:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Tipps für die Auswahl der richtigen Security-Tools von Link11 13 kleine Schutzengel gegen DDoS-Attacken
Die Link 11 GmbH betreibt selbst ein Hochleistungs-Rechenzentrum, ist jedoch spezialisiert auf die Abwehr von DDoS-Attacken mittels einer selbst entwickelten Schutz-Technik, die das Unternehmen vermarktet. Denn die Abwehr von DDoS-Attacken ist für viele Rechenzentrumsbetreiber ein wichtiger Lückenschluss. Dabei sollten sie die 13-Punkte-Liste von Link 11 kennen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Verteilte Überlastangriffe (oder englisch: Distributed Denial of Service, kurz: DDoS-Attacken), sorgen sind finanziell, technisch oder politisch motivierten Angriffe und übersteigen in ihren Dimensionen immer wieder die jeweils zurückliegenden Ereignisse.
Es ist zwar an sich nichts mehr Besonderes, dass eine Webseite einmal nicht erreichbar ist, weil der Server auf Grund massenhafter Zugriffe überlastet ist. Wer bei seinem Anbieter nur ein winziges Webhosting-Paket nutzt und überraschend in der öffentlichen Berichterstattung erwähnt wird, also beispielsweise in der Zeitung, im Fernsehen oder mit einem Link in einem Online-Artikel, der kennt das Problem der plötzlichen Überlast. So etwas gehört zum Alltag im Netz.
Aber es ist auch möglich, sich im Internet zu verabreden, also mit einer unbestimmten Zahl von Nutzern zu vereinbaren, in einem bestimmten Zeitfenster auf eine Internetseite zuzugreifen (und dann etwa im Sekundentakt durch einen Reload die Anfragenfrequenz hoch zu halten). Manche Gruppierungen, „Fanclubs“ oder Einzeltäter rufen dazu auf, zu einer bestimmten Zeit gezielt Webseiten in diesem Sinne “abzuschießen”.
Der gezielte Angriff
Hierbei umgeht man den „natürlichen Anlass“, ersetzt also bildlich gesprochen den ungeplanten, medialen Effekt durch eine gezielte Verabredung (etwa via Twitter). Hieraus resultiert auch der weit verbreitete Irrtum, ein DDos-Angriff sei doch nicht mehr als eine digitale Sitzblockade und dürfe deshalb auch nicht strafbar sein.
Schließlich gibt es Internetseiten, auf denen man solche Zugriffs-Anfragen gezielt steuern kann. Hier können dann einige, wenige Nutzer Anfragen in einer Masse produzieren und multiplizieren, die man selbst mit Zehntausenden von Einzelnutzern in einer „manuellen Verabredung“ nicht hinbekommen würde.
Aus dem Rechenzentrum für Rechenzentren
Die Link11 GmbH mit Sitz in Frankfurt am Main ist ein IT-Dienstleister mit dem Schwerpunkt in den Bereichen: Server-Hosting, Co-Location, IP-Anbindung und DDoS-Schutz. Sie ging im Jahr 2005 aus der 2001 gegründeten Einzelpersonenfirma JuFu.Net, Inhaber Jens-Philipp Jung, hervor. Vor allem im IP-Transit-Bereich hat sich die Firma in den letzten Jahren entwickelt.
Mit den Netzwerkstandorten und eigenen Glasfaserstrecken zwischen Frankfurt, Amsterdam und London gehört die Link11 heute zu den 10 größten Netzwerkbetreibern Deutschlands. Ende 2012 wurde das Netzwerk der Link11 GmbH erneut ausgebaut und verfügt aktuell über aktive 292 Gigabit pro Sekunde an Bandbreite.
2011 kam die DDoS-Schutzlösung nach drei Jahren Entwicklungszeit auf den Markt. Mit dieser lässt sich nach Firmenangaben jede Webseite oder ganze Server-Infrastrukturen vor DDoS-Angriffen schützen. Mitte 2012 erhielt das Unternehmen dafür den Innovationspreis „ECO Award in der Kategorie Netzwerkinfrastruktur“ vom
ECO Verband der deutschen Internetwirtschaft.
Die Liste
Das Unternehmen hat 13 Punkte zusammengestellt, die darauf aufmerksam machen können, worauf beim DDoS-Schutz zu achten ist.
