Fachartikel

DDoS-Schutz bei Cloudplattformen

Systemüberlastung, Webseitenausfall und Verlust von unternehmenskritischen Informationen: Laut Bitkom haben DDoS-Attacken in den letzten zwölf Monaten in 27 Prozent aller deutschen Unternehmen Schaden angerichtet. Der mit der Pandemie verbundene rasche Wechsel ins Home Office machte Unternehmen zunehmend anfällig für Cyberangriffe, da Sicherheitsvorkehrungen oftmals auf der Strecke blieben. Unser Fachartikel zeigt auf, an welchen Hebeln Unternehmen ansetzen müssen, um DDoS-Angriffe erfolgreich abzuwehren.
Auch Cloudanbieter müssen DDoS-Schutz ganzheitlich und möglichst effizient umzusetzen.
Distributed-Denial-of-Service-Angriffe (DDoS) können den IT-Betrieb ganzer Unternehmen lahmlegen. Umsatzeinbußen und gesunkenes Kundenvertrauen sind unliebsame Folgen. Cyberkriminelle zielen mit DDoS-Attacken darauf ab, Zugriffe auf Dienste und Anwendungen zu blockieren und somit nicht nur Websites für Kunden, sondern auch unternehmensinterne Anwendungen wie ERP-Systeme, Datamanagement- oder Backupsoftware außer Gefecht zu setzen.

Um die Verfügbarkeit von Systemen einzuschränken oder komplett auf null zu reduzieren, stellen Angreifer so viele Anfragen an internetbasierte Dienste wie Server, Firewalls oder Anwendungen, bis diese die Menge nicht mehr verarbeiten können und dadurch überlasten. Die Kosten für die damit verbundenen Ausfallzeiten können schnell in sechsstellige Bereiche steigen. Bei kleinen und mittleren Unternehmen beläuft sich die Summe auf rund 100.000 Euro, große Unternehmen können 2 Millionen Euro abschreiben.

Corona-Pandemie begünstigt DDoS-Angriffe
Die Corona-Pandemie hat den Cyberkriminellen in die Karten gespielt, denn eine umfassende Sicherung der IT blieb bei der Flucht ins Home Office in vielen Unternehmen auf der Strecke. Die für die Heimarbeit erforderlichen Cloudwerkzeuge, die Mitarbeitern Informationen zeit- und ortsunabhängig zur Verfügung stellen sollten, erwiesen sich als Einfallstor für Eindringlinge. Diese Beobachtung bestätigt eine Studie von techconsult und IONOS. Sie besagt, dass die bis vor Corona eingesetzten IT-Management- und -Sicherheitslösungen in Zeiten von Home Office kein ausreichendes Schutzniveau mehr bieten. Fast jedes zweite Unternehmen gab an, dass sie sich durch die Corona-Krise verstärkt mit Management- und Security-Tools auseinandergesetzt haben. Hierzu gehören Multifaktor-Authentifizierung, Identity & Access Management, Endpoint Protection oder Web-Application-Firewalls. Auch verteilten DDoS-Attacken sollte vorgebeugt werden.

Unternehmen müssen dafür Sorge tragen, sowohl traditionelle Unternehmensnetzwerke als auch neu eingesetzte Cloudplattformen gegen die steigende Zahl an DDoS-Angriffen zu schützen. Doch wie lassen sich virtuelle IT-Ressourcen gegenüber DDoS-Angriffen absichern? An welchen Stellen greifen welche Schutzvorkehrungen? Und welche Besonderheiten sind dabei zu beachten?
Schutz vor Botnetzen mittels eigenem Backbone
Die zunehmende Verschiebung von Unternehmensdaten in die Cloud erhöht den Druck auf Clouddienstleister, ihre Plattformen mit den darauf laufenden Kundenanwendungen vor DDoS-Attacken zu schützen. Die Anbieter können vor allem dann effektive Schutzvorkehrungen etablieren, wenn sie nicht nur über Rechenzentren, sondern darüber hinaus über einen eigenen Netzwerk-Backbone verfügen. Da die Attacken häufig von weltweit verteilten Botnetzen ausgeführt werden, ist eine möglichst große Abdeckung des Backbones über verschiedene Regionen hinweg von Vorteil. Durch redundante Verbindungen zu den wichtigen globalen Netzknoten (IXP, Internet Exchange Point) und einem ausgewogenen Verhältnis zwischen IP-Transit und Peering hat der Cloudprovider dann auch nicht nur einen einzigen Zugang zum Internet, der im Fall eines größeren DDoS-Angriffs schnell zum Flaschenhals werden kann, sondern kann der Attacke dezentral begegnen.

