DDoS-Attacken: Eine gute Abwehrstrategie ist schon die halbe Miete

Dadurch, dass Unternehmen interne IT-Ressourcen ihren Mitarbeitern bereitstellen, wird auch die Anzahl der Cyberangriffe weiter ansteigen. Und es gibt bisher keine Anzeichen für eine Entspannung, auch was DDoS-Attacken (Distributed Denial of Service) betrifft. Das Ausmaß, die Häufigkeit und vor allem die Raffinesse dieser Angriffe nehmen stetig zu. Laut einer Studie von Corero haben Multi-Vektor-DDoS-Angriffe von 2007 bis 2020 um mehr als 20 Prozent zugenommen.

Denn die meisten Angreifer nutzen mittlerweile mehrere Angriffsvektoren gleichzeitig. Durch die Effizienz der kurzen und sich wiederholenden Angriffe werden sie bei Cyberkriminellen beliebter und daher auch immer häufiger eingesetzt. Vier von fünf DDoS-Attacken dauern beispielsweise weniger als zehn Minuten, wobei die Wahrscheinlichkeit eines erneuten DDoS-Angriffs innerhalb der ersten 24 Stunden bei 25 Prozent liegt.

Zu spätes Erkennen von komplexen DDoS-Attacken

Angesichts der zunehmenden DDoS-Aktivitäten wird es immer schwieriger, solche Angriffe frühzeitig zu erkennen und abzuwehren – besonders ohne automatisierte Systeme, die Datenverkehrsprofile erstellen. Oft bemerken Unternehmen den Angriff erst, wenn die Website bereits zum Stillstand gekommen ist. Das ist besonders bei komplexen DDoS-Attacken der Fall, wenn diese verschiedene Ansätze verwenden und gleichzeitig mehrere Schichten des OSI-Modells angreifen.

Eine umfassende und starke Verteidigungsstrategie ist daher für eine effektive und effiziente Abwehr entscheidend. Damit können sich Unternehmen schützen und den Geschäftsbetrieb aufrechterhalten. Denn DDoS-Attacken zielen gleichzeitig auf Datenbanken, Anwendungen und die Infrastruktur ab. Daher benötigen Unternehmen eine zuverlässige Strategie zur Verteidigung, die über mehrere Ebenen hinweg die gesamte Infrastruktur schützt. Mit folgenden sechs Schritten lässt sich eine Abwehrstrategie planen und letztendlich wirkungsvoll in die Tat umsetzen.

1. Erstellung eines Abwehrplans gegen DDoS-Attacken

Die Erstellung eines DDoS-Abwehrplans sollte auf Grundlage einer sorgfältigen Sicherheitsbewertung geschehen. Es empfiehlt sich für größere Unternehmen mit komplexen Infrastrukturen beispielsweise, dass diese mehrere Geschäftsbereiche und Teams in die Planung miteinbeziehen. Ein DDoS-Angriff kommt meist unerwartet und verlangt eine schnelle Reaktion. Den Betroffenen bleibt also wenig Zeit, sich über die nächsten Schritte Gedanken zu machen. Es muss bereits im Voraus klar definiert sein, welche Schritte im Notfall notwendig sind, um negative Auswirkungen zu vermeiden. Ein solcher Incident-Response-Plan, kann je nach Infrastruktur recht umfangreich werden. Wichtig hierbei: Bereits der erste unternommene Schritt hat eine entscheidende Auswirkung darauf, wie der Angriff endet.

Folgende Schlüsselelemente sind für alle Organisationen bei der Planung relevant:

• Asset-Liste: Erstellung einer vollständigen Liste aller „Assets“. Damit sind Webserver, Netzwerkelemente oder Anwendungen gemeint, die direkt mit dem Internet verbunden sind und geschützt werden sollten.
• Task-Force: Ernennung eines Reaktionsteams, in dem die Verantwortlichen und Rollen klar definiert sind, um eine schnelle, organisierte Reaktion auf den Angriff zu gewährleisten.
• Benachrichtigungs- und Eskalationsverfahren: Alle Teammitglieder müssen genau wissen, wer im Ernstfall zu kontaktieren ist. Hierbei ist eine Liste mit internen und externen Kontakten sinnvoll, die zur Bewältigung des Angriffes von Nöten sind.
• Kommunikationsstrategie: Die Verantwortlichen müssen klar definieren, wie das Unternehmen den Vorfall an Kunden, Mitarbeiter, Cloud-Service-Provider und etwaige Sicherheitsanbieter kommuniziert.

2. Sicherung der Netzwerkinfrastruktur vor DDoS-Attacken

Durch eine Implementierung von mehreren Sicherheitsfeatures lassen sich Bedrohungen abschwächen. Dazu gehören Funktionen wie fortschrittliche Intrusion-Prevention- und Threat-Response-Systeme, welche die Lösungen zur DDoS-Abwehr kombinieren: etwa Firewalls, VPN, Anti-Spam, Content-Filterung und Netzwerksicherheit. Zusammen ermöglichen diese Maßnahmen einen konstanten und zuverlässigen Netzwerkschutz. Viele Standard-Netzwerkgeräte verfügen nur über begrenzte DDoS-Mitigationsfunktionen.

Daher sollten Unternehmen das Outsourcing des DDoS-Schutzes in Betracht ziehen, um eine umfassendere Sicherheit zu gewährleisten. Cloud-basierte Lösungen geben Unternehmen die Möglichkeit auf erweiterte Mitigations- und Schutzressourcen zuzugreifen. Das ist meist mit festen Budgets möglich, was Unternehmen wiederrum unterstützt, die Kosten in Grenzen zu halten. Darüber hinaus sollten Unternehmen sicherstellen, dass ihre Systeme auf dem neuesten Stand sind. Veraltete Systeme können Schwachstellen aufweisen und bieten DDoS-Angreifern große Erfolgschancen bei einer Attacke.

3. Grundlegende Maßnahmen zur Netzwerksicherheit

Die Implementierung starker Sicherheitsmaßnahmen kann verhindern, dass Unternehmensnetzwerke kompromittiert werden. Hierzu zählen komplexe, einzigartige Passwörter, die regelmäßig geändert werden. Ebenso aber auch Anti-Phishing-Methoden und sichere Firewalls, die nur minimalen Datenverkehr von außen zulassen. Diese Maßnahmen alleine werden DDoS-Attacken zwar nicht stoppen, dienen aber als wichtige Sicherheitsgrundlage, um die negativen Auswirkungen zu verringern.

4. Aufrechterhaltung einer starken Netzwerkarchitektur

Eine sichere Netzwerkinfrastruktur ist entscheidend für den Kampf gegen diese gezielten Angriffe. Redundante Netzwerkressourcen ermöglichen im Notfall, die Bewältigung des zusätzlichen Traffics, während ein Server angegriffen wird. Außerdem ist es von Vorteil, wenn die Server an verschiedenen geografischen Orten liegen, denn verstreute Ressourcen erschweren den Angriff.

5. Nutzung eines Internet-Service-Providers zur DDoS-Abwehr

Die Auslagerung der DDoS-Abwehr an ISPs mit Cloud-basierten DDoS-Abwehrdiensten bringt klare Vorteile mit sich. Anbieter, die eine so genannte „Always-on“-Lösung anbieten können große Mengen an kritischem Datenverkehr mit minimaler Latenzzeit absorbieren – bevor das Ziel überhaupt erreicht wird. Zudem gibt es DDoS-Abwehrlösungen, die über einen integrierten Tier-1-ISP bereitgestellt werden. Diese bieten Threat-Intelligence-Funktionen, die das Internet ständig nach den neuesten DDoS-Taktiken und Angriffstrends durchsuchen.

6. DDoS-Attacken: Warnzeichen verstehen

Es ist wichtig, sich über die Symptome eines DDoS-Angriffs im Klaren zu sein. Hierzu gehören beispielsweise eine hohe Netzwerklatenz, schlechte Konnektivität und Leistung im Intranet oder sogar die temporäre Abschaltung von Websites. Kein Netzwerk ist perfekt, aber ist ein solcher Leistungsmangel von längerer Dauer als gewöhnlich, sollte der Ursache auf den Grund gegangen werden. Denn höchstwahrscheinlich handelt es sich in solchen Fällen um einen DDoS-Angriff und Maßnahmen sollten schnellstmöglich in die Wege geleitet werden. Verfügen Unternehmen hier über eine Echtzeitlösung, reduziert sich für sie der Arbeits- und Monitoringaufwand enorm.

DDoS-Attacken werden weiterhin einen bedeutenden Teil der Cyber-Bedrohungen für Unternehmen ausmachen. Eine gute Vorbereitung kann zusammen mit strengen und konsequenten Maßnahmen entscheidend zur Eindämmung dieser Attacken beitragen.

Lesen Sie auch: DDoS-Attacken: Starker Anstieg aufgrund der Covid-19-Pandemie

Über den Autor: Gregor Chroner ist Head of Solutions Consulting DACH bei GTT. Er ist ein anerkannter Experte rund um das Thema Telekommunikation und SD-WAN. Seit 2015 berät er Unternehmen aller Größen und Branchen bei der Modernisierung, Migration und Implementierung von Software Defined Netzwerken.