Im Gespräch mit Frank Siemons, Security-Experte beim InfoSec-Institute

Der australische Sicherheitsforscher Frank Siemons hat sich unter anderem auf Schwachstellenanalysen und Penetrationstesting spezialisiert. Er arbeitet als Security-Experte beim amerikanischen InfoSec Institute. Im Interview spricht er über die Aus­wirkungen von DDoS-Attacken auf Unter­nehmen.

com! professional: Herr Siemons, warum sollten sich Unternehmen mit der Gefahr durch DDoS-Attacken beschäftigen? 

Frank Siemons: DDoS-Angriffe verursachen einen großen Aufwand für Unternehmen, die auf die Zugänglichkeit ihrer Online-Dienste angewiesen sind. So können zum Beispiel Banken (Internet-Banking), Online-Verkaufsplattformen und Internet-Provider finanziell beeinträchtigt werden - nicht nur durch einen Angriff, sondern bereits durch die bloße Androhung eines Angriffs, der sich nur durch die Zahlung von „Schutzgebühren“ vermeiden lässt. Natürlich kann es auch zu einem Reputationsverlust kommen. Für eine Regierung kann es darüber hinaus sehr peinlich sein, wenn ihre Infrastruktur für eine bestimmte Zeit nicht zugänglich ist.

Siemons: Ich glaube nicht, dass es eine bestimmte DDoS-Methode gibt, die für sich genommen die größte Bedrohung für Unternehmen darstellt. Meiner Meinung nach geht die größte Bedrohung vom Kenntnisstand des Angreifers und der Größe seines Toolsets aus. Ein erfahrener Angreifer mit einem großen Bot-Netz kann eine Organisation über einen längeren Zeitraum angreifen. Er muss dazu nur genügend Zeit investieren, um seine Methoden anzupassen, je nachdem wie wirksam sie bei dem Angriff sind.

Wenn zum Beispiel eine SYN-Flut nach 15 Minuten immer noch nicht funktioniert, weil ganz bestimmte Verteidigungsmaßnahmen ergriffen werden, kann er zu einer UDP-Flut übergehen oder sogar unterschiedliche Angriffsmethoden gleichzeitig anwenden. So erhöht er die Komplexität des Angriffs erheblich. Solche Angriffe können dann tagelang andauern.

Siemons: Für große Unternehmen gibt es Vor-Ort-Lösungen von Herstellern wie Radware, Arbor Networks und Cisco. Kleinen bis mittleren Unternehmen dürfte es jedoch schwerfallen, so ein teures und komplexes System zu kaufen und zu betreiben. Deswegen ist es für sie besser, diese Aufgabe an einen Cloud-Dienstleister auszulagern oder eine hybride Lösung in Betracht zu ziehen. Bei dieser Technik befindet sich einige Hardware vor Ort. Alle Attacken, die nicht lokal abgefangen werden können, werden per Overflow in eine Cloud-Plattform umgeleitet.

Siemons: Natürlich hängt sie nicht nur von der Größe des Unternehmens ab, sondern auch vom verfügbaren Budget und dem wahrgenommenen Risiko.

Vor-Ort-Schutz ist in der Regel nur für große Organisationen wirtschaftlich sinnvoll – oder für kleinere Unternehmen mit großem Budget oder einem hohem Bedrohungsgrad. Outsourcing oder ein hybrides Setup, bei dem einige Geräte vor Ort mit Overflow-Kapazität eingesetzt werden, sind für die meisten „normalen“ KMUs meist sinnvoller.