Beispiel Ansicht eines DDoS-Angriffs

Was ist DDoS-Mitigation?

So genannte Distributed-Denial-of-Service (DDoS)-Angriffe werden von Cyberkriminellen seit mehr als 20 Jahren dazu genutzt, um die IT von Unternehmen gezielt zu infiltrieren und dadurch massiven Schaden anzurichten. Unter DDoS Mitigation werden in der Cybersicherheit diverse Schutzkonzepte subsummiert, die solche Attacken bestmöglich abwehren.

Erklärungsgrafik in welchen 3 Schichten DDoS Angriffe von Myra abgewährt werden

01

DDoS Mitigation: eine Definition

Die Digitalisierung schreitet weiterhin unaufhaltsam voran. Die kontinuierliche Zunahme von smarten Geräten im Internet of Things (IoT) und die ständig ausgeweiteten Vernetzung in der Cloud haben auch eine Kehrseite: Die IT wird von Cyberkriminellen vermehrt auch als Waffe missbraucht. Insbesondere Distributed-Denial-of-Service (DDoS)-Angriffe werden immer schlagkräftiger und für die kriminellen Hacker auch zunehmend ertragreich: Längst haben sie sich mit Hilfe von Künstlicher Intelligenz (KI) von reinen Botnet-basierten Angriffen zu datengesteuerten Modellen weiterentwickelt.

DDoS Mitigation hilft Unternehmen dabei, ihre IT vor solchen Angriffen zu schützen und diese gezielt abzuwehren. Mitigation bedeutet „Abschwächung“ bzw. „Abwehr“ im Englischen – und genau das ist hierbei das Ziel: die Schäden einer DDoS-Attacke bestmöglich zu minimieren.

Sicherheitskamera

02

Wie sieht ein DDoS-Angriff aus?

Bei einem DDoS-Angriff führen Angreifer die Nichtverfügbarkeit eines Dienstes oder Servers ganz gezielt durch Überlastung des Systems herbei. Einer der Wege ist das Infizieren von mehreren Rechnern mit Schadsoftware, mit der sie unbemerkt die Kontrolle über diese Endgeräte übernehmen. Die Angreifer missbrauchen dann das Rechner-Netz, auch Botnetz genannt, ferngesteuert für ihre DDoS-Attacken. Mit dem Botnetz greifen sie parallel ihr Ziel an und beschießen dabei dessen Infrastruktur mit zahllosen Anfragen. Das Resultat davon: die IT eines Unternehmens wird überlastet, bestimmte Dienste stehen mitunter nicht mehr zur Verfügung, heikle Daten können ungewollt in Umlauf geraten, wodurch die Firmenreputation ebenfalls in Mitleidenschaft gezogen wird.

03

Distributed-Reflected-Denial-of-Service-Angriff (DRDoS)

Bei einer Distributed-Reflected-Denial-of-Service-Attacke handelt es sich um eine Sonderform von DDoS. Dabei stammen die schädlichen Anfragen nicht etwa von einem Botnet, sondern von regulären Internetdiensten – dadurch wird eine Abwehr noch kniffliger, da das System im ersten Schritt ja keine direkte Bedrohung dieser Internetdienste erkennt. Mittels IP-Spoofing (dem Versenden von IP-Paketen mit verfälschter IP-Absenderadresse) manipulieren Angreifer diese Dienste, um Traffic auf das jeweilige Ziel zu leiten. Durch dieses Vorgehen ist eine Verschleierung der Attacke möglich. DRDoS-Attacken erfolgen beispielsweise über DNS-Dienste als sogenannte DNS Amplification Attack, bei der massive Datenströme an das Opfer ausgehen.

04

Wer sind die Angreifer?

Ihre Motive für einen DDoS-Angriff sind genauso vielfältig wie niederträchtig: Erpressung, Schädigung der Konkurrenz, Neid oder politischer Protest. Das Ziel ist jedoch immer dasselbe: Der dahinterstehenden Organisation soll ein möglichst großer Schaden zugesetzt werden. Wer steckt hinter den Attacken?

  • Einzelne Kriminelle oder Gruppierungen

  • Politische Aktivisten

  • Wettbewerber

  • Unzufriedene Nutzer/Kunden, die ihren Unmut überdeutlich kundtun wollen

Person arbeitet am Laptop und schreibt Code

05

Welche Methoden setzen Angreifer ein?

Cyberkriminelle nutzen unterschiedliche Arten von DDoS-Angriffen. Die Methoden lassen sich nach den jeweiligen Schichten ordnen (gemäß dem Open Systems Interconnection Modell für Netzwerkprotokolle, kurz OSI-Modell), auf die der Angriff abzielt.

