Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

20.07.2015 - 

Sicherheits-Tipps

DDoS-Angriffe wirksam abwehren

Dr. Martin Stemplinger ist Senior Security Consultant bei BT Global Services in Deutschland.
Distributed-Denial-of-Service-Attacken (DDosS) sind ein Ärgernis für Unternehmen, die auf Web-Applikationen angewiesen sind. Wir zeigen, wie Sie sich vor diesen Cyber-Angriffen schützen können.

43 Prozent der deutschen Unternehmen wurden in den vergangenen zwölf Monaten Opfer einer DDoS-Attacke - so das Ergebnis einer internationalen Studie von BT. Darunter versteht man einen - in der Regel absichtlichen - Angriff auf Server oder auf Netzkomponenten, der von vielen verteilten Rechnern ausgeht und die Überlastung der Infrastruktur seines Opfers zum Ziel hat.

Hinzu kommt, dass solche Angriffe immer länger dauern und auch an Stärke zunehmen. Herkömmliche Abwehrlösungen wie Firewalls und Intrusion-Prevention-Systeme (IPS) reichen da meist nicht aus. Der Schaden für die betroffenen Unternehmen ist immens - im Schnitt sind ihre Systeme mehr als einen ganzen Arbeitstag lang "down". So haben Reklamationen und Rückfragen von Kunden und Lieferanten in den letzten zwölf Monaten um durchschnittlich 36 Prozent zugenommen, wie die Umfrage ergab.

Wer DDoS-Angriffe abwehren möchte, sollte folgende Punkte beachten:

Schutzbedarf analysieren

Bevor Sie sich für eine Lösung zum Schutz vor DDoS-Angriffen entscheiden, sollten Sie den Schutzbedarf Ihres Unternehmens analysieren. Entscheidend ist dabei, welche übers Internet erreichbaren Systeme Ihr Unternehmen einsetzt, wie kritisch die dazugehörigen Geschäftsprozesse sind und welche Auswirkungen ihr Ausfall hätte. Ein durch eine DDoS-Attacke verursachter System- oder Netzausfall dauert durchschnittlich zwölf Stunden. Was konkret bedeutet das fürs Geschäft - etwa wenn die Website einen Tag lang nicht erreichbar ist? Welche Kosten würden Ihrem Unternehmen dadurch entstehen?

Art des Angriffs berücksichtigen

Auch die unterschiedlichen Arten von DDoS-Attacken spielen bei der Schutzbedarfsanalyse eine Rolle. Neben großen, volumetrischen Angriffen, bei denen der Angreifer die Leitung so lange bombardiert, bis sie voll ist, kommen so genannte Multi-Vector-Taktiken immer häufiger vor, bei denen verschiedene Unternehmensplattformen gleichzeitig mit Anfragen bombardiert werden.

Schutz vor DDoS-Angriffen "in the Cloud": Das linke Bild zeigt, wie der normale Traffic bei der "On-Demand"-Variante eingeht: Es sind zwar Vorbereitungen wie der GRE-Tunnel eingerichtet, aber der gesamte Datenverkehr läuft direkt beim Unternehmen auf. Das rechte Bild zeigt, wie das so genannte BGP-Routing im Angriffsfall geändert wird: Der Traffic zum Unternehmensnetz wird nicht mehr direkt an das Unternehmen geschickt, sondern zum nächstgelegenen Scrubbing Center geroutet. Sauberer Traffic wird über den GRE-Tunnel vom Scrubbing Center zum Unternehmen geschickt.
Schutz vor DDoS-Angriffen "in the Cloud": Das linke Bild zeigt, wie der normale Traffic bei der "On-Demand"-Variante eingeht: Es sind zwar Vorbereitungen wie der GRE-Tunnel eingerichtet, aber der gesamte Datenverkehr läuft direkt beim Unternehmen auf. Das rechte Bild zeigt, wie das so genannte BGP-Routing im Angriffsfall geändert wird: Der Traffic zum Unternehmensnetz wird nicht mehr direkt an das Unternehmen geschickt, sondern zum nächstgelegenen Scrubbing Center geroutet. Sauberer Traffic wird über den GRE-Tunnel vom Scrubbing Center zum Unternehmen geschickt.
Foto: BT

Beide Angriffsarten setzen voraus, dass das System des Angreifers über mehr Bandbreite verfügt als das des Opfers. Oft handelt es sich dabei um Ablenkungsmanöver: Während die IT-Abteilung versucht, dem so sogenannten Flooding der Internet-Verbindung Herr zu werden, verschafft sich der Angreifer beispielsweise über eine andere Schwachstelle im Netzwerk Zugriff auf Firmendaten.

Aber auch Angriffe mit niedrigen Bandbreiten können Schaden anrichten. Ein Beispiel sind Connection-Angriffe, bei denen der Angreifer den ständigen Aufbau von TCP-Verbindungen an das Zielsystem simuliert. Zunehmend kommen auch Angriffe auf Applikationsebene vor, beispielsweise indem der Angreifer permanent versucht, sich mit falschen Login-Daten anzumelden. Da das Backend ununterbrochen damit beschäftigt ist, die Login-Informationen zu überprüfen, bricht die Anwendung irgendwann zusammen. Angriffe auf Applikationsebene erfordern weniger Bandbreite. Dadurch können sie langsamer durchgeführt werden und sind wesentlich schwerer zu erkennen.

Absicherung evaluieren

Um sich gegen DDoS-Angriffe abzusichern, benötigen Sie einen Schutz im Internet-Zugang, der den Angriffs-Traffic filtert und nur "saubere" Daten weiterleitet. Je nach Schutzbedarf empfehlen sich hier die Varianten "On-Premise" oder "in the Cloud". Wenn Sie ganz sicher gehen wollen, investieren Sie in eine Lösung, die beide Varianten kombiniert.

  • On-Premise: Hier wird eine Appliance im Internet-Zugang installiert - entweder direkt in Ihrem Unternehmen oder im Backbone Ihres Providers. Diese Appliance filtert einen Großteil des Traffic heraus - ähnlich wie ein spezialisierter Virenscanner. Der Vorteil: Der Schutz greift sofort und erfordert keine Änderungen am Netzwerk. Allerdings eignet sich die On-Premise-Variante nicht für große volumetrische Angriffe. Hier ist der Upstream-Provider schnell so ausgelastet, dass der Angriffs-Traffic nicht mehr bis zur Appliance gelangt.

  • In the Cloud: Mit dieser Variante lassen sich Angriffe möglichst nah an ihrem Ausgangspunkt abfangen und so ein Großteil der Angriffe ausfiltern. Je nachdem wie umfassend der Schutz sein soll, ist die Cloud-Variante in zwei Optionen erhältlich: Zum Schutz von einzelnen Servern wird der DNS-Eintrag des Unternehmens im "Scrubbing Center" des Providers in eine virtuelle Adresse umgewandelt (Proxy Service). Eingehender Traffic wird geprüft und nur wenn er "sauber" ist, an das Unternehmen weitergeleitet. Um ein Netz komplett abzusichern, wird der Datenverkehr über das Routing-Protokoll BGP (Border Gateway Protocol) an das Scrubbing Center übertragen; der saubere Traffic wird über einen GRE-Tunnel (Generic Routing Encapsulation) an das Unternehmen weitergeleitet. Mit Cloud-Lösungen lassen sich auch große Angriffe wirksam abfangen. Sie werden meist als On-Demand-Lösungen angeboten: Sobald der Verdacht einer DDoS-Attacke besteht, veranlasst das Unternehmen eine entsprechende Umleitung seiner Daten. Der Nachteil: Es sind manuelle Eingriffe in die Netzwerkkonfiguration erforderlich. Dadurch greift der Schutz erst mit einigen Minuten Verzögerung. Es gibt aber auch Always-on-Lösungen, bei denen die Daten permanent durch das Scrubbing Center geleitet werden.

  • Zur zusätzlichen Absicherung dienen spezialisierte Monitoring-Lösungen, die den Netzwerkverkehr auf typische Muster von DDoS-Attacken untersuchen.

Newsletter 'Produkte & Technologien' bestellen!

Inhalt dieses Artikels