Wenn Angreifer die Firma lahmlegen
Ein Plan für den Notfall
von Markus Selinger - 30.11.2022
Obwohl jedem Unternehmen dringend anzuraten ist, sich präventiv um den Schutz vor DDoS-Angriffen zu kümmern, ist das oft nicht der Fall. Viele Firmen schätzen die Gefahr und den Schaden durch eine DDoS-Attacke als gering ein. Denn viele sind in dem Glauben, dass es sowieso nur den Firmenauftritt träfe, über den sie nicht einmal einen Shop betreiben. Aber DDoS-Angreifer sind nicht dumm. Sie spionieren die IP-Adressen eines Unternehmens aus und greifen diese ebenfalls an. Somit stört eine DDoS-Attacke nicht nur die Webseite oder einen Shop. Vielmehr sind alle Webservices wie die E-Mail-Kommunikation, interne und externe Workflow-Systeme oder mobile Applikationen betroffen. Damit ist ein Unternehmen – vielleicht außer per Telefon – nicht mehr erreichbar. Kundendatenbanken reagieren quälend langsam, alles geht schleppend. Diese Behinderungen bis hin zum Komplettausfall können teuer sein. Was also tun in der Not?
Die meisten Schutzdienste bieten einem attackierten Unternehmen einen Notfallplan an. Diese Services lassen sich schnell online anbinden oder zumindest lässt sich binnen weniger Stunden eine Notintegration ausführen. So verspricht etwa Roman Borovits, Senior Solution Engineer bei F5: „Cloud-Services zum Schutz vor Layer-4- und Layer-7-Angriffen können innerhalb weniger Minuten implementiert werden.“ Per DNS oder BGP Rerouting werde der Verkehr über die Infrastruktur der Scrubbing-Center von F5 geführt. Appliances könnten ebenfalls binnen Minuten On-Premises in Betrieb genommen werden. Der Begriff Scrubbing-Center steht dabei für eine Cloud oder ein Rechenzentrum, das über eine sehr starke Außenanbindung verfügt und zum Filtern großvolumiger Attacken dient. Das Netzwerk soll so performant sein, dass es das angreifende Bot-Netz ausfiltern und stückweise blocken kann.
Ähnlich funktioniert die schnelle Integration bei Netscout. Auch Netscout hat – auch für Nichtkunden – einen Notfallservice für die Abmilderung (Mitigation) von DDoS-Angriffen. „Das Service Level Agreement für diese Notfalleinrichtung beträgt weniger als vier Stunden. Netscouts Notfallservice nutzt 14 cloudbasierte, globale DDoS-Mitigationszentren mit einer Kapazität von mehr als 11 Terabit pro Sekunde, um alle Arten von DDoS-Angriffen zu stoppen. Eine einfache E-Mail zur Autorisierung der Notfallbereitstellung und die Zusage für einen zukünftigen Kauf – das ist alles, was erforderlich ist, um den Service zu starten“, so Karl Heuser, Account Manager Security DACH bei Netscout.
Bei Cloudflare, Anbieter eines Content-Delivery-Networks (CDN), sind im Notfall die Hürden für die Nutzung seines Systems ebenfalls niedrig. Dazu ist kein besonderer Support nötig, sondern eigentlich nur ein guter Administrator. Cloudflare beschreibt das so: „Für eine schnelle Integration empfiehlt sich eine vollständige Selfservice-Lösung, die innerhalb weniger Minuten selbst eingerichtet und getestet werden kann.“ Ein Administrator könne den Dienst mit einem schnellen Account nutzen und den Datenverkehr der DDoS-Attacke umleiten. Der erste Schritt ist sogar kostenlos. Allerdings ist das zu verarbeitende Volumen begrenzt. Denn Cloudflare bietet auch die Verrechnung nach geblocktem Traffic an. So lässt sich der Verkehr schnell und relativ günstig umleiten. Im Netzwerk stehen Cloudflare-Kunden weitere Optionen zur Verfügung, etwa eine WAF – eine Web Application Firewall.
Im Prinzip bieten alle Security-Anbieter schnelle Hilfe bei der Integration eines Schutz-Services. Meist funktioniert das gut, wenn ein Netzwerk oder ein Cloud-Service genutzt wird. Steht der Server im Unternehmen, muss allerdings oft eine Software oder ein Dienst installiert werden. Das dauert natürlich seine Zeit.