Incident Response Plan
Cyber-Kriminalität: Richtiges Verhalten bei DDoS-Angriffen
DDoS-Attacken werden häufiger und komplexer. So mussten Unternehmen in Deutschland im letzten Jahr insgesamt 142.800 DDoS-Angriffe abwehren, das sind 392 Attacken pro Tag. Angreifer nutzen dazu häufig hunderte oder tausende vernetzte Computer, Server und sogar unzureichend gesicherte IoT-Geräte.
Das bekannteste DDoS-Botnetz, dass sich über IoT-Geräte verbreitete, war 2016 das Mirai-Botnet. Laut Lagebericht des BSI 2017 sind seitdem zahlreiche Mirai-Weiterentwicklungen mit DDoS-Funktionalitäten entstanden. Die Anzahl und die Gefahr von DDoS-Angriffen steigt daher weiterhin. Und auch wenn in der Regel vor allem hochvolumige DDoS-Angriffe auf Unternehmen erfolgen, gibt es zunehmend ausgefeiltere Angriffsformen. So hatte fast jedes zweite Unternehmen im letzten Jahr mit sogenannten Multivektor-Angriffen zu kämpfen. Das sind gleichzeitige Attacken auf die IT-Infrastruktur an verschiedenen potenziellen Schwachstellen. Multivektor-Attacken sind deutlich schwieriger abzuwehren, wodurch die Erfolgschancen der Angreifer steigen.
Unternehmen benötigen daher einen bewährten technischen Schutz, um DDoS-Angriffe zu erkennen und abzuwehren. Doch ebenso wichtig ist ein zuverlässiger Reaktionsplan, ein sogenannter Incident-Response-Plan (IRP). Darin festgehalten sind Abläufe und mögliche Maßnahmen, die im Falle eines DDoS-Angriffs schnellstmöglich vom Unternehmen ergriffen werden sollten. Nur so können sie Gefahren und Schäden des Cyberangriffs im Ernstfall minimieren.
Schnelle Reaktion ist A und O bei DDoS-Attacken
Eine schnelle Reaktion ist entscheidend für eine erfolgreiche Abwehr von DDoS-Angriffen. Schulung für Sicherheitsteams und im Vorfeld definierte Ablauf-Prozesse, die nicht vom Wissen und der Kompetenz einzelner Personen abhängen, sind daher essenziell. All diese Faktoren müssen in einem Incident-Response-Plan berücksichtigt werden. Doch wie sollte dieser aussehen?
Unternehmen sollten ihren Incident-Response-Plan zunächst in sechs Phasen untergliedern und folgende Aspekte abdecken:
- Planung und Vorbereitung
- Definition des notwendigen Monitorings und der Maßnahmen während eines Angriffs und schließlich
- die Auswertung der Folgen, um beim nächsten Mal effizienter reagieren zu können
Diese Phasen sind allerdings nicht linear, sondern als iterativer Prozess zu verstehen.
1. Planung und Vorbereitung – Verantwortlichkeiten festlegen
Die erste Phase ist die vielleicht schwierigste, aber auch kritischste Phase, da hier die Basis für den Reaktionsplan geschaffen wird. Denn diskutiert das Unternehmen über adäquates Vorgehen und mögliche Gegenmaßnahmen erst in dem Moment, in dem ein Angriff erfolgt, ist es bereits zu spät. Schon im Vorfeld müssen ein dediziertes Team und konkrete Verantwortlichkeiten festgelegt werden. Auf komplexe Angriffe zu reagieren, wird oft im Zuständigkeitsbereich von Sicherheitsteams gesehen, während für den DDoS-Schutz in aller Regel nicht das Sicherheitsteam, sondern das Netzwerkteam verantwortlich ist. Für die Kommunikation während eines Angriffs ist es entscheidend, dieses Denkschema aufzubrechen. Unternehmen sollten daher bidirektionale Informations- und Kommunikationsströme festlegen – wer sollte also wen und wann verständigen.
Das vorab festgelegte Team sollte zudem regelmäßig geschult und Notfallübungen durchgeführt werden, um im Ernstfall souverän reagieren zu können.
2. Identifizierung von Problemen – Ist es ein Angriff oder eine Fehlfunktion?
Unternehmen sollten sich auch mit der Motivation und den Techniken von Angreifern auseinandersetzen sowie mögliche Angriffsvektoren verstehen lernen. Tools für die Abwehr von DDoS-Angriffen sollten darüber hinaus jederzeit einsatzbereit sein. Außerdem muss die Belastbarkeit der IT-Infrastruktur und aller zugehörigen Komponenten im Detail geprüft werden. Stresstests geben Auskunft über die eigenen Kapazitätsgrenzen. Damit Unternehmen beurteilen können, ob die unzureichende Leistung oder Nichterreichbarkeit eines Diensts oder einer Anwendung durch einen DDoS-Angriff verursacht wird oder Folge einer fehlerhaften Netzwerkkonfiguration ist, benötigen sie umfassende Transparenz über ihr Netzwerk. Geeignete Netzwerk-Monitoring-Lösungen geben erforderlichen Einblick in den Datenverkehr, sodass Probleme zeitnah diagnostiziert werden können.
3. Klassifizierung von Angriffen
Unternehmen müssen schnellstmöglich identifizieren können, um welche Art von Angriff es sich handelt? Daraus kann abgeleitet werden, wie sich der Angriff aller Voraussicht nach entwickeln wird und welche Gegenmaßnahmen zu ergreifen sind.
- Cyber-Kriminalität: Richtiges Verhalten bei DDoS-Angriffen
- Rückverfolgung und Reaktion
- Exkurs: Beispiel aus der Praxis
Lesen Sie mehr zum Thema
