Blog

Im InterNetX Blog erfahren Sie Neuigkeiten, Hintergründe und Innovationen
aus den Bereichen Domains, Server und SSL.

Black Friday: Ergreifen Sie Präventivmaßnahmen vor einer DDoS-Attacke

An umsatzstarken Tagen wie dem Black Friday oder dem Cyber Monday sind die Gefahren, die von Cyberkriminellen ausgehen, besonders groß: Verfügen Sie über Präventivmaßnahmen vor einer möglichen DDoS-Attacke?

Im Oktober 2016 legte eine massive DDoS-Attacke bekannte Online-Dienste wie Twitter, Netflix, Spotify, Airbnb und das PlayStation Network (PSN) über mehrere Stunden lahm. Angeblich soll ein frustrierter Playstation-Gamer dahinter stecken, dessen eigentliches Ziel das PSN war. Die Zahl der Webseiten und Online-Shops, die einer DDoS-Attacke zum Opfer fallen, steigt kontinuierlich an. 2014 gab es in Deutschland 32.000 DDoS-Angriffe, im letzten Jahr erhöhte sich die Anzahl um 90%. Das liegt daran, dass es für Cyberkriminelle sehr einfach ist, die DNS-Struktur zu missbrauchen und eine DDoS-Attacke durchzuführen. Reguläre User erhalten im Fall einer erfolgreichen DDoS-Attacke eine Fehlermeldung und können auf die betroffene Webseite oder den Online-Shop nicht mehr zugreifen. 48% der DDoS-Crashdowns dauern bis zu 6 Stunden an. Der daraus resultierende Umsatzeinbruch ist an konsumstarken Tagen wie dem Black Friday oder dem Cyber Monday besonders schmerzhaft.

Wie eine DDoS-Attacke funktioniert

Ein kurzer Exkurs über den Distributed Denial of Service (DDoS): Bei einer DDoS-Attacke benutzt der Angreifer die IP-Adresse seines Opfers um fingierte Anfragen in extrem hoher Frequenz an Server im Internet zu versenden. Die Webserver beantworten die an sie gerichteten Anfragen so lange bis der Server des Opfers aufgrund einer Überlastung schließlich zusammenbricht. Grafische Darstellung einer DDoS-Attacke

Tatort Cloud

Ein Drittel aller DDoS-Angriffe findet über missbrauchte Cloud Server statt. Der Eintritt in die Cloud kann auf zwei Wegen erfolgen: Zum einen durch angemietete Serverkapazitäten mit falschen Namen und gestohlenen Kreditkartennummern, die im Darknet gehandelt werden, zum anderen über ein Botnetz in der Cloud. Um ein Botnetz aufbauen zu können, werden Rechner und vernetzte Geräte gehackt und mit einer Software infiziert, die ähnlich wie Malware arbeitet. Schadsoftwares werden dabei häufig über verseuchte Downloads oder Email-Anhänge verteilt. Sobald die Botsoftware installiert ist, können die infizierten Geräte mit einer Command-and-Control Infrastruktur gesteuert werden. Damit die Software unerkannt bleibt, wird die Antiviren-Software manipuliert oder sogar deaktiviert.

Die Unberechenbarkeit der IoT-Geräte

Hinsichtlich volumetrischer Botnetz-Angriffe gerät vor allem das stetig wachsende Internet der Dinge (IoT) ins Visier. Da die internetfähigen Geräte oftmals über keine Updatefunktion verfügen sowie die voreingestellten Standardpasswörter vom Verbraucher häufig nicht abgeändert werden, können die Geräte leicht gekapert werden, ohne dass es ihre Besitzer bemerken. Die Lokalisierung der fremdgesteuerten Geräte ist in vielen Fällen nicht möglich, dadurch können die gehackten Geräte auch nicht vom Netz genommen oder anderweitig unschädlich gemacht werden.

Wachsames Monitoring und Data Mining

Um eine DDoS-Attacke im Rahmen der eigenen Möglichkeiten abwehren zu können, müssen Webseitenbetreiber zunächst erkennen, wann sie überhaupt angegriffen werden. Viele Webmaster wissen nicht, wie hoch die reguläre Anfragenzahl ist, die an ihre Server gerichtet wird, und erkennen somit auch nicht, wann der neuralgische Punkt erreicht oder überschritten wird. Ein DDoS-Angriff wird demnach häufig erst dann erkannt, wenn die eigene Seite nicht mehr erreichbar ist. Um proaktiv handeln zu können, sollte deshalb der durchschnittliche Seitentraffic statistisch ermittelt werden sowie die Serverlast kontinuierlich beobachtet werden. Dazu ist regelmäßiges Monitoring und Data Mining notwendig. Ungewöhnliche Ausschläge nach oben können so schon erste Hinweise auf eine DDoS-Attacke sein.

Antwortenlimitierung mit Response Rate Limiting

Zum Ziel der Schadensbegrenzung bieten einige DNS Server dem User auch ein regulatives Feature: Mit dem Response Rate Limiting (RRL) kann die Überlastung eines Servers erschwert werden, indem die Anzahl der empfangbaren Antworten begrenzt wird.

Tätererkennung mit Threat Intelligence Produkten

Ergänzend zu statistischen Erhebungen, Monitoring und Response Rate Limiting kann das Sicherheitskonzept um Threat Intelligence Produkte erweitert werden. Dabei handelt es sich um eine Datenbank, die bekannte Schadprogramme und Tätergruppen listet. Es ist jedoch zu beachten, dass es sich bei Threat Intelligence lediglich um eine signaturbasierte Erkennung handelt, Maßnahmen zur Bekämpfung müssen selbst generiert und eingeleitet werden.

