Distributed Denial of Service

Hybrider Schutz vor DDoS-Angriffen

von - 15.10.2018
Cyber Security
Foto: Andrea Danti / shutterstock.com
Für die erfolgreiche Abwehr von DDoS-Angriffen werden Cloud und On-Premise kombiniert. Je nach Angriffsart werden diese entweder lokal abgefangen, oder in ein externes Scrubbing-Center umgeleitet.
Als Ende August zum Anpfiff des ersten Spiels der neuen Saison der Fußball-Bundesliga viele Fans die Website des Fachmagazins „Kicker“ aufrufen wollten, erhielten sie nur eine Fehlermeldung. Schuld war eine DDoS-Attacke auf dessen Provider. Bei einem DDoS-Angriff werden Dienste oder Server eines Unternehmens mit so vielen Anfragen überschwemmt, bis sie nicht mehr erreichbar sind oder nur noch sehr langsam reagieren. Legitime Anfragen haben dann keine Chance mehr, bearbeitet zu werden.
Kein Trost dürfte es für den „Kicker“ gewesen sein, dass er mit so einem Vorfall beileibe nicht allein dasteht - und der Ärger schon nach rund zwei Stunden wieder vorbei war. Der längste seit 2015 gemessene Angriff dauerte laut Kaspersky Lab nämlich sage und schreibe 297 Stunden, also mehr als zwölf Tage.
In einer Auswertung für das erste Quartal dieses Jahres konstatierte der russische Sicherheitsanbieter kürzlich zwei Dinge: zum einen die Versechsfachung aller mehr als 50 Stunden dauernden DDoS-Attacken, zum anderen erhöhte sich der Anteil vergleichsweise kurzer Angriffe mit einer Dauer von weniger als neun Stunden auf mehr als 90 Prozent.
Während lange Angriffe in der Regel von Kriminellen (oder Staaten) ausgehen und eingesetzt werden, um Dienste dauerhaft vom Netz zu nehmen und ernsthaft zu schädigen, sind die kürzeren Attacken eher als Warnung gedacht. Sie sollen betroffenen Unternehmen demonstrieren, wozu die Angreifer in der Lage sind. Meist sind sie Teil einer Erpressung nach dem Motto „Zahle oder wir schädigen dein Geschäft“.
Nachdem anfangs vor allem politische Ziele der Grund für DDoS-Attacken waren, treten mittlerweile derlei Erpressungsversuche immer mehr in den Vordergrund. Für viele Firmen ist das ein ernstes Problem. „Wir leben in einer Zeit, in der offline zu sein keine Option für Unternehmen ist“, erläutert Marc Wilczek, Geschäftsführer von Link11. „Marken aufzubauen dauert Jahre, sie zu vernichten nur eine einzige Nacht.“ Das ist auch den IT-Abteilungen klar. Deswegen zahlen viele die geforderte Summe – oder greifen auf die Dienste eines auf die Abwehr von DDoS-Attacken spezialisierten Anbieters wie Link11 zurück.
Carl Herberger
Carl Herberger
VP for Security Solutions
bei Radware
Foto: Radware
„DDoS-Angriffe können zu hohen operativen und finanziellen Belastungen führen.“

Hochvolumen-Angriffe

Das Security Operations Center (SOC) von Link11 registrierte im ersten Quartal 2018 eine Zunahme von DDoS-Attacken um rund 10 Prozent im Vergleich zum Vorquartal. Das Unternehmen mit Hauptsitz in Frankfurt am Main hat die cloudbasierte DDoS Protection Platform entwickelt, die Kunden aus den Bereichen Hosting/IT, Retail, Gaming, E-Commerce, Logistik sowie Medien und Finanzen nutzen. Durchschnittlich wehrte Link11 im Berichtszeitraum nach eigenen Angaben am Tag 160 Angriffe auf seine Kunden ab. Zwölf der Angriffe im ersten Quartal dieses Jahres sollen einen Traffic von über 100 GBit/s eingesetzt haben.
Laut Link11-Geschäftsführer Wilczek markieren diese Hoch­volumen-Angriffe „ein neues Zeitalter der IT-Security“. Er fordert, DDoS-Schutz müsse in neuen Dimensionen gedacht werden – „ohne Limitierung beim Schutz umfassender Multi-Cloud-Strukturen der Unternehmen“. Und Carl Herberger,
Vice President for Security Solutions beim israelisch-amerikanischen DDoS-Spezialisten Radware, ergänzt: „DDoS-Angriffe können zu hohen operativen und finanziellen Belastungen führen.“
Auswahl eines DDoS-Dienstleisters
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Reihe von Kriterien zusammengestellt, die ein Anti-DDoS-Dienstleister erfüllen muss:
  • Der Anbieter verfügt über eine redundante Internet­anbindung
  • Es stehen DDoS-Filter für gängige Dienste (Web, E-Mail, VPN) zur Verfügung
  • Folgende Filtermöglichkeiten müssen mindestens zur Verfügung stehen: Protokoll (TCP, UDP, ICMP und so weiter), TCP-Flags, ICMP-Typ, Quell- und Ziel-IP, Rate-Limit pro IP beziehungsweise Netzbereich
  • Die Umleitung des Verkehrs ist auf Basis von DNS und/oder BGP möglich
  • Es besteht die Option, den Verkehr nur im Angriffsfall umzuleiten
  • Es besteht die Option, die Mitigation im Angriffsfall automatisch aktivieren zu lassen
  • Es werden IPv4 und IPv6 unterstützt
  • Es lassen sich Inhalte einbetten, die es ermöglichen, menschliche Benutzer zu erkennen
  • Der Dienstleister bietet eine 24/7-Erreichbarkeit
  • Der Dienstleister kann mit verschlüsselten Verbindungen (TLS) umgehen
  • Der Kunde kann eigene Definitionen einbringen
  • Der Dienstleister sollte den Kunden beim Erstellen von Definitionen unterstützen
  • Definitionen der Filter werden automatisch aus dem Angriffsmuster abgeleitet
  • Der Dienstleister erfüllt die gleichen Datenschutzbe­stimmungen wie der Kunde
  • Der Zugang zur Konfigurationsplattform ist TLS-geschützt
Verwandte Themen