DDoS-Attacken
Hausgemachte Existenzgefährdung
Unternehmen machen sich immer abhängiger von ihrer IT, die zunehmend zur Grundlage von Geschäftsmodellen wird und deshalb 24/7 verfügbar sein muss. Gleichzeitig häufen sich DDoS-Attacken, die darauf zielen, Server in die Knie zu zwingen und den überlebenswichtigen Datenfluss zu unterbrechen.
Diese Situation spitzt sich tagtäglich zu: die Abhängigkeit steigt – und die Verwundbarkeit nimmt zu. Das kann nicht lange gut gehen. Und tritt das Worst-Case-Szenario einmal ein, müssen Unternehmen nicht nur beträchtliche Umsatz- und Image-Einbußen in Kauf nehmen, sondern im Extremfall, also dann, wenn Server für längere Zeit vom Netz sind, auch um ihre Existenz bangen.
Die Tragik ist: diese Verwundbarkeit ist hausgemacht, denn viele Unternehmen reagieren nicht adäquat auf die immer aggressiveren Cyber-Attacken. Viele haben veraltete IT-Sicherheitssysteme, die nicht in der Lage sind, neue Angriffsvektoren zu erkennen und abzuwehren; andere sind angesichts der hohen Taktrate von Angriffen, aber auch des rapiden Technologiewandels überfordert; wieder andere verfügen nicht über ausreichende Personalressourcen, und weitere stecken mit Erklärungsversuchen wie „Es ist ja noch nichts passiert“ einfach den Kopf in den Sand. Das Spiel mit dem Feuer ist dokumentierter Alltag in der deutschen (und globalen) Wirtschaft.
Alle Arten von Unternehmen und Behörden sind bereits Opfer der immer aggressiveren DDoS-Angriffe geworden. Kriminelle gehen besonders hartnäckig vor, indem sie immer wieder die gleichen Ziele angreifen und abwarten, bis deren Verteidigung eine Lücke aufweist: Zeit haben sie ja. Ihre Motivation, eine IT-Infrastruktur lahmzulegen, ist vielfältig. Sie reicht von der Erpressung durch professionelle Kriminelle über die Unzufriedenheit oder Rache von (Ex )Mitarbeitern bis hin zu politischen Gründen, wenn etwa Regierungssysteme angegriffen werden. Schwierig ist das Ganze übrigens nicht: DDoS kann man in den Untiefen des Internets offensichtlich ganz bequem buchen, ganz so, als würde man bei Amazon shoppen gehen. Gleichzeitig werden Angriffstools immer effektiver und zugänglicher, und Hacker aller Couleur freuen sich. Verrückte Welt.
Die gute Nachricht ist: man kann sich wirksam gegen DDoS-Attacken wehren, am besten mit einem mehrstufigen Schutz. Unterscheiden kann man etwa zwischen der Abwehr gegen High-Volume-Angriffe, Infrastruktur-Angriffe und applikationsbasierte Angriffe. Beim Schutz gegen diese letzteren Attacken stehen Web Application Firewalls, sogenannte WAFs, im Mittelpunkt, die gegenüber klassischen Firewalls die anwendungsspezifische Kommunikation untersuchen.
Ansonsten ist eine Abwehr über spezialisierte Provider, die eine umfangreiche Bandbreite zur Verfügung stellen, sinnvoll; klassische ISPs können angesichts des hohen DDoS-Angriffsvolumens keinen wirkungsvollen Schutz mehr gewähren. Sogenannte Scrubbing-Center bieten eine zusätzliche Schutzebene und werden den Systemen von Unternehmen vorgeschaltet. Sie sind eine Art Reinigungszentrum, das auf extremes Datenvolumen eingerichtet ist, den Traffic analysiert und die unterschiedlichen Arten von Angriffen herausfiltert. Nur der gesäuberte Traffic wird anschließend weitergeleitet. Die Scrubbing- Center können durch DDoS-aware Firewalls ergänzt werden.
Setzt sich ein Unternehmen mit der Abwehr von DDoS-Angriffen auseinander, sollte es in mehreren Schritten vorgehen. Die Bestandsanalyse listet die vorhandenen Sicherheitssysteme auf und ist die Basis für ergänzende Neuanschaffungen. Das Monitoring ist essenziell, um Art und Anzahl von Angriffen überhaupt erstmal zu visualisieren. Ideal zur Überwachung sind Performance-Monitoring-Tools oder gut ausgebaute SIEM-Systeme. Schließlich wird im Response-Prozess festgelegt, was zu tun ist, wenn ein Angriff erfolgt. Schon beim ersten Antesten von DDoS-Angreifern sollte ein Unternehmen in der Lage sein, in den Notmodus zu schalten und beispielsweise einen Scrubbing-Dienst sofort aktiv zu schalten.
Die DDoS-Abwehr spezialisierten Providern zu überlassen, ist also keine schlechte Idee. Mehr noch: Managed Security Services sind die Garantie dafür, dass der Serverbetrieb aufrecht erhalten bleibt und Unternehmen ihre Produkte oder Leistungen rund um die Uhr anbieten können. Und das ist essenziell, denn der Wettbewerb ist immer nur ein Mausklick entfernt.
Natürlich geht es bei der IT-Sicherheit um mehr als nur um DDoS: auch der Diebstahl von Daten, zumal von vertraulichen Kunden- oder Entwicklungsdaten, kann Unternehmen erheblichen Schaden zufügen. Umso wichtiger ist es, das Thema strategisch anzugehen und auch den Führungsebenen die zentrale Bedeutung des Themas nahezubringen: sie entscheiden letztlich über die Budgets.
Thomas Snor ist Executive Enterprise Security Architect bei NTT Security
Lesen Sie mehr zum Thema
