge festlegen, die durch ihre Systemumgebungen geschleust wurde. Ein Always-on-Ansatz würde daher schnell teuer werden. Dieses Problem lässt sich umgehen, teilt man die Attacken in Gefahrenstufen ein – etwa so:

  • Für einfachere DDoS-Angriffe reichen die Verteidigungsoptionen, die in Firewall, Webapplikation-Firewall oder anderem Netzwerk-Equipment bereits eingebaut sind.
  • Zur Abwehr komplexerer Angriffe ist eine Appliance deutlich effektiver als die vorinstallierten Sicherheitsmechanismen der Netzwerkgeräte. On-Network-Methoden sind besonders für den kontinuierlichen Schutz essenziell, gegen einen großangelegten DDoS-Angriff, der die Internetleitungen überlastet und somit die Ressourcen nicht mehr verfügbar macht, haben sie allerdings wenig zu melden.
  • Bei groß angelegten Angriffen ist es daher sinnvoll, sich mit einer Partnerfirma zusammenzutun, die im Falle eines volumetrischen Angriffs den Traffic abfangen und auf die eigenen Leitungen umleiten kann. Solche Anbieter verfügen über gigantische Internetleitungen, die große Datenmengen verarbeiten, nach guten Daten filtern und anschließend an das Unternehmen zurückschicken können.

Egal, welche technische Lösung gewählt wird – sie funktioniert nur mit dem richtigen Personal und den richtigen Abwehrprozessen. Daher müssen Mitarbeiter DDoS-Attacken (wieder)erkennen können; sie müssen wissen, wie man die jeweiligen Sicherheitsmaßnahmen aktiviert, die nicht jederzeit online sind, und wie man die Netzwerkumgebung wieder auf den regulären Betrieb umstellt.

Die Lösungen testen

Natürlich muss ein Unternehmen sicherstellen, dass die Mechanismen auch greifen. Den Anfang bilden kleinere Tests, um die Funktionstüchtigkeit der Teilsysteme zu prüfen und Gefahren korrekt einzustufen. Um das Unternehmen nachhaltig zu schützen und durch geregelte Abläufe konstant zu verbessern, sollte zudem eine Teststrategie etabliert werden, die alle Bereiche umfasst. Für diese Aufgabe ist besonderes Wissen nötig, darum sollte gerade in diesem Schritt ein externes Team an Bord geholt werden.

 „Egal, welche technische Lösung gewählt wird – sie funktioniert nur mit dem richtigen Personal und den richtigen Abwehrprozessen.“

 Jason Goode, Ping Identity

Diese Experten können dabei helfen, die Maschen der Täter ausfindig zu machen, zu verstehen und neue Schritte zur Verteidigung einzuleiten. Die Testergebnisse sollten Unternehmen direkt zur Verbesserung der Sicherheitsmaßnahmen und Abwehrstrategie und einem besseren Management von DDoS-Attacken nutzen.

Mit Plan richtig schützen

DDoS-Attacken werden aufgrund ihrer Effektivität ein beliebtes Tool in der Werkzeugkiste der Hacker und Cyberkriminellen bleiben. Ein Abwehrplan hilft Unternehmen, sich selbst zu schützen. Das Risiko kann sicher nicht gänzlich aus der Welt geschafft werden, aber die richtige Vorbereitung gibt Unternehmen immerhin eine Chance. Dazu müssen sie jedoch zunächst die sich stetig wandelnde IT-Landschaft verstehen, ihre internetfähigen Ressourcen inventarisieren, Lösungen zum Schutz dieser Ressourcen einführen und das verantwortliche Personal, die Maßnahmenprozesse und eingesetzten Technologien stetig testen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

So können sich Unternehmen auf DDoS-Angriffe vorbeiten

Die Angriffsfläche für DDoS-Attacken reduzieren

Was Unternehmen beim Einsatz von DDoS-Abwehrdiensten beachten sollten

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close