1. Ermittlung qualifizierter Defizite
Achten Sie darauf, dass bei einem DDoS-Schutz nicht der gesamte Datenverkehr Ihrer Seite weggeblockt wird, sondern nur der schädliche DDoS-Datenverkehr!
Dazu sollte es möglich sein, den Datenverkehr anhand von möglichst vielen Merkmalen mit manuellen Anpassungsmöglichkeiten, sowohl zu überwachen, als auch optimal zu kategorisieren, zum Beispiel in „erwünscht“, „unerwünscht“ und „Sonderbefugnisse“. Nur so entsteht eine sehr geringe Falsch-Positiv-Rate beziehungsweise Ausfallrate.
Die geschützten Kunden-Internetseiten bleiben dann für die legitimen Nutzer optimal erreichbar. Ausgesperrt bleiben lediglich die illegitimen IPAdressen. Diese Sortierungsmöglichkeit sollte zudem so transparent wie möglich angeboten werden. Wie sollten Sie sonst nachvollziehen können, ob nicht viel zu viele legitime Besucher Ihrer Internetseite durch die DDoS-Schutzlösung weggeblockt werden?
2. Betriebsaufwand begrenzen
Einige am Markt erhältliche DDoS-Schutzlösungen sind finanziell und personell so intransparent aufgebläht, dass sich die Kosten kaum einpreisen und rechtfertigen lassen, oder in einem extrem schlechten Verhältnis zum drohenden Umsatzausfall durch einen DDoS-Angriff stehen. Vor dem Hintergrund einer möglichen Kostenfalle, sind einige Interessenten dann doch lieber von DDoS-Angriffen betroffen und bedenken den Reputationsverlust in der Öffentlichkeit nicht. Idealerweise buchen Sie also eine DDoSSchutzlösung, bei der ein Server-Umzug, ein Aufrüsten (Upgrade) der hauseigenen IT-Infrastruktur oder kostspielige Mitarbeiterschulungen für den Betrieb der Schutzlösung nicht nötig sind.
3. Bandbreitenstärke sichern
Achten Sie darauf, dass der Anbieter des DDoS-Schutzes ausreichend Bandbreiten-Kapazität hat!
Im Gegensatz zu einer einfachen Denial-of-Service-Attacke, werden Distributed-Denial-of-Service-Attacken nicht nur über einen einzelnen Angriffsrechner gefahren, sondern gleichzeitig im Verbund mit mehreren Rechnern. Dies hat zur Folge, dass es für die Betroffenen nahezu unmöglich ist, festzustellen, woher die Angriffe kommen.
Für eine DDoS-Attacke infiziert ein Angreifer einen so genannten Trojaner oder Bot (Bot von eng. robot, also „Roboter-Computerprogramm“) auf verschiedenen Rechnern, die per Standleitung und Breitband-Anschluss angebunden sind. Theoretisch können bereits zigtausende privater Rechner mit einem Trojaner oder Bot infiziert sein, ohne dass die Privatnutzer davon wissen. Zudem kann diese Infizierung kann auch schon Monate vor den eigentlichen Angriffen erfolgen.
Wird nun ein Angriff auf ein bestimmtes Opfer gestartet, erfolgen die Angriffe über die Rechner, auf denen die Trojaner oder Bots installiert sind - und zwar gleichzeitig. Sie erzeugen in der Gesamtheit ein enormes Angriffsvolumen mit dem Ziel, alle anderen Anwendungen zu blockieren.
Nur ein bandbreitenstarkes Rechenzentrum ist überhaupt in der Lage, gebündelte DDoS-Angriffe von mehreren zigtausend Rechnern abzufangen. Insgesamt sollte sowohl die Netzwerk-Kapazität, als auch das Echtzeit-Filterpotenzial in Gigabit pro Sekunde beurteilt werden.
4. Transparenz herstellen
Achten Sie darauf, dass Sie selbst die DDoS-Aktivitäten kontrollieren können!
Bei einer guten DDoSSchutzlösung können Sie Art, Dauer, Intensität, Region und Raffinesse des DDoS-Angriffes selbstständig mit einem Interface (Echtzeit-Monitoring-Grafik) nachvollziehen und manuell Aussperrungen und Durchlässigkeiten von IP-Adressen festlegen. Zu allen DDoS-Aktivitäten sollte ein monatlicher Status-Bericht über Art und Umfang der Vorfälle erstellt werden.
