Thought Leadership
Nach den DDoS-Attacken im letzten und im laufenden Jahr wurde Marcel Leitel, Security Sales Engineer beim Spezialisten für automatisierte DDoS-Abwehr Corero Network Security, nach seiner Einschätzung gefragt.
Im letzten Jahr haben wir etliche groß angelegte DDoS-Attacken beobachten können. Haben sich die Angriffe inzwischen verändert? Sind sie beispielsweise flexibler oder variabler geworden?
ML: Es ist nicht unbedingt eine neuartige Taktik, aber sie ist nicht so schlagzeilenträchtig wie Volumenangriffe: Angriffe, die nur mit einer geringen Bandbreite erfolgen. Sie dienen nicht selten dazu, einen schwerwiegenderen Angriff auf das Netzwerk zu verschleiern. Auch wenn die spektakulären Volumenangriffe des letzten Jahres medial sehr präsent waren, haben wir bei unserer Kundenbasis eine andere Beobachtung gemacht. Die überwiegende Mehrzahl der Angriffe auf unsere Kunden im ersten Quartal des laufenden Jahres, nämlich 98 %, erfolgen mit einem Volumen von weniger als 10 Gbps pro Sekunde. Das reicht gerade aus, um beispielsweise eine Firewall oder ein Intrusion Prevention System (IPS) kurzfristig außer Gefecht zu setzen. In diesem sehr kurzen Zeitraum dringen Hacker etwa ins Netzwerkinnere vor und infiltrieren es mit einer Malware, um schließlich Daten aus dem System unbemerkt abzuziehen. Die meisten Organisationen und Firmen sind zu sehr fokussiert auf die beschriebenen rekordverdächtigen Volumenangriffe, die aber letztlich nur selten vorkommen. Angriffe, die nur wenig Bandbreite und kurze Zeit beanspruchen, sind nicht nur in der Lage Systemausfälle und Leistungseinbußen zu verursachen, sondern dienen vor allem dazu ernsthafte Bedrohungen wie Datendiebstahl wirksam zu verschleiern.
Sind Erpressungen mit DDoS-Angriffen ein wachsender Trend?
ML: Ja, es sieht ganz so aus als seien DDoS-Angriffe in Verbindung mit Erpressung ein wachsender Trend. Und nicht wenige der Betroffenen zahlen die geforderte Gelder, einfach um nicht länger im Fadenkreuz der Angreifer zu stehen. Diese Bereitschaft führt allerdings eher dazu, dass wir mehr Attacken dieser Art sehen werden als weniger. Neben dem finanziellen Verlust durch die eigentliche Lösegeldzahlung gibt es keinerlei Garantie dafür, dass man nicht trotzdem Opfer einer DDoS-Attacke wird. Kriminelle halten nicht unbedingt Wort, auch wenn ein Unternehmen die Zahlung forderungsgemäß geleistet hat. Auf einen moralischen Code unter Hackern und eine gewisse Integrität sollte man sich an dieser Stelle lieber nicht verlassen.
Welche Tipps würden Sie CISOs geben, die mit massiven DDoS-Angriffen zu tun haben?
ML:
1. DDoS-Angriffe und –Aktivitäten erkennen
DDos-Volumenangriffe sind bei weitem nicht die einzigen Formen von DDoS-Aktivitäten. Wie schon erwähnt, dienen kurze Angriffe mit geringem Volumen als eine Art Stresstest für das Netzwerk und dazu, Sicherheitsschwachstellen innerhalb des Perimeters zu finden. Man muss einerseits die auftretenden Muster im Datenstrom erkennen und andererseits nach einer Lösung suchen, die den Schad-Traffic in Echtzeit beseitigt.
2. Erstellen Sie einen DDoS-Resilienzplan
In einem Resilienzplan sollten neben den technischen Einrichtungen und Kompetenzen, Vorkehrungen beschrieben sein, wie die Geschäftsfähigkeit im Falle eines erfolgreichen DDoS-Angriffs aufrecht erhalten werden kann. Ein dafür zuständiges Incident Response Team sollte Methoden entwickeln und kommunizieren. Sie sollten Führungskräfte und Entscheidungsträger aller Bereiche mit einbeziehen. Nur so stellen Sie sicher, dass wirklich sämtliche Interessenvertreter benachrichtigt und konsultiert werden.
3. Zeitfenster verringern und proaktiv verteidigen
Im Falle einer DDoS-Attacke ist der Zeitfaktor der entscheidende. Wenn es mehrere Minuten oder noch länger dauert bis eine DDoS-Attacke abgewehrt wird, ist das definitiv zu lang um Dienste verfügbar zu halten. Bei der Entwicklung eines Resilienzplans und der Auswahl der Technologien ist dieser Zeitfaktor die kritische Größe.
4. Anklicken reicht nicht..
Selbst Firewalls, die über integrierte Anti-DDoS-Fähigkeiten verfügen, verwenden nur eine einzige Methode: nämlich einen willkürlich gesetzten Schwellenwert. Ist dieser Schwellenwert erreicht, wird jede Anwendung und jeder Benutzer, der den betreffenden Port nutzt, blockiert. Was zum entsprechenden Ausfall führt. Angreifer sind sich bewusst, dass dies ein äußerst effektiver Weg ist, legitime Nutzer gleich mit zu blockieren. Wenn es das Ziel ist, die Netzwerk- und Applikationsverfügbarkeit zu beeinträchtigen, ist damit auch der Denial of Service erreicht.
Wie bekommt man IoT-basierte DDoS-Attacken in den Griff?
ML: Zum Schutz vor IoT-basierten DDoS-Attacken gibt es kein Allheilmittel. Ein erster Schritt ist es, die wachsende Zahl von infizierten IoT-Geräten einzudämmen. Herssteller sollten, wie inzwischen vielfach angemahnt, ihre Geräte von Anfang an mit einem höheren Sicherheitsniveau ausstatten, aber auch der Verbraucher ist gefragt. Jeder, der ein solches Gerät einsetzt, sollte das Standardpasswort des Herstellers auf jeden Fall ändern. Das sind Schritte in die richtige Richtung. Nur, wer will garantieren, dass sie universell umgesetzt werden? Wir können getrost davon ausgehen, dass das eher unwahrscheinlich ist. Bevor es gelingt, wirklich substantielle Fortschritte zu machen, werden Hacker längst weitere DDoS-Attacken mit schwerwiegenden Folgen auf den Weg gebracht haben. Ein weiterer und vielleicht zum gegenwärtigen Zeitpunkt der wichtigste Schritt, ist, die Abwehrmaßnahmen gegen DDoS-Angriffe zu verbessern. Niemand ist in der Lage, IoT-Geräte zu kontrollieren für die man nicht selbst verantwortlich ist. Was man aber sehr wohl in der Hand hat, ist, eine geeignete Technologie auszuwählen, die etwa DDos-Angriffe in Echtzeit abwehrt. Für diese Art von Angriffen ist die traditionelle Sicherheitsinfrastruktur nicht geschaffen. Will man seine Kunden wirksam schützen und die eigenen Dienste erreichbar halten, braucht man dedizierte Maßnahmen gegen DDoS. Anders lässt sich das Problem kaum in den Griff bekommen.
