Companies Under Threat Of DNS Attacks Must Measure Risk Appetite

Alles eine Frage der Risikotoleranz – Wie schützen Sie sich vor DNS-Angriffen?

Von Mark Stone

Die massiven Cyberangriffe gegen Dyn der letzten Jahre führten vielen Unternehmen vor Augen, wie verletzlich ihre Domain Name Systems (DNS) tatsächlich sind.

Die Websites großer Namen wie Twitter, Netflix und Amazon waren während der Angriffe vorübergehend lahmgelegt, da Kunden über den Dyn-DNS-Dienst auf die Websites weitergeleitet wurden.

Der DDoS-Angriff (Distributed Denial of Service) auf Dyn im Oktober hatte verheerende Auswirkungen. Bei solchen Angriffen bombardieren infizierte Computer ausgewählte Server systematisch mit Traffic, bis diese unter der Last in die Knie gehen.

Bemerkenswert am Mirai-Botnet, das für den Angriff auf Dyn eingesetzt wurde, ist, dass dafür ein Heer von internetfähigen Geräten wie Digitalkameras und DVD-Player zunächst infiziert und dann für die Attacke genutzt wurde. Der Angriff verdeutlichte eindringlich, was passieren kann, wenn Angreifer Sicherheitslücken im Internet der Dinge ausnutzen.

iStock
Welchen Schutz benötigt Ihr Unternehmen vor Bedrohungen wie DNS-Attacken? Das hängt von Ihrem Geschäftsmodell ab.

Ihr Unternehmen kann zum Ziel von kostspieligen DNS-Attacken (oder jeder anderen Art von DDoS-Angriffen) werden. Jede Minute, die Ihre Website nicht verfügbar ist, kostet Sie potenziell viele Tausend Euro an Umsatz.

Der globale Informationsdienstanbieter Neustar kam zu dem Ergebnis, dass 63 Prozent der DDoS-Angriffe während stark frequentierter Zeiten Schäden von mindestens 100.000 US-Dollar pro Stunde verursachen.

„Wasserfolter“

DNS-Angriffe treten in vielen Gestalten auf. Besonders tückisch, weil schwer zu erkennen, ist die sogenannte Wasserfolter-Methode.

Martin McKeay, Senior Security Advocate bei Akamai Technologies, erläutert den Ablauf: Bei einem Wasserfolter-Angriff werden DNS-Server durch eine unablässige Flut von Abfragen zufälliger Zeichenketten, die von Systemen in einem Botnet stammen, lahmgelegt.

DNS-Server von Internetanbietern weltweit werden für Angriffswellen gegen autoritative DNS-Unternehmensserver missbraucht. Können die DNS-Server der Unternehmen mit der Anzahl der Abfragen nicht mehr umgehen, antworten sie nicht mehr. Damit können Ihre Kunden nicht mehr auf Ihre Website zugreifen.

„Herkömmliche Abwehrmechanismen reichen zum Schutz gegen solche Angriffe nicht aus“, ist McKeay überzeugt. „Wenn die Arbeitslast Ihres DNS-Servers zu hoch ist, sind keine Ressourcen mehr für die Verarbeitung legitimer Anfragen vorhanden und Ihr Unternehmen geht offline.

Die wenigsten Unternehmen wissen, wie sie mit solchen Angriffen umgehen sollen – und dennoch ist Vorbereitung darauf unerlässlich.“

DNS-Abwehrmechanismen

Die meisten Unternehmen verlassen sich auf genau einen externen Dienstanbieter für ihr Domain Name System. Hilfreich könnte es laut McKeay sein, mit zwei oder drei DNS-Anbietern zusammenzuarbeiten. Die Angriffe auf Dyn führen uns deutlich vor Augen, wie wichtig es ist, für solche Szenarien ein Backup zu haben.

Welchen Schutz benötigt Ihr Unternehmen vor Bedrohungen wie DNS-Attacken? Das hängt von Ihrem Geschäftsmodell ab. Ist die Website oder ein webbasierter Dienst die Lebensader Ihres Unternehmens, sind auf jeden Fall umfassendere Schutzmaßnahmen erforderlich – die Frage, wie umfangreich diese sein sollten, müssen die Unternehmen jedoch nach Ansicht McKeays selbst beantworten.

„Jedes Unternehmen hat eine individuelle Risikotoleranz. Reicht es, wenn Ihr Unternehmen 95 Prozent aller Angriffe standhalten kann? Oder brauchen Sie absolute Sicherheit?“

Website-Ausfallzeiten aufgrund von Wasserfolter-Angriffen können enorme Kosten verursachen. Für manche Unternehmen lohnt es sich, viele Jahre lang in den Schutz ihrer Website zu investieren, nur um eine Ausfallzeit von 15 Minuten zu vermeiden.

Die Neustar-Studie, an der 849 Unternehmen aus den Bereichen Handel, Finanzen und Technologie teilnahmen, ergab, dass diese Unternehmen in den letzten zwölf Monaten gemeinsam einen Schaden von 2,2 Milliarden US-Dollar durch DDoS-Angriffe zu tragen hatten. Pro Unternehmen sind das im Schnitt 2,5 Millionen.

Ganz gleich, ob der Schutz vor DNS-Wasserfolter-Angriffen oder anderen Bedrohungen im Vordergrund steht, die verantwortlichen Sicherheits- oder Informationsdirektoren kommen heute nicht umhin, die Grundpfeiler ihrer Sicherheitsstruktur felsenfest zu verankern.

„Machen Sie sich keine Gedanken über das nächste große Ding. Lassen Sie sich keine Hochglanz-Sicherheitspakete andrehen, die Sie nicht brauchen“, ist McKeays Empfehlung. „Bleiben Sie stattdessen informiert und über alle aktuellen Entwicklungen auf dem Laufenden. Wissen ist das A und O.“

Mark Stone hat viele Jahre im Bereich Informationssicherheit gearbeitet, bevor er sich dazu entschied, Autor zu diesem Thema zu werden. Er lebt in Kanada.