5. Skalierbarkeit festlegen
Individuell zugeschnittene Vertragsgestaltung und deren Anpassungsmöglichkeiten sollten wie selbstverständlich zur DDoS-Schutzstruktur gehören. Insgesamt sollte eine DDoS-Schutzlösung in einem exakten Äquivalent zum Datenverkehr des Internet-Auftrittes stehen.
Eine geschützte Rechtsanwalts-Seite erhält vermutlich weniger DDoS-Datenverkehr als eine geschützte Online-Shop-Seite. Zumindest ist die Gefahr für die Größe der zu erwartenden DDoS-Angriffe anhand von Erfahrungswerten zunächst geringer einzuschätzen. Die Schutzbandbreite sollte aber jederzeit ausgebaut werden können. Dementsprechend geringer sind auch die zu erwartenden Kosten für die DDoS-Schutzbandbreite.
6. Analytische Kontrolle einteilen
Achten Sie darauf, dass der Anbieter der DDoS-Schutzlösung durch eigenes Personal, ähnlich wie bei der Flugsicherung, den DDoS-Datenverkehr und die DDoS-Schutzlösung gegen-kontrolliert.
Nur durch zusätzliche, menschliche Beobachtung der jeweils aktuellen Angriffs-Szenarien kann sichergestellt werden, dass der Datenverkehr während eines DDoS-Angriffes sauber sortiert wird – in die Kategorien erwünscht / unerwünscht / neutral / Sonderbefugnisse. Bei vollständig automatisierten Sortierungs-Prozessen würde es zu zahlreichen Fehleinschätzungen kommen.
7. Aktualisierung dynamisieren
Achten Sie darauf, dass der Anbieter Ihrer DDoS-Schutzlösung auch alle aktuelle DDoS-Angriffs-Szenarien bekämpfen kann!
Es gibt nicht nur einzelne, belanglose oder längst „veraltete“ DDoS-Angriffsmethoden. Im Gegenteil: Manche aktuellen Angriffs-Taktiken sind äußerst „interessant“ bis intelligent und manchmal sogar ziemlich raffiniert. Der Anbieter sollte Ihnen also keine starre, vorgefertigte DDoS-Schutzlösung weiterverkaufen, sondern ein dynamisch aktuelisiertes Produkt.
8. Suchmaschinenoptimierung beibehalten
Mit einem DDoS-Schutz wollen Rechenzentrumsbetreiber bewirken, dass Ihre Internetseiten im Falle eines DDoS-Angriffes für legitime Nutzer weiterhin erreichbar bleiben. Sehr wichtig zu wissen ist jedoch, dass Suchmaschinen sich nicht wie reguläre Nutzer verhalten, da sie, ähnlich wie bei einer DDoS-Attacke, sehr viele Seitenzugriffe auf der Internetseite verursachen.
Eine Suchmaschine arbeitet dabei vollautomatisch und besteht im Wesentlichen
aus drei Elementen: Roboter-Software, Indizierungs-Software, Abfrage-Software. Das dritte Element nimmt die Suchanfragen des Web-Server entgegen und leitet sie an den Daten-Server weiter.
Eine optimale DDoS-Schutzlösung sollte daher alle relevanten Rechenzentren, Suchmaschinenbetreiber und deren spezielle Algorithmen erkennen und diese auch regelmäßig aktualisieren. Dadurch werden zum einen unnötige
Verzögerungen (sog. Latenzen) vermieden und zum anderen besteht die Möglichkeit, Spezialsuchmaschinen und neuere Suchmaschinen in die DDoS-Schutzlösung zu integrieren.
Es sollte in jedem Fall verhindert werden, dass der gesamte (finanzielle) Aufwand, den ein Unternehmen in seine Suchmaschinenoptimierung investiert hat, durch die Installation einer DDoS-Schutzlösung wieder zunichte gemacht wird.
9. Express-Nachrüstbarkeit festklopfen
Achten Sie darauf, wie schnell Ihnen im Notfall geholfen werden kann!
In unaufschiebbaren Notfällen, sollte, soweit die Kosten für den Kunden zweitrangig sind, die DDoS-Schutzstruktur innerhalb von maximal drei Stunden mit geschulten Technikern bereitgestellt, nach- und aufgerüstet werden können.
10. Latenzoptimierung herbeiführen
Achten Sie auf möglichst geringe Verzögerungszeiten bei den vor DDoS-Angriffen geschützten Internetseiten!
Bei einer DDoS-Schutzlösung sollte es ausreichen, wenn der Datenverkehr der Webseite in ein Hochleistungsrechenzentrum umgeleitet wird. Anschließend wird der analysierte, gereinigte und sortierte Datenverkehr wieder an den Kunden-Server weitergeleitet.
Bei diesem Verfahren gilt: Je geringer die Entfernung zwischen dem Inhalts-Server des Kunden und der DDoS-Schutzlösung, desto besser. Zwischen Eingang und Ausgang des Datenverkehrs sollten die Filtermechanismen für Säuberung und Sortierung unter 2 Millisekunden benötigen. Nur dann ist eine Latenzzeit nicht erkennbar.
11. Verfügbarkeit abfedern
Achten Sie darauf, dass der Anbieter ein redundantes Netzwerk bereithält!
Damit man eine Internetseite effizient vor DDoS-Attacken schützen kann, bedarf es eines komplexen Zusammenspiels von Hardware und Software-Komponenten. Die DDoS-Schutzstruktur sollte bereits im Backbone integriert werden; denn wenn der DDoS-Traffic schon im Netzwerk des Rechenzentrums angelangt wäre, könnten schnell Bandbreiten-Engpässe sowie die damit verbundenen Ausfälle entstehen.
Es sollte daher ein firmeneigenes, leistungsstarkes Netzwerk mit vielen autarken Backbone-Standorten und Peerings vorhanden sein, die im Gesamtverbund eine zusätzliche Redundanz darstellen. Dadurch werden eventuelle Fehler nicht auf andere Standorte übertragen und bei einem Ausfall wird der Datentransfer automatisch auf den nächsten Standort geroutet.
Lassen Sie sich am besten eine Standard-Verfügbarkeit von 99.95 Prozent im Jahresmittel garantieren und achten Sie darauf, ob diese Garantie auf Wunsch individuell erweitert werden kann. Blitzeinschläge und Brände in Rechenzentren sind zwar selten, jedoch belegbar. Warum sollten Sie also auf ein solches Garantieversprechen verzichten?
12. Deutsche Datenschutzstandards beachten
Achten Sie auf den Schutz Ihrer Daten und Firmengeheimnisse vor Dritten!
Eine optimale DDoS-Schutzlösung sollte keine Datenverarbeitungs- oder Datenspeicherungsprozesse beinhalten, sondern lediglich aus Aufbereitungs-, Filterungs-, Sortierungs-, und Reinigungsprozessen bestehen. Es sollte garantiert werden, nur solche Daten kryptographisch abzulegen, die zur Erfüllung der vertraglichen Verbindlichkeiten notwendig sind.
Auch sollten deutsche Datenschutz-Standards gewährleistet sein. Der Grundsatz der Datensparsamkeit und Datenvermeidung sollte zur Philosophie des Anbieters gehören.
13. Direktansprache einfordern
Achten Sie darauf, dass Ihnen immer ein persönlicher Ansprechpartner zur Verfügung steht!
Trotz des einfachen Grundsatzes berichten Anwender immer wieder von ihren negativen Erfahrungen. Sie mussten sich bei erneuten Anrufen – sogar im selben Problemfall – immer wieder einer neuen telefonischen Durchstellungskette unterwerfen.
Die Organisationseinheiten des DDoS-Anbieters sollten jedoch so strukturiert sein, dass eine Kontaktperson zugeordnet wird, die dauerhaft mit dem Kunden in Verbindung steht. Das spart Zeit, Geld und Nerven.
(ID:39207950)
:quality(80)/p7i.vogel.de/wcms/35/f5/35f57b44a3a661cd1bf56582a3949083/0109715821.jpeg "Für das Jahr 2023 erwarten Security-Expoerten, dass Angreifer immer stärker DDoS-Angriffe einsetzen, die sehr variabel und dadurch schwerer abzuwehren sind. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/ee/73ee02c5393a143bee940c27e479712f/0110646639.jpeg "Mirai ist eine Linux-Schadsoftware zum Aufbau von Bot-Netzen bestehend aus IoT-Geräten. (Bild: gemeinfrei)")