sicherheit im cyberspace ddos-angriffe – einblicke und ... · form von externer...
TRANSCRIPT
Sicherheit im cyberSpace DDoS-Angriffe – einblicke unD löSungen
2www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
inhaltSverzeichniS
Einführung ..................................................................................................................................... 3Was versteht man unter DDoS? .........................................................................................................................4Die Kosten .........................................................................................................................................................5Neue Möglichkeiten und Motive ........................................................................................................................6IT-Fortschritt erhöht die Gefahr .........................................................................................................................7Warum weiterlesen? ..........................................................................................................................................8
DDoS-Angriffe in einem sich wandelnden Umfeld ......................................................................... 9Neue Angriffsmethoden ....................................................................................................................................9Multivektorangriffe ............................................................................................................................................9Leichterer Zugang zu illegalen Instrumenten ..................................................................................................10Neue Möglichkeiten ........................................................................................................................................10Angriff auf Estland ...........................................................................................................................................11Die geheimen Cyber-Waffen eines E-Staates ...................................................................................................12
Wie funktionieren DDoS-Angriffe? ............................................................................................... 14Volumetrische Angriffe ....................................................................................................................................14
ICMP Flood ............................................................................................................................................................................... 15TCP SYN Flood ......................................................................................................................................................................... 15UDP Flood ................................................................................................................................................................................. 15Angriffe durch DNS-Amplifikation (Domain Name System) ....................................................................................................... 15
Angriffe auf die Anwendungsschicht ...............................................................................................................16HTTP GET und HTTP POST Floods ............................................................................................................................................ 16
Angriffstools ....................................................................................................................................................17Low Orbit Ion Cannon (LOIC) ..................................................................................................................................................... 17Slowloris .................................................................................................................................................................................... 18
Herkömmliche Abwehrprodukte wirken nicht mehr .........................................................................................18Firewalls .................................................................................................................................................................................... 18IDS und IPS ................................................................................................................................................................................ 19
Abwehrstrategien gegen DDoS-Angriffe ...................................................................................... 20Lösungen der Deutschen Telekom ..................................................................................................................21
Backbone-Schutz der Deutschen Telekom ................................................................................................................................ 22Cloud-Schutz der Deutschen Telekom ....................................................................................................................................... 23Kundenseitige Lösungen der Deutschen Telekom ..................................................................................................................... 24Vorteile der DDoS-Abwehrlösungen der Deutschen Telekom .................................................................................................... 24Zahlreiche Abwehrlösungen der Deutschen Telekom ............................................................................................................... 25
3www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
einführung
Sie fragen sich, warum das Thema Cyber-Sicherheit und DDoS-Angriffe (Distributed Denial of Service) so
wichtig ist? Sie glauben, Ihrem Unternehmen wird so etwas nie passieren, weil Sie die richtigen Firewalls und
Erkennungssysteme installiert haben? Dann führen Sie sich vor Augen, wozu Cyber-Kriminelle heute in der
Lage sind. Selbst die größten Organisationen sind schon solchen Angriffen zum Opfer gefallen.
Stellen Sie sich vor, Sie arbeiten in einem großen Medien- oder Rundfunkunternehmen. Sie fühlen sich sicher
und sind davon überzeugt, dass ihre sensiblen Informationen gegen unbefugten Zugriff geschützt sind. Doch
dann kommen Sie eines Tages zur Arbeit und sehen, dass Cyber-Kriminelle ihr fast fertiges Projekt gestohlen
haben – zusammen mit vertraulichen Dateien. In der gesamten IT-Infrastruktur des Unternehmens wurden
Geräte infiltriert und dabei Daten auf Servern und PCs gestohlen oder gelöscht. Im Netzwerk waren E-Mail-
Adressen, Gehaltslisten, Bankverbindungen und Angaben zur Krankenversicherung ebenso gespeichert wie
die Nummern Ihrer privaten Kreditkarten.
Oder stellen Sie sich vor, was passiert, wenn Ihre Online-Dienste plötzlich nicht mehr zur Verfügung stehen.
