Hol dir jetzt die beste News-App der Schweiz!
- watson: 4,5 von 5 Sternchen im App-Store ☺
- Tages-Anzeiger: 3,5 von 5 Sternchen
- Blick: 3 von 5 Sternchen
- 20 Minuten: 3 von 5 Sternchen
Du willst nur das Beste? Voilà:
Das deutsche IT-Sicherheitsunternehmen Link11 hat soeben den neusten Quartalsbericht zur DDoS-Bedrohungslage in der Schweiz, Österreich und Deutschland (DACH) publiziert. Wir haben nachgefragt, wie schlimm die Situation ist.
Herr Jung, im Untersuchungszeitraum wurde alle 2 Minuten in der DACH-Region eine DDoS-Attacke auf ein Unternehmen geführt. Das klingt dramatisch und dürfte einen beträchtlichen wirtschaftlichen Schaden verursachen. Gibt es dazu Zahlen?
Jens-Philipp Jung: Der materielle Schaden hängt immer davon ab, wie lange und welche Teile des attackierten Unternehmens lahmgelegt werden. Nehmen Sie z. B. einen unserer Kunden, der zu den Top 5 der Online-Shops in Deutschland gehört. Bei einem Jahresumsatz von ca. einer Milliarde Franken im Jahr kostet eine Stunde Downtime der Webseite 100'000 Franken Umsatzverlust. Nach diesem Prinzip lässt sich auf grob kalkulieren, welche Auswirkungen die DDoS-Attacken vom März dieses Jahres auf Digitec hatten. Bei einem Autozulieferer hatten sich DDoS-Angriffe auf die Just-in-Time Anlieferung von Produktionsteilen ausgewirkt, so dass am Ende die Fliessbänder still standen. Die Kosten solcher Ausfälle werden selten kommuniziert.
Im neusten Bericht heisst es: «Die Zunahme der Angriffszahlen allein in den ersten drei Monaten 2016 stufen die DDoS-Schutzexperten als bedrohlich ein.» Nun könnte man natürlich einwenden, dass der Bericht bewusst schwarz malt, denn Ihr Unternehmen verdient ja mit der DDoS-Abwehr viel Geld. Was sagen Sie dazu?
Unsere Analysen bestätigen die Einschätzungen von MELANI, das erst vor wenigen Wochen seinen halbjährlichen Sicherheitsbericht veröffentlicht hat. Darin heisst es, dass DDoS-Attacken weiterhin aktuell und sehr beliebt sind.
Deutlich zugenommen hat auch die Zahl der besonders heftigen Angriffe – so genannte Hyper-Attacken. Woran liegt das?
Die globale Vernetzung steigt und die Bandbreiten werden ständig ausgebaut. Den Angreifern stehen so immer mehr Möglichkeiten und Mittel zur Verfügung, um Attacken mit grossen Volumen und von langer Angriffsdauern durchzuführen. Hinzu kommt, dass die Preise je Einheit nicht nur für die Konsumenten sinken, sondern natürlich auch für die Angreifer. Die können sich DDoS-Attacken wie einen Mietwagen im Internet buchen.
Ausserdem spielt die Komplexität der neuen Internetwelt den Angreifern zusätzlich in die Hände. Administratoren müssen immer mehr Systeme managen. Da passieren natürlich auch schneller Fehler. Schlecht gepatchte Server sind mittlerweile genauso Teile von Botnets und richten auf Grund ihrer Performance grossen Schaden an.
Die DDoS-Angriffe könnten in den kommenden Monaten gar noch schlimmer werden. Warum?
Da kommen verschiedene Faktoren wie die schon erwähnte globale Vernetzung, der Breitbandausbau und die Verbesserung der Angriffstechniken zusammen. Die Angreifer sind sehr einfallsreich darin, neue Methoden zu finden, um bei DDoS-Attacken in den Turbogang hochzuschalten.
Ihre Experten gehen davon aus, dass in nächster Zeit noch grössere Angriffe geführt werden.
Als Verstärker eignen sich NTP-Zeit-Server und DNS-Name-Server, von denen es mehrere Millionen im Web gibt und die auf eine einfache 44 Bytes-Anfrage nach Zeit und Datum mit einem Datenpaket von 4000 Bytes antworten. Noch vor zehn Jahren waren 5-Gbps-Angriffe rekordverdächtig. Als wir 2012 mit Link11 die ersten Attacken abgewehrt haben, lagen die Spitzenwerte schon bei 50 Gbps. Inzwischen übersteigen Attacken regelmässig die 100 Gbps-Marke.
Zum Vergleich: Private User nutzen mit ihrem heimischen Internet-Anschluss Übertragungsraten von durchschnittlich 25 Megabit per Second (1 Gpbs = 1000 Mbps).
Woher beziehen die Angreifer die erforderliche Power für solche Hyper-Attacken?
Malware und Botnets spielen bei Hyper-Attacken eine wichtige Rolle. Botnets, also ein Verbund von gekaperten Rechnern oder Servern, können eine Grössenordnung von 100'000 Einzelbots erreichen. Die DDoS-Angreifer von Lizard Squad missbrauchen angeblich zwischen 150'000 und 200'000 gehackte IoT-Geräte (Internet der Dinge, Anmerkung der Red.).
