Bundesamt für Sicherheit in der Informationstechnik

„Keinen Server mehr ohne DDoS-Schutz betreiben“

Datum 19.01.2015

Experten-Interview mit Adam Lakota, IT-Sicherheitsberater bei der First Colo GmbH

Adam Lakota von First Colo Adam Lakota

Adam Lakota ist IT-Sicherheitsberater bei der First Colo GmbH. Das Unternehmen ist spezialisiert auf Vermietung und Betrieb von sowohl Servern als auch Rechenzentrumsflächen und bietet zusätzlich DDoS-Schutz und Managed Services an. Im Interview mit der Allianz für Cyber-Sicherheit berichtet Adam Lakota über die Beobachtungen der First Colo GmbH und nennt mögliche Maßnahmen gegen diese verteilten Angriffe.

Allianz für Cyber-Sicherheit (ACS): Wie schätzen Sie die aktuelle Bedrohung für Wirtschaft und Verwaltung in Deutschland durch DDoS-Angriffe ein?

Adam Lakota (AL): Diese mutwilligen Überlastangriffe sind kein rückläufiges Phänomen, sondern eine realistische Gefahr, mit der ein vom Internet abhängiges Unternehmen jederzeit rechnen muss. In unserem Rechenzentrum sind über 160 Kunden (un)regelmäßig von DDoS-Angriffen betroffen. Während die Gefahrenlage aus unserer Sicht im Jahr 2013 eher auf gleichbleibend hohem Niveau stagnierte, haben wir 2014 eine deutliche Zunahme der Angriffsziele, der Angriffsintervalle und der Angriffsvolumina zu verzeichnen. Ernsthaft problematisch wird für einige Unternehmen die zunehmend höhere Schlagkraft dieser Volumenangriffe.

ACS: Können Sie einige konkrete aktuelle Beispiele schildern?

AL: Während wir im Jahr 2013 noch bei einem durchschnittlichen Angriff von 2 bis 3 Gigabit pro Sekunde (Gbps) lagen, haben wir Ende 2014 die durchschnittliche Angriffs-Bandbreite in unserem Rechenzentrum mit 6 bis7 Gbps ermittelt. Durch die Erhöhung des Angriffsvolumens fällt es immer mehr Unternehmen - aber auch den, nicht darauf ausgelegten Rechenzentren - sehr schwer, sich gegen diese Angriffe zu schützen. Das wissen wir vor allem von solchen Kunden, die zu uns gewechselt sind, weil ihr früheres Rechenzentrum eine entsprechend hohe Außenanbindung nicht bieten konnte und Volumen starke DDoS-Angriffe regelmäßig die Leitungen verstopft haben (bildlich gesprochen). Eine vorzeitige und ehrliche Kommunikation der vorherigen Rechenzentrumsbetreiber, hätte einigen Unternehmen die mit den DDoS-Angriffen einhergehenden (in)direkten Schäden ersparen können. Unser bisher höchster gemessener DDoS-Angriff betrug 173,4 Gbps; Auswertung der Alarme für die Stufen Quartal 3 und 4 2014: im Bereich „High“: 5559; im Bereich „Medium“ 5422.

ACS: Wie gehen die Angreifer aktuell vor? Wer steckt dahinter?

AL: Zu den Motivationsrichtungen bzw. Tätertypen gehören beispielsweise leichtsinnige, oft jugendliche Täter, die Tipps und Tricks in Foren austauschen und mit vorgefertigten Programmen (Tools), DDoS-Angriffe zunächst nur „mal ausprobieren“ wollen. Am häufigsten verbreitet ist jedoch professioneller Hacktivismus mit komplexen Angriffs-Szenarien, um Aufmerksamkeit zu erregen und auf „politische“ Ziele hinzuweisen. Das bedeutet jedoch nichts anderes, als dass man theoretisch mit allem, was man als Unternehmen nach außen kommuniziert, zum Zielobjekt von DDoS-Angriffen werden kann, weil die entsprechende Positionierung irgendjemand anderem nicht passt. Aber auch kriminell gesinnte Tätergruppen nutzen verschiedene, raffinierte DDoS-Angriffe regelmäßig als komfortable Einnahmequelle, um Schutzgeld mittels anonymer Bezahlmethoden zu erpressen. Darüber hinaus buchen konkurrierende Marktteilnehmer, verärgerte Mitarbeiter und unzufriedene Kunden „DDoS-Angriffe als Dienstleistung“ anonym im Internet, wo man bereits ab circa 50 Euro (!) die „Abschaltung“ einer selbst ausgewählten, ungeschützten Webseite in Auftrag geben kann.

ACS: Wie können CIOs und Verantwortliche die eigenen Netze vor Angriffen schützen?

AL: Gegen Anwendungsangriffe kann man vielleicht noch etwas unternehmen, indem man sich mit Hardware-Lösungen aushilft. Wenn es sich aber um Bandbreiten-Angriffe handelt, ist es für Unternehmen fast unmöglich, hier selbst etwas zu tun, da die Uplinks schnell volllaufen. Wir empfehlen daher, Kontakt zu einem Rechenzentrum zu pflegen, das auf die Filterung von starken Angriffen spezialisiert ist und nachweisbar über eine sehr hohe Außenanbindung und eine bewährte, in Deutschland stationierte Schutztechnologie verfügt. Der Datenverkehr kann dann im Angriffsfall national umgeroutet oder selektiert werden.


ACS: Wie viel Budget sollten Unternehmen für einen wirksamen Schutz gegen DDoS-Angriffe kalkulieren?

AL: Erstens: Die Investitionskosten für kompromisslos wirksamen DDoS-Schutz liegen für ein Rechenzentrum im oberen sechsstelligen Bereich. Uns ärgern daher ganz erheblich die unseriösen Marketing-Abteilungen konkurrierender Rechenzentren, die ihren Kunden effizienten DDoS-Schutz nur vorgaukeln, jedoch die entsprechenden Investitionen in den Bereichen Technologie und Außenanbindung nicht getätigt haben. Dieser Aspekt wird für uns zunehmend wettbewerbsrechtlich und für Rechenzentrums-Kunden auch haftungsrechtlich relevant.
Zweitens: Seit dem finanziellen Kraftakt unserer Technologie-Investition lassen wir keinen Server mehr ohne DDoS-Schutz laufen. Dabei haben wir etwas Erstaunliches festgestellt: Der verbrauchsintensive Datenverkehr von einigen unserer Kunden besteht zu einem geringen Anteil immer aus latentem DDoS-Datenverkehr (zugegeben, mit eher primitiven Angriffs-Methoden), von dem aber niemand etwas geahnt hätte, wenn die Fachkräfte in unserem Security Operations Center nicht dieses äußerst komplexe Datenverkehrs-Monitoring betreiben würden, mit dem sich nahezu alle möglichen Unregelmäßigkeiten detektieren und entfernen lassen. Dies hat unser Team zu folgender Interpretation veranlasst: Es gibt erheblich mehr DDoS-Datenverkehr als man denkt, wenn man diese untauglichen Angriffsverkehre mitrechnet. Wer auch immer sich heute auf solchem Anfänger-Niveau versucht, entwickelt aber unter Umständen den Ehrgeiz, in Zukunft effizientere Angriffs-Methoden mit höherem Gefährdungspotenzial durchzuführen.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK