Cyberkriminellen auf der Spur

Keine Angst vor DDoS-Attacken

Im Gespräch erläutert Michael Tullius, Territory Manager DACH bei dem Sicherheitsspezialisten Arbor Networks, wie sich IT-Verantwortliche vor sogenannten Distributed-Denial-of-Service-Attacken (DDoS) schützen können. Dabei rücken neben großflächig angelegten Volumenangriffen auf einzelne Web-Auftritte zunehmend gezielte Attacken auf die Applikationslandschaft von Unternehmen in den Vordergrund.

Michael Tullius, Arbor Networks

„Aufgrund der globalen Ausrichtung von DDoS-Attacken enden die Bemühungen der deutschen Strafverfolgungsbehörden zumeist an den Landesgrenzen", so Michael Tullius, Arbor Networks.

IT-DIRECTOR: Herr Tullius, wie schätzen Sie die aktuelle Bedrohungslage ein?
M. Tullius:
Im Gegensatz zu früher bemerken wir aktuell zunehmende Attacken auf Finanzinstitute sowie deren Kunden. Daneben stehen auch nach wie vor gezielte Angriffe auf Webshops im Fokus von Cyber-Kriminellen. Generell werden Distributed-Denial-of-Service-Attacken immer häufiger dazu genutzt, um politischen und wirtschaftlichen Schaden anzurichten.

IT-DIRECTOR: Mit Ihrer Monitoring-Plattform sollen sich die angesprochenen DDoS-Attacken frühzeitig erkennen lassen. Wie ist das möglich?
M. Tullius:
Unsere Software kommt bei mehr als 300 Internet-Service-Providern (ISP) zum Einsatz. Von diesen bekommen wir anonymisierte Daten zur Verfügung gestellt, die wir anschließend wiederum intelligent auswerten. Damit zählen wir zu den wenigen Herstellern von Sicherheitslösungen, die über eine solch große Informationsmenge verfügen. Dank einer Datenmenge von täglich rund 120 Terabyte können wir ein weltweites Lagebild laufender DDoS-Attacken sowie genereller Sicherheitsrisiken ermitteln.

IT-DIRECTOR: Wie schnell können sich betroffene Anwenderunternehmen einer DDoS-Attacke erwehren?
M. Tullius:
Dies hängt von den jeweils eingesetzten Sicherheitstechnologien ab. Handelt es sich jedoch um Volumenangriffe auf die Netzinfrastrukturen, können die Endkunden rein gar nichts dagegen unternehmen. Vielmehr zählt dies zu den Aufgaben der Netz-Carrier oder Provider.

IT-DIRECTOR: Welche Attacken kann man gemeinhin unterscheiden?
M. Tullius:
Zum einen gibt es die gerade erwähnten Volumenangriffe, die das Netzwerk bzw. sämtliche angeschlossenen Leitungen lahmlegen. Zum anderen gibt es immer mehr gezielte Attacken auf bestimmte Firmenapplikationen wie Firewalls oder Webserver, die man damit außer Kraft setzt.

Demzufolge gehen viele Angriffe mittlerweile über die reine Attacke von Webseiten und Online-Shops hinaus. Denn die Angreifer können die gesamten IT-Infrastrukturen eines Unternehmens lahmlegen und dafür sorgen, dass in Branchen wie im Handel oder der Logistik von jetzt auf gleich nichts mehr geht.

IT-DIRECTOR: Womit sich für Cyber-Kriminelle stets neue Einfallstore öffnen?
M. Tullius:
Genau, wobei DDoS-Attacken allein einen kleinen Auszug aus dem Repertoire professioneller Hacker darstellen. Generell wollen heutige Angreifer nicht mehr allein die Endkunden schädigen. Vielmehr suchen sie nach einem Zugang ins Unternehmensnetz, um dort gezielt Malware zu platzieren. Hierbei gehen sie in der Regel streng systematisch vor und informieren sich im Vorfeld darüber, mit welcher Bandbreite die Kunden versorgt werden. Zudem stellen sich die Angreifer folgende Fragen: Welche Abwehrmechanismen – zum Beispiel Firewalls – sind installiert? Wie gestaltet sich die jeweilige Applikationslandschaft im Detail?

Im Zuge der Beantwortung dieser Fragen eruieren die Angreifer mögliche Schwachstellen. Generell versuchen sie, so viele unterschiedliche IT-Lösungen wie möglich zu sabotieren. Neben dem Netzwerk und Firewall-Systemen können dies auch Load Balancer oder Intrusion-Detection- bzw. Intrusion-Prevention-Systeme (IDS/IPS) sein.

IT-DIRECTOR: Welches Ziel verfolgen sie dabei vorrangig?
M. Tullius:
Die Angreifer wollen immer tiefer in die IT-Prozesse der Unternehmen eindringen, wobei es ihnen in erster Linie um Datendiebstahl geht. Weitere Beweggründe sind politische Motivation, Wirtschaftsspionage und -kriminalität sowie rein kommerzielle Interessen, in dessen Rahmen etwa Internet-Dienstleistungen gezielt außer Betrieb gesetzt werden.