Am Morgen sitzen Sie noch am Rechner, um Rechnungen zu bezahlen, und am Nachmittag ist keine der
Webseiten, die Sie häufig nutzen, mehr erreichbar. Sie können auch nicht klären, was passiert ist, denn die
Verbindung zu Ihren digitalen Nachrichten und zu staatlichen Webseiten funktioniert nicht mehr. Diesmal ist
eine Gruppe von Cyber-Kriminellen am Werk: Sie fordern Lösegeld für die Rückgabe Ihrer Daten.
60%
50%
40%
30%
20%
10%
Surv
ey R
espo
nden
ts
Internal Network Security Threats
55%
28%
28%
26%
21%
13%
10%
8%
7%
6%
5%
5%
4%
2%
Internet connectivity congestion due to DDoS attack
Botted or otherwise compromised hosts on your corporate network
Internet connectivity congestion due to genuine traffic growth/spike
Accidental major service outage
None of the above
Accidental data loss
Advanced Persistent Threat (APT) on corporate network
Malicious insider
Exposure of sensitive, but non-regulated data
Theft
Exposure of regulated data
Web defacement
Industrial espionage or data exfiltration
Other
0%
Source: Arbor Networks tenth annual Worldwide Infrastructure Security Report
According to the Arbor Networks Wolrdwide Infrastructure Security Report, more than half of the respondents reported that internet connectivity congestion due to DDoS attack was the most commonly observed threat experienced on corporate networks.
4www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
Diese Szenarien sind nur zwei alltägliche Beispiele dafür, welche verheerenden Folgen ein Angriff haben kann.
Laut dem Akamai-Sicherheitsbericht “State of the Internet” für das 1. Quartal 2016 haben DDoS-Angriffe
im Vergleich zum Vorjahr um 125 Prozent zugenommen. Deshalb ist es von größter Bedeutung, dass die
jeweils aktuellsten Sicherheitsmaßnahmen installiert werden. Die modernen Abwehrsysteme von heute sind
im Gegensatz zu älteren Produkten und herkömmlichen Methoden in der Lage, Angriffe auf die bestehende
Infrastruktur und Cloud-basierte Netzwerke in Echtzeit vorauszusagen, zu erkennen und zu entschärfen.
WaS verSteht man unter DDoS?
DDoS steht für Distributed Denial of Service. Dabei wird versucht, die Verfügbarkeit von Internet-basierten
Anwendungen und Diensten für legitime Nutzer zu beeinträchtigen. Häufig geschieht dies dadurch, dass
Datenpakete von Computern oder anderen Endgeräten übertragen werden, die mit Schadware infiziert sind,
also mit Viren und Trojanern. Diese korrumpierten Computer werden „Bots“ genannt. Sie können gemeinsam
ein Netzwerk bilden, ein so genanntes „Botnet“. Botnets werden von einem zentralen Server gesteuert und
können für viele kriminelle Zwecke genutzt werden, zum Beispiel auch für DDoS-Angriffe.
Viren und Trojaner lassen sich leicht verbreiten, häufig in scheinbar harmlosen E-Mails, die den PC infizieren,
sobald sie geöffnet werden. Aufgrund ihrer dynamischen Anpassungsfähigkeit sind sie sehr schwer zu
erkennen. Darüber hinaus gibt es noch zahllose Geräte, die mit dem Internet verbunden sind, aber nicht über
die neuesten Software-Aktualisierungen oder aktuelle Virenschutzprogramme verfügen. Nach Informationen
des SC Magazine UK sind derzeit 1,5 Milliarden Geräte potenziell infiziert1. Tatsächlich bleiben viele Bots über
Jahre hinweg unbemerkt und werden während dieser Zeit für Datendiebstahl, DDoS-Angriffe, den Versand
von Spam-Emails, die gezielte Überlastung von Online-Systemen oder zur Störung von Verbindungen
genutzt.
1 SC Magazine UK, 1. June 1 2016, http://www.scmagazineuk.com/15-billion-windows-computers-potentially-affected-by-
unpatched-0-day-exploit/article/499854/
INTERNET DATA CENTERSERVICE PROVIDER NETWORK
VOLUMETRIC ATTACK
APPLICATION ATTACK/MALWARE
LEGIT TRAFFIC
SATURATION STATE EXHAUSTION
5www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
Die DDoS-Landschaft hat sich in den letzten Jahren stark verändert, was die Durchführung von Angriffen
einfacher macht als jemals zuvor. Heute ist es beispielsweise relativ leicht, kriminelle Online-Organisationen
zu finden, die Botnets mit volumenabhängiger Bezahlung vermieten, Leitfäden für den Aufbau eines Botnets
anbieten oder Freiwillige suchen, die ihre Angriffe unterstützen. Da auch Umfang und Komplexität der
Angriffe zugenommen haben, sind sie schwerer zu erkennen und einzudämmen.
