DDoS-Schutz bei Cloudplattformen
Systemüberlastung, Webseitenausfall und Verlust von unternehmenskritischen Informationen: Laut Bitkom haben DDoS-Attacken in den letzten zwölf Monaten in 27 Prozent aller deutschen Unternehmen Schaden angerichtet. Der mit der Pandemie verbundene rasche Wechsel ins Home Office machte Unternehmen zunehmend anfällig für Cyberangriffe, da Sicherheitsvorkehrungen oftmals auf der Strecke blieben. Unser Fachartikel zeigt auf, an welchen Hebeln Unternehmen ansetzen müssen, um DDoS-Angriffe erfolgreich abzuwehren.
Distributed-Denial-of-Service-Angriffe (DDoS) können den IT-Betrieb ganzer Unternehmen lahmlegen. Umsatzeinbußen und gesunkenes Kundenvertrauen sind unliebsame Folgen. Cyberkriminelle zielen mit DDoS-Attacken darauf ab, Zugriffe auf Dienste und Anwendungen zu blockieren und somit nicht nur Websites für Kunden, sondern auch unternehmensinterne Anwendungen wie ERP-Systeme, Datamanagement- oder Backupsoftware außer Gefecht zu setzen.
Um die Verfügbarkeit von Systemen einzuschränken oder komplett auf null zu reduzieren, stellen Angreifer so viele Anfragen an internetbasierte Dienste wie Server, Firewalls oder Anwendungen, bis diese die Menge nicht mehr verarbeiten können und dadurch überlasten. Die Kosten für die damit verbundenen Ausfallzeiten können schnell in sechsstellige Bereiche steigen. Bei kleinen und mittleren Unternehmen beläuft sich die Summe auf rund 100.000 Euro, große Unternehmen können 2 Millionen Euro abschreiben.
Corona-Pandemie begünstigt DDoS-Angriffe
Die Corona-Pandemie hat den Cyberkriminellen in die Karten gespielt, denn eine umfassende Sicherung der IT blieb bei der Flucht ins Home Office in vielen Unternehmen auf der Strecke. Die für die Heimarbeit erforderlichen Cloudwerkzeuge, die Mitarbeitern Informationen zeit- und ortsunabhängig zur Verfügung stellen sollten, erwiesen sich als Einfallstor für Eindringlinge. Diese Beobachtung bestätigt eine Studie von techconsult und IONOS. Sie besagt, dass die bis vor Corona eingesetzten IT-Management- und -Sicherheitslösungen in Zeiten von Home Office kein ausreichendes Schutzniveau mehr bieten. Fast jedes zweite Unternehmen gab an, dass sie sich durch die Corona-Krise verstärkt mit Management- und Security-Tools auseinandergesetzt haben. Hierzu gehören Multifaktor-Authentifizierung, Identity & Access Management, Endpoint Protection oder Web-Application-Firewalls. Auch verteilten DDoS-Attacken sollte vorgebeugt werden.
Unternehmen müssen dafür Sorge tragen, sowohl traditionelle Unternehmensnetzwerke als auch neu eingesetzte Cloudplattformen gegen die steigende Zahl an DDoS-Angriffen zu schützen. Doch wie lassen sich virtuelle IT-Ressourcen gegenüber DDoS-Angriffen absichern? An welchen Stellen greifen welche Schutzvorkehrungen? Und welche Besonderheiten sind dabei zu beachten?
Schutz vor Botnetzen mittels eigenem Backbone
Die zunehmende Verschiebung von Unternehmensdaten in die Cloud erhöht den Druck auf Clouddienstleister, ihre Plattformen mit den darauf laufenden Kundenanwendungen vor DDoS-Attacken zu schützen. Die Anbieter können vor allem dann effektive Schutzvorkehrungen etablieren, wenn sie nicht nur über Rechenzentren, sondern darüber hinaus über einen eigenen Netzwerk-Backbone verfügen. Da die Attacken häufig von weltweit verteilten Botnetzen ausgeführt werden, ist eine möglichst große Abdeckung des Backbones über verschiedene Regionen hinweg von Vorteil. Durch redundante Verbindungen zu den wichtigen globalen Netzknoten (IXP, Internet Exchange Point) und einem ausgewogenen Verhältnis zwischen IP-Transit und Peering hat der Cloudprovider dann auch nicht nur einen einzigen Zugang zum Internet, der im Fall eines größeren DDoS-Angriffs schnell zum Flaschenhals werden kann, sondern kann der Attacke dezentral begegnen.