Ein Backbone zur Datenübertragung erweist sich in mehrerer Hinsicht als sinnvoll: Er ermöglicht es IT-Verantwortlichen, DDoS-Attacken nicht erst dann zu erkennen, wenn sie im Rechenzentrum angekommen sind, sondern schon auf dem Weg dorthin in unterschiedlichen Netz- und Sicherheits-Elementen. Dies verschafft wertvolle Zeit, um Abwehrmaßnahmen zu ergreifen und eröffnet die Möglichkeit, den Angriff dezentral zu behandeln.

Ein eigener Backbone ist allerdings nicht bei jedem Cloudprovider vorhanden. In diesem Fall müssen die Anbieter zu anderen Mitteln greifen und oft ist das sogenannte Blackholing durch den Transit-Provider des Cloudanbieters die letzte Möglichkeit: Bei dieser Variante wird der Traffic auf dem Weg zu den Services des angegriffenen Kunden durch den Transit-Provider an den Außengrenzen seines Netzwerks verworfen. Ziel ist es, Gefahr für die übrigen Kunden und die weitere Infrastruktur abzuwenden. Im Umkehrschluss ist dann aber der Zugriff auf die betroffenen Services des Kunden wie bei einer erfolgreichen DDoS-Attacke gekappt. Er kann nicht mehr am Netz gehalten werden, somit widerspricht Blackholing der eigentlichen Intention einer DDoS-Abwehr.



Seite 1 von 2 Nächste Seite >>
10.11.2021/ln/Daniel Heinze, Head of Network Engineering bei Ionos

Nachrichten

Direkter Draht mit Abhörschutz [8.12.2021]

Rohde & Schwarz Cybersecurity und GnuPG bieten mit der Kombination ihrer Produkte "R&S Trusted Disk" und "GnuPG VS-Desktop" eine VS-NfD-konforme Krypto-Umgebung an. Die Verschlüsselungstechnologie integriert sich in die Arbeitsprozesse und macht Umwege wie etwa die Übermittlung von Passwörtern per Telefon oder SMS beim Versand von klassifizierten E-Mails unnötig. [mehr]

Multifaktor-Authentifizierung von Box ließ sich aushebeln [7.12.2021]

Box reiht sich in die lange Liste der Cloud-Anbieter ein, bei denen kürzlich MFA-Schwachstellen aufgedeckt wurden: Das Varonis-Forschungsteam entdeckte eine Möglichkeit, MFA durch eine klassische Ein-Faktor-Authentifizierung für Box-Konten zu ersetzen, die Authentifizierungs-Apps wie Google Authenticator verwenden. Angreifer mit gestohlenen Anmeldeinformationen konnten so das Box-Konto eines Unternehmens kompromittieren und sensible Daten exfiltrieren, ohne ein Einmal-Passwort verwenden zu müssen. [mehr]

Kaspersky goes Edge [3.12.2021]

Tipps & Tools

Jetzt vorbestellen: Sonderheft I/2022 "Microsoft Azure" [29.11.2021]

Während der Winter seine ersten Fühler ausstreckt, glühen die Tastaturen unserer Autoren. Im Sonderheft I/2022 "Microsoft Azure – Sichere Infrastrukturen für Anwendungen und Clients aufbauen" beleuchten sie die Cloud-Computing-Plattform rundherum: vom optimalen Ausrollen der Clouddienste über ein gut eingestelltes Azure Active Directory bis zur Bereitstellung von Windows 365 und Windows Virtual Desktop. Bestellen Sie Ihr Exemplar jetzt vor, um es Anfang April druckfrisch zu erhalten. Wie immer profitieren Abonnenten von einem Vorzugspreis. [mehr]

Download der Woche: Hyper-V Switch [24.11.2021]

Mit Hyper-V offeriert Microsoft eine längst wettbewerbsfähige Virtualisierungsplattform, die für manche Anwendungsfälle allerdings zu dominant auftritt. Denn durch die ständige (Hintergrund-)Aktivität des Hypervisors und seine Blockade des Zugriffs auf Erweiterungsressourcen macht er unter Windows 10 den Einsatz anderer Virtualisierungslösungen nahezu unmöglich. Hier tritt das freie Minitool "Hyper-V Switch" auf den Plan: Es deaktiviert beziehungsweise aktiviert wieder Hyper-V mit einem Klick. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen