Service-Blockade durch die Hintertür oder im Schleichgang

DDoS-Angriffe verlaufen oft unbemerkt

| Autor / Redakteur: Werner Thalmeier* / Stephan Augsten

Schleichende DDoS-Angriffe

Stealth Attacks gehen den entgegengesetzten Weg. Sie stützen sich auf niedrigschwellige, dafür aber konstante DDoS-Angriffe. Zum Einsatz kommt dabei sehr häufig der sogenannte „Login-Brute-Force”-Angriff, der auf Login-Seiten abzielt. Er beschäftigt die Anmelde-Systeme dauerhaft und zum Schein mit Login-Anfragen und verdrängt dadurch legitime Besucher. Dies führt zu einer Überlastung der Anmelde-Server und damit meistens auch der Call Center des betroffenen Unternehmens, wo viele frustrierte Kunden anrufen, die sich nicht mehr einloggen können.

Insbesondere für Online-Einzelhändler führt ein solches Szenario umgehend zu erheblichen Umsatzeinbußen. Noch subtiler arbeiten jene Angreifer, die ihre Datenflutung noch feiner dosieren, damit alle Systeme, etwa der Login, weiter funktionieren, die Antwortzeiten der Web-Applikation sich jedoch deutlich erhöhen. Das allein kann das Geschäft aufgrund erhöhter Absprungraten erheblich schädigen. Neben solchen Attacken auf Login-Systeme nehmen sich heranschleichende Angreifer vor allem auch Datei-Uploads oder SSL-verschlüsselte Anwendungen vor.

Gemeinsam ist all diesen Stealth Attacks, dass sie auf der Anwendungsebene stattfinden und auf HTTP-Paketen basieren, die mit den gültigen Web-Spezifikationen völlig konform sind. Dadurch können sie von üblichen Sicherheitswerkzeugen wie IPS, Firewall oder DoS-/DDoS-Abwehrlösungen, die auf der Messung des Datenvolumens basieren, nicht entdeckt werden.

Hinzu kommt, dass diese Abwehrwerkzeuge heute zumeist noch Insellösungen sind. Sie werden mit einzelnen Angriffsarten fertig, nicht jedoch mit den Attacken, die sich mehrerer Methoden auf verschiedenen Ebenen gleichzeitig bedienen. Werkzeugseitig sollte deshalb sichergestellt sein: Sind die Tools in der Lage, auch Stealth Attacks zu entdecken? Und sind die einzelnen Lösungsbausteine so miteinander verzahnt, dass alle relevanten Netzwerkbereiche – eigenes Rechenzentrum, Umgebungssysteme und Cloud – abgedeckt sind und in Echtzeit miteinander kommunizieren?

Wer sind meine Angreifer überhaupt?

Tools und Technologien sind immer nur das letzte Glied einer längeren Entscheidungskette. Viele Unternehmen müssen sich erst einmal ihrer Risiken bewusst machen und sich Klarheit darüber verschaffen, ob sie bereits angegriffen wurden, ohne es gemerkt zu haben. Folgende fünf Schritte haben sich dabei bewährt:

Potenzielle Angreifer identifizieren: Es sind nicht nur Security-Anbieter, die regelmäßig vor neuen Attacken, Angreifern und ihren Methoden warnen. Auch unabhängige Verbände wie zum Beispiel der Branchenverband Bitkom oder Behörden wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) bieten umfassende und fortlaufende Informationen und Services an.

Schaffen einer Sicherheitszentrale: Die Sicherheitsinfrastruktur eines Unternehmens benötigt eine zentrale Kontroll- und Steuerungsinstanz, die alle IT-Einheiten, wie Netzwerke, Server und Anwendungen abdeckt. Manche Anbieter stellen eine „Software Defined“-Architektur zur Verfügung, in deren Rahmen die Angriffsabwehr automatisiert abläuft.

Einbinden eines Notfallteams: Unabhängig von der jeweiligen Sicherheitsinfrastruktur ist ein Expertenteam unerlässlich, das im Notfall einen Angriff schnell erkennt und effektiv bekämpft. Da ein solches Team rund um die Uhr und an 365 Tagen im Jahr abrufbereit sein muss, rechnet es sich oft, diese Aufgabe an externe Spezialdienstleister zu vergeben.

Unternehmenskritische Daten identifizieren und entsprechende Netzwerke separieren: Das Konzept der Netzwerk-Separierung ist relativ alt und zum Beispiel zwingender Bestandteil in den Sicherheitsstandards PCI-DSS v2.0 und PCI-DSS V3.0. Dies stellt sicher, dass die für Kriminelle leichter zugänglichen Informationen keine kritischen sind. Die wirklich heiklen Daten hingegen sind in überdurchschnittlich geschützten Netzwerken abgesichert.

Dominoeffekt vermeiden: Wie können sich Lieferanten und Partner auf die eigene Sicherheit auswirken? Zum Beispiel: Wenn der Internet-Provider eines Online-Händlers gerade angegriffen wird – welche Auswirkungen hat dies auf die Internet-Shops? Die gegenseitigen Abhängigkeiten zwischen Unternehmen müssen deshalb auch in Sachen IT-Sicherheit analysiert werden.

* Werner Thalmeier ist Director Security Solutions für Europa, den Nahen Osten, Afrika und Lateinamerika bei Radware.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43149046 / Mobile- und Web-Apps)