Eine der häufigsten Methoden ist, Systemressourcen oder Netzwerkbandbreiten zu überlasten (Layer 3 und 4). Als Trend zeichnet sich unter den Cyberkriminellen in den letzten Jahren ab, die Angriffe auf die Anwendungsebene (Layer 7) zu verlagern. Muster und Bandbreiten von DDoS-Attacken ändern sich jedoch täglich, weshalb es essenziell für Unternehmen ist, sich umfassend mit den möglichen Risiken und einer für ihre Zwecke passenden DDoS-Abwehr zu beschäftigen.

Code auf einem Bildschirm und Geldscheine die in der Luft fliegen

06

Was sind die Folgen eines Angriffs?

Cyberkriminelle, die Unternehmen im Visier haben und einen DDoS-Angriff planen, haben häufig das Ziel, der betroffenen Firma wirtschaftlich zu schaden oder deren Ruf zu ruinieren. Durch eine Störung der Unternehmenswebpage oder einer E-Commerce-Plattform werden gezielt Gewinne „verhagelt“ und das Image signifikant angekratzt. Solche Schäden abzufangen beziehungsweise auszumerzen, kostet zusätzliches Budget und kann Jahre dauern. Tiefgreifender und weitaus schädlicher für das Image des betroffenen Unternehmens können allerdings die Folgen eines Datendiebstahls sein – wird die IT eines Unternehmens angegriffen und durch Hoch- oder Überlast geschwächt, kann es durchaus passieren, dass sensible Daten gehackt werden. An den Folgen leiden betroffene Organisationen oftmals noch Jahre später. Ein effizienter DDoS-Schutz mittels umfassendem Mitigations-Konzept ist deshalb äußerst wichtig.

Cybercrimineller sitzt in einem dunklen Raum vor einem Computer

07

Welche Branchen sind betroffen?

Opfer einer DDoS-Attacke kann jede Branche und jedes Unternehmen unabhängig von seiner Größe werden. Die Frage ist nicht, ob, sondern wann ein Angriff auf das eigene Unternehmen stattfindet und wie schnell dieser entdeckt wird. Im Fokus von Cyberkriminellen stehen E-Commerce-Unternehmen, Banken, FinTech-Unternehmen und Versicherungen, produzierendes Gewerbe, Medien oder das Gesundheitswesen. Auch Rechenzentren und Organisationen aus dem öffentlichen Sektor sind beliebte Ziele der DDoS-Angreifer. Die Motive der Kriminellen gehen weit über Lösegeldforderungen hinaus: Mit ihren Angriffen wollen sie Fertigungsanlagen und Produktionsprozesse lahmlegen, die Strom- oder Energieversorgung unterbrechen und Einfluss auf die Berichterstattung nehmen.

08

Wie lassen sich DDoS-Angriffe abwehren?

Im Zeitalter von umfassender Vernetztheit stehen DDoS-Angriffe schon fast an der Tagesordnung – es gibt wohl kein Unternehmen, welches nicht auf die eine oder andere Weise damit in Berührung kommt. Um sicherzustellen, dass man vor solchen Cyberattacken gefeit ist, empfiehlt es sich, auf die Expertise von erfahrenen IT-Security-Dienstleistern zu vertrauen, die genau wissen, wie man damit umgeht.

DDoS-Schutzlösungen reinigen den eingehenden Traffic und unterscheiden so zwischen validen Anfragen und schädlichen Zugriffen. Unternehmen, die besonders häufig von DDoS-Attacken betroffen sind, oder allgemein ein höheres Schadensrisiko aufweisen, tun gut daran, ihren Schutzmechanismus dauerhaft aktiv zu belassen – andere setzen die Lösungen nur im Bedarfsfall ein, um Aufwand und Kosten zu reduzieren. Je nach Schutzbedarf können hierzu Hardware Appliances oder Cloud-Lösungen eingesetzt werden.

On-Premise-DDoS-Schutz mittels Hardware:

Hier wird eine Appliance im Rechenzentrum des Unternehmens oder im Backend des jeweiligen Providers installiert. Diese Anwendung filtert einen Großteil des Traffics heraus – ähnlich wie ein spezialisierter Virenscanner es tut. Der Schutz greift sofort und erfordert keine maßgeblichen Änderungen am Netzwerk. Die On-Premise-Variante eignet sich jedoch nicht für große volumetrische Angriffe, da hier der Upstream-Provider recht schnell ausgelastet ist, sodass der Angriffs-Traffic nicht mehr bis zur Appliance gelangt.

DDoS-Schutz als Cloud-Service:

Mit dieser Variante lassen sich auch große volumetrische Angriffe abwehren. Im Gegensatz zur Appliance ist keine zusätzliche Hardware oder Software erforderlich. Auch Konfiguration und Betrieb übernimmt der IT-Sicherheitsdienstleister. Cloud-basierter DDoS-Schutz ist in unterschiedlichen Variationen zum Schutz von Webseiten und Online-Diensten (Layer 7) sowie auch zur Verteidigung von Rechenzentren (Layer 3/4) erhältlich. Je nach Bedarf lässt sich der Cloud-Schutz dauerhaft aktiv oder nur im Angriffsfall on-demand beziehen.

