DDoS-Protection: Lösungen im Blick

Die aktuelle weltpolitische Lage ist prekär. Cyber-Angriffe im Allgemeinen, besonders jedoch DDOS-Attacken nehmen vor diesem Hintergrund enorm zu. Sie werden zu einer realen Gefahr für jedes Unternehmen, das auf die Erreichbarkeit seiner Services angewiesen ist. Eine DDoS-Protection sollte unbedingt in ein vollumfängliches IT-Sicherheitskonzept integriert werden. Wir zeigen Ihnen wie.

Zurzeit erleben viele deutsche Unternehmen eine unschöne Realität: DDoS-Attacken können jeden treffen. Wachsende IT-Infrastrukturen, Personalmangel und steigender Reifegrad der Angriffsszenarien sorgen für immer größere Risiken. DDoS-Protection wird demzufolge zur Notwendigkeit. Aber wie behält man bei diesem komplexen Thema den Überblick? Wir haben DDoS für Sie einmal von Grund auf erklärt und geben Tipps zu proaktiven und reaktiven Maßnahmen als Teil einer umfassenden DDoS-Protection.

Was ist ein Distributed Denial of Service-Angriff?

Ein DDoS-Angriff ist eine spezielle Art der Cyber-Kriminalität. Der Distributed-Denial-of-Service Angriff ist ein „verteilter“ Angriff, welcher auf eine absichtlich herbeigeführte Überlastung der IT-Infrastruktur abzielt. Das führt zu einer Dienstblockade. Ein angefragter, in sich funktionaler Dienst ist also nicht mehr oder nur noch stark eingeschränkt verfügbar, da durch künstlich herbeigeführte Überlastung nicht mehr alle Anfragen bedient werden können.

Warum das Ganze?

Das Ziel von DDoS Attacken ist es durch eine Überlastung von Firewalls, Gateways und Servern die Erreichbarkeit von Services einzuschränken. In Systeme einzudringen oder Systeme zu verschlüsseln ist kein Ergebnis davon, also besteht keinerlei Risiko für die Gefährdung sensibler Daten. Durch die beschränkte Erreichbarkeit oder Nichterreichbarkeit von Diensten soll das Vertrauen in die angebotenen Dienstleistungen beeinträchtigt werden. Das kann neben Reputationsschäden auch zu schweren finanziellen Schäden und großen Umsatzeinbrüchen führen und somit existenzbedrohend sein. Zudem können Angreifer diese Art der Cyber-Kriminalität nutzen, um Lösegelder zu erpressen oder um andere kriminelle Handlungen durchzuführen, zu vertuschen oder vorzubereiten.

Am Beispiel des belgischen Internet Provider Belnet wird deutlich, welche verheerenden Folgen ein DDoS-Angriff haben kann. Denn im Mai 2021 wurde mit einer solchen Attacke ein Großteil der belgischen Infrastruktur lahmgelegt. So musste eine digitale Parlamentssitzung unterbrochen werden, Impfzentren konnten die Registrierung ihrer Patienten nicht durchführen und Schüler und Schülerinnen mussten ihren digitalen Unterricht abbrechen – alle Ebenen des Landes waren betroffen.

Was hat das mit dem aktuellen Weltgeschehen zu tun?

Bereits vor über einem Jahr stellte das Bundeskriminalamt im Januar 2021 einen signifikanten Anstieg von DDoS-Attacken fest. Der US-amerikanische Big Player Cloudflare hatte Mitte Juni diesen Jahres eine DDoS-Attacke in Rekordgröße abgewehrt. Diese neuste Entwicklung führt den Trend des 1.Quartals 2022 fort. Denn es kam Anfang des Jahres zeitgleich mit der Krise in der Ukraine zu einem plötzlichen Anstieg der Angriffe – vor allem deutsche Webserver rückten vermehrt ins Visier russischer Hacker, wie unter anderem das Digitalmagazin t3n am 07.06.2022 berichtete. Im Vergleich zum 1.Quartal 2021 fand Anfang 2022 laut dem Cybersicherheitsunternehmen Kaspersky eine 4,5-fache Menge von DDoS-Angriffen statt. Deutschland wurde weltweit mit am häufigsten angegriffen – dicht hinter den Vereinigten Staaten und der Volksrepublik China. Auch auf IP-Adressen von Unternehmen, für die wir als Medialine Group als Managed Service Provider tätig sind, registrierten wir einen signifikanten Anstieg von DDoS Angriffen!

„Es gibt nicht die EINE Lösung“

Im Gespräch mit Security Teamlead der Medialine Group, Tobias Bernhard, stellt dieser eindeutig klar: „Wie so oft - es gibt nicht die EINE Lösung, auch nicht gegen DDoS-Angriffe. Am Ende ist es die Kombination aus verschiedenen Maßnahmen, die getroffen werden können.“ Der IT-Sicherheitsexperte erklärt, man könne in zwei verschiedene Kategorien unterscheiden: die proaktiven und die reaktiven Maßnahmen. Zum proaktiven Teil der DDoS-Protection gehören Maßnahmen wie:

Eine ausreichend große oder redundante Internetleitung, die im Notfall dazu oder umgeschaltet werden kann
Ein Loadbalancer, der die Anfragen auf zwei oder mehrere IPs oder Leitungen verteilt
Eine Web Application Firewall (WAF)

Um im Angriffsfall jedoch schnellstmöglich reaktive Maßnahmen einzuleiten, müssen zunächst zwei Fragen beantwortet werden: Findet ein DDoS-Angriff statt? Wenn ja, woher kommt der Angriff?

Ein DDoS-Angriff kann vorliegen, wenn eines oder mehrere dieser Events eintreten:

Externe Dienste sind nicht erreichbar.
Das Internet ist sehr langsam.
VPN-Verbindungen in das Firmennetzwerk sind gestört.
Die Bandbreite bricht weg.

Um die Herkunftsfrage zu beantworten, sollte die Firewall analysiert werden; beispielsweise mit Tools wie TCPDUMP. So können Netflow-Daten gesammelt werden. Sobald diese Informationen vorliegen, kann auf den Angriff reagiert werden. Wenn die Quell-IP-Adresse bekannt ist, kann diese (oder direkt ganze Netzwerke oder Länder) blockiert werden. Das lässt sich über Blacklisting oder Geo-Blocking realisieren.

Setzen Sie sich mit uns in Verbindung

DDoS-Protection fällt mehr noch als andere unserer Angebote sehr kundenspezifisch aus. Denn ohne Protection-Lösungen, welche spezifisch auf Ihre Systeme und Services angepasst sind, lässt sich ein Angriff bis zu einem gewissen Grad immer nur reaktiv und nicht proaktiv abwehren! Bitte kommen Sie daher aktiv auf uns zu, um eine individuelle Beratung für DDoS-Schutzkonzepte zu erhalten. Unser Sales-Team berät Sie gerne und vereinbart für Sie kostenlose Termine mit unseren technischen Beratern. Schreiben Sie eine Mail an sales@medialine.ag.

Für einen vollumfänglichen Schutz haben sich in der Vergangenheit bei unseren Kunden folgende Angebote bewährt: