DDoS macht Unternehmen erpressbar

Unter Denial of Service (DoS) versteht man im Bereich des Internets, wenn ein Web-Zugriff infolge einer Überlastung der Infrastruktur nicht erfolgen kann. Bei DDoS-(Distributed Denial of Service) Attacken werden die Rechner des Opfers von vielen verschiedenen Systemen aus gleichzeitig angegriffen, um sie durch Überlastung zu blockieren.

Diese Angriffe überlasten Netzwerke mit einer Flut von Datenpaketen aus verschiedenen Quellen. Dabei setzen die Hacker immer ausgefeiltere Techniken ein, um bekannte DDoS-Abwehrmaßnahmen zu überlisten. Eine große Rolle spielen dabei sogenannte Botnetze; das sind Netzwerke aus Rechnern, die durch Trojaner infiziert sind und von den Angreifern „ferngesteuert“ werden. Hierdurch haben die Angreifer die Möglichkeit, großangelegte Angriffe durchzuführen. Solche Attacken können Webseiten für Stunden oder sogar Tage blockieren. Der finanzielle Schaden für die Unternehmen kann in die Millionen gehen und auch der Imageschaden ist in der Regel erheblich.

Diese Angriffe gehören in den Bereich der Cyber-Kriminalität, bei dem man nicht in das Netzwerk eindringen will, um Daten zu entwenden oder Prozesse zu stören, sondern den Zugang für Kunden oder Partner verhindert und damit Schaden anrichtet. Die Fälle treffen Unternehmen aller Größen und aus allen Branchen. Diese Woche wurde die Seite der Süddeutschen Zeitung für zwei Stunden durch eine DDoS-Attacke blockiert – ein Albtraum für eine aktuelle Nachrichtenseite. Neben sogenannten Hacktivisten, die es darauf abgesehen haben, einem Unternehmen Schaden zuzufügen oder es in der Öffentlichkeit bloßzustellen, wird diese Art der Angriffe heute zunehmend von kriminellen Organisationen zur Erpressung von Zahlungen eingesetzt. Selbst mit kleinen Budgets können heute mithilfe von gemieteten Botnets für weniger als 200 Euro für 24 Stunden DDoS-Attacken durchgeführt werden.

Ein Grund für den Erfolg der Hacker liegt in der Weiterentwicklung der Angriffsmethoden in den letzten Jahren. Die oben schon erwähnten Bot-Netze werden ergänzt durch raffinierte Angriffe auf Anwendungsebenen, bei denen ein legitimer Datenverkehr imitiert wird und somit mit herkömmlichen Methoden nur sehr schwer zu erkennen sind.

Wie in anderen Bereichen der Abwehr von Cyber-Gefahren wie beispielsweise Advanced Persistent Threats (APT) sind herkömmliche Methoden, die auf den Schutz der Infrastruktur ausgerichtet sind, nicht in der Lage, diese hochentwickelten Angriffe zu erkennen. Also gilt auch bei DDoS-Angriffen: Neben der Infrastruktur müssen ebenfalls die Datenströme und Transaktionen erfasst und analysiert werden.

RSA hat mit der Akquisition von Silvertail im letzten Jahr eine Technologie zu seinem Lösungsportfolio hinzugefügt, die umfangreiche Analysen von Web-Sessions ermöglicht. Mit dieser Technologie werden die gesamten Web-Zugriffe erfasst und in Echtzeit umfangreiche Analysen und Korrelationen durchgeführt. Neben der Analyse von einzelnen Sessions werden auch statistische Untersuchungen durchgeführt und generalisierte Nutzungsprofile erstellt. Somit kann man sehr gut erkennen, ob ein Zugriff auf eine Seite von einem Menschen oder einer Maschine durchgeführt wird. Auch wenn die neuen DDoS-Techniken mit dynamischen Modellen arbeiten, ergeben sich charakteristische Muster, anhand derer man die Abwehrmaßnahmen steuern kann.

Dieses Beispiel zeigt, wie die Abwehr von Cyber-Gefahren heute angegangen werden muss. Es reicht nicht mehr aus, sich mit speziellen Produkten gegen die unterschiedlichen Angriffsmethoden zu schützen, sondern man muss sämtliche für die Cyber-Security relevante Informationen erfassen, zusammenführen und analysieren. Das ist ein Big-Data-Problem und wir bei RSA nennen das Intelligence Driven Security – Angriffe erkennen, verstehen, bewerten und abwehren.