Um die Systeme zu infizieren, werden Sicherheitslücken ausgenutzt oder Malware eingeschleust. Im Wochentakt finden Forscher neue Formen von Schadcode und neue Botnetze. So ist eine Ransomware mit Namen Cerber aufgetaucht, bei der Kriminelle den infizierten Rechner für DDoS-Attacken missbrauchen, wenn der Besitzer nicht bereit ist, die Erpressungs-Summe zum Entschlüsseln der Festplatte zu zahlen.
In Deutschland sind im März grosse Kinoketten bzw. deren Web-Auftritte ins Visier von Kriminellen geraten. Von den DDoS-Attacken betroffen waren auch die Online-Reservierung- und der Ticket-Vorverkauf. Gibt es Hinweise auf ähnliche Attacken in der Schweiz?
Für die Schweiz liegen uns keine Meldungen von Kinobetreibern vor. Die Möglichkeit von DDoS-Angriffen und eventuell auch DDoS-Erpressungen, wie sie im März gehäuft in der Schweiz stattgefunden haben, ist aber real.
Mit relativ kurzen Attacken testen Angreifer die Verwundbarkeit von Servern und identifizieren so potenzielle Opfer. Was sollen Betroffene tun?
Oft werden kleinere DDoS-Attacken gar nicht als solche erkannt bzw. fallen nicht auf, denn die IT-Security muss sehr viele Bereiche überwachen. Da braucht man Expertise und tägliche Praxis, um ein Auge dafür zu bekommen. Wenn ein Angriff aber offensichtlich war, sollte das Unternehmen sofort Kontakt zu seinem Rechenzentrums-Betreiber aufnehmen.
Wir empfehlen generell einen Notfall-Plan für solche Situationen in der Hinterhand zu haben. Denn wenn Webseite, E-Mail-Server oder die Datenbank eines Unternehmens erst einmal offline sind, dann ist die Entscheidungssituation sehr druckgeladen. Ausserdem läuft den IT-Security-Managern meist die Zeit davon.
Ist ein nahezu umfassender Schutz vor DDoS-Attacken überhaupt möglich?
DDoS-Attacke ist nicht gleich DDoS-Attacke. Es gibt sehr einfache Angriffstechniken, die leicht und zu 100 Prozent abzuwehren sind. Attacken, die auf Unternehmen zielen, sind meistens sehr komplex und ‹highly engineered›. Hier hängt es von der Erfahrung, der Technologie und der Anbindung des Schutzanbieters ab, wie gut er den DDoS-Traffic erkennen und herausfiltern kann.
Was kosten die Schutzmassnahmen?
Man sollte bei DDoS-Schutzangeboten für wenige Franken vorsichtig sein. Das Vorhalten von mehreren hundert Gbps Bandbreite und die ständige Anpassung der Technologie an immer neue Angriffsformen haben ihren Preis. Leistungsstarke Angebote kalkulieren bei einem cloud-basierten Schutz für mittelständische Unternehmen im vierstelligen Bereich pro Monat.
Können Sie etwas zu den angeblichen Schweizer Grey-Hat-Hackern mit dem Pseudonym NSHC sagen? Sind Ihnen weitere Angriffe bekannt?
Zu den Schweizer Grey Hat haben wir keine weiteren Sicherheitsvorfälle vorliegen. Leider halten noch zu viele Unternehmen DDoS-Attacken unter der Decke und zeigen sie nicht einmal bei den Strafverfolgungsbehörden an. Deutschland führt mit dem neuen IT-Sicherheitsgesetz gerade eine Meldepflicht für Cybervorfälle ein. Wir erhoffen uns dadurch eine verbesserte Zahlenbasis zu Angriffen.
Was können Sie über die Schweizer Kunden Ihres Unternehmens sagen?
Unsere Kunden kommen aus den unterschiedlichsten Branchen, Rechenzentrums-Betreiber, IT-Dienstleister, Medien, E-Commerce, Finance. Seit gut zwei Jahren sind wir in diesem Markt aktiv und können den Schweizer Unternehmen ein wirklich hohes Problembewusstsein für die DDoS-Gefahr bescheinigen.
Wie auch in Deutschland spielen Datenschutz-Aspekte beim Säubern des Traffics von DDoS-Anfragen eine sehr grosse Rolle. Um den Datenverkehr zu filtern, soll er das Land möglichst nicht verlassen. Wir haben uns daher entschlossen, einen eigenen DDoS-Filter in Zürich aufzubauen. Der Standort in der Schweiz wird neben Frankfurt, Amsterdam, London, Miami und New York ein weiterer wichtiger Knotenpunkt in der bestehenden DDoS-Schutz-Infrastruktur.
Die Fragen wurden vom Geschäftsführer des Unternehmens, Jens-Philipp Jung, nach Rücksprache mit den eigenen DDoS-Abwehrspezialisten schriftlich beantwortet. Den ausführlichen Quartalsreport von Link11 und weiterführende Informationen zu DDoS-Attacken gibt es auf www.ddos-info.de.
Du willst nur das Beste? Voilà:
