Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden

Dienstag, 23. Januar 2018

IT-Sicherheit

Die nächste Angriffswelle kommt bestimmt

Von Uwe Sievers | 27. Oktober 2016 | Ausgabe 43

Angriffe durch Überlastung, sogenannte DDoS-Attacken, nehmen zu. Schutzkonzepte sind gefragt, aber billig wird das nicht.

Groß angelegte Überlastangriffe führten im Internet erneut zu Ausfällen. Dieses Mal traf es die Großen der Branche, wie Amazon, Paypal, Netflix oder Twitter. Keiner von ihnen wurde jedoch direkt angegriffen: Sie wurden Opfer einer DDoS-Attacke (Distrituted Denial of Service) auf den Namensdienst DYN. Der sorgt dafür, dass Rechner im Netz über ihren Namen erreichbar sind. Anders als sonst zielte dieser Angriff auf die Internet-Infrastruktur, was für die Funktion des Netzes gefährlich werden kann.

DDoS-Angriffe bombardieren Server mit nutzlosen Datenpaketen, um sie zu blockieren. Dabei treten immer höhere Bandbreiten auf, wie der Angriff auf den Blog des US-Journalisten Brian Krebs zeigt (s. VDI nachrichten 41/16). Er hatte Cyberkriminelle enttarnt, die Angriffe gegen Geld anboten. Dazu verwendeten sie ebenso wie für den Angriff auf DYN das Mirai-Botnetz, das aus gekaperten Geräten wie IP-Kameras oder WLAN-Routern besteht. Deren Hersteller schludern oft bei der Sicherheit ihrer Produkte, Updates sind häufig gar nicht vorgesehen.

Angreifern beschert das auf Kosten der Geräteeigentümer Gesamtbandbreiten bis in den Bereich von Terabit/s. Wenn Millionen unbeaufsichtigter IT-Geräte Datenpakete auf einen Webshop feuern, sind die Kunden ausgesperrt. Zusätzlich müssen Opfer oft auch noch die missbräuchlich genutzte Bandbreite bezahlen.

Durch die jüngsten Vorfälle sind Kunden und Unternehmen alarmiert und suchen nach Schutzmöglichkeiten. Dazu halten Internetdienstleister (Internet-Serviceprovider, kurz ISP) unterschiedliche Konzepte bereit: „DDoS-Schutz bieten alle großen Netzanbieter, das ist Standard“, weiß Christian Reuss, Vertriebsleiter bei Arbor Networks. Allein schon, um ihre eigene Infrastruktur zu schützen. Große ISP können Angriffe schon an den Eintrittspunkten ins Netz herausfiltern, sobald der Angriff erkannt wurde.

Um einen Angriff zu erkennen, helfen Schwellenwerte: Steigt der Datenfluss plötzlich über einen Wert, ist das ein Indiz für einen Angriff. Datenpakete werden genauer analysiert; weisen sie die für DDoS-Attacken typischen Merkmale auf, wird der gesamte Datenfluss auf sogenannte Scrubbing-Center an den Knotenpunkten des Internets umgeleitet. Spezielle Hardware führt darin Datenstromanalysen zur Abwehr von Angriffen durch. Die kommt bei den meisten ISP von Arbor Networks. Die Geräte filtern Datenpakete des Angriffs heraus und leiten die regulären Daten über eine eigene sichere Verbindung an den Kundenserver weiter.

Das US-Magazin Wired attestierte dem Unternehmen bereits 2009, dass Arbor wahrscheinlich mehr als jeder andere über die Datenflüsse im Netz wisse, abgesehen von der National Security Agency (NSA). „Wir sehen ein Drittel des weltweiten Datenverkehrs“, äußerte sich Dennis Hohmann, Systemingenieur bei Arbor, während der Fachmesse it-sa in Nürnberg bescheiden.

Das Unternehmen bietet auch einen hybriden Schutz an, der aus einem Gerät beim Kunden plus Cloud-Schutz besteht. Entdeckt diese Komponente vor Ort einen Angriff, sendet sie ein Signal an die Eintrittspunkte im Internet und der gesamte Datenverkehr wird an Abors Scrubbing-Center geleitet.

