Gastbeitrag terreActive: DDoS - Was tun? Tipps und Massnahmen
Die DDoS-Attacken der letzten Woche haben ein grosses mediales Echo ausgelöst und der Bevölkerung die Risiken der online Welt ins Bewusstsein gerufen. Diese Art der Attacken begleitet uns schon länger und hat neben offensichtlichen Gegenmassnahmen über die Jahre auch differenziertere Ansätze zur Erkennung, Bekämpfung und Nachbearbeitung hervorgebracht.
Anatomie der Angriffe
Über die letzten 12 Monate konnten wir einige Attacken beobachten, die alle demselben Muster folgten: ein ca. 30-minütiger Angriff, der die Aufmerksamkeit seitens des Betreibers weckt, gefolgt von den Drohbriefen und Erpressungsversuchen und dann der eigentliche Angriff zur Demonstration der Stärke. Zusammen mit dem Provider lassen sich wirksame Massnahmen gegen solche Angriffe umsetzen. Auch die Trennung bzw. Auslagerung der online Präsenz vom E-Shop ist in den meisten Fällen empfehlenswert.
Wie Sie sich jetzt schützen können
Zum Schutz der Kunden hat terreActive folgende Ansätze zur Erkennung und Aufzeichnung der Attacken entwickelt:
- Monitoring: Einsatz von dedizierten Tools und Früherkennung (z.B. Packet Rate, Link Usage, Anzahl Concurrent Sessions und Concurrent Clients, Herkunftsland etc.).
- Logging: Sammeln von Beweisen während des Angriffs, bei gleichzeitiger Vermeidung von Überlastung durch zu hohes Log-Volumen.
- Alarmierung: Festlegung von spezifischen Schwellenwerten und einem dedizierten Kanal für die Alarmierung (z.B. eine Standleitung, da das Internet voraussichtlich nicht funktionieren wird).
- Verteidigung: Multi-Layer-Abwehrstrategien, dauerhafte Mechanismen und Ad-hoc Massnahmen.
- Tuning: Ad-hoc-Tuning wird für alle IT-Komponenten benötigt. Regelmässige Tests (z.B. ein DDoS-Selbsttest oder Kapazitätsmessungen).
- Prozesse: Erstellen eines post-incident Reports sowie Planung der nächsten Verbesserungen und Tunings. Spezielle Schulungen und Ad-hoc-Dokumentation.
Intelligenz oder Brechstange
Fast gleichzeitig mit den sehr publikumswirksamen Angriffen ist es einer Hackergruppe gelungen, beinahe 100 Mio. US$ zu ergaunern. Dabei sind sie nicht mit der Brechstange, sondern mit höchster Sorgfalt und Raffinesse vorgegangen. Sie haben sich Zugangsdaten zum Bankenzahlungssystem verschafft und diese in einem günstigen Moment missbraucht. Eine ebenfalls sehr relevante Bedrohung, die in einer aktuellen Risikobetrachtung genauso berücksichtigt werden sollte.
Mehr Transparenz hilft auf jeden Fall
Wer sich heute gegen Cyberbedrohungen wappnen will, muss an vielen Orten ansetzen. Generell hilft Transparenz, in Form von Audits, die Schwachstellen aufzuzeigen. Zusätzlich führt das Monitoring von Systemen zum besseren Verständnis der anspruchsvollen Aufgabe, den Cyber-Attacken gegenüberzutreten.
Weiterführende Links
Massnahmen gegen DDoS-Attacken, MELANI