"Ich mache Ihnen ein Angebot, das Sie nicht ablehnen können“ – Massnahmen bei einem DDoS-Angriff

Je geschäftskritischer ein System ist, desto wichtiger ist dessen uneingeschränkte Verfügbarkeit. Distributed-Denial-of-Service-Angriffe (DDoS-Angriffe) sind ein verbreitetes Vorgehen von Hackern, um Webseiten anzugreifen und ausser Betrieb zu setzen. Die Anzahl dieser Attacken hat in den letzten Jahren stetig zugenommen (1) und sie werden als technologisch neuartige Version für Schutzgelderpressungen verwendet. Die Kosten für einen DDoS-Angriff auf Auftrag (DDoS as a Service) nehmen ab (2). Wir erklären, wie DDoS-Angriffe funktionieren und wie man sich schützen kann.

Wie funktioniert ein DDoS-Angriff?

Ein Distributed Denial of Service (DDoS) ist die Nichtverfügbarkeit eines Service, bei dem mehrere betroffene Systeme – die oft durch einen Trojaner infiziert sind – verwendet werden, um ein einziges System zu erreichen und einen Denial-of-Service-Angriff (DoS-Angriff) zu verursachen. Opfer eines DDoS-Angriffs sind sowohl das Zielsystem wie auch die anderen Systeme, die vom Hacker für den Angriff missbräuchlich verwendet wurden.

Bei einer DoS-Attacke kann einfach eine einzelne IP geblockt werden, um den Angriff abzuwehren. Eine DDoS-Attacke hingegen verwendet viele Computer und Internetverbindungen, um das Zielsystem mit Anfragen zu überlasten. Deshalb sind sie weitaus schwieriger in den Griff zu kriegen. DDoS-Angriffe sind auch oft weltweite Attacken, die über Botnets verteilt werden. Verbreitete Formen sind:

  • Bei einem Angriff auf den Datenverkehr wird ein grosses Volumen von TCP-, UDP- und ICPM-Paketen an das Zielsystem gesendet. Berechtigte Anfragen gehen verloren und die Attacken werden oft durch zusätzliche Angriffe auf Sicherheitslücken begleitet.
  • Ein Angriff auf die Bandbreite überlastet das Zielsystem mit einer massiven Anzahl nutzloser (Junk-)Daten. Das Resultat ist der Verlust der Netzwerkbandbreite und Equipment-Ressourcen und kann zu einer kompletten Nichtverfügbarkeit des Services führen.
  • Bei einem Angriff auf die Applikation schöpfen Nachrichten auf der Anwendungsschicht deren Ressourcen aus und beeinflussen damit die Verfügbarkeit des Zielsystems (3)

Welche Lösungen gibt es?

Wir raten dringend davon ab, auf die Forderungen der Erpresser einzugehen. Beachten Sie stattdessen die Massnahmen gegen DDoS-Attacken der Melde- und Analysestelle Informationssicherung MELANI.

Neben diesen Empfehlungen setzen wir zum Schutz unserer Kunden und unserer Infrastruktur gegen DDoS-Attacken auf Layer 3 und 4 auf den On-Demand-Service des führenden Herstellers Incaspula. Dieser bietet:

  • Der On-Demand-Schutz gegen DDoS-Angriffe bis 10 Gbit / s kann innert fünf Minuten aktiviert werden.
  • Bei einem Angriff wird der gesamte Netzwerkverkehr durch die Incapsula-Infrastruktur in Frankfurt und Zürich geroutet.
  • Die Verfügbarkeit des DDoS-Schutzes ist zu 99.999 % garantiert.
  • Dank neun Lokationen in Europa (29 weltweit) muss der Netzwerkverkehr die EU nicht verlassen.
  • Der Schutz verfügt über eine sehr geringe Latenzzeit.
  • Es gibt keinen Einfluss auf die Performance, solange keine Attacke stattfindet.

Bei einem Angriff wird auf Border-Gateway-Protocol-Ebene (BGP) der gesamte Netzwerkverkehr über das Scrapping-Center von Incapsula geroutet. Dort werden die zulässigen Netzwerkpakete von den unzulässigen getrennt und über einen Generic-Routing-Encapsulation-Tunnel (GRE) an uns weitergeleitet.

Bei allen neuen Hostingkunden ab Q2 2017 ist der DDoS-Schutz inbegriffen. Bestandeskunden werden durch den Account Manager kontaktiert, um die Massnahmen zu erklären und den Bedarf im Einzelfall zu identifizieren.

Wir können auch Ihnen helfen, effektive Gegenmassnahmen gegen DDoS-Angriffe zu implementieren. Kontaktieren Sie uns, wir helfen gerne.

Quellen und weiterführende Informationen:

  1. http://www.netzwoche.ch/news/2016-11-17/ddos-angriffe-werden-immer-staerker und
    https://www.govcert.admin.ch/blog/6/increase-in-ddos-extortion-dd4bc
  2. https://www.theregister.co.uk/2016/09/12/denial_of_service_as_a_service/
  3. http://www.webopedia.com/TERM/D/DDoS_attack.html und
    https://www.melani.admin.ch/melani/de/home/themen/DDoSAttacken.html

Unic festigt Informationssicherheit mit ISO-27001-Zertifizierung

Das Private Cloud Hosting von Unic ist seit dem 3. April 2018 nach der international anerkannten Norm ISO 27001:2013 zertifiziert. Damit wird Unic die Einhaltung der hohen Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) attestiert. Die Zertifizierung unterstreicht den hohen Stellenwert, den Unic der Informationssicherheit beimisst.

Safe Harbor ist tot – was heisst das für die Schweizer Online-Branche?

Man konnte es in den letzten Woche praktisch nicht überlesen, übersehen oder überhören: Der Europäische Gerichtshof (EuGH) erklärte das „Safe Harbor“-Abkommen zwischen der EU und den USA endgültig für null und nichtig. Wie spätestens seit Edward Snowdens Enthüllungen bekannt ist, haben amerikanische Behörden praktisch freien Zugriff auf in den USA gespeicherte Daten. Der im „Safe Harbor“-Abkommen geforderte Datenschutz existierte also nur auf dem Papier.