Cyberkriminelle nutzen Distributed-Denial-of-Service-Angriffe, um Unternehmen und Institutionen gezielt Schaden zuzufügen, indem Server oder Webdienste zum Ausfall gebracht werden. Beispielsweise bombardieren Angreifer die IP-Adresse einer Website mit so viel Datenverkehr, bis die Website und jeder damit verbundene Webserver mit der Beantwortung der Anfragen überfordert ist. Für Benutzer wird die Webseite dadurch unerreichbar.
Für Angreifer ist DDoS eine einfache, effektive und leistungsstarke Technik, die von unsicheren Geräten, insbesondere des stetig wachsenden Internet of Things (IoT), befeuert wird. Hacker können diese Geräte leicht mit Malware infizieren und für ein Botnetz rekrutieren. Anschließend weisen sie die kompromittierten Geräte per Command-and-Control-Server (C2) an, einen Teil ihrer Rechenleistung dazu zu nutzen, um einen Zielserver mit Anfragen zu überschütten und ihn sowie die damit verbundene Webseite in die Knie zu zwingen. Da diese Anfragen stark verteilt sind, ist eine Unterscheidung zwischen legitimem und gefälschtem Datenverkehr schwierig, weshalb DDoS-Angriffe in der Regel erfolgreich sind.
Ein DDoS-Angriff kann zu Ausfallzeiten und damit verbundenen möglichen Einnahmeverlusten in Millionenhöhe führen. Zwar gibt es keine Möglichkeit, einen DDoS-Angriff gänzlich zu verhindern, jedoch können einige Maßnahmen die Schäden solcher Angriffe minimieren.
Erste Schritte bei Verdacht auf einen DDoS- oder DoS-Angriff
Wenn ein Unternehmen glaubt, von einem DDoS- oder DoS-Angriff betroffen zu sein, sollte es sich zunächst an seinen Netzwerkadministrator wenden, um zu klären, ob der Dienstausfall auf Wartungsarbeiten oder ein internes Netzwerkproblem zurückzuführen ist. Netzwerkadministratoren können auch den Netzwerkverkehr überwachen, um das Vorliegen eines Angriffs zu bestätigen, die Quelle zu identifizieren sowie die Situation zu entschärfen, indem sie Firewall-Regeln anwenden und den Verkehr eventuell durch einen DoS-Protection-Service umleiten.
Weiterhin kann sich das Unternehmen an seinen Internet-Service-Provider wenden, um zu erfragen, ob es auf dessen Seite einen Ausfall gibt oder, ob sein Netzwerk das Ziel eines Angriffs ist und das Unternehmen damit indirektes Opfer. Eventuell kann der Internet-Service-Provider das Unternehmen zudem zu einer geeigneten Vorgehensweise beraten.
Wenn die Möglichkeit besteht, dass ein Unternehmen ins Visier von DDos-Attacken genommen wird, kann es sich darüber hinaus lohnen, hierzu einen Abschnitt in den Disaster-Recovery-Plan zu integrieren, um sicherzustellen, dass die Teammitglieder im gesamten Unternehmen im Falle eines Angriffs effizient kommunizieren können. Unternehmen können auch in Erwägung ziehen, sich bei einem DoS-Protection-Service anzumelden, der anormalen Datenverkehr aufspürt. Diese Dienste leiten normalerweise den Verkehr von der Unternehmenswebsite weiter, wo er entweder gefiltert oder verworfen wird. Je nach Dienst können diese Lösungen auch zur Abwehr von DNS-Amplification-Attacken, SYN/ACK- und Layer-7-Angriffen beitragen.
Maßnahmen zur Abwehr von DDos-Attacken im Überblick
• Schutz von Domänennamen der Organisation durch Verwendung von Registrar-Sperren und der Bestätigung korrekter Domänenregistrierungsdetails (z.B. Kontaktdetails).
• Sicherstellung, dass 24×7-Kontaktdetails für Service-Provider gepflegt werden und Provider 24×7-Kontaktdetails für ihre Kunden pflegen.
• Implementierung einer Verfügbarkeitsüberwachung mit Echtzeit-Alarmierung, um Denial-of-Service-Angriffe zu erkennen und ihre Auswirkungen zu messen.
• Trennung kritischer Online-Dienste (z.B. E-Mail-Dienste) von anderen Online-Diensten, die eher ins Visier genommen werden (z.B. Web-Hosting-Dienste).
• Vorbereitung einer statischen Version der Website, die minimale Verarbeitung und Bandbreite erfordert, um die Kontinuität des Dienstes bei Denial-of-Service-Angriffen zu erleichtern.
• Verwendung von Cloud-basiertem Hosting durch einen großen Cloud-Service-Provider (vorzugsweise durch mehrere große Cloud-Service-Provider, um Redundanz zu erhalten) mit hoher Bandbreite und Netzwerken zur Inhaltsbereitstellung, die nicht-dynamische Websites zwischenspeichern.
Das Ziel jeder DDos-Attacke ist, der ins Visier genommenen Organisation einen möglichst großen Schaden zuzufügen, ob als Teil eines Erpressungsversuchs durch Cyberkriminelle, als Sabotageakt durch konkurrierende Unternehmen oder Nationalstaaten oder als politisch motivierte Protestaktion. Mit den obengenannten Maßnahmen zur Schadensbegrenzung können Unternehmen die Auswirkungen eines Angriffs jedoch deutlich abmildern.
Von Tim Bandos, Chief Information Security Officer bei Digital Guardian