Wer DDoS-Angriffe abwehren möchte, sollte folgende Punkte beachten:
Schutzbedarf analysieren
Bevor Sie sich für eine Lösung zum Schutz vor DDoS-Angriffen entscheiden, sollten Sie den Schutzbedarf Ihres Unternehmens analysieren. Entscheidend ist dabei, welche übers Internet erreichbaren Systeme Ihr Unternehmen einsetzt, wie kritisch die dazugehörigen Geschäftsprozesse sind und welche Auswirkungen ihr Ausfall hätte. Ein durch eine DDoS-Attacke verursachter System- oder Netzausfall dauert durchschnittlich zwölf Stunden. Was konkret bedeutet das fürs Geschäft - etwa wenn die Website einen Tag lang nicht erreichbar ist? Welche Kosten würden Ihrem Unternehmen dadurch entstehen?
Art des Angriffs berücksichtigen
Auch die unterschiedlichen Arten von DDoS-Attacken spielen bei der Schutzbedarfsanalyse eine Rolle. Neben großen, volumetrischen Angriffen, bei denen der Angreifer die Leitung so lange bombardiert, bis sie voll ist, kommen sogenannte Multi-Vector-Taktiken immer häufiger vor, bei denen verschiedene Unternehmensplattformen gleichzeitig mit Anfragen bombardiert werden.
Beide Angriffsarten setzen voraus, dass das System des Angreifers über mehr Bandbreite verfügt als das des Opfers. Oft handelt es sich dabei um Ablenkungsmanöver: Während die IT-Abteilung versucht, der sosogenannten Flooding der Internet-Verbindung Herr zu werden, verschafft sich der Angreifer beispielsweise über eine andere Schwachstelle im Netzwerk Zugriff auf Firmendaten.
Aber auch Angriffe mit niedrigen Bandbreiten können Schaden anrichten. Ein Beispiel sind Connection-Angriffe, bei denen der Angreifer den ständigen Aufbau von TCP-Verbindungen an das Zielsystem simuliert. Zunehmend kommen auch Angriffe auf Applikationsebene vor, beispielsweise indem der Angreifer permanent versucht, sich mit falschen Log-in-Daten anzumelden. Da das Backend ununterbrochen damit beschäftigt ist, die Log-in-Informationen zu überprüfen, bricht die Anwendung irgendwann zusammen. Angriffe auf Applikationsebene erfordern weniger Bandbreite. Dadurch können sie langsamer durchgeführt werden und sind wesentlich schwerer zu erkennen.
Absicherung evaluieren
Um sich gegen DDoS-Angriffe abzusichern, benötigen Sie einen Schutz im Internetzugang, der den Angriffs-Traffic filtert und nur "saubere" Daten weiterleitet. Je nach Schutzbedarf empfehlen sich hier die Varianten "On-Premise" oder "in the Cloud". Wenn Sie ganz sichergehen wollen, investieren Sie in eine Lösung, die beide Varianten kombiniert.
On-Premise: Hier wird eine Appliance im Internetzugang installiert - entweder direkt in Ihrem Unternehmen oder im Backbone Ihres Providers. Diese Appliance filtert einen Großteil des Traffics heraus - ähnlich wie ein spezialisierter Virenscanner. Der Vorteil: Der Schutz greift sofort und erfordert keine Änderungen am Netzwerk. Allerdings eignet sich die On-Premise-Variante nicht für große volumetrische Angriffe. Hier ist der Upstream-Provider schnell so ausgelastet, dass der Angriffs-Traffic nicht mehr bis zur Appliance gelangt.
