Suchen

Verteilte Dienstblockaden Die fünf größten Irrtümer über DDoS-Angriffe

| Autor / Redakteur: Mirjam Reinermann / Stephan Augsten

DDoS-Angriffe begünstigen Datendiebstahl. Doch welche IT-Sicherheitsmaßnahmen helfen gegen die Web-Service-Blockaden? Und wen betrifft das DDoS-Risiko überhaupt? Arbor Networks nennt die fünf größten Irrtümer und wichtige Sicherheitsvorkehrungen.

Firmen zum Thema

In Anbetracht des hiesigen Know-hows lohnen sich DDoS-Attacken auch auf kleine Unternehmen.
In Anbetracht des hiesigen Know-hows lohnen sich DDoS-Attacken auch auf kleine Unternehmen.
(Bild: Archiv)

Ob IT-Unternehmen, Service-Anbieter oder Endanwender: Das Risiko der verteilten Dienstblockade (Distributed Denial of Service, DDoS) betrifft alle. Entsprechende Angriffe sollen größere Cyber-Attacken meist vorbereiten oder flankieren. Der Diebstahl von Kundendatenbanken ist dabei keine Seltenheit.

Vorbei die Zeit, da kleine Unternehmen oder Einzelstrukturen, weniger interessante Märkte oder Nischenprodukte nicht betroffen waren. Wer mehr über die Zahl und den Umfang von DDoS-Attacken erfahren möchte, der erhält auf der www.digitalattackmap.com „Digital Attack Map“ eine Live-Visualisierung des globalen Angriffsverkehrs.

Die Digital Attack Map wurde von Arbor Networks in Zusammenarbeit mit Google Ideas entwickelt. Die hier dargestellten repräsentativen Daten zeigen die aktuellen Angriffe, die aus ständig analysierten 120 Terabit pro Sekunde des gesamten Internetdatenverkehrs weltweit erhoben werden.

Die Zahlen stammen aus dem Monitoring-System ATLAS (Arbor Threat Level Analysis System) und zeigen: Die Angriffe verändern sich ständig, und damit auch die Voraussetzungen für einen effizienten Schutz. Beide werden immer komplexer.

Viele Unternehmen halten sich für gut geschützt, auch wenn die Sicherheitsmechanismen nicht mehr auf dem neuesten Stand sind. Mitunter glauben Administratoren nicht an eine Bedrohung des eigenen Unternehmens. Deshalb hier die fünf größten Irrtümer zum Thema DDoS – und was man wirklich dagegen tun kann:

Irrtum 1: Firewalls, IPS oder CDN sind eine ausreichende Lösung

Einfache Netzwerkstrukturen sind passé: Heute ist fast jedes Netzwerk komplex und meist mit Cloud-Lösungen externer Anbieter verquickt. Sogenannte Perimeter – also klar definierte Netzwerksegmente an Schnittstellen – gibt es quasi nicht mehr. Traditionelle perimeterorientierte Sicherheitslösungen wie Firewalls und IDS/IPS (Intrusion-Detection- und -Prevention-Systeme) aber schon.

Diese Systeme sind nach wie vor ein wichtiger Teil der meisten Sicherheitsstrategien, für bestimmte Arten von DDoS-Angriffen sind sie aber anfällig. Sie lassen sich manipulieren und können sogar zu einer Verschärfung von Angriffen beitragen. Denn die perimeterorientierten Lösungen arbeiten mit einer so genannten „Stateful-Inspection“, einer dynamischen Paketfilterung anhand des Verbindungsstatus.

Auch CDNs (Content Delivery Networks) sind keine Lösung zur Abwehr von DDoS-Angriffen. Im Gegenteil: CDNs reagieren nur auf die Symptome eines Angriffs und öffnen den Angriffsdaten sogar noch die Tür. Denn die riesigen Datenmengen eines DDoS-Angriffs werden durch ein CDN sozusagen absorbiert. Alle Daten gelangen in das Netzwerk und werden darin verteilt.

Die meisten CDN-basierten Lösungen für den DDoS-Schutz sind zudem nur für Angriffe über die Protokolle HTTP und HTTPS ausgelegt. Andere, mittlerweile häufige Angriffsarten – wie zum Beispiel Verstärkungsangriffe über Netzwerkinfrastruktur-Komponenten wie Domain Name Servern (DNS) und Network Time Protocol (NTP) – werden erst gar nicht erkannt.

(ID:43410114)