So schützen sich Unternehmen vor DDoS-Attacken
Plattgemacht, lahmgelegt, ausgebremst?
Die böswillige Überlastung von Servern und Netzwerken durch Distributed-Denial-of-Service-Attacken (DDoS) legt webbasierte Geschäftsprozesse lahm und stoppt schon ganze Fertigungsabläufe. Noch verschließen viele Unternehmen die Augen vor diesem Geschäftsrisiko – bis sie die digitale Brechstange selbst trifft. Denn im Angriffsfall prallen die immer intelligenter werdenden DDoS-Attacken nur an ausreichend geschützten IT-Strukturen ab.
Die permanente Verfügbarkeit von Servern und IT-Infrastrukturen ist das „höchste Gut“ in der digitalen Wirtschaft. Mit steigender Vernetzung der Wirtschaft treffen gezielte Internetangriffe die Unternehmen immer empfindlicher. Bewährtes Angriffsmittel ist dabei die Überlastung von Servern durch DDoS-Attacken, sodass Server, Datenbanken oder ganze Kommunikationsnetze ihren Dienst versagen.
Im Visier von DDoS-Attacken
Lahmgelegte Webseiten von Online-Shops sind dabei nur die Spitze des Eisbergs, wenn es um die Opfer von DDoS-Attacken geht. Cyber-Attacken haben inzwischen auch Industrieunternehmen im Visier. Sie treffen SaaS-Server, IP-Netze und Datenbanken ebenso wie vernetzte Produktionsabläufe und Logistikketten. Schaden entsteht hier bereits dann, wenn DDoS-Attacken die Server und Netzwerke nicht vollständig in die Knie zwingen, sondern 'nur' bremsen.
Die Fertigungsindustrie leidet schon heute stark unter Cyberspionage und DDoS-Attacken, die häufig mit Erpressungsversuchen einhergehen: So geschehen bei einem Automobilzulieferer, dessen hauseigenes Rechenzentrum auch dessen Online-Shop gehostet hat. Auf ein Erpresserschreiben, das eine DDoS-Attacke auf das Rechenzentrum ankündigte, reagierte man mit Zahlung des gewünschten Geldbetrags. Als der Erpresser jedoch erneut Forderungen stellte, ignorierte das Unternehmen diese. Prompt begann der Erpresser seinen Forderungen Nachdruck zu verleihen und startete die angekündigte DDoS-Attacke.
Zuerst waren das Intrusion-Prevention-System (IPS) und dann die Firewall überlastet. Kurze Zeit später brach der gesamte Unternehmens-Uplink zusammen, sodass Geschäftspartner keine Bestellungen mehr aufgeben konnten. Auch die externen Mitarbeiter des Unternehmens wurden durch die Attacke in ihrer Arbeit eingeschränkt. Ihnen war der Zugriff auf das ERP-System verwehrt, weil alle VPN-Außenstellen unterbrochen waren.
Nach außen und innen lahmgelegt
Wenn Unternehmen unter DDoS-Beschuss stehen, reicht der Standardschutz mit Firewall oder IPS aufgrund der Größe und Intelligenz der Angriffe oftmals nicht aus. Auch im Fall des angegriffenen Automobilzulieferers wurde als erste Notmaßnahme die Firewall abgeschaltet. Doch damit konnte die eigene IT-Abteilung die Überlastung des Uplinks nicht verhindern, sondern schuf ein weiteres Sicherheitsrisiko. Erst durch die Expertise eines externen DDoS-Spezialisten konnten die notwendigen Notfall-Installationen vorgenommen werden und das Unternehmen sicher durch die akute Phase manövriert werden.
Dazu wurden die DNS A-Record-Einträge des Automobilzulieferers auf die IP-Adresse des DDoS-Filterzentrums umgestellt und der Datentransfer so umgeroutet. Die Filter-Software analysierte und kategorisierte den Datenverkehr aus legitimen und illegitimen IPs. Statistische Verhaltensmerkmale halfen dabei, die Traffic-Quellen in Sekundenbruchteilen in „erwünschte“, „unerwünschte“ und IP-Adressen mit „Sonderbefugnissen“ aufzuteilen. Für die legitimen Besucher und Mitarbeiter waren Shop und ERP-System schnell wieder erreichbar.
- Plattgemacht, lahmgelegt, ausgebremst?
- Volumen-Angriffe richtig kontern
- Risiken minimieren, Schutzmaßnahmen treffen
- ´DDoS-Checkliste
Lesen Sie mehr zum Thema