Arbors Lösungen fangen bei rund 50 000 € an oder können als Service pro Monat ab einem vierstelligen Betrag gemietet werden. „Arbor ist kein billiges Produkt, aber jeder, der es bei DDoS-Schutz ernst meint, wird bei Arbor landen“, ist Vertriebsleiter Christian Reuss überzeugt.

Doch nicht jede Firma kann sich diesen Aufwand zusätzlich zu den sonstigen Internetkosten leisten. Arbors Kunden bestehen daher vorwiegend aus ISP und Netzbetreibern. Das Unternehmen hat den Schutz für die IT-Infrastruktur bei den Olympischen Spielen in Brasilien übernommen. „Nach zwei Wochen hatten wir schon 450 Attacken, am Ende waren es sogar 650“, berichtet Reuss.

Angriffe bleiben nicht ohne Folgen: „Der Aktienkurs von Sony ging damals runter, als sie Monate lang unter einem DDoS-Angriff standen“, erzählt Gerald Rubant, Vertriebsleiter beim Netzbetreiber Level 3. Das Unternehmen betreibt und vermietet ein weltweites Glasfasernetz. Level 3 verfügt über zehn Scrubbing-Center, „die können eine Gesamtkapazität von 4,5 TByte verkraften“, so Rubant. Der Preis beginne im vierstelligen Bereich und sei abhängig vom regulären Datenverkehr. „Die Anzahl der Angriffe und deren Volumen spielen dabei keine Rolle“, ergänzt Rubant. DDoS-Schutz sei in der deutschen Wirtschaft noch kein Standard, bemängelt er. „Im Mittelstand ist das noch nicht wirklich angekommen, dort versteht man die negativen Auswirkungen nicht“, bedauert Rubant.

Foto: Uwe Sievers

„Allein im letzten Quartal gab es 130 % mehr DDoS-Attacken als im gleichen Quartal des Vorjahres.“ Gerd Giese, Leiter des Teams der Sicherheitsanalysten bei Akamai.

Dabei weisen die Angriffe eine gefährliche Tendenz auf: „Allein im letzten Quartal gab es 130 % mehr DDoS-Attacken als im gleichen Quartal des Vorjahres“, erklärt Gerd Giese, Chef der Sicherheitsanalysten von Akamai. Das Unternehmen betreibt ein sogenanntes Content Delivery Network (CDN): Es unterhält Cache-Server an jedem wichtigen Internetknoten, worauf es Daten und Webseiten seiner Kunden kopiert. Die können dadurch weltweit schneller abgerufen werden.

 Auch Akamai bietet DDoS-Schutz durch seine weltweit verteilten Scrubbing-Center. Zusätzlich arbeitet Akamai mit gewichteten Internetadressen, um sie in Gefahrenklassen einzuteilen. Denn Akamai kenne so ziemlich jede im Netz verwendete IP-Adresse: „Wir sehen jeden Tag so viele Angriffe, dass die Wahrscheinlichkeit eines völlig neuen Angriffs eher gering ist“, erklärt er. Preise nennt das Unternehmen nicht. Günstig dürfte es nicht werden, denn ein CDN besitzt Vorteile: „Die Cache-Serverstruktur ist sehr hilfreich, statische Webseiten sind dadurch selbst bei massivsten Angriffen verfügbar“, sagt Giese.

Einen ganz anderen Ansatz verfolgt Corero: Das US-Unternehmen produziert ein Gerät, das vor Webserver oder Firewalls geschaltet wird, ohne nach außen sichtbar zu werden. „Angreifern bleibt es verborgen“, erklärt Vertriebsleiter Guido Erroi. In seinem Feld bietet es ein paar Alleinstellungsmerkmale wie Echtzeitschutz und einen dreistufigen Filter. Mit einem Einstiegspreis von ca. 500 € wendet es sich an den Mittelstand sowie an Webhoster und Cloud-Anbieter.

stellenangebote

mehr