Lastverteilung mit einem Content Distribution Netzwerk

Bis zu einer bestimmten Anfragenmenge stellt ein Content Distribution Netzwerk (CDN) einen effektiven Lösungsansatz dar: Durch die Verteilung des Contents einer Webseite oder eines Onlineshops auf mehrere Server, die sich an verschiedenen Standorten befinden, können die Anfragenpeaks bis zu einem bestimmten Level ausgeglichen werden. Des Weiteren werden die Daten dort ausgeliefert, wo sie tatsächlich angefragt werden. Die lokale Nähe bringt den positiven Effekt mit sich, dass sich die Antwortzeit verkürzt. Dies wird besonders bei transatlantischen Anfragen deutlich erkennbar und hat zudem positive Auswirkungen auf die Suchmaschinenoptimierung. Auch die Auslagerung statischer Webseiteninhalte in den Cache trägt zu einer schnelleren Webseitenladezeit bei, da der Server durch eine Verringerung der Anfragenanzahl entlastet wird.

Eine helfende Hand von einem externen Dienstleister

Eine massive DDoS-Attacke kann - wenn überhaupt - nur noch mit Hilfe eines externen Dienstleisters abgewehrt werden: Der Datenverkehr des Onlineshops oder der Webseite wird dabei zu einem Drittanbieter umgeleitet, der mit Hilfe eines Filters sämtliche Anfragen überprüft. Gegenstandslose Anfragen werden blockiert und gelangen gar nicht erst zum adressierten Server. Bei umsatzstarken Onlineshops sollte eine permanente Mitigation in Erwägung gezogen werden.

Fazit

Man darf sich nicht der Illusion hingeben, dass es einen 100-prozentigen Schutz vor DDoS-Attacken gibt oder die eigene Webseite vor einer Attacke verschont bleiben wird. Daher wäre es fahrlässig, keine umfassenden Präventivmaßnahmen zu ergreifen. Nur so können mögliche Schäden verhindert werden. Ein kombinatorischer Ansatz ist hier der ideale Lösungsweg. Da an Tagen wie dem Black Friday der Umsatz im E-Commerce um ein vielfaches in die Höhe schnellt und ein mehrstündiger Seitencrashdown entsprechend große Umsatzeinbußen zur Folge hätte, dürften sich die Anschaffungs- und Betreibungskosten schnell amortisieren.

Mögliche Folgen in Stichpunkten zusammengefasst:

  • Ihre Seite ist für Ihre Kunden nicht mehr erreichbar und Sie können keine aufklärenden Informationen publizieren
  • Ihr Online-Shop ist über einen längeren Zeitraum nicht aufrufbar und Sie können keinen Umsatz generieren
  • Der Ausfall Ihrer Seite hat für Ihr Unternehmen einen Imageschaden zur Folge
  • Sie können einen Crashdown nicht verhindern, abschwächen oder zügig beheben, da Sie im Vorfeld keine Präventivmaßnahmen ergriffen und keine Notfallpläne erstellt haben
  • Das Ausmaß der Störung wird unterschätzt und sie fordern zu spät externe Hilfe an
  • Sie verfügen über zu wenig Personal, da Sie keine Notfallbesetzung festgelegt haben
  • Es bricht Panik aus, da Ihre Mitarbeiter nicht für den Notfall geschult sind
  • Sie können auf Ihre Eskalationspläne nicht zugreifen, da diese online abgelegt wurden
  • Sie können externe Dienstleister nicht kontaktieren, da Sie auf Kontaktinformationen nicht zugreifen können
  • Mitarbeiter missachten ihre Notfallpflichten oder können die ihnen zugewiesene Rolle nicht ausfüllen
Damit Sie alle wichtige Maßnahmen im Blick haben, die Sie in Ihre Notfallstrategie einbetten und in Ihrem Unternehmen implementieren sollten, stellen wir Ihnen eine Checkliste zum Download zur Verfügung. 
Zurück
Newsletter anmelden

InterNetXPress Newsletter

Werden Sie jetzt Teil von tausenden InterNetXPress-Lesern!
2x im Monat Jederzeit kündbar
Ich habe die Datenschutzerklärung zur Kenntnis genommen. Durch Anklicken „Abonnieren” willige ich ein, dass meine E-Mail-Adresse elektr. erhoben und gespeichert wird.

Hinweis: Sie können Ihre Einwilligung jederzeit ohne Angabe von Gründen für die Zukunft
per E-Mail datenschutz@internetx.com widerrufen.

Der Code Signing-Life-Cycle: Wie lange bleiben die…

Der Life-Cycle eines Code Signing-Zertifikats bezieht sich auf die Phasen seiner Lebensdauer – von der Beantragung bis zum Ablauf des Zertifikats.…

Snapshot #10 mit Thomas Rickert (eco)

Im Snapshot Podcast unterhalten wir uns mit schlauen Köpfen und klugen Unternehmer:innen zu Themen aus den Bereichen der Digitalisierung, dem Online…
InterNetX blog cover Keith Mitchell from DNS-OARC

It’s all about domains… mit Keith Mitchell…

Das DNS ist ein kritisches System, das die Mitarbeit aller Beteiligten erfordert. Keith Mitchell, ein wahrer Internet-Experte, weiß das aus erster…
european e-commerce shops and their domains

Europäische Online-Shops und ihre Domains – eine…

Welche TLDs werden in Europa am häufigsten für den E-Commerce genutzt? Finden wir heraus, wie europäische Online-Shops Domains verwenden.

Autor

Dr. Alexandra Stöckl
Communications Manager
E-Mail: pressenoSpam@internetx.com