IT-DIRECTOR: Inwieweit kann man solche Angriffe kaufen?
M. Tullius:
Mittlerweile lassen sich semi-professionelle DDoS-Attacken in einschlägigen Internet-Foren bereits für wenige US-Dollars bestellen. Im professionellen Bereich hingegen geht es um richtig viel Geld – denn den Web-Auftritt einer internationalen Großbank legt man nicht für ein paar Kröten lahm. Von letzteren, sogenannten Script-DDoS-Attacken sind neben den Finanzinstituten immer mehr Unternehmen aus der Gaming-Industrie betroffen.

IT-DIRECTOR: Inwieweit kommen die Strafverfolgungsbehörden den Angreifern auf die Schliche?
M. Tullius:
Aufgrund der globalen Ausrichtung des Internets enden die Bemühungen der deutschen bzw. der EU-Strafverfolgungsbehörden zumeist an den Landesgrenzen. Denn nicht selten besitzen kleinere Staaten in Asien oder Afrika, aus denen die Cyber-Kriminellen heraus ihre Angriffe starteten, gar keine Gesetze hinsichtlich Cyber-Kriminalität.

Desweiteren lassen sich Cyber-Attacken oftmals nicht immer als solche erkennen. So existieren nicht nur in Deutschland, sondern auch weltweit zig Millionen mit Malware verseuchte PCs.

IT-DIRECTOR: Wie kommt diese exorbitant hohe Zahl zustande?
M. Tullius:
Dies liegt beispielsweise daran, dass die Antivirusindustrie die mitunter stündlich wechselnden Angriffsszenarien nicht beherrschen kann. Denn selbst mit einer aktualisierten Antiviren-Software können nur 90 Prozent aller Schadprogramme erkannt werden, sodass zehn Prozent immer unter dem Radar weiterlaufen.

Zudem bemerken die meisten PC-Nutzer gar nicht, dass ihr Gerät als Basis für DDoS-Attacken missbraucht wird. Bestenfalls wundern sie sich darüber, dass ihr Computer etwas langsamer läuft. Nach 30 Minuten scheint jedoch wieder alles so zu sein wie vorher. Innerhalb dieser Zeitspanne war das Gerät jedoch Teil einer Attacke.

IT-DIRECTOR: An welcher Stelle sollten Sicherheitsverantwortliche in den Unternehmen den DDoS-Schutz ansetzen? Reicht nicht bereits eine Firewall aus?
M. Tullius:
Eher nicht, denn Firewalls bieten allein einen Grundschutz. Überdies sind sie selbst wiederum stark schutzbedürftig. Ein Beispiel: Kommt der User in einen Webshop, ermittelt die Firewall, ob es sich um „sicheren“ Besucher handelt – dabei überprüft das System in der Regel gleichzeitig mehrere tausend Online-Nutzer. Demgegenüber steigen die Zugriffe bei DDoS-Attacken schlagartig auf bis zu mehrere Millionen an. Dies überlastet nicht nur die darunter gelagerten Webserver, sondern auch die Firewall. Daher können Firewalls nicht vor DDoS-Attacken schützen, vielmehr muss eine DDoS-Abwehrlösung stets vor die eingesetzten Firewalls geschaltet werden.

IT-DIRECTOR: Mit welchen Mitteln wehrt Ihre Lösung die Attacken ab?
M. Tullius:
Unsere Lösung umfasst z.B. über 7.000 spezielle Signaturen gegen Http-Attacken. Damit beherrschen wir von der Netzinfrastruktur bis hin auf Applikationsebene sämtliche Angriffsszenarien und können effektiv vor DDoS-Attacken schützen.

IT-DIRECTOR: Was kostet ein ausreichender DDoS-Schutz?
M. Tullius:
Unsere kleineren Systeme sind ab rund 40.000 Euro erhältlich, wobei wir in Kürze speziell im unteren Preissegment eine VMware-basierte Lösung herausbringen werden. Generell sollten die Kunden jedoch mindestens etwa 25.000 Euro für einen adäquaten DDoS-Schutz einplanen.

IT-DIRECTOR: Mit wem sprechen Sie in den Unternehmen konkret über die DDoS-Abwehr?
M. Tullius:
Vorrangig mit den Rechenzentrumsleitern, die für den Schutz der Infrastrukturen verantwortlich zeichnen. Generell bemerken wir dabei, dass die Sensibilität hinsichtlich DDoS-Attacken steigt. Die dafür aufgewandten Sicherheitsbudgets hingegen sind noch deutlich ausbaufähig.

Desweiteren steigt bei den Verantwortlichen auch die Nachfrage nach Managed Services. Denn im Zuge dessen müssen die Kunden DDoS-Abwehrmaßnahmen nicht selbst realisieren, sondern können auf einen professionellen Dienstleister zurückgreifen.

IT-DIRECTOR: Zu welchen DDoS-Schutzmaßnahmen raten Sie den Verantwortlichen konkret?
M. Tullius:
Um sich effektiv vor DDoS-Attacken schützen zu können, benötigen Sicherheitsverantwortliche ein zweistufiges Abwehrsystem: Einerseits brauchen sie einen Carrier, der große Attacken außerhalb der eigenen Unternehmens-IT bereits effektiv abwehren kann. Andererseits müssen sie sich gegen fein granulare Attacken wehren, bei denen die Angreifer selbst dedizierte Programme geschrieben haben, um Firmenapplikationen gezielt auszuhebeln – dabei kann es sich um Web-Anwendungen sowie auch um Gateways handeln.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok