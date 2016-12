DDoS-Angriffe auf Unternehmen und wichtige Bestandteile der Internet-Infrastruktur haben in den letzten Monaten extrem zugenommen. Diese Steigerung lässt sich gut an den vierteljährlichen Internet-Sicherheitsberichten von Akamai Technologies ablesen. Im dritten Quartal 2016 hat sich die Anzahl der DDoS-Attacken mit mehr als 100 Gbit/s im Vergleich zum gleichen Vorjahreszeitraum mehr als verdoppelt.

Außerdem gab es in diesem Zeitraum zwei Rekord-DDoS-Angriffe aus dem Internet of Things über das Mirai-Botnet. Zuletzt attackierten Cyberkriminelle bestimmte Modelle von DSL-Routern, die bekannte Sicherheitslücken hatten. Der Angriff war zwar nicht erfolgreich, führte aber zu Störungen im Netz der Deutschen Telekom.

Wird ein Unternehmen Opfer einer solchen Attacke, kann das richtig teuer werden. Wenn beispielsweise die Webseite eines Onlineshops während des Angriffs nicht erreichbar ist, steigt der Umsatzverlust schnell in den fünf- oder gar sechsstelligen Bereich – die Image- und Vertrauensverluste noch nicht hinzugerechnet. Im it-zoom-Interview erklärt Michael Tullius, Sales Direktor Security für UK, Central und Northern Europe bei Akamai Technologies, was DDoS-Angriffe eigentlich sind, wie sie organisiert werden und wie sich Unternehmen darauf vorbereiten können.

Was genau ist eigentlich ein DDoS-Angriff und warum sind sie so wirkungsvoll?

Michael Tullius: Ein DDoS-Angriff kommt beispielsweise dadurch zustande, dass eine Vielzahl Internet-fähiger Geräte, wie Computer, Router, Webcams und Server, versucht, eine Verbindung zu einer bestimmten IP-Adresse aufzubauen. Im Gegensatz zu einem legalen Datenverkehr sind diese Verbindungen manipuliert und zielen darauf ab, dass Websites, Shopping- oder Newsportale nicht mehr erreichbar sind. Die Attacken erfolgen mit Hilfe unterschiedlicher Angriffsvektoren, die auf Bandbreite, Router und Sicherheitssysteme wie zum Beispiel Firewalls oder Webserver abzielen. Effektiv sind diese Angriffe dadurch, dass herkömmliche Geräte von Haus aus über keine Schutzmaßnahmen verfügen und nicht unterscheiden können, ob dieser Datenverkehr legal ist oder manipuliert wurde.

Die meisten dieser Angriffe werden durch so genannte Botnetze koordiniert. Wie entstehen diese Netze?

Michael Tullius: Botnetze entstehen durch Schadsoftware, die in Internet-fähige Geräte beziehungsweise solche mit einer IP-Adresse eingeschleust wird. Das kann durch den Aufruf einer Website mit einem Browser geschehen, über den Versand von Phishing-Mails oder in einzelnen Fällen auch direkt bei der Produktion von Geräten erfolgen.

Was war das Besondere an den Angriffen der letzten Zeit?

Michael Tullius: Dabei wurden zum ersten Mal in großem Umfang typische Geräte aus dem Internet der Dinge wie Webcams, Fernseher und DSL-Router eingesetzt. Dadurch war es möglich, die Angriffsgröße enorm zu steigern. Des Weiteren zeigte sich speziell beim Einsatz des Mirai-Botnetzes, dass die Angreifer über viel Know-how und Wissen zur Abwehr von DDoS-Attacken verfügen und mögliche Risikostellen in der Abwehr von Angriffen kennen. Zusätzlich wurden ansonsten wenig verbreitete Angriffsvektoren wie Generic Routing Encapsulation (GRE) eingesetzt.

Was sollten die Hersteller von IoT-Geräten unternehmen, um solche Attacken in Zukunft schwieriger zu machen?

Michael Tullius: Es müssten Schwachstellenprüfungen bei der Programmierung der Software durchgeführt werden. Dies würde das Risiko minimieren, jedoch nicht völlig ausschließen.

Wie können angegriffene Unternehmen auf einen solchen Angriff reagieren?

Michael Tullius: Ohne vorbeugende Maßnahmen sind Unternehmen den Attacken schutzlos ausgeliefert. Die Angriffe zielen nicht nur auf Websites, sondern auch auf die Infrastruktur ab. Letztlich bedeutet dies, dass VoIP, E-Mail oder andere Internetdienste nicht mehr funktionsfähig sind und dem Unternehmen nicht nur durch den Ausfall von Websites ein Schaden entsteht, sondern die Mitarbeiter faktisch nicht arbeiten können. Bei Angriffsgrößen von mehreren hundert Gbit/s helfen rein interne Maßnahmen nicht mehr. Unternehmen benötigen Cloud-basierte Security-Lösungen mit verteilten Infrastrukturen, die massive Angriffe abfedern können.

Und wie können sie in Zukunft Angriffen vorbeugen?

Michael Tullius: Einen wirksamen Schutz bietet ein Cyber-Security-Ansatz mit mehreren überlappenden Sicherheitsschichten: Eine Schicht schützt vor Angriffen auf der Netzwerkebene; eine weitere wehrt Attacken auf Applikationsebene ab; die nächste sichert die DNS-Infrastruktur und eine weitere schützt alle Services im Rechenzentrum. All diese Schichten arbeiten zusammen und formieren eine tiefgestaffelte Verteidigung.

Wichtig ist auch, dass sich Unternehmen eine gründliche Expertise im Umgang mit DDoS-Attacken erarbeiten. Im Rahmen von Service- und Support-Verträgen mit einem Cloud-Security-Anbieter erhält die IT eines Unternehmens fundierte Einblicke in aktuelle DDoS-Attacken und bleibt so auf dem laufenden Stand. So können die Sicherheitsexperten des Unternehmens die gegenwärtige Bedrohungslage realistisch einschätzen und prüfen, ob ihre Verteidigungsmaßnahmen den aktuellen Gefahren gewachsen sind.

