DDoS-Angriffe sind nicht mehr das, was sie mal waren: Aus den groß angelegten Volumenangriffen vergangener Tage sind heute kleinere, kürzere und komplexere Attacken geworden, die umso mehr Chaos stiften können. Wir verraten, warum herkömmliche Abwehrmechanismen versagen und wie Sie sich schützen können.

Ein DDoS-Angriff (Distributed Denial of Service) tritt auf, wenn mehrere Systeme sich zusammenschließen, um die verfügbare Bandbreite oder Ressourcen eines Zielsystems zu überfordern. Und während sich herkömmliche DDoS-Angriffe auf hohe Bandbreiten konzentrieren, kommen bei modernen und kürzeren Attacken meist mehrere Angriffsvektoren gleichzeitig zum Einsatz, um den DDoS-Schutz zu umgehen.

Das Ziel der Überlastungsangriffe bleibt hingegen gleich: Den Dienst des Opfers beinträchtigen oder ausfallen lassen. In jedem Fall können erfolgreiche DDoS-Angriffe zu kostspieligen Ausfallzeiten, Umsatzeinbußen und weitreichenden Imageschäden führen.

BSI warnt: Das DDoS-Bedrohungsrisiko steigt!

Im letzten Lagebericht 2021 berichtet auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) von einer kritischen Cyber-Security-Lage. In manchen Bereichen steht die Alarmstufe bereits auf Rot:

  • Vor allem der fortlaufende Breitbandausbau ist ein begünstigender Faktor für die verstärkten Distributed Denial of Service (DDoS) Angriffe, da immer bandbreitenstärkere Attacken möglich sind.
  • Daneben schafft auch die zunehmende Digitalisierung Raum für neue Angriffswege, während der Einsatz veralteter Technologien die DDoS-Angriffsfläche nur vergrößert.
  • Wie auch in anderen Cybercrime-Bereichen wurde beobachtet, dass DDoS-Angriffe verstärkt für Erpressungen genutzt werden.

Kürzer und gefährlicher: moderne DDos-Attacken

Deutlich heimtückischer als Angriffe mit massiven Datenverkehrsmengen sind heute die kürzeren Angriffe, die allein aufgrund ihrer Häufigkeit und ihrem verteilten Chaos mehr Schaden verursachen können. Sie zielen vor allem darauf ab, schwache oder veraltete Schutzsysteme zu verwirren. Zudem sind sie sehr effektiv, wenn keine ständig einsatzbereite Lösung oder ein globaler Ansatz zur Schadenbegrenzung im Einsatz sind.

Während also massive und hochintensive DDoS-Angriffe, die mit Hunderten von Gigabits gemessen werden, in der Presse Schlagzeilen machen, wird der wahre Krieg vielmehr in einer endlosen Reihe kleinerer Scharmützel geführt. Und fälschlicherweise gehen viele Organisationen immer noch davon aus, dass sie durch ihre Internet Service Provider (ISP) vor solchen Angriffen geschützt sind. Sie bieten – falls nicht anders angegeben – keinen Schutz auf Kundenebene an.

Warum herkömmlicher DDoS-Schutz nicht mehr funktioniert

 Zu komplex, kostenintensiv und teuer:
Herkömmliche Lösungen sind für Provider nach wie vor kostspielig und zeitaufwändig. Denn mit zunehmender Häufigkeit, Intensität und technischer Raffinesse ist die DDoS-Abwehr ressourcenintensiver geworden. Das erfordert zusätzliche Investitionen in die unterstützende Infrastruktur, die zur Erkennung und Abwehr von Angriffen erforderlich ist.

 Zu langsame Reaktionszeiten:
Ein großes Manko traditioneller DDoS-Abwehr ist die Verzögerung zwischen dem Zeitpunkt, an dem ein Angriff zum ersten Mal erkannt wird und dem Zeitpunkt, an dem Abhilfemaßnahmen eingeleitet sind. Ist die durch die manuellen Arbeitsabläufe von Netzbetreibern und Sicherheitsanalysten beeinflusste Zeitspanne zu hoch, verstreichen wertvolle Minuten und mitunter sogar Stunden.

 Zu hohe Latenzzeiten für legitimen Verkehr:
Um Angriffe zu erkennen und zu entschärfen, betreiben große Provider eigene Scrubbing-Zentren, über die im Angriffsfall bestimmte Verkehrsströme umgeleitet werden. Und da bei der Rückleitung des Angriffsverkehrs über das Kernnetz zum Scrubbing Center zusätzliche Bandbreite verbraucht wird, kann der ebenfalls durchgeleitete legitime Verkehr erhöhte Latenzzeiten aufweisen.

