Defense By Design: How To Dampen DDoS Attacks With A Resilient Network

Konstruktive Verteidigung: Wie Sie DDoS-Angriffe mit einem widerstandsfähigen Netzwerk abschwächen

Von Scott Bowen

Die Geschichte der DDoS-Angriffe (Distributed Denial of Service) ist geprägt von Kreativität und Innovation – mit perfiden Absichten. Denn da sich diese Angriffe in Form und Methode ständig ändern, scheitern herkömmliche Abwehrversuche immer häufiger.

Hundertprozentigen Schutz gegen DDoS-Angriffe gibt es nicht. Allerdings verfügen Chief Information Officers (CIOs), Chief Information Security Officers (CISOs) sowie die Spezialisten in ihren Teams über wirkungsvolle Möglichkeiten, sich auf DDoS-Angriffe vorzubereiten, auf sie zu reagieren und ihre Folgen abzumildern. Dazu gilt es, das Risiko innerhalb des Unternehmens zu bewerten und ein widerstandsfähiges Netzwerk aufzubauen. Architektur und Verfahren müssen so ineinander greifen, dass die Wahrscheinlichkeit und die Auswirkungen von systemischen Fehlern reduziert werden können.

Defense By Design: How To Dampen DDoS Attacks With A Resilient Network
Selbst kurze Ausfallzeiten oder langsam reagierende Websites können Umsatzeinbußen, ein negatives Kundenerlebnis und Rufschädigung nach sich ziehen.

DDoS-Angriffe verfolgen ein eindeutiges Ziel: Sie versuchen, die Geschäftsaktivität von Unternehmen zu verlangsamen oder völlig lahmzulegen, indem sie die digitale Reaktionsfähigkeit der Unternehmen lähmen. Zu diesem Zweck kapern Angreifer fremde Systeme und nutzen diese, um ihr Ziel mit einem enormen Trafficvolumen, das von verschiedenen Absendern ausgeht, in die Knie zu zwingen.

Solche Angriffe können Anwendungsschichten beeinträchtigen, eine Unmenge falscher Datenabfragen kreieren oder ein System mit Datenmüll regelrecht „verstopfen“. Zudem können Bestandteile eines Systems so manipuliert werden, dass sie andere Komponenten mit Datenabfragen überlasten.

„DDoS-Angriffe werden auch oft eingesetzt, um andere Attacken zu verschleiern – beispielsweise Webanwendungsangriffe zur Extraktion vertraulicher Daten“, so John Summers, Enterprise Vice President und General Manager bei Akamai Technologies.

Der nächste Angriff

Die gewaltige Angriffswelle des Mirai-Botnets im Oktober 2016 war beispiellos in Umfang und Schlagkraft: Hierbei wurde ca. eine halbe Million Geräte, darunter auch DVD-Player und Webcams, fremdgesteuert und als „Bots“ für die Attacke ausgenutzt. Weitere Informationen hierzu finden Sie im „State of the Internet“-Sicherheitsbericht von Akamai.

Laut Eugene Spafford, emeritierter Executive Director des Center for Education and Research in Information Assurance and Security der Universität Purdue, werden solche massiven Angriffe auch zukünftig die Ausnahme bleiben, aber: „Es wird weitere groß angelegte Angriffe geben – vielleicht nicht oft oder regelmäßig, aber wir müssen auf jeden Fall mit ihnen rechnen.“

Dabei wird sicherlich die wachsende Angriffsfläche, die das Internet der Dinge bietet, eine wesentliche Rolle spielen. „Immer mehr Nutzer und Geräte sind mit dem Internet verbunden, und Angreifer sind in der Lage, die Kontrolle über eine Vielzahl dieser Geräte zu übernehmen und sie in Botnets zu verwandeln. Deshalb wird es künftig auch immer häufiger zu DDoS-Angriffen kommen“, so Spafford.

Er verweist ebenfalls darauf, dass die meisten bekannten DDoS-Angriffe bisher (aus unterschiedlichen Gründen) nur von kurzer Dauer waren und deshalb auch nicht jede Attacke nach robusten Abwehrmechanismen verlangte – manchmal half einfach ein wenig Geduld. „Ich kann nicht voraussagen, ob das auch in Zukunft der Fall sein wird“, meint Spafford dazu.