Die KoSten
Nach einer Erhebung der Marktforschungsagentur B2B International für den Zeitraum April 2014 bis Mai
2015 in 38 Ländern mit 5.564 Befragten sehen sich 90 Prozent der untersuchten Unternehmen in irgendeiner
Form von externer Cyber-Kriminalität bedroht2. Die durchschnittlichen Kosten von Datendiebstahl
werden in der Erhebung auf 38.000 bis 551.000 US-Dollar pro Unternehmen beziffert. Neben gestohlenen
Vermögenswerten gehören unter anderem Anwalts- und Gerichtskosten, Kosten für Abwehrmaßnahmen,
entgangene Gewinne und mitunter steigende Versicherungsprämien zu den Folgekosten von
Sicherheitslücken. Schwieriger zu berechnen sind die wirtschaftlichen Folgen für ein Unternehmen durch
Reputations- und Imageverlust.
2 Global IT Security Risks Survey 2015, durchgeführt von B2B International und analysiert von Kaspersky Labs
6www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
neue möglichKeiten unD motive
Unternehmen sind in zunehmendem Maß auf das Internet angewiesen. Schließlich können sie damit einem
größeren Kundenkreis mehr Produkte und Leistungen anbieten. Doch gerade die hohen Online-Umsätze
sorgen dafür, dass Unternehmen zu einem lukrativen Ziel für Cyber-Kriminelle geworden sind. Mit Daten-
und Identitätsklau, Betrug und Erpressung lässt sich eine Menge Geld verdienen. Direkte finanzielle Gewinne
sind jedoch nicht das einzige Motiv hinter DDoS-Angriffen. Auf dem Vormarsch sind auch politisch oder
ideologisch motivierte Angriffe sowie Attacken auf die Konkurrenz mit dem Ziel, Wettbewerbsvorteile zu
erzielen.
Der Schaden durch DDoS-Angriffe kann für Unternehmen sehr hoch sein. Direkte Vermögensschäden können
in die Millionen gehen, insbesondere bei zeitkritischen Transaktionen wie etwa im Handel. Gleichzeitig
sind langfristige Auswirkungen unkalkulierbar. Während der Ausfall einer Webseite oder die Störung von
Leistungen sehr teuer werden kann, können Reputationsschäden wirtschaftlich katastrophale Folgen
haben. Mitunter brauchen Unternehmen Jahre, um sich davon zu erholen. Kunden wechseln mit großer
Wahrscheinlichkeit zu Wettbewerbern, wenn Kreditkartendaten, Passwörter oder andere personenbezogene
Daten durch Sicherheitslücken kompromittiert worden sind.
7www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
it-fortSchritt erhöht Die gefahr
Mit den Fortschritten in der ICT-Branche öffnen sich gleichsam neue Wege für Sicherheitsverstöße. Die
Begeisterung über die Möglichkeiten der neuen Technologien führt häufig dazu, dass Unternehmen die
damit verbundenen Gefahren übersehen. Viele Unternehmen investieren heute in Virtualisierung und Cloud-
Anwendungen und erlauben ihren Mitarbeitern, eigene Geräte bei der Arbeit zu nutzen. Diese Verteilung
von Ressourcen macht es allerdings wesentlich schwieriger, die Sicherheit im Cyberspace zu gewährleisten.
Gleichzeitig nimmt die Zahl der Einfallstore für Angreifer zu. Auch deshalb wird es immer wichtiger,
Sicherheitslösungen zu entwickeln, die exakt auf die konkreten Anforderungen des Unternehmens zugeschnitten
sind, um Angriffe proaktiv abzuwehren.
8www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
Warum WeiterleSen?
Das White Paper liefert allgemeine Hintergrundinformationen über DDoS-Angriffe und zeigt in einem technischen
Überblick, wie diese funktionieren. Dabei wird auch untersucht, wie sich DDoS-Angriffe entwickelt haben und
weiterentwickeln werden. Zudem wird erörtert, warum herkömmliche Abwehrsystem nicht mehr wirksam sind.
