In letzter Zeit machten immer wieder kehrende DDoS-Angriffe auf Online-Shop-Betreiber die Runde. So machten etwa dem Provider Strato hartnäckige DDoS-Attacken schwer zu schaffen. Erst nach knapp eineinhalb Stunden konnte der Angriff wirkungsvoll abgewehrt werden. Auch der Provider Host Europe machte ähnliche Erfahrungen.
Unabhängig vom Motiv der Angreifer in diesem Fall sehen sich Online-Händler immer wieder mit der Androhung von DDoS-Angriffen konfrontiert. Dahinter stehen in der Regel Schutzgelderpressungen nach dem Motto "Zahlst Du nicht, machen wir Deinen Shop platt!", so das Fazit des Online-Portals shopanbieter.de.
Das Phänomen der Schutzgelderpressung via DDoS-Androhung ist weder neu kann mann hoffen, dass es bald wieder verschwindet. Denn das dahinter stehende "Geschäftsmodell" ist einfach, profitabel und (noch) relativ risikoarm. Es gibt viele Gründe, warum diese Spielart der Online-Kriminalität bei Cyber-Ganoven beliebt ist - und Online-Händler sich mit der Bedrohung auseinander setzen müssen.
Angreifer kennen die Schwachstellen
Viele Händler sind dem "Spuk" einer (versuchten) Schutzgelderpressung bereits begegnet: Die Erpressermails trudeln besonders gern zur "Unzeit" ein, beispielsweise an Wochenenden, wenn die Reaktionszeiten aller Beteiligter verlängert sind. In den Mails wird unter Hinweis auf eine kurz zurückliegende, erfolgreiche DDoS-Attacke auf den Shop zur Zahlung eines größeren Geldbetrages per Ukash, PaySafeCard oder via einen anderen anonymen Geldflußkanal aufgefordert. Manchmal wird die kurzzeitige DDoS-Attacke als Macht-Demonstration auch erst in der Mail angekündigt.
Oft werden solche Mails als Testballons von "Möchtegerns" abgetan, immer öfter aber begleiten echte Attacken die Erpresser-Mails und legen die Shops zunächst nur wenige Minuten, später unter Umstände. sogar für Stunden lahm. Solche Downtimes bedeuten für Onlineshops nicht nur einen Umsatzausfall in den Zeiten der Nichtverfügbarkeit: Ist ein Webladen nicht rund um die Uhr problemlos erreichbar, leidet auch das Vertrauen der Kunden - für Shop-Betreiber ist das eine of Existenz bedrohende Gefahr!
Onlinehändler sind Verkaufsprofis, keine Netzwerkspezialisten. Solche sitzen aber in den Rechenzentren der Hosting-Provider, die sich schon zum eigenen Schutz mit dem Thema der DDoS-Abwehr seit längerem auseinandersetzen. Für das neue kostenlose Whitepaper "Nachgefragt: DDoS-Schutzgelderpressung - was tun?" befragte Shopanbieter.de große Hosting-Provider nach ihren Erfahrungen mit solchen Attacken.
Ratgeber für Online-Händler
Herausgekommen ist ein Ratgeber, der Shop-Betreibern konkrete Tipps zum Umgang mit dieser Form der Cyber-Kriminalität gibt: So sollte der erste Schritt beim Eintreffen einer DDoS-Ankündigung immer die Information des Hosting-Providers sein. Denn auf technischer Ebene kann viel unternommen werden, um Angriffe zu erkennen, zu analysieren und abzuwehren. Gleichzeitig raten Provider den Online-Händlern, die Erpresser-Mail sowie sonstige Hinweise auf die Verursacher zu sichern und bei der Polizei Anzeige zu erstatten.
Leider passiert das viel zu selten. So weisen die Statistiken des LKA NRW für das Jahr 2010 nur 102 Anzeigen wegen "Erpressung/Datendiebstahls" auf, davon waren 14 reine "Versuche". Die Pressestelle des LKA NRW betont, dass die Anzeige auf jeder örtlichen Polizeidienststelle aufgegeben werden kann. Die Polizei verfügt mittlerweile über geschultes Personal zur IuK-Kriminalität, die die Beweismittel (das ist zunächst einmal die Erpressermail) auswerten können.
Außerdem raten die Kriminalbeamten den Online-Händlern, niemals den Erpressern Geld zu überweisen, selbst wenn die geforderten Summen im Vergleich zum durch einen Angriff entstehenden Aufwand gering erscheinen: Eine Zahlung würde die Erpresser nur in ihrem Handeln bestärken.
Als langfristige Strategie muss den Tätern die Einträglichkeit ihres "Geschäftes" zerstört und ihr persönliches Risiko heraufgesetzt werden. Auf dass der kürzlichen Verurteilung des DDoS-Erpressers Störtebekers noch ein paar weitere folgen - und andere Erpresser abschrecken mögen.
Technische Abwehr von DDoS-Angriffen
Natürlich können Online-Shop-Betreiber einem DDoS-Angriff auch auf technischer Ebene begegnen. Zur Abwehr derartiger Attacken gibt es verschiedene Möglichkeiten. Zunächst geht es darum, den Angriff festzustellen und zu analysieren. Es gilt auszumachen, ob die Anzahl der eingehenden Pakete angestiegen ist, ob der Datenverkehr insgesamt außergewöhnlich start zugelegt hat und ob der Online-Shop von außen überhaupt noch erreichbar ist.
Oft stellt sich dabei heraus, dass der Angriff aus dem Ausland kommt und das sehr häufig von einem Land, von dem sonst keine Bestellungen in dem Webshop eintreffen. Danach kann der Provider einfach diese ausländischen IP-Adressen aussperren, sprich: ihnen den Zugang zum Online-Shop von Haus aus verwehren.
Professionelle Angreifer gehen heute allerdings mitunter geschickter vor, sie fälschen beispielsweise die IPs oder greifen direkt mit inländischen Botnetzen an. Ein Ausperren der IP-Adressen würde dann dazu führen, dass auch diverse echte Kunden abgewiesen werden: Nämlich die, deren IP-Adresen für die Fälschung hergenommen wurden oder solche, die dynamisch eben erst gesperrte IPs von ihren Providern zugewiesen bekamen.
In diesem Fall muss sich der Webshop-Betreiber zusammen mit seinem Provider neue Strategien einschlagen. Er könnte zum Beispiel die Zeiten, in denen Verbindungen vom Webserver gehalten werden, herunter setzen - so werden die Ressourcen des Webservers geschont.
Da bei dynamischen Datenbank basierten Shop-Systemen oft gar nicht die Netzwerkverbindung oder der Webserver das schwächste Glied bei DDoS-Angriffen darstellen, sondern die notwendigen Datenbankabfragen im Shopsystem, ist es vorteilhaft, während eines Angriffes das Shop-System auf eine statische Version umzuschalten Diese Option bieten jedoch leider nicht alle Shops.
Es gibt ferner eine ganze Reihe von Hardware basierten Abwehrmechanismen ("Hardware DDoS Firewall") sowie diverse Softwarelösungen (zum Beispiel "Traffic Scrubbing"), die DoS-, und auch DDoS-Angriffe abwehren und die eigenen Systeme vor Überlastungen schützen sollen. Ob damit im Ernstfall tatsächlich eine Abwehr gelingt, hängt jedoch immer auch davon ab, wie "gut" (technisch versiert und aufwendig gestaltet) die Angreifer vorgehen. Denn so wie die Verteidiger entwickeln natürlich auch die Angreifer ihre Werkzeuge wie im Hase-und-Igel-Spiel ständig weiter. Zudem sind solche speziellen Schutz-Komponenten teuer, so kosten beispielsweise die spezialisierten Produkte von RioRey je nach Dimensionierung zwischen 14.000 bis 50.000 Euro.
Natürlich bieten auch Hosting-Provider spezielle DDoS-Schutz-Service-Pakete an - für die monatliche Gebühren anfallen. Daneben gibt es auch spezialisierte Dienstleister, die die IP-Adresse des Shops verschleiern. Hierzu wird nach außen die Shop-IP auf eine eigene IP-Adresse geändert und der Datenverkehr erst von dieser aus wieder auf das Shop-System umgeleitet sowie die Antworten des Shopsystems vom Dienstleister sozusagen "im Namen des eigentlichen Shop-Sytems" ausgeliefert. Dabei wird der Datenverkehr ständig überwacht und notfalls "gesäubert" ("Traffic Scrubbing"). (rw)