In the Cloud: Mit dieser Variante lassen sich Angriffe möglichst nah an ihrem Ausgangspunkt abfangen und so ein Großteil der Angriffe ausfiltern. Je nachdem wie umfassend der Schutz sein soll, ist die Cloud-Variante in zwei Optionen erhältlich: Zum Schutz von einzelnen Servern wird der DNS-Eintrag des Unternehmens im "Scrubbing Center" des Providers in eine virtuelle Adresse umgewandelt (Proxy Service). Eingehender Traffic wird geprüft und nur, wenn er "sauber" ist, an das Unternehmen weitergeleitet. Um ein Netz komplett abzusichern, wird der Datenverkehr über das Routing-Protokoll BGP (Border Gateway Protocol) an das Scrubbing Center übertragen; der saubere Traffic wird über einen GRE-Tunnel (Generic Routing Encapsulation) an das Unternehmen weitergeleitet. Mit Cloud-Lösungen lassen sich auch große Angriffe wirksam abfangen. Sie werden meist als On-Demand-Lösungen angeboten: Sobald der Verdacht einer DDoS-Attacke besteht, veranlasst das Unternehmen eine entsprechende Umleitung seiner Daten. Der Nachteil: Es sind manuelle Eingriffe in die Netzwerkkonfiguration erforderlich. Dadurch greift der Schutz erst mit einigen Minuten Verzögerung. Es gibt aber auch Always-on-Lösungen, bei denen die Daten permanent durch das Scrubbing Center geleitet werden.
Zur zusätzlichen Absicherung dienen spezialisierte Monitoring-Lösungen, die den Netzwerkverkehr auf typische Muster von DDoS-Attacken untersuchen.
Notfallplan erstellen
Wie in vielen Bereichen gilt auch beim Thema DDoS: Die Implementierung entsprechender Sicherheitsmaßnahmen ist ein Prozess. Es reicht nicht, eine passende Lösung zu implementieren, sie muss auch in entsprechende Notfallpläne wie Incident Response und BCM (Business Continuity Management) integriert werden. Darin legen Sie fest, wie das Geschäft in einer Krisensituation aufrechterhalten werden kann und wer dann für welche Aufgaben zuständig ist.
Erstellen Sie ein Playbook, das die einzelnen Reaktionen genau festschreibt, und integrieren Sie die Maßnahmen in Ihre betrieblichen Abläufe. Denken Sie dabei aber nicht nur an die IT-Abteilung. Auch die Pressestelle und je nach Art des Unternehmens weitere Abteilungen benötigen einen Notfallplan, den sie im Falle eines Angriffs abarbeiten. So muss ein Internetversender seine Kunden über den Ausfall informieren und ihnen alternative Kontakt- beziehungsweise Bestellwege anbieten. Proben Sie den Notfall in regelmäßigen Abständen. Denn in der Praxis erweisen sich manche Maßnahmen als nicht praktikabel oder als zu zeitaufwendig. Außerdem gibt es Aspekte, auf die man ohne den konkreten Ernstfall gar nicht kommen würde.
Aus Angriffen lernen
Gehen Sie nach einem überstandenen Angriff nicht gleich wieder zur Tagesordnung über. Sorgen Sie dafür, dass alle Verantwortlichen die Situation gründlich reflektieren und daraus Handlungsanweisungen für eventuelle künftige Angriffe ableiten. Oft reicht es schon, einer bestimmten Branche anzugehören, um zur Zielscheibe von DDoS-Angriffen zu werden. So waren viele Attacken der Vergangenheit politisch motiviert und richteten sich vor allem gegen Finanzdienstleister.
Fragen nach Urheber und Absicht eines DDoS-Angriffs lassen sich zwar nur in seltenen Fällen beantworten. Ob es sich bei den Angreifern um Hacker oder um Cyber-Kriminelle handelt, ob sie "nur" die Nichtverfügbarkeit eines Dienstes beabsichtigten oder mit einem Ablenkungsmanöver Schlimmeres im Sinn hatten - Sie werden es kaum zweifelsfrei herausfinden. Trotzdem sollten Sie sich fragen, warum ausgerechnet Ihr Unternehmen einem Angriff zum Opfer gefallen ist und welche Absicht die wahrscheinlichste ist. Prüfen Sie zudem eingehend, ob der vor mehreren Jahren ermittelte Schutzbedarf noch aktuell ist - oder ob es einer Aufstockung der Maßnahmen bedarf.
Mitarbeiter ausbilden
Um alle genannten Maßnahmen gezielt anwenden zu können, brauchen Sie entsprechend qualifizierte IT-Experten. Wenn Ihnen die Skills intern fehlen, suchen Sie sich frühzeitig einen "Trusted Advisor", der Sie bei der Umsetzung ihrer Sicherheitsstrategie unterstützt. Und wie immer beim Thema Sicherheit ist es wichtig, die eigenen Mitarbeiter entsprechend aufzuklären und ihr Bewusstsein für die Gefahren von DDoS-Angriffen zu schärfen. (sh/hal)