Um mit der stetig wachsenden Bedrohung von Sicherheitsverletzungen zurechtzukommen, müssen moderne
Verfahren implementiert werden. Die Lösungen der Deutschen Telekom zur Abwehr von DDoS-Angriffen helfen
nicht nur, Angriffe einzudämmen, sondern können beginnende Angriffe sofort durch Echtzeit-Analyse erkennen.
Mit neuen, hoch entwickelten Technologien sichern Sie erhebliche Vorteile für ihr Unternehmen und schützen
gleichzeitig die Ressourcen Ihrer Kunden und Ihre Mitarbeiter.
9www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
DDoS-angriffe in einem Sich WanDelnDen umfelD
neue angriffSmethoDen
Die Hauptangriffsarten sind entweder volumen- oder anwendungsbezogen – oder eine Kombination aus
beidem. In dem Maße, wie das Internet sich stetig weiterentwickelt, ändern sich auch die Methoden für
DDoS-Angriffe kontinuierlich. Attacken nehmen nicht nur in Umfang, Häufigkeit und Raffinesse zu. Sie lassen
sich auch viel schwerer erkennen und eindämmen.
multiveKtorangriffe
Während die Zahl volumetrischer Angriffe gesunken ist, hat ihre Intensität mit Datenraten von nicht
selten über 100 Gbit/s deutlich zugenommen. Der größte bestätigte Angriff im Jahr 2015 erfolgte mit
massiven 500 Gbit/s. Noch komplexer und schwerer zu bekämpfen ist allerdings die wachsende Zahl von
Multivektorangriffen. Dabei handelt es sich um parallele Angriffe auf die Netzwerkschicht (OSI Schicht 3 und
4), wo volumetrische Attacken stattfinden, und auf die Anwendungsschicht (OSI Schicht 7), wo – wie der
Name schon sagt – Angriffe auf Anwendungen erfolgen.
Bei Multivektorangriffen kann eine Vielzahl unterschiedlicher Techniken zum Einsatz kommen. In einem vor
kurzem in Europa lancierten Angriff wurden beispielsweise sechs unterschiedliche Vektoren miteinander
kombiniert. Dazu zählten DNS-Reflection-Angriffe und UDP-Fragmentierung ebenso wie SYN, PUSH, TCP und
UDP Floods. Während dieser Angriff extrem breit angelegt war, nutzen Angreifer Multivektorangriffe häufig,
um Opfer zu Abwehrmaßnahmen in einem bestimmten Bereich zu verleiten – gleichzeitig starten sie dann
unbemerkt einen Angriff auf sensiblere Bereiche.
10www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
So ist es beispielsweise sehr einfach, einen volumetrischen DDoS-Angriff zu starten, auf den sich das IT-
Team im Unternehmens konzentriert, und gleichzeitig einen so genannten State-Exhaustion-Angriff auf die
Anwendungsschicht zu unternehmen, um die Firewall oder das IPS im Netz zum Absturz zu bringen. In einem
verzweifelten Versuch, Konnektivität wiederherzustellen, umgeht das IT-Team die ausgefallene Firewall. Damit
stehen dem Angreifer Tür und Tor offen, um das Netz mit Schadware zu infiltrieren.
neue Kriminelle motive
Was sich inzwischen auch verändert hat, sind die Motive der Hacker. Früher ging es Kriminellen vor allem
um finanziellen Gewinn. Ihr Ziel war es, Geld von Unternehmen zu erpressen. Oft blockierten sie Webseiten
so lange, bis ein Lösegeld in bestimmter Höhe gezahlt wurde. Es gab auch Übeltäter, die einfach nur sehen
wollten, ob sie ihrem Ziel Schaden zufügen können.
Heute besteht für viele Cyber-Kriminelle der Antrieb darin, ihre persönlichen Überzeugungen oder Ideologien
zu verbreiten. Diese so genannten „Hacktivisten“ zielen in einer Art Selbstjustiz auf Bankstrukturen oder
öffentliche Einrichtungen ab. Sie sind überzeugt, damit soziale Konventionen oder wirtschaftliche Systeme
zu untergraben, die sie für korrupt oder unmoralisch halten. Es gibt sogar Freiwillige, die ihre PCs quasi als
Fußsoldaten für eine Botnet-Armee anbieten. Ein Angriff, der mit die höchste Medienaufmerksamkeit erzielt
hat und dieser Art von Aktivismus zugeschrieben wird, ereignete sich 2007 in Estland. In der Folge führte
das Land eine Reihe weitreichender, innovativer Reformen durch, um die Internet-Infrastruktur in Estland
systematisch abzusichern.
leichterer zugang zu illegalen inStrumenten
Cyber-Kriminalität ist in der Umsetzung einfacher geworden. Zum Teil liegt das an dem deutlich größeren
Schwarzmarkt, wo Cyber-Kriminelle Baukästen zum Erstellen von Botnets für unter 20 US-Dollar verkaufen
oder sogar komplette Botnet-Lösungen zum Mieten anbieten. Daneben hat die zunehmende Verbreitung von
Tools für Open-Source-Software die Entwicklung von Anwendungen für Cyber-Angriffe einfacher gemacht.
Ein Beispiel dafür ist Low Orbit Ion Cannon (LOIC). LOIC wurde ursprünglich als Open-Source-Software für
Netzbelastungstests eingesetzt, dann aber von Hackern modifiziert, um als Angriffstool ein neues Leben zu
beginnen.
neue möglichKeiten
Um zu verstehen, welche sich Cyber-Angriffe entwickelt haben und weiter entwickeln werden, muss man
verstehen, wie sich das Internet verändert hat. In den vergangenen zehn Jahren ist nicht nur die Zahl der
Menschen, die das Internet nutzen, exponentiell gestiegen, sondern auch die Vielzahl an Möglichkeiten,
wie das Internet genutzt wird. Bei vielen grundlegenden Aufgaben wie etwa Banking, Kommunikation und
Unterhaltung verlassen wir uns heute auf das Internet. Das allein hat Cyber-Dieben ganz neue Möglichkeiten
eröffnet.
11www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
Zudem stellen Telekommunikationsanbieter ihre Netze auf All-IP um, um Qualitäts- und Leistungsvorteile
zu nutzen. Durch die großflächigere und offenere Umgebung werden Netzbetreiber jedoch anfälliger
für Sicherheitsverletzungen. Auch deshalb wird es zunehmend wichtiger, DDoS-Angriffen mit proaktiven
Maßnahmen in Echtzeit zu begegnen.
Smart DeviceS unD DDoS-angriffeUm uns das Leben einfacher zu machen, haben Smart Devices, das Internet der Dinge und Machine-to-
Machine-Module Einzug in unser Heim, unser Auto und unseren Arbeitsplatz gehalten. Allerdings wird oft
vernachlässigt, dass diese Geräte potenzielle Quellen einer Botnet-Infektion sind. Smart-Devices haben eine
eigene IP-Adresse, sind mit dem Internet verbunden und stehen teilweise in direkter Kommunikation mit
anderen Geräten.
Gleichzeitig sind Smart Devices nicht besonders komplex, haben begrenzte Benutzeroberflächen und sind
in der Regel nicht wie PCs mit Sicherheitsinstrumenten ausgestattet. Mängel dieser Art machen Szenarien
möglich, die sich wie Science Fiction anhören. So könnte ein Hacker etwa die Heizungssteuerung im Haus des
Nutzers infiltrieren, diese als Bot nutzen und damit das Navigationsgerät im Auto des Nutzers stören. Ebenso
könnte eine Vielzahl dieser internetfähigen Geräte genutzt werden, um einen großflächigen Angriff auf ein
Finanzinstitut zu starten.
angriff auf eStlanD
Im April 2007 erlebte der baltische Staat Estland einen Angriff, der als erster Cyberkrieg der Welt bezeichnet
worden ist. Zuvor hatte das Land erhebliche Anstrengungen für den Ausbau der Informationstechnologie
und Telekommunikation unternommen. Estland galt 2007 als das Land mit der höchsten Dichte an
Internetanschlüssen in Europa. Seine Bürger vertrauten bei vielen alltäglichen Aufgaben wie Banking,
Steuererklärungen und Wahlen auf das Internet. Gleichzeitig wurde das Land durch die Abhängigkeit vom
Internet zu einem äußerst anfälligen Ziel.
