Netzwerkausfälle vermeiden? Nicht ohne Grundlagen

Im Jahr 2013 gab es bei einigen der größten und bekanntesten Marken der Welt, darunter Facebook und Twitter, Serviceunterbrechungen aufgrund von Netzwerkausfällen. Im letzten Monat haben gut dokumentierte Ausfälle, von denen mehr als 600 Millionen Benutzer in China betroffen waren, und ein Ausfall bei Google gezeigt, welche Auswirkungen solche Ereignisse auf das Internet haben können.

Unabhängig davon, ob diese Organisationen Ausfallzeiten wegen interner Netzwerkfehler oder aufgrund von [D]DoS-Angriffen ([Distributed] Denial of Service) zu beklagen hatten, die negativen Auswirkungen auf ihr Ansehen sowie – im Fall der Firmen – die Einnahmenverluste waren erheblich. Die durchschnittlichen Kosten pro Minute eines ungeplanten Rechenzentrumausfalls betragen laut einer aktuellen Studie des Ponemon-Instituts aktuell 7.900 Dollar – das entspricht einem Anstieg um 41 Prozent von den 5.600 Dollar pro Minute im Jahr 2010.

Welche ist die größere Bedrohung?

Berichte in den Medien malen zwar gern das Schreckgespenst eines durch Hacking und DDoS-Angriffe komplett ausgefallenen Internets an die Wand, in der Realität werden die meisten Ausfälle jedoch intern innerhalb des unternehmenseigenen Netzwerks verursacht. Eine vor kurzem veröffentlichte Gartner-Studie prognostiziert, dass bis 2015 80 Prozent der Ausfälle, die erfolgsentscheidende Dienste betreffen, durch Probleme mit Personen und Prozessen verursacht werden. Zusätzlich werden über 50 Prozent dieser Ausfälle durch Probleme bei der Integration von Änderungen, Konfigurationen, Versionen und Übergaben verursacht. Tatsächlich haben sowohl Xbox LIVE als auch Facebook Netzwerkausfälle durch Konfigurationsfehler während routinemäßiger Wartungsarbeiten erlebt. China hat zwar Hackern die Schuld für seinen großen Ausfall gegeben, einige unabhängige Beobachter glauben jedoch, dass die Ursache eher bei einem internen Konfigurationsfehler in der landesweiten Firewall zu suchen ist.

Eine der Hauptursachen von Netzwerkausfällen sind Konfigurationsfehler, die bei der routinemäßigen Wartung passieren – klassische Fälle menschlichen Versagens.

Das soll nicht heißen, dass die Bedrohungen von außen nicht real ist. Viele kleine und mittlere Unternehmen glauben, dass Hacker nur die großen Namen ins Visier nehmen. Bis vor einigen Jahren mochte das noch zutreffen, heute sind jedoch Unternehmen jeder Größe ins Visier der Black-Hat-Hacker gerückt. SolarWinds hat vor kurzem eine Umfrage zum Thema Sicherheit bei kleinen und mittleren Betrieben in Großbritannien finanziert. Das Ergebnis war überraschend: Viele der befragten Unternehmen gaben an, dass sie schon häufiger Ziel verschiedener Angriffe waren, aber dennoch nicht einmal die grundlegendsten Schritte unternähmen, um sich selbst zu schützen.

Zurück zu den Wurzeln

Für Geschäftseigner oder IT-Manager gibt es sehr kostspielige Hightech-Methoden, um Risiken zu mindern und Netzwerke am Laufen zu halten. Allerdings gibt es auch einfachere, preiswertere Möglichkeiten, Netzwerkausfälle zu reduzieren, auch wenn sie sich nicht ganz vermeiden lassen.

1. Gegenseitige Kontrolle. Eigentlich gebietet es der gesunde Menschenverstand, dass Systemänderungen von einer zweiten Person überprüft werden, aber nicht alle Organisationen halten sich daran. In der Softwareentwicklung hat es sich bewährt, Programmcode überprüfen zu lassen: Dies hat die Codequalität verbessert und die Anzahl der Fehler deutlich verringert. IT-Betriebsteams sollten diese – eigentlich bekannte – Vorgehensweise übernehmen.
2. Überwachen, überwachen, überwachen. Sorgen Sie dafür, dass Systeme gründlich überwacht werden, bevor Änderungen vorgenommen werden. So sind verlässliche Ausgangswerte verfügbar und Fehler können leichter erkannt werden. Warnungen sollten darüber hinaus auf jeden Fall richtig konfiguriert werden. Nur so können IT-Teams schnell reagieren, wenn Integrität, Verfügbarkeit oder Leistung eines Systems durch Änderungen beeinträchtigt sind. Diese Warnungen sollten auch regelmäßig überprüft werden, um sicherzustellen, dass SLAs und andere Erfordernisse, die durch Geschäftsanforderungen diktiert sind, erfüllt werden.
3. Entwerfen Sie einen Sicherungsplan. Stellen Sie sicher, dass ein zuverlässiger Fallback-Mechanismus existiert. So kann das Netzwerk beim Auftreten von Problemen zur früheren Konfiguration zurückkehren.
4. Halten Sie es einfach. Ein Fehler, der nur auftritt, weil zu viele, kaum noch zurückverfolgbare Änderungen durchgeführt wurden, erschwert die Isolierung und Lösung von Problemen. Teilen Sie daher umfassende Änderungen in kleinere, leichter zu verwaltende Blöcke auf, die sich einzeln zurücknehmen lassen.
5. Lassen Sie Raum für Fehler. Es ist erstaunlich, wie oft IT-Teams Änderungen einführen, ohne sich vorher darüber Gedanken zu machen, wie sie diese zurücknehmen können, falls Probleme auftreten. Besser wäre es, Fehler von vornherein einzukalkulieren und einen Plan in der Hinterhand zu haben, wenn sie tatsächlich passieren.
6. Kommunikation ist alles. Alle Anwendungs- oder Systembesitzer, die von Änderungen betroffen sind, sollten bereits im Vorfeld der Änderungen darüber informiert werden. Dies betrifft den Umfang und den zeitlichen Rahmen der Änderungen. So können die zuständigen Personen ihre Anwendungen und Systeme dann im Auge behalten, um ungewöhnliches Verhalten schnell zu erkennen.

Weitere Bedrohungen

Durch Trojaner oder Viren eingeleitete DoS-Angriffe mit einem internen Ursprung können sich auf ein oder mehrere interne Systeme auswirken. Extern arbeiten DDoS-Angriffe aus verschiedenen Systemen im Internet zusammen, um öffentlich zugängliche Systeme zusammenbrechen zu lassen. Die Abmilderung dieser Bedrohungen ist anspruchsvoller, allerdings können Netzwerke relativ einfach durch das Einhalten bewährter Verfahren geschützt werden.

1. Stärken Sie Ihre Abwehr. Die erste Verteidigungsmaßnahme besteht darin, Firewalls richtig zu konfigurieren und Systeme mit den neuesten Sicherheitsupdates zu patchen. Können erfolgreiche Angriffe damit verhindert werden? Nein, aber diese grundlegenden Schritte werden von vielen Organisationen ignoriert, wodurch sie unnötig angreifbar aind.
2. Bleiben Sie wachsam. Finden Sie die passende Methode, um Firewalls und wichtige Systeme in Ihrem Netzwerk zu überwachen, damit Sie ungewöhnliche Vorkommnisse, die normalerweise mit [D]DoS-Angriffen einhergehen, erkennen. Dazu gehören zum Beispiel eine hohe Anzahl von Verbindungen und starke CPU-  und Bandbreitenauslastung. Unterschiedliche Überwachungssysteme bieten unterschiedliche Möglichkeiten, „normales“ Verhalten zu definieren. Dies reicht von vollständig manuellen Schwellenwerten bis zum Lernen aus historischen Daten, um den normalen Betriebsbereich zu identifizieren. Ganz gleich, welches System zum Einsatz kommt, wichtig ist vor allem, dass das IT-Team die unterschiedlichen Schwellenwerte und deren Entwicklung im Verlauf der Zeit versteht. Diese Systeme sollten das IT-Personal bei ungewöhnlichen Netzwerkverhalten und -ereignissen warnen.
3. Nutzen Sie die richtige Technologie. Es ist nicht immer einfach, herauszufinden, welche Datenstreams überwacht werden sollten, um Ausgangswerte für das normale Verhalten zu bestimmen. Wenn das Netzwerkverhalten mithilfe von Deep Packet Inspection (DPI) oder flowbasierter Technologie überwacht wird, kann ein Live-Bild des Datenverkehrs im Netzwerk erzeugt werden, sodass ungewöhnliches Verhalten in kürzerer Zeit erkannt wird.
4. Weisen Sie Verantwortung zu. Zuständigkeit führt zu Verantwortung. Es ist besonders wichtig, dass in der IT-Organisation jemand die Verantwortung für die Sicherheitseinstellung der Firma hat. Diese Person sollte in Sicherheitsbewertungen und -analysen involviert sein und immer zu Rate gezogen werden, wenn der Verdacht besteht, dass sicherheitsrelevante Angriffe erfolgen. Dieser Mitarbeiter sollte auch dafür verantwortlich sein, über alle Sicherheitsbedrohungen auf dem Laufenden zu sein, die das Geschäft beeinträchtigen könnten, und die anderen Mitglieder der Organisation entsprechend informieren und schulen. Diese Strategie entbindet das IT-Team zwar nicht von allen Verantwortlichkeiten für die Sicherheit, aber es gibt dann jemanden, der die Zuständigkeiten koordiniert.

Zusammenfassend lässt sich feststellen, dass kleine und mittelständische Unternehmen dazu neigen, die mit unterschiedlichen Angriffen auf ihre Infrastruktur verbundenen Sicherheitsrisiken zu verharmlosen und damit Gefahr laufen, auf böswillige oder versehentliche Bedrohungen für das Netzwerk ungenügend vorbereitet zu sein. Die oben aufgeführten grundlegenden Schritte sind zwar kein Allheilmittel, aber es handelt sich um wichtige Säulen beim Schutz des Netzwerks, die von vielen Organisationen vernachlässigt werden, obwohl sie helfen können, das Netzwerk vor ungeplanten Ausfällen zu schützen. 

Joel Dolisy, SVP, CTO, CIO, SolarWinds