Vorsicht vor vorgefertigten Sicherheitskonzepten

Tipps für die beste DDoS-Abwehr

Um sich vor Cyberangriffen zu schützen, setzen mehr als drei Viertel aller Unternehmen vor allem auf Firewalls. Mehr als jede zweite Firma hat ergänzend Intrusion-Detection- oder Prevention-Systeme im Einsatz. Doch gegen Cyberangriffe wie Distributed-Denial-of-Service-Attacken (DDoS) sind Firewall und Co. meist wirkungslos. Doch was hilft stattdessen?

DDoS-Attacken als Ablenkungsmanöver

Nicht selten nutzen Cyberkriminelle DDoS-Attacken als Ablenkungsmanöver, um etwa Schadsoftware ins Firmennetz einzuschleusen.

Entscheidungen über das IT-Sicherheitskonzept werden insbesondere im kleineren und mittleren Mittelstand meist nicht individuell, sondern oft nach dem „Check-Box“-Ansatz getroffen. Hierbei stehen Firewalls in der Regel ganz oben auf der Anforderungsliste. Häufig wird dieser Ansatz auch von Compliance-Bedenken getrieben: Was schreiben Regularien wie die EU-Datenschutz-Grundverordnung (DSGVO), das IT-Sicherheitsgesetz oder das Telemedien- und Telekommunikationsgesetz vor? Gestaltet das Unternehmen sein Sicherheitskonzept anschließend entsprechend regelkonform, wähnt es sich vor möglichen Cyberattacken oft auf der sicheren Seite.

Zwar stellen Firewalls sowie Intrusion-Detection- oder Prevention-Systeme (IDS/IPS) meist die erste Verteidigungslinie im Unternehmen gegen Cyberangriffe aus dem Internet dar, um sich etwa vor Industriespionage, Erpressung und Sabotage zu schützen. Daher sollten sie beim Sicherheitskonzept auf keinen Fall fehlen. Doch gegen Angriffe, die darauf abzielen, Internetdienste zu blockieren oder zum Ausfall zu bringen, helfen sie kaum. Ganz im Gegenteil – so sind Firewall oder Intrusion-Prevention-Systeme oft das erste Ziel sogenannter DDoS-Angriffe, um die Verfügbarkeit IP-basierter Dienste eines Unternehmens zu beeinträchtigen.

Dieser Ansatz spielt Hackern häufig in die Hände. So sahen sich deutsche Firmen im letzten Jahr 16 DDoS-Attacken pro Stunde und insgesamt 142.800 Angriffen jährlich ausgesetzt. DDoS-Attacken treten damit im Vergleich zu den Vorjahren nicht nur häufiger, sondern auch deutlich komplexer als bisher auf. Ziel der Hacker ist es, Internet-Services, IT-Komponenten oder die IT-Infrastruktur eines attackierten Unternehmens zu verlangsamen, gänzlich lahmzulegen oder zu schädigen. Dazu werden Server oder andere Komponenten solange mit Anfragen, also mit Datenverkehr, überlastet, bis diese nicht mehr verfügbar sind

DDoS-Attacken werden komplexer

Vor diesem Hintergrund müssen sich Unternehmen überlegen, welchen DDoS-Angriffsarten sie ausgesetzt sein können, und wie diese bekämpft werden müssen. Ein individuelles Sicherheitskonzept ist daher entscheidend. So gibt es zum einen volumetrische DDoS-Angriffe. Diese Attacken belegen enorm viel Bandbreite, indem sie etwa Router-Schnittstellen im Netzwerk mit Daten „überfluten“. Um sich als Unternehmen gegen volumetrische Attacken zu verteidigen, bedarf es einer Mitigationslösung mit vergleichbarer Kapazität. Aus diesem Grund sollte eine geeignete Abwehrlösung cloud- oder provider-basiert sein.

Überlastungsangriffe oder TCP-State-Exhaustion-Angriffe zielen darauf ab, in Geräten der Internet-Infrastruktur, wie Firewalls, Loadbalancern und Routern, alle verfügbaren TCP-Verbindungen zu belegen und damit neue Verbindungen zu verhindern. Derartige Angriffe sind auch in der Lage, Intrusion-Detection- oder Prevention-Systeme lahmzulegen.

Bei Angriffen auf Applikationsebene (Application Layer) hat es ein Angreifer direkt auf einen Anwendungsserver abgesehen. Diese „schleichenden“ Angriffe führen ganz allmählich zur Überlastung der Ressourcen von Applikationsservern, da sie nur geringe Datenverkehrsraten erzeugen. Deshalb sind diese Attacken nur schwer zu erkennen. Eine entsprechende Abwehrlösung muss zwischen legitimem Datenverkehr und getarntem Traffic unterscheiden können. Dies gestaltet sich als zunehmend schwierig, da Traffic-Aufkommen und -Geschwindigkeit stetig zunehmen.

Mehrstufige Abwehrlösungen sind erforderlich

Heutige DDoS-Angriffe sind oftmals eine dynamische Mischung aus volumetrischen, State-Exhaustion- und Application-Layer-Angriffen. Im letzten Jahr haben bereits 67 Prozent der Unternehmen Multivektorangriffe verzeichnet. Dies ist ein Anstieg von mehr als 50 Prozent im Vergleich zu 2015. Daher sind sich Sicherheitsexperten einig, dass sich Unternehmen nur mithilfe einer mehrstufigen Abwehrstrategie wirkungsvoll schützen können, die mehrere aufeinander abgestimmte Abwehrmethoden zusammenführt. Tools wie Firewalls oder Intrusion-Prevention-Systeme sind dazu nicht in der Lage.

Unternehmen sollten auf Lösungen setzen, die für die spezifische DDoS-Abwehr konzipiert sind. Solche intelligenten Lösungen (kurz IDMS) werden On-Premise vor der Firewall implementiert. Etwa jedes vierte (28 Prozent) Unternehmen weltweit nutzt bereits intelligente DDoS-Mitigationssysteme. IDMS-Lösungen können einen Großteil der Angriffe abwehren. Sie sind aber nicht für volumetrische Angriffe ausgelegt, die auf die Überlastung der Bandbreite abzielen. Diese großen Angriffe lassen sich am besten in der Cloud abwehren.

Hier erweist sich als Best Practice eine hybride Lösung aus On-Premise-Schutzkomponenten und cloud-basierten Komponenten. Die Vor-Ort-Komponente ermöglicht dabei die sofortige Erkennung und Bekämpfung von DDoS-Angriffen und eignet sich besonders für die Abwehr von Attacken auf Anwendungsebene. Übersteigt die Größe eines vor Ort erkannten Angriffs jedoch einen definierten Schwellenwert, können die cloud-basierte bzw. die beim Internet-Provider (ISP) implementierte Komponente Gegenmaßnahmen automatisch aktivieren.

Häufig nutzen Cyberkriminelle DDoS-Attacken auch als Ablenkungsmanöver, um etwa unbemerkt Schadsoftware in das Unternehmensnetz einzuschleusen oder sogenannte Advanced Persistent Threads (APTs) vorzubereiten. APTs sind komplexe, zielgerichtete und effektive Angriffe auf Basis verschiedener Angriffsvektoren. Diese zielen darauf ab, dass der Hacker sich möglichst lange unbemerkt im Unternehmensnetzwerk aufhalten und Informationen ausspähen kann. APTs werden, wenn überhaupt, oft erst nach Monaten bis Jahren entdeckt. Unternehmen sollten also auf ein individuelles IT-Sicherheitskonzept setzen, das verschiedene Abwehrmaßnahmen vereint und Risiken analysiert, um zumindest die Hürde für Hacker deutlich höher zu legen.

Der Autor Guido Schaffner ist Channel Sales Engineer bei Netscout Arbor.

Bildquelle: Thinkstock/iStock

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok