Online Serien
Serie: Security

DDoS-Angriff – Herzstillstand für IT-Systeme

08.12.2016

Distributed-Denial-of-Service-Angriffe legen Server lahm – Amazon und Twitter sind prominente Beispiele. Die Zahl der Attacken wächst rasant. Wie schützen sich Unternehmen?
Mit DDoS-Angriffen bringen Hacker Webseiten zum Absturz. So wehren sich Unternehmen gegen DDoS-Attacken.
Amazon und Twitter, der Blog des US-Sicherheitsexperten Brian Krebs oder die Homepage der Bundeskanzlerin: Die Liste der Opfer von Distributed-Denial-of-Service(DDoS)-Angriffen wird immer länger und die Zahl der DDoS-Angriffe steigt. Laut IDG Connect DDoS Survey erleiden Firmen bis zu 15 DDoS-Angriffe jährlich, die Systeme sind im Schnitt rund 17 Stunden offline.

Verheerende Folgen für Unternehmen

Das Prinzip der DDoS-Angriffe ist so einfach wie erfolgreich – und schmerzhaft für die Opfer. Internetkriminelle leiten mehr Datenverkehr auf eine IP-Adresse, als diese verarbeiten kann, und lassen die Server in die Knie gehen. Im September 2016 leiteten Hacker rund ein Terrabyte Traffic pro Sekunde auf die Server eines französischen Hosters und knackten damit den bisherigen Datenrekord.
Die Folgen eines DDoS-Angriffs können verheerend sein: Der Webshop ist offline, der E-Mail-Server empfängt und sendet keine E-Mails mehr und die Mitarbeiter sind nicht erreichbar. Umsatzminus und Reputationsverlust können das Unternehmen nachhaltig schädigen und das Kundenvertrauen stören. Nicht selten folgen auf einen DDoS-Angriff ausserdem Erpressungsversuche, mit der Drohung, die Systeme erneut lahmzulegen.

Vernetzte Geräte Teil der DDoS-Angriffe

War es früher schwierig, ein Ziel mit grossen Datenmengen zu torpedieren, scheinen vernetzte Geräte im Internet der Dinge den Hackern ganz neue Möglichkeiten für DDoS-Angriffe zu bieten. Ob Videokamera, Heizungssteuerung oder Receiver: In jedem vernetzten Gerät, das am Internet hängt, steckt auch ein kleiner Rechner. Die einzelnen Geräte sind nicht besonders leistungsfähig, doch Hacker können sie leicht zu einem Botnetz zusammenschalten, das schliesslich zehntausende Anfragen pro Sekunde auf die Server einprasseln lässt. Um einen solchen Angriff durchzuführen, brauchen die Kriminellen noch nicht einmal tiefe IT-Kenntnisse: Tools für DDoS-Attacken gibt es im Internet zu kaufen.

Verschiedene Methoden zur DDoS-Abwehr

Mehr als ein Drittel der für eine Studie von Link11 und der TeleTrusT befragten 250 IT-Entscheider und -Berater waren bereits Opfer einer DDoS-Attacke. Doch was könnten sie tun, um die Systeme zu schützen? Viele IT-Abteilungen stehen einem solchen Angriff hilflos gegenüber, da selbst spezielle Firewalls überfordert sind. Sie können zwar verhindern, dass ein Angriff zu den Servern durchdringt. Dafür schliessen sie jedoch die Ports und verhindern dadurch jeglichen Webverkehr.

Datenverkehr im Backbone filtern

Eine Alternative bieten die Provider. Sie können den Datenverkehr im Backbone des Netzes auswerten und bei auffällig grossem Datenverkehr in Richtung einer IP-Adresse den Verkehr unterbinden. Der Provider stimmt die Methode eng mit dem angegriffenen Unternehmen ab. Beim sogenannten Blackholing beispielsweise löschen Experten den gesamten Verkehr, der an eine vom Kunden nicht genutzte IP-Adresse geht und entlasten den Anschluss dadurch. Auch Filterlisten haben eine entsprechende Wirkung. Das Unternehmen bestimmt dabei Absender, die den Anschluss erreichen dürfen und alle anderen Anfragen werden verworfen. Eine weitere Methode ist eine Art virtuelle Maschine, die im Datenverkehr des Kunden schädliche IP-Pakete markiert und verwirft, sodass nur sauberer Verkehr auf den Anschluss des Kunden trifft und das Unternehmen problemlos arbeiten kann.

Anschluss bewachen und auf Angriffe reagieren

Bemerkt das Unternehmen einen DDoS-Angriff, sollte es sich schnellstmöglich mit dem Provider in Verbindung setzen, damit sofort Abwehrmassnahmen eingeleitet werden und der Ausfall möglichst gering bleibt. Die Experten bewachen den Anschluss für die Dauer des Angriffs, der mehrere Wochen andauern kann. Dadurch können sie ihre Methoden jederzeit anpassen, falls die Internetkriminellen ihre Technik verändern. Wenn der Angriff erkennbar nachgelassen hat, schaltet der Provider das ursprüngliche Routing ein und der Kunde hat wieder einen transparenten Internetanschluss. Filterlisten können dabei aktiv bleiben.
Der Provider kann einen DDoS-Angriff erst dann abwehren, wenn der Anschluss bereits unter Beschuss steht. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) schlägt allerdings einige vorbereitende Massnahmen vor: So kann das Unternehmen mit dem Provider beispielsweise bereits die Methoden bestimmen, die angewendet werden sollen und Notrufnummern austauschen.