09

Weitere Tipps zur erfolgreichen Abwehr von DDoS Angriffen

Um das Risiko von DDoS-Angriffen erfolgreich zu minimieren und für den Ernstfall gewappnet zu sein, sind folgende Überlegungen im Vorfeld durchaus angebracht:

DDoS-Playbook

Unternehmen, die im Vorfeld ein sogenanntes DDoS-Playbook aufgesetzt haben, handeln im Ernstfall strategisch sicherer. Dieses Handbuch sollte die Namen und Details der zuständigen Mitarbeiter enthalten, die im Falle eines Angriffs kontaktiert werden. Zudem ist es hilfreich, wenn darin die Rollen und Verantwortlichkeiten genauestens festgehalten und dokumentiert werden. Gerade im Worst Case darf nämlich nichts dem Zufall überlassen werden. All diese Angaben zielen darauf ab, im Angriffsfall die Kommunikation und operative Handlungsfähigkeit aufrechtzuerhalten, auch wenn die IT versagt oder bestimmte Prozesse temporär außer Kraft gesetzt wurden.

Monitoring

Die Verteidigung eines Netzwerks kann nie hoch genug eingeschätzt werden, schließlich ist die Nutzung moderner Netzwerktechnologien angestiegen und aus bestimmten Branchen nicht mehr wegzudenken. Aus diesem Grund sollte die IT Security zentraler Bestandteil der Unternehmensstrategie sein.

Benchmarking

Zur besseren Identifizierung aktiver Angriffe empfiehlt sich zudem eine Art Benchmarking. Nach wie vor haben diverse Unternehmen keine Ahnung, wie hoch die Netzwerkauslastung im „normalen“ Betrieb ist. Deshalb sind sie auch nicht unmittelbar in der Lage zu erkennen, ob sie einem DDoS-Angriff ausgesetzt sind – oft wiegen sich Unternehmen fälschlicherweise in Sicherheit, da sie die Risiken mehr schlecht als recht einschätzen können und die eigenen Schutzsysteme nicht umfassend genug kennen. Aus diesem Grund muss der Netzwerkverkehr unbedingt engmaschig überwacht und Benchmarks festgelegt werden, damit Unregelmäßigkeiten zeitnah richtig eingestuft werden.

Maintenance

Die Wartung und permanente Überwachung von Servern und Netzwerkgeräten mit Patches, welche von Herstellern veröffentlicht werden, muss entscheidender Bestandteil eines IT-Sicherheitskonzepts sein und auch als solcher gewertet werden.

Challenging

Es empfiehlt sich, die gesetzten Benchmarks regelmäßig auszuwerten und immer wieder neu zu „hinterfragen“ – nur so lassen sich die Leistungsfähigkeit der Systeme und andere kritische Faktoren bestmöglich schützen.

Awareness

Zusätzlich ist ein erhöhtes Sicherheitsbewusstsein innerhalb des Unternehmens gefordert; gerade dann, wenn es etwa über eine geschäftskritische Online-Präsenz oder Netzwerkinfrastruktur verfügt.

10

DDoS Mitigation: Das müssen Sie wissen

Angreifer zielen mit DDoS-Angriffen darauf ab, die IT-Infrastruktur von Unternehmen mit Unmengen künstlicher Serveranfragen in die Knie zu zwingen. Hierzu setzen die Cyberkriminellen weit verzweigte Botnetze als Waffe ein oder missbrauchen das DNS zur Verstärkung von Attacken. In vielen Fällen gehen DDoS-Angriffe mit weiteren parallelen Attacken einher, die etwa Schadcode im System einschleusen oder wertvolle Unternehmensdaten stehlen sollen.

Eine wirksame Abwehr von solchen DDoS-Angriffen erfordert professionelle Schutzlösungen, die passgenau auf die eigene IT-Infrastruktur abgestimmt sind und im Bedarfsfall schnell zur Verfügung stehen. Nur wenn diese Voraussetzungen erfüllt sind, lassen sich teure Ausfälle von Online-Diensten und anderen digitalen Prozessen vermeiden.

Eine DDoS Protection filtert den eingehenden Traffic und leitet nur valide Anfragen an die Webserver weiter. Die dahinterliegende IT-Infrastruktur ist dadurch vor Überlastung geschützt und kann herkömmliche Anfragen wie gewohnt verarbeiten.

Die Myra Security-as-a-Service-Plattform stellt Unternehmen aller Branchen eine maßgeschneiderte Lösung zum Schutz digitaler Geschäftsprozesse bereit. Die vollautomatisierte Technologie analysiert den eingehenden Traffic in Echtzeit und filtert schädliche Datenströme heraus, noch bevor virtuelle Angriffe einen realen Schaden anrichten. Dank des Cloud-basierten Aufbaus gestaltet sich die Implementierung der Schutzlösung schnell und unkompliziert, zusätzliche Hardware oder Software sind nicht erforderlich.