Selbst kurze Ausfallzeiten oder langsam reagierende Websites können Umsatzeinbußen, ein negatives Kundenerlebnis und Rufschädigung nach sich ziehen. Außerdem kann ein Angriff auf ein Unternehmen Auswirkungen auf den gesamten Geschäftsfluss haben. Ist beispielsweise eine Spedition von einer DDoS-Attacke betroffen, türmen sich am Hafen die Pakete, die eigentlich längst beim Einzelhandel oder bei Distributionszentren angekommen sein sollten. Die Kunden sehen sich folglich nach einer neuen Bezugsquelle um, und der Handel verliert Geld durch ein Problem, das ihn eigentlich nur indirekt betrifft.

Risiken bewerten

Wendy Nather, Principal Security Strategist bei Duo Security, forscht seit vielen Jahren im Bereich Cybersicherheit. Sie stellt fest, dass sich nicht jedes Unternehmen für groß angelegte, komplexe Botnet-Angriffe wappnen muss. Vielmehr sollte jedes Unternehmen sein individuelles Risiko bewerten und seine „Bedrohungsdaten auswerten, um herauszufinden, wer möglicherweise eine Motivation für einen Angriff haben könnte – und mit welchen Mitteln dieser Angriff stattfinden könnte“.

Kleinere Firmen wie unabhängige Einzelhändler benötigen nicht dasselbe Schutzniveau wie beispielsweise Banken, meint Nather, die früher für die regionale Sicherheit einer großen europäischen Bank zuständig war.

Zur Vorbereitung empfiehlt sie CISOs Folgendes: „Bewerten Sie zuerst das Risikoprofil in Ihrem primären Markt nach Größe und Wesen. Dann erstellen Sie einen Plan, wie die wahrscheinlichsten Arten von DDoS-Angriffen abgewehrt werden können.“

Viele Risiken sind branchenspezifisch und stehen im Zusammenhang mit bestimmten Vorschriften, die sich nach Land oder Region unterscheiden. Spafford kann zahlreiche Beispiele dafür anführen, wie regulatorische Bestimmungen die Robustheit der digitalen Verteidigung eines Unternehmens beeinflussen können. So müssen Betreiber von Atomkraftwerken über eine IT-Infrastruktur verfügen, bei der unautorisierte Änderungen am Code ausgeschlossen sind. Das Netzwerk von Unternehmen aus der Gesundheitsbranche muss so konzipiert sein, dass absolute Vertraulichkeit von Patientendaten gewährleistet ist. Finanzinstitute müssen ihre Daten sicher und auditfähig aufbewahren.

Wenn es um regulatorische Vorschriften geht, muss jedes Unternehmen seine Situation individuell bewerten, so Spaffords Überzeugung: „Sie müssen genau wissen, welche Bestimmungen für Ihr Unternehmen gelten.“

Widerstandsfähige Architektur

Die Basis einer guten Verteidigung ist die Netzwerkarchitektur. Unternehmen sollten unbedingt flache Netzwerke vermeiden, also Netzwerke, die sich über die gesamte Architektur hinweg auf dieselbe Bandbreite stützen, sodass jeder Teil des Systems im Falle eines Angriffs anfällig ist. Gelingt es dem Angreifer, in einen Teil des Netzwerks einzudringen, hat er uneingeschränkten Zugriff auf das ganze Netzwerk. Spafford rät dazu, das Netzwerk in Partitionen zu unterteilen –

eine bewährte Sicherheitspraxis, bei der Unternehmen „Schutzwälle“ um unterschiedliche Bereiche des Netzwerks einziehen, um die Ausbreitung von Angriffen im Netzwerk zu verhindern. Allerdings wird diese Best Practice gerade beim Aufbau oder der Erweiterung von Netzwerken häufig nicht berücksichtigt, da der Fokus dabei stärker auf der Konnektivität zwischen unterschiedlichen Bereichen liegt – unter Sicherheitsaspekten ein Desaster.

