ake78 (3D & photo) - Fotolia
DDoS: Typische Angriffsszenarien und deren Abwehr erklärt
Der Großteil der DDoS-Angriffe gegen Unternehmen lässt sich zwei grundlegenden Typen zuordnen. Wie können Unternehmen sich schützen und derartige Attacken abwehren?
DDoS-Angriffe sind einem wichtigen Handwerkszeug von Cyberkriminellen geworden. 2019 hat das Link11 Security Operation Center jeden Monat mehrere Tausend Angriffe registriert. Außerdem haben die Angriffsvolumen in den vergangenen Monaten erheblich zugenommen und erreichten im Durchschnitt über 5 Gbps. Zum Vergleich: Im ersten Halbjahr 2019 lag der Mittelwert noch bei 2,75 Gbps.
DDoS-Attacken (Distributed Denial-of-Service) mit mehreren Gbps können Online-Services von Unternehmen überlasten und ihre Schutzlösungen lahmzulegen. Außerdem hat sich das maximale Angriffsvolumen gegenüber 2018 ebenfalls nahezu verdoppelt, von 371 Gbps auf 724 Gbps.
Somit bilden DDoS-Angriffe eine große – und weiterhin wachsende – Bedrohung für Unternehmen. Doch wie stellen sich solche Angriffe konkret für die Unternehmen dar, die unter Beschuss stehen? Aus der Vielzahl der Attacken lassen sich zwei grundlegende Szenarien bestimmen, die nachfolgend grundlegend beschrieben werden. Und auch die Maßnahmen, die gegen die akute Bedrohung ergriffen worden.
Szenario 1: Bekämpfung von Ausfällen
In diesem Fall zielt der DDoS-Angriff darauf ab, die Webseite oder die IT-Systeme des Zielunternehmens vom Netz zu nehmen, so dass es zu Ausfällen kommt. Die Gründe hierfür können komplex und politisch sein, oder es kann sich aber auch um simplen digitalen Vandalismus handeln.
Doch unabhängig davon besteht die wichtigste Herausforderung für das attackierte Unternehmen darin, den Angriff zu stoppen und die IT schnell wiederherzustellen, bevor der Ausfall schwerwiegende Schäden für den Geschäftsbetrieb, den Ruf und den Gewinn des Unternehmens verursacht.
Nehmen wir zum Beispiel ein Unternehmen, das ein Rechenzentrum mit vielen Hundert Hosting-Kunden betreibt. Das Unternehmen hat sich gegen den Einsatz von On-Premises- Schutzlösungen zur Abwehr von DDoS-Attacken entschieden.
Dabei spielen zum einen die hohen Kosten eine Rolle, zum anderen ist nicht jeder Kunde bereit, eine solche Lösung mitzufinanzieren. Mit anderen Worten: Das Hosting-Geschäft kann die Kosten für einen DDoS-Schutz nicht an seine Kunden weitergeben; es kann die Ausgaben für die Anschaffung von Hardware-Appliances entweder selbst finanzieren oder das Risiko akzeptieren, wen er auf die Implementierung verzichtet.
Gehen wir davon aus, dass dieser Rechenzentrumsbetreiber Ziel eines DDoS-Angriffs wird und alle seine Kunden betroffen sind. Aufgrund der großen Anzahl von Endkunden – und der steigenden Bedeutung von Verfügbarkeit und Performance für die zunehmend digitalisierten Geschäftsprozesse – können Auswirkungen auf den Hosting-Anbieter enorm sein.
Hunderte von Kunden werden in kürzester Zeit Support-Tickets öffnen und sich beim Unternehmen beschweren. Letztlich wird das Hosting-Unternehmen durch diesen Vorfall wahrscheinlich Kunden verlieren und sein Ruf wird mit Sicherheit geschädigt.
Anders ausgedrückt, besteht bei dieser Kategorie von DDoS-Angriffen das Hauptproblem für das betroffene Unternehmen in Systemausfällen, die wiederum zahlreiche Auswirkungen auf den Ruf und den Geschäftsbetrieb haben können.
Szenario 2: Umgang mit Erpressung
In diesem Szenario sind DDoS-Angriffe für Cyberkriminelle Mittel zum Zweck, um das Opfer zur Zahlung von Lösegeld zu zwingen. Die Kriminellen starten dabei einen ersten kurzen DDoS-Angriff, manchmal drohen sie ihn aber auch nur an. In jedem Fall handelt es sich dabei um eine klare Warnung an das Zielunternehmen und soll die Ernsthaftigkeit der Schutzgeldforderungen untermauern: Zahlt, was wir fordern, oder wir greifen an und nehmen euer Unternehmen offline.
Die Strategie ähnelt in gewisser Weise der von Ransomware-Angriffen: Das Unternehmen kann seinen Geschäftsbetrieb nicht mehr fortführen oder seine bedrohten Systeme oder Daten nicht ausreichend schützen und ist somit zur Zahlung gezwungen.
Stellen Sie sich zum Beispiel ein Unternehmen vor, das die IT-Infrastruktur für eine Bank betreibt. Das Netzwerkteam erhält eine Erpresser-E-Mail, dass das Unternehmen als Ziel von DDoS-Angriff ausgewählt wurde.
Dies entspricht der Vorgehensweise einer Erpressergruppe, die das LSOC (Link11 Security Operation Center) kürzlich gesichtet hatte. Die Angreifer verlangten ein Schutzgeld in Höhe von zwei Bitcoin (was mit Stand vom 22. April 2020 fast 13.000 Euro entspricht), das an opferspezifische Bitcoin-Adresse gezahlt werden sollte.
Bleibt die Zahlung aus, starten sie einen ersten DDoS-Angriff und warnen das Opfer, dass es zwischen zwei und vier Tagen Zeit hat, die Forderung zu erfüllen. Andernfalls folgt ein erheblich schwerwiegenderer Angriff.
Im Fall von Fancy Bear fällt bei den Angriffen auf, dass diese nicht auf die Webseite des Zielunternehmens gerichtet waren. Sie zielten vielmehr auf dessen allgemeine IT-Infrastruktur, die möglicherweise nicht so gut abgesichert ist, wie die originalen IP-Adressen und Server.
In diesem Szenario muss das Netzwerkteam unter hohem zeitlichem Druck eine Lösung finden, ohne die Gefährdung selbst gründlich analysieren zu können. Dies ist kostspielig, kostet Nerven und kann im Falle eines erfolgreichen Warnangriffs zusätzlich zu all den Problemen führen, die durch die im ersten Szenario geschilderten Systemausfälle verursacht werden.
DDoS-Angriffe abwehren
Natürlich können Unternehmen nicht sicher sein, dass sie nur Opfer von jeweils einem dieser beiden primären Szenarien werden. Deshalb ist es wichtig, dass ihre Strategien zur Abwehr von DDoS-Angriffen beide Kategorien abdecken. Außerdem kommt es darauf an, dass ihr DDoS-Schutz nach Beginn eines Angriffs in möglichst kurzer Zeit aktiviert wird, um die operativen und finanziellen Auswirkungen ebenso wie Rufschädigung zu minimieren.
Da Unternehmen meist komplexe Netzwerke besitzen, die sich sowohl aus lokaler als auch aus Cloud-IT zusammensetzen, kann nur ein Cloud-basierter Schutz die gesamte IT-Infrastruktur gegen die heute üblichen Angriffe mit Volumen von über 100 Gbps und größer absichern. On-Premises-Lösungen können nicht den Schutz bieten, den Unternehmen für ihre hybriden Netzwerke und APIs benötigen.
Ein weiteres zentrales Prinzip ist, dass der DDoS-Schutz zusätzlich zum Domainnamen des Unternehmens auch Subdomains und Ursprungsinfrastruktur umfassen muss. Außerdem darf die IP-Adresse des Origin Servers nicht direkt vom Internet aus zugänglich sein. Die Implementierung eines Site Shield ist gewöhnlich das effektivste Mittel, um dies zu gewährleisten.
Von einfachen Störungen bis hin zu bösartigen Versuchen, an Geld und sensible Daten zu gelangen, sind die Beweggründe hinter DDoS-Angriffen äußerst vielfältig. Um einen umfassenden Schutz zu erreichen, müssen Unternehmen die Feinheiten sowohl von DDoS-Bedrohungen als auch ihrer eigenen IT-Infrastruktur kennen.
„Um einen umfassenden Schutz zu erreichen, müssen Unternehmen die Feinheiten sowohl von DDoS-Bedrohungen als auch ihrer eigenen IT-Infrastruktur kennen.“
Karsten Desler, Link11
Eines der Grundprinzipien in der DDoS-Abwehr ist, dass betroffenen Netzwerkbereiche isoliert und geschützt werden können, ohne alle Netzwerkbereiche schützen zu müssen. Im ersten Szenario würde dies die Kosten erheblich reduzieren und den Betreiber des Rechenzentrums in die Lage versetzen, seinen Schutz flexibel exakt da einzusetzen, wo es nötig ist.
Im Idealfall sollte dies möglich sein, ohne Settings wie Rate Limiting, Packet Filter oder Ähnliches anwenden zu müssen. Mit anderen Worten, die DDoS-Schutzlösung sollte vollständig automatisiert sein.
Über den Autor:
Karsten Desler ist Mitgründer und Geschäftsführer bei Link11 und für den kontinuierlichen technischen Verbesserungsprozess zuständig. Drei Features der von ihm entwickelten und mehrfach ausgezeichneten Link11-DDoS-Schutzlösung sind bereits zum Patent angemeldet. Neben der Weiterentwicklung des DDoS-Schutzes liegen auch die System- und Netzwerkadministration für das Server-Hosting und die CDN-Services in seinem Verantwortungsbereich. Noch während des Informatikstudiums gründete er 2005 mit Jens-Philipp Jung die Link11 GmbH.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.