Ein Backbone zur Datenübertragung erweist sich in mehrerer Hinsicht als sinnvoll: Er ermöglicht es IT-Verantwortlichen, DDoS-Attacken nicht erst dann zu erkennen, wenn sie im Rechenzentrum angekommen sind, sondern schon auf dem Weg dorthin in unterschiedlichen Netz- und Sicherheits-Elementen. Dies verschafft wertvolle Zeit, um Abwehrmaßnahmen zu ergreifen und eröffnet die Möglichkeit, den Angriff dezentral zu behandeln.
Ein eigener Backbone ist allerdings nicht bei jedem Cloudprovider vorhanden. In diesem Fall müssen die Anbieter zu anderen Mitteln greifen und oft ist das sogenannte Blackholing durch den Transit-Provider des Cloudanbieters die letzte Möglichkeit: Bei dieser Variante wird der Traffic auf dem Weg zu den Services des angegriffenen Kunden durch den Transit-Provider an den Außengrenzen seines Netzwerks verworfen. Ziel ist es, Gefahr für die übrigen Kunden und die weitere Infrastruktur abzuwenden. Im Umkehrschluss ist dann aber der Zugriff auf die betroffenen Services des Kunden wie bei einer erfolgreichen DDoS-Attacke gekappt. Er kann nicht mehr am Netz gehalten werden, somit widerspricht Blackholing der eigentlichen Intention einer DDoS-Abwehr.
Waschgang im Scrubbing Center
Cloudanbieter mit einer DDoS-Defense-Plattform können Organisationen einen effektiveren Schutz vor DDoS-Angriffen bieten. Es erfolgt eine dezentrale Bekämpfung des eingehenden DDoS-Traffics dank verteilter Elemente im eigenen Weitverkehrs-Netz. Am Edge des Backbones sind dafür mehrere sogenannte "Scrubbing Center" installiert, in die durch verteilte Analysesysteme frühzeitig entdeckter DDoS-Traffic geroutet werden kann. Dort wird er analysiert, bereinigt und anschließend werden die legitimen Datenströme an die jeweilige Zieladresse geleitet.
Eine DDoS-Defense-Plattform kann aus mehreren Elementen aufgebaut sein, unter anderem einem "Scrubbing Center": Sämtlicher Traffic fließt durch einen DDoS-Traffic-Filter. Dort wird er auf Anomalien und potenzielle Gefahren überprüft. Bösartigem Traffic wird der direkte Zugang zu den Rechenzentren, inklusive der jeweiligen Kundenservices, verwehrt. Ob es sich um guten oder schlechten Traffic handelt, entscheiden die Data-Analytics-Systeme schon am Edge des Netzwerks. Diese analysieren die Metadaten des Verkehrs und erkennen Auffälligkeiten.
Kommt es im Filter zu einer Identifikation von gefährlichem Traffic, werden die Datenströme in das Scrubbing Center geleitet. Dies geschieht dezentral und bei einer verteilt eingehenden großen DDoS-Attacke erfolgt eine Aktivierung sämtlicher Scrubbing Center. Dort sind dann unterschiedliche "Washing Programs" vorgesehen: Bei diesem Vorgang filtern Systeme den bösartigen Traffic differenziert anhand bestimmter Merkmale. Dazu gehören Indikatoren wie die länderspezifische Herkunft des Traffics, Protokolle, Quell- beziehungsweise Ziel-IP-Adresse et cetera. Darüber hinaus erfolgt ein kontinuierlicher Abgleich mit Reputationslisten (beispielsweise spamhaus.org), in denen bereits bekannte DDoS-Quellen vermerkt sind.
DDoS-Defense-Plattformen nehmen Angriffen Wind aus den Segeln
Erst wenn der Traffic durch die unterschiedlichen Washing Programs geschleust wurde, läuft der übriggebliebene bereinigte Datenverkehr zum entsprechenden Rechenzentrum und damit zum Kunden. Das Umrouten des Datenverkehrs kann teilweise zu leichten Latenzerhöhungen führen, da die Netzwerkpakete unter Umständen nicht mehr den direkten Weg zur Cloudplattform nehmen können. Doch da sich so Systeme selbst bei starken DDoS-Attacken am Laufen halten lassen, betrachten IT-Verantwortliche diese leichte Latenzerhöhung meist nicht allzu kritisch. Für den Fall, dass sich der bösartige Traffic nicht zu 100 Prozent eliminieren lässt, kann ein kleiner, übriggebliebener Restanteil den Kundensystemen im Normalfall nichts mehr anhaben.
Weiterhin können folgenden Elementen eine DDoS-Defense-Plattform ausmachen:
Kontinuierliche Angriffserkennung: Es ist in der Regel vorab nicht bekannt, wann es zu einem DDoS-Angriff kommt. Somit muss sichergestellt sein, dass der eingehende Traffic laufend überprüft wird. Dies beginnt bei den Backbone-Routern: Dort werden stetig die Flow-Daten des eintreffenden Traffics ausgeleitet und von verteilten und hoch skalierbaren Analysesystemen unter die Lupe genommen und auf unterschiedliche Schwellwerte und Anomalien hin geprüft. Lediglich Stichproben durchzuführen, greift zu kurz.
Schadensbegrenzung ohne Eingriff durch den Anwender: Bei der Identifikation eines DDoS-Angriffs am Edge des Netzwerks schickt die DDoS-Defense-Plattform die Datenströme selbstständig durch die Scrubbing Center. Händisches Eingreifen ist über kurz oder lang zum Scheitern verurteilt und darf nicht mehr nötig sein.
Layer 3 und 4 Angriffsschutz: Die Plattform sollte eine umfassende Sicherheit bieten und dazu sämtliche virtuelle Ressourcen und Installationen einschließen. Ungefähr 98 Prozent aller Attacken spielen sich auf der Netzwerk- und Transportebene ab, es handelt sich mittlerweile oft um hochvolumige Angriffe bis hin zu mehreren 100 GBit/s. Aus diesem Grund muss der Angriffsschutz auf diesen Layern kugelsicher sein.
IP-spezifische DDoS-Filterung bei Bedarf: Auch wenn sich nicht vorhersagen lässt, wann es zu einem DDoS-Angriff kommt, gibt es Zeitpunkte mit einer erhöhten Wahrscheinlichkeit. Ein Beispiel sind Rabattaktionen von E-Commerce-Händlern. Bestimmte IP-Adressen lassen sich dann auf Wunsch speziell schützen. Dabei wird der gesamte Traffic an diese Adresse von vornherein über die Filterplattform geleitet und der DDoS-Verkehr somit direkt eliminiert. Auf Wunsch lässt sich auch nur der Traffic aus bestimmten Regionen filtern, falls beispielsweise bereits vorab Hinweise über die Herkunft eines möglichen DDoS-Angriffs vorhanden sind.
Reportfunktion nach Angriffen: Ist ein Angriff erfolgt, wird im Nachhinein eine umfassende Analyse erstellt, um ihn in seinen Einzelheiten nachvollziehen zu können. So lassen sich Angriffsmuster ableiten, die Unternehmen helfen, in Zukunft noch besser gegen DDoS-Attacken vorbauen zu können. Anbietern, die Services des öffentlichen Sektors hosten, ist oftmals im Falle eines DDoS eine Anzeige bei den Strafverfolgungsbehörden vorgeschrieben, auch dafür sind Analysereports unverzichtbar.
Proaktiver Experten-Support: Der Cloudanbieter prüft die Systeme des Kunden proaktiv und meldet sich, sobald im Netzwerk eine DDoS-Attacke entdeckt wird. Gleichzeitig steht der Service jederzeit für Fragen zur Verfügung.
Fazit
Mit der zunehmenden Vernetzung von Geräten stehen Cyberkriminellen laufend mehr Geräte zur Verfügung, die sie durch DDoS-Attacken kapern können. Vor diesem Hintergrund müssen Unternehmen heute mehr denn je darauf achten, dass ihre Netzwerke ausreichend geschützt sind. Allerdings nutzen moderne Unternehmen neben eigenen Rechenzentren in aller Regel auch Clouddienste, um ihre Rechen- und Speicherkapazitäten zu erweitern und damit sowohl in- als auch externe Prozesse abzubilden. Daher ist der Schutz der virtuellen Ressourcen eines Unternehmens mindestens genauso wichtig.
Unternehmen müssen von ihren Cloudanbietern einfordern, DDoS-Schutz ganzheitlich und möglichst effizient umzusetzen. Von Vorteil ist es dabei, wenn der Cloudprovider über eine eigene DDoS-Defense-Plattform verfügt, die er selbständig kontinuierlich weiterentwickeln kann, um den immer komplexer werdenden Angriffen möglichst effizient begegnen zu können. So schützen Unternehmen effektiv ihre eigenen Rechenzentren, die laufenden Services ihrer Kunden – und damit letztlich ihre Geschäftsfähigkeit und Reputation.
Autor: Daniel Heinze, Head of Network Engineering bei Ionos