„Was die Architektur angeht, so sollte ein widerstandsfähiges Netzwerk bei zahlreichen seiner Komponenten über Redundanz verfügen und in der Lage sein, Traffic zwischen Hardwarekomponenten umzuleiten“, so Nather.

Ihrer Ansicht nach sollte es für ein Netzwerk, das auf ein hohes Aufkommen von Traffic über verschiedene Anwendungsschichten (z. B. mehrere komplexe Website) ausgelegt ist, mehr als nur eine Datenbank am Backend geben.

Dabei hält Nather die folgenden Taktiken für wesentlich: Stabile Netzwerke sollten über mehrere Steuerungspunkte verfügen, über die Administratoren Änderungen vornehmen können. Außerdem empfiehlt sie: „Verlassen Sie sich nicht auf nur einen Internetanbieter, sondern unterhalten Sie verschiedene mögliche Endpunkte über mehrere Betreiber.“

Vorbereitet auf den Ernstfall

Bedenkt man, mit welcher Raffinesse DDoS-Angriffe heute durchgeführt werden, ist es kaum vorstellbar, eine Routine zu entwickeln, die hilft, jede mögliche Art von Angriff abzuwehren. Und dennoch: Die Erarbeitung eines dokumentierten Protokolls, an dem sich Mitarbeiter im Worst Case orientieren können, kann sehr hilfreich sein.

Ein Unternehmen, das eine Vorgehensweise für den Angriffsfall erstellt, muss festlegen, wer die Verantwortung für die Überwachung des eingehenden Traffics auf potenzielle Angriffsmuster trägt. Außerdem muss sichergestellt werden, dass Mitarbeitern Kanäle offenstehen, über die sie ihre Befunde in der Unternehmenshierarchie an die richtigen Stellen weitergeben können, so Nather:

„Kommt es wirklich zu einem Angriff, müssen Sie wissen, wie Sie Management, Rechtsexperten und Mitarbeiter aus PR und anderen Geschäftsbereichen informieren. Möglicherweise ist es auch erforderlich, Behörden einzuschalten.“

Nach Ansicht von Spafford sollten Systembetreiber sich vorab Gedanken darüber machen, wie die wichtigsten eingehenden Verbindungen ihrer Systeme zu schließen oder zu deaktivieren sind. Anschließend können die erforderlichen Dienstverbindungen mit der gegebenen Sorgfalt wieder aktiviert werden.

Auch Testläufe sind wichtig: „Erfolgreiche Unternehmen üben regelmäßig für den Ernstfall“, sagt Nather. Je nachdem, welches Angriffsszenario simuliert wird, sollten sich Mitarbeiter aus den geschäftlichen und technischen Bereichen in einem Meeting oder Konferenzgespräch zusammenschließen, um die Rollen zu verteilen und die Reaktion auf den DDoS-Angriff zu bestimmen.

„Übung macht den Meister“, so Nather. „Das ist bei der Abwehr von digitalen Angriffen nicht anders als beim Sport.“

Netzwerkstabilität im Praxistest

Kommt es zu einem Angriff – und ein Unternehmen wird davon nicht völlig überraschend getroffen – ist die wichtigste Reaktion: größere Bandbreite und mehr Rechenleistung freigeben – und zwar innerhalb weniger Sekunden. „Wenn meine Bandbreite und Rechenkapazität die der Angreifer übersteigt, dann habe ich kein Problem“, erklärt Spafford.

Diese Backup-Infrastruktur kann durchaus cloudbasiert sein. Dazu Summers: „Selbst die größten Unternehmen verfügen nicht über die Kapazitäten, um die Auswirkungen wirklich massiver Angriffe abzufangen. Die einzige Möglichkeit, sich darauf vorzubereiten, ist, in der Cloud hochgradig skalierbare Kapazitäten auf Abruf bereitzuhalten.“

Auch müssen Unternehmen flexibel genug sein, um IP-Adressen, Domänennamen und Routingprozesse nach Bedarf zu modifizieren, sodass das betroffene System auf andere Adressen und Hardware ausweichen kann, so Spafford.

Und auch die Qualität des verwendeten Domain Name System (DNS) spielt eine Rolle. Möglicherweise bietet Ihnen das Standard-DNS Ihres Internetanbieters nicht die notwendige Kapazität, um bei Angriffen handlungsfähig zu bleiben. Nutzen Sie, falls möglich, ein anderes DNS eines weiteren Anbieters als Backup, sodass Sie im Falle eines DDoS-Angriffs zwischen diesen Systemen wechseln können.

Manchmal lassen sich Angriffe auch mithilfe einer Black-Hole-Strategie abwehren. Dabei wird der Traffic in einen kontrollierten Raum umgeleitet, wo er analysiert werden kann. Der Angreifer merkt davon jedoch nichts und wähnt sich in dem Glauben, dass seine Abfragen das beabsichtigte Ziel erreichen.

„Wenn Ihr Unternehmen intern oder über einen versierten Partner über die entsprechenden Kompetenzen verfügt, können Sie mithilfe forensischer Analysen in Echtzeit Schwachstellen im Angriffsmuster erkennen und auf dieser Grundlage die Funktionalität des Angriffs einschränken oder lahmlegen“, so Nather.

Nachbereitung des Vorfalls

Wurde ein Angriff erfolgreich überstanden, empfiehlt Spafford Unternehmen, sich im Nachgang die folgenden Fragen zu stellen:

  • Haben wir den Angriff früh genug bemerkt?
  • Waren wir in der Lage, wichtige Services unseres Unternehmens für unsere Kunden aufrechtzuerhalten?
  • Hat unsere Verteidigungsstrategie gegriffen?
  • Gab es Aspekte des Angriffs, die uns bislang gar nicht aufgefallen sind?
  • Sind Auswirkungen aufgetreten, die wir bisher nicht bemerkt haben?

Teilen Sie alle Daten aus der Nachbereitung mit den Partnern, die ein berechtigtes Interesse daran haben – mit dem Unternehmen, das für Ihren DDoS-Schutz verantwortlich ist, oder Sicherheitsexperten. „Und stellen Sie sich auch die Frage, ob Sie die Informationen, die Sie vor oder während des Angriffs von Partnern erhalten haben, wirklich angemessen genutzt haben“, rät Spafford.

Vorteile von hoher Widerstandsfähigkeit

Widerstandsfähige Netzwerke lassen sich mit einem echten finanziellen Mehrwert beziffern. Summers ist überzeugt: „Einen DDoS-Angriff effektiv zu bewältigen, bedeutet weniger Ausfallzeit, keine Unterbrechung von Kundenservice und Geschäftsprozessen und ein geringeres Risiko von Umsatzeinbußen“.

Mit einem stabilen Netzwerk lösen Sie Ihr Versprechen eines hochwertigen Kundenservices ein – Ihre Kunden können auf Ihrer Website das gewünschte Produkt ohne Einschränkungen durch den Angriff schnell und unkompliziert finden und kaufen. Dies entspricht der Erwartungshaltung von digital versierten Kunden, die nur optimale Performance bei der Abwicklung ihrer Onlinegeschäfte tolerieren – selbst geringe Verzögerungen sind da Gift für Ihre Umsätze.

Und nicht zuletzt sorgt ein widerstandsfähiges Netzwerk dafür, dass Ihr Unternehmen nicht in der Übersicht über die jüngsten Opfer von DDoS-Angriffen auftaucht, was das Vertrauen von Kunden untergraben kann. „Wenn ununterbrochene Geschäftstätigkeit und Kommunikation entscheidend für den Ruf Ihres Unternehmens sind“, so Spafford, „benötigen Sie ein Netzwerk, das Angriffe abwehren oder zumindest neutralisieren kann.“

Scott Bowen ist freiberuflicher Autor und Redakteur, der bereits für True/Slant.com, ForbesTraveler.com und Fortune Small Business geschrieben hat. Seine Geschichten wurden in „Tight Lines: Ten Years of the Yale Anglers' Journal“ zusammengeführt.