Onlineshop-Betreiber zahlen Kriminellen mitunter „Schutzgelder“, damit ihre Shops nicht zum Ziel von DDoS-Attacken werden. Das Geld wäre in eine brauchbare Absicherung besser investiert. Darauf kommt’s an.
„Distributed Denial of Service“ nennt sich die Angriffstechnologie, bei der eine große Zahl von Rechnern einen Server so lange intensiv in Anspruch nimmt, bis dieser seine Funktion nicht mehr erfüllen kann und außer Betrieb geht. Die Folgen variieren: Im besten Fall ist die vom Server bereitgestellte Website samt Onlineshop und anderen Webfunktionen für einige Zeit nicht mehr erreichbar, im schlimmsten Fall schlägt der Ausfall durch bis in die interne Infrastruktur des Unternehmens, die Mitarbeiter können nicht mehr auf das System zugreifen, die Arbeit kommt zum Erliegen.
Online-Händler sehen sich verstärkt solchen Angriffen ausgesetzt. Die ersten legen meist nur für relativ kurze Zeit den Online-Shop lahm. Nach einer solchen Demonstration stellen die Cyberkriminellen dem Shopbetreiber finanzielle Forderungen. Sollten die nicht erfüllt werden, drohen sie, ihre Angriffe fortzusetzen und zu intensivieren. Wer zahlt, den lassen diese Kriminellen vorerst in Ruhe. Dass es auch andere Kriminelle mit einer DDoS-Erpressung versuchen, dafür gibt es keine Garantie. Anders als die Schutzgelderpresser in der physischen Welt gibt es für Cyberkriminelle nämlich keine Gebietsgrenzen.
Die Forderungen einzelner Erpresser zu erfüllen, bringt deshalb nur wenig: Spricht sich herum, dass ein Händler bereit ist zu zahlen, werden andere bald auf diesen Zug aufspringen. Besser ist es in jedem Fall, Geld in die Absicherung seiner Systeme zu investieren.
So werden Ihre Systeme hart
Eines vorweg: Kein technischer Schutz ist unüberwindbar. Wer ein IT-System betreibt, kann aber Vorkehrungen treffen, die einen Angriff auf sein System so aufwändig und kostspielig machen, dass er sich für Kriminelle nicht mehr lohnt. Denn die verhalten sich, das haben die Erfahrungen der vergangenen Jahre gezeigt, durchaus ökonomisch: Es geht ihnen nicht um maximale Zerstörung, sondern um Gewinnmaximierung. Und: Kriminelle haben Kosten. Die Betreiber sogenannter Botnetze vermieten ihre Angriffskapazität im Darknet an die eigentlichen Erpresser. Je mehr Angriffskapazität nötig ist, desto teurer wird ein solcher Angriff für diese.
- Richten Sie eine vorgelagerte Firewall ein, die nur benötige Protokolle zum System lässt.
- Richten Sie ein Profil mit GeoIP-Blocking ein, falls Ihre Kunden nahezu ausschließlich aus einem Land oder einer überschaubaren Anzahl von Ländern kommen. Bei einem DDoS-Angriff aktivieren Sie dieses Profil und sperren damit augenblicklich alle Angreifer aus, deren IP-Adressen nicht aus diesen Ländern stammen – damit ist der Angriff oft auch schon beendet.
- Sorgen Sie dafür, dass Systeme, die eher prädestiniert für eine DDoS Attacke sind (z. B. der Onlineshop) an einem anderen Internet-Uplink hängen als die übrigen Systeme der Organisation.
- Stellen Sie eine statische Website mit rudimentären Informationen bereit, die bei einem anderen Provider gehostet sind und die Sie mit einer einfachen Änderung im DNS aktivieren können.
- Erstellen Sie frühzeitig einen Notfall-Plan, damit jeder, der von einer DDoS-Attacke betroffen ist, weiß, wie er angemessen auf den Vorfall reagieren kann.
Hilfreiche Dienstleister
Das Bundesamt für Sicherheit in der Informationstechnik bietet eine Reihe von Handreichungen, um das eigene System gegen DDoS-Attacken zu wappnen (https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_025.pdf;jsessionid=898243E5AE96E0E146376190CF88E5BC.2_cid369?__blob=publicationFile&v=5), und empfiehlt außerdem, die Dienste spezialisierter DDoS-Mitigation-Dienstleister in Anspruch zu nehmen (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Dienstleister-DDos-Mitigation.pdf?__blob=publicationFile&v=4). Bei der DDoS-Mitigation wird derer Datenverkehr in ein vom Dienstleister betriebenes Scrubbing-Center umgeleitet, dort bereinigt und der gesäuberte Verkehr wird an den eigentlichen Server weitergeleitet. Mit dieser Technik lassen sich zusätzlich zu Web auch weitere Dienste vor Angriffen schützen.
Statement: „Für die Schadenshöhe spielt neben der Unternehmensgröße auch die Art des Angriffs eine entscheidende Rolle. Werden etwa Unternehmen Opfer von zielgerichteten Attacken, so müssen sie unabhängig von ihrer Größe mit sehr hohem Schaden rechnen“ – Holger Suhl, General Manager DACH bei Kaspersky Lab.