Man geht davon aus, dass die Angriffe als Protest gegen die Pläne der Regierung lanciert wurden, ein
sowjetisches Kriegerdenkmal aus dem Jahr 1947 abzureißen3. Die politische Lage im Land war bereits
gespannt – die Kluft zwischen ethnischen Esten und Russen im Land war groß. Erstmals entdeckt wurde
der Angriff, als der Verteidigungsminister bemerkte, dass er die Webseite des Premierministers nicht mehr
aufrufen konnte. Kurz darauf wurden andere Regierungsseiten ins Visier genommen und die Angriffe weiteten
sich schnell auf Medien, Banken und Universitäten in Estland aus.
Zur Abwehr der Angriffe wurde der gesamte eingehende Datenverkehr aus dem Ausland für die gefährdeten
Webseiten blockiert. In der Folge waren viele Webseiten von Medien und staatlichen Stellen komplett vom
Rest der Welt abgeschnitten. Die internationale Kommunikation beschränkte sich auf Telefon und Fax. Nach
3 International Affairs Review, 4. April 2009, http://www.iar-gwu.org/node/65
12www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
genaueren Analysen des Datenverkehrs wurden präzisere Blockaden implementiert. Es dauerte mehr als zwei
Wochen, um das Problem in den Griff zu bekommen. Auch wenn schwere Anschuldigungen erhoben wurden,
ist bis heute nicht klar, wer die Angreifer waren. Wie bei den meisten DDoS-Angriffen, ist es äußerst schwer,
wenn nicht unmöglich, die Täter zu ermitteln.
Der Cyber-Angriff auf die Internet-Infrastruktur in Estland hat die Gestaltung der künftigen E-Strategie des
Landes entscheidend geprägt. Heute hat sich Estland zu einem wahren E-Staat entwickelt, der über massive
Waffen für den Kampf gegen Cyber-Kriminalität verfügt.
Die geheimen cyber-Waffen eineS e-StaateS
Die Republik Estland gehört zu den fortschrittlichsten Ländern der Welt, wenn es um digitale Konnektivität
für die private und geschäftliche Nutzung geht. Estland nennt sich selbst tatsächlich einen E-Staat, der IT in
nahezu allen Bereiche staatlicher Verwaltung nutzt. So können seine Bürger beispielsweise von zu Hause
aus wählen oder ihre Steuererklärung in wenigen Minuten online einreichen. Dieses Vertrauen auf eine
übergreifende IT-Struktur erfordert eine starke Sicherheitsagenda gegen Cyber-Kriminalität.
„Unsere Geheimwaffe sind Menschen“ versichert Anto Veldre, ein Analyst der estnischen Behörde für
Informationssysteme. Alle Experten für IT-Sicherheit treffen sich mehrmals im Jahr persönlich und bilden eine
Community, die potenzielle Angriffe überwacht. Wird ein Angriff erkannt, arbeiten die Experten – Vertreter
von Banken, der Industrie und staatlichen Stellen – gemeinsam daran, ihn abzuwehren. Sie bilden einen
„zweiten Kommunikationskanal“, wie Veldre es nennt. Damit stellen sie sicher, dass Informationen bei einem
Angriff weiter fließen, sodass Gegenmaßnahmen schnell ergriffen werden können.
Estlands Antwort auf solche Angriffe besteht darin, die individuellen, in der Community vorhandenen
Fähigkeiten zu koordinieren, um zu analysieren, woher der Angriff kommt und wer der Gegner ist. Dies sei
nötig, so Veldre, um Prognosen über die Fähigkeiten und Ziele des Angreifers machen zu können. Nur dann
kann entschieden werden, welche Abwehrmaßnahmen ergriffen werden sollten. So kann beispielsweise ein
kleiner Angriff mit geringem Ausweitungspotenzial vom Ziel selbst bewältigt werden. Wird hingegen das Netz
überschwemmt, müssen Netzbetreiber mit ins Boot.
Eine andere Möglichkeit, um Daten vor unbefugtem Zugriff zu schützen, ist Transparenz, sagt Taavi Kotka,
Estlands CIO im Ministerium für Wirtschaft und Kommunikation. Für ihn ist Transparenz „der Schlüssel zur
digitalen Gesellschaft“. Er meint, dass damit Sicherheit geschaffen wird, da stets ersichtlich ist, