Worauf ein Unternehmen achten muss
DDoS-Schutz aus der Cloud
Die Angriffe im Web erfolgen nicht immer nur durch technische Kompromittierung. Auch so genannte DDoS-Angriffe (Distributed Denial of Service) machen Website-Betreibern das Leben schwer - und vor diesen schützt kein Virenscanner und auch keine Firewall. Die DDoS-Abwehr erfordert spezielle Schutzlösungen - am besten bezogen aus der Cloud.Immer wieder sorgen DDoS-Angriffe für Schlagzeilen. Kriminelle starten dabei großangelegte Angriffe im Verbund mit mehreren zehntausend Rechnern gleichzeitig, um den größtmöglichen Vorteil einer kombinierten Schlagkraft zu nutzen. Der Angreifer platziert zunächst einen Trojaner oder Bot auf möglichst vielen Rechnern oder Servern, die per Breitbandanschluss oder Standleitung an das Internet angebunden sind. Sobald der Botnetz-Zentralrechner (Command- and Control-Server, C&C-Server) das Signal zum Angriff gibt, greifen alle Rechner gleichzeitig den ausgewählten Ziel-Server an und überlasten ihn. Der daraus resultierende Website-Ausfall kann im schlimmsten Fall einige Tage andauern. Bei großen, volumenintensiven Angriffen kann sogar das ganze RZ ausfallen. Sehr häufig sind namhafte Unternehmen unter den Angegriffenen, die ohne DDoS-Schutz den Attacken hilflos ausgeliefert sind. Unter den betroffenen Unternehmen gab es auch schon solche, die mit einer hardwarebasierten DDoS-Schutzlösung nicht gut beraten waren. Denn auch bei DDoS-Schutzlösungen gibt es unter den verschiedenen Anbietern enorme qualitative Unterschiede. Oft fehlen einzelne Elemente, die internetabhängige Unternehmen als sehr bedeutend einschätzen würden, wenn sie ihnen bekannt wären. Sich bei der Wahl auf einen schönen und glänzenden Markennamen zu verlassen ist da nicht ausreichend: Eine IT-Organisation muss auf die Details und Unterschiede achten, um den besten Schutz zu finden. Cloud- oder Hardwarelösung Nur die wenigsten greifen bei der Suche nach Schutz vor DDoS-Angriffen auf Hardwarelösungen zurück, denn die Vorteile vom Schutz aus der Cloud liegen auf der Hand. Beispielsweise entfällt dabei der umständliche Hardwareumzug. Auch die Hardwareinstallation, -konfiguartion und -einrichtung ist bei der Cloud-Lösung hinfällig: Im Unterschied zu einer hardwarebasierten DDoS-Schutzlösung entfallen kurz gesagt alle Investitions-, Administrations-, Wartungs-, Betriebs-, und die Vorhaltungskosten zur redundanten Auslegung des Schutzsystems. Aber auch die problemlose Skalierbarkeit ist ein Pluspunkt für den Schutz aus der Wolke - wächst der Schutzbedarf, kümmert sich der Service-Provider auf Wunsch um die Anpassung der Schutzleistung. Neuanschaffungen im Hardwarebereich oder Investitionen in zusätzliche Leitungskapazitäten muss der Kunde also nicht stemmen. Die Bereitstellung von DDoS-Schutz aus der Cloud erfolgt im Optimalfall schnell und problemlos, da sich die technischen Änderungen nur auf die DNS- oder Routing-Einstellungen beziehen. Genauso unkompliziert wäre es, den DDoS-Schutz gegebenenfalls wieder zu deinstallieren. Zwar gibt es bereits einige DDoS-Schutzanbieter, die auch aus der Cloud heraus operieren. Aber bei den wenigsten Anbietern ist der Schutz effektiv genug ist, um Websites in vollem Umfang gegen sämtliche Angriffsarten verteidigen zu können. Die meisten DDoS-Schutzanbieter verraten wenig über die exakte Funktionsweise und daher auch nichts über die Qualität ihrer Schutzlösung. Dabei wäre ein Blick auf die Details enorm hilfreich für die Entscheidungsfindung. Jeder (IT-)Entscheider sollte sich daher fragen, ob die gewünschte DDoS-Schutzlösung die im Folgenden aufgeführten Punkte enthält. Präzise Filteralgorithmen: Ein entscheidendes Kriterium für einen guten DDoS-Schutz sind die Filteralgorithmen. Wichtig ist, dass nicht der gesamte Datenverkehr der Website geblockt wird, sondern lediglich der schädliche DDoS-Datenverkehr. Dynamische IP-Verhaltensanalysen bieten dabei eine bessere Qualität als rein statistische Filterprozesse. Um die Ausfallrate so niedrig wie möglich zu halten, sind zusätzliche kundenindividuelle Anpassungsparameter notwendig. So lässt sich der Datenverkehr zum einen besser überwachen und außerdem in "erwünscht", "unerwünscht", "Sonderbefugnisse" etc. einteilen. Die ablaufenden Filterprozesse sollten so nachvollziehbar wie möglich sein, denn sonst wäre es schwierig zu überprüfen, ob die DDoS-Schutzlösung nicht doch legitime Besucher aussperrt. Bandbreitenstärke: Durch zehntausende infizierter Angriffsrechner können Kriminelle schnell Angriffskapazitäten zwischen fünf und zehn GBit/s erreichen. Eine genaue Lokalisierung der einzelnen Angreifer ist dabei durch ihre verstreute Vielzahl ebenso unmöglich wie unsinnig. Häufig erfolgt die Infizierung eines einzelnen Rechners mit dem Trojaner oder Bot schon Monate vor dem eigentlichen Angriff. Sobald der steuernde Angreifer (Master) sich seine Opfer-Web-Adresse ausgesucht hat und das Signal für den DDoS-Angriff gibt, schlagen die mit der Schadsoftware infizierten Rechner gleichzeitig los. In seiner Gesamtheit agiert dieser Verbund als eine riesige Angreiferarmee mit einem so enormen Angriffsvolumen, dass sie sämtliche Anwendungen blockiert. Es ist wichtig, dass der DDoS-Schutzanbieter über ausreichende Bandbreitenkapazität verfügt. Denn sowohl das Volumen des Angriffs, als auch die Bandbreite der Verteidigung sind mit Muskelkraft zu vergleichen: Nur ein bandbreitenstarkes DDoS-Schutz-Cluster hat genügend Kraft, einen gebündelten DDoS-Angriff von mehreren zehntausend Rechnern abzufangen. Grafische Benutzeroberfläche: Eine gute Schutzlösung ermöglicht über ihr Interface das Echtzeit-Monitoring der Angriffsabwehr. So kann der Anwender die Schutzaktivitäten kontrollieren: Angriffsarten, Angriffsdauer, Abläufe, Intensität und Herkunftsregionen der Angriffe lassen sich nachvollziehen und Aussperrungen sowie Sonderbefugnisse von IP-Adressen im Bedarfsfall manuell festlegen. Außerdem sollte der Service-Provider zur Übersicht, zur Nachvollziehbarkeit und wegen der zukünftigen strategischen Planung des DDoS-Schutzes einen monatlichen Statusbericht zu allen DDoS-Aktivitäten angefertigen, der Art und Umfang der Vorfälle wiedergibt. Nur ein solcher Report verdeutlicht, ob die DDoS-Abwehr nicht doch den legitimen Website-Besuchern den Zutritt verweigert hat. Skalierbarkeit: Die Angriffsvolumina variieren sehr stark, da die Angreifer unterschiedlich effiziente Tools benutzen, um eine Website anzugreifen. Dies zumindest ergibt sich aus den Erfahrungen sämtlicher DDoS-Schutzanbieter. Die Schutzbandbreite sollte zwischen 1 GBit/s und mehreren 10 GBit/s skalierbar sein, also jederzeit schnell ausgebaut werden können, um dem möglichen nächstgrößeren Angriff gewachsen zu sein. Das Filter-Cluster des Schutzanbieters sollte daher sogar so hochwertig dimensioniert sein, dass es im Ernstfall auch die mitunter vorkommenden, riesigen Angriffswellen von mehr als 100 GBit/s abfangen kann. Denn bei kleineren Filter-Clustern wären wie bei einer Überschwemmung in einem Ernstfall dieser Größenordnung auch alle anderen Kunden betroffen, die gar nicht das Ziel des Angriffs waren. Ein Modell dieser Art, das nur im unwahrscheinlichen Bedarfsfall aufgerüstet wird, hält die zu erwartenden Kosten für die DDoS-Schutzbandbreite gering, obwohl man im Bedarfsfall auf Schutzkapazitäten höherer Größenordnung zurückgreifen kann. Die Angriffsszenarien wandeln sich auch im DDoS-Umfeld ständig. Die Methoden, mit denen die Angreifer vorgehen, werden immer raffinierter und stellen daher auch eine wachsende Herausforderung für die Anbieter von Schutzlösungen dar. Ein Beispiel sind so genannte Slow-DDoS-Angriffe. Die "Slowloris"-Attacke zum Beispiel zielt darauf ab, die Verbindungen zum angegriffenen Server offenzuhalten. Dies erreicht der Angreifer beispielsweise durch das Versenden unvollständiger HTTP-Anfragen. Nach und nach erreichen immer mehr Anfragen dieser Art den angegriffenen Server. Weil aber die Anzahl offener Verbindungen, die ein Server halten kann, begrenzt ist, muss er legitime Anfragen von Web-Browsern ablehnen: Die Ressourcen des Servers sind ausgeschöpft, er verweigert seinen Dienst. An sich entspricht der Datenverkehr jedoch den Anforderungen der Protokolle und auch die Geschwindigkeit der Anfragen bewegt sich im legitimen Bereich. Deshalb erkennen herkömmlichen DDoS-Schutzlösungen Angriffe dieser Art nicht. Diesen Angriffen begegnet ein "State of the Art"-DDoS-Schutz mit einer Zwischenspeicherung und Überprüfung der Header- und Body-Bereiche, er schließt umgehend die nicht validen Verbindungen. Dank Größen- und Performance-Optimierungen einzelner Verbindungen lassen sich zudem weitaus mehr gleichzeitige Verbindungen halten. Vor weiteren "Low and Slow"-DDoS-Angriffen schützt dann die permanente Analyse und der Vergleich zur Nutzung im Normalbetrieb der Webseite. Die sich "anschleichenden" Slow-DDoS-Angriffe lassen sich dann anhand unnatürlichen Nutzerverhaltens entdecken und unterbinden. Eine vorgefertigte, starre DDoS-Schutzlösung ist nicht flexibel genug, um sich den Weiterentwicklungen der Angriffsmethoden ausreichend anpassen zu können. Aktuelle Angriffsszenarien müssen sich in die Schutzlösung einpflegen lassen, damit es nicht zu bösen Überraschungen kommt. Eine veraltete Lösung zu nutzen wäre ebenso sinnlos wie das Nutzen eines Antivirenprogramms, das vor Jahren sein letztes Update erfuhr. Für verlässlichen Schutz ist es daher unerlässlich, dass der Anbieter entsprechende Personalressourcen und -kompetenzen im Hause vorhält, um auf die aktuellen DDoS-Angriffsformen sofort reagieren zu können. Manche DDoS-Schutzanbieter halten ein spezielles Expertenzentrum mit eigenen Krisenreaktionskräften bereit. Fazit Effizienter DDoS-Schutz ist umso wichtiger, je mehr ein Unternehmen bei seinen Geschäftsprozessen auf das Internet angewiesen ist. Aber auch aus Reputationsgesichtspunkte sollte die Erreichbarkeit der eigenen Website selbstverständlich sein. Mögliche Angreifer gibt es viele, und für einige Aggressoren stellt eine ungeschützte Website geradezu eine Provokation dar, denn hier können beispielsweise Hacker, Schutzgelderpresser und - was immer wieder vorkommt - Jugendliche aus Spaß ihre Fähigkeiten testen. Damit letztlich die Wahl auf den richtigen DDoS-Schutzanbieter fällt, der nicht nur von außen stark aussieht, sondern auch tatsächlich mit den Muskeln spielen kann, wenn es darauf ankommt, sollte man ausreichend Informationen einholen, die genannten Kriterien genau hinterfragen und sie nach Möglichkeit technisch überprüfen.
Lesen Sie mehr zum Thema