Warum Inline-Lösungen effektiv und teuer sind

Sie können viel Geld in die Hand nehmen und sich eigene Ressourcen und eine moderne State-of-Art-Lösung aufbauen, um sich global zu schützen. Dafür kommen sogenannte Inline-Appliances in Frage, die an einem möglichen Angriffspfad platziert werden und innerhalb von Millisekunden entscheiden, was mit dem analysierten Traffic passieren soll.

So wird legitimer Traffic mittels leistungsfähiger Algorithmen und durch die Intelligenz der Systeme von schadhaftem Traffic separiert und dadurch in der Praxis nicht beeinträchtigt. Allerdings leidet die Flexibilität, wenn der Angriffspfad dann über einen anderen Vektor geht. Denn eine Inline-Appliance ist vielleicht noch bezahlbar ­– braucht es aber mehrere, ist hier meist das Ende der finanziellen Fahnenstange erreicht.

Mix aus smarter Technik und gesundem Expertenverstand

Die wohl effektivste Methode, um DDoS-Angriffe abzuwehren, besteht aus einer Mischung aus intelligenter Technik und gesundem Menschenverstand. So können Inline-Lösungen zum einen eine Vielzahl von Analysen in nahezu Echtzeit durchführen und verdächtigen Traffic blocken. Zum anderen kann ein Managed Servicer Provider – z. B. in einem speziellen SOC (Security Operations Center) – die zusätzliche Expertise liefern, um Netzverkehr-Proben im Detail zu analysieren.

Dabei sollte der Fokus immer darauf liegen, dass ein Angriff hochautomatisiert und chirurgisch präzise in wenigen Sekunden erkannt und blockiert wird – und zwar ohne Unterbrechung oder Verlangsamung der vorhandenen Internet-Services.

Wo geht die Reise beim DDoS-Schutz hin?

Wenn sich die DDoS-Angriffe immer weiterentwickeln oder durch z. B. Cybercrime as a Service-Modelle (CaaS) immer zahlreicher werden, muss sich auch der DDoS-Schutz weiterentwickeln.

Ein lohnender Ansatz ist die direkte DDoS-Schutzintegration in den Router, den manche Netzwerkausrüster verfolgen. Dabei erkennt die DDoS-Engine den Angriff selbstständig und leitet die Informationen direkt an den Router weiter. Dieser entwickelt daraus Regeln und „schmeißt“ den nicht legitimen Traffic einfach raus. Das ganze funktioniert im Millisekundenbereich. Und da es sich um reine Softwareintelligenz handelt, ist auch keine Extra-Hardware nötig. Gerade existierende Umgebungen, in der bereits viele Router im Einsatz sind, profitieren von solch einer flexiblen Lösung.

Auch Künstliche Intelligenz wird bei der DDoS-Erkennung eine immer größere Rolle spielen, wobei die Hersteller sich ungern in die Karten schauen lassen. Stichwort: Machine Learning. Wenn bestimmte Muster analysiert und darauf basierend Verhaltensweisen trainiert werden, lassen sich kommende Angriffe selbstständig abwehren.

Transparenz maximieren – DDoS-Risiko minimieren

Wenn herkömmliche Schutzmechanismen wie Scrubbing-Center oder Firewalls nicht mehr den gewünschten Nutzen bei kürzeren DDoS-Attacken bieten, braucht es neue Lösungen. Es geht darum, den Traffic mit moderner Softwareintelligenz und ausgeklügelten Algorithmen in nahezu Echtzeit zu analysieren und zu separieren. Im Endeffekt braucht es eine größtmögliche Transparenz über den gesamten Netzwerkverkehr. Und wenn nötig, sollte der gesunde Expertenverstand dann auch noch eine wichtige Rolle spielen.

Sie haben Fragen zum Thema DDoS oder möchten sich über die Leistungen eines Managed Service Providers in diesem Bereich informieren? Zögern Sie nicht, mich zu kontaktieren!

Rüdiger Müller Rüdiger Müller ist seit 1998 in der ICT-Branche tätig und seit 2016 Senior Security Engineer bei Axians im Bereich Carrier und Service Provider. Zu seinem Aufgabenbereich zählen die Beratung, die Konzeption und die Implementierung von IT-Infrastrukturen. Er verfügt dank zahlreicher Zertifizierungen über exzellente Kenntnisse in Security-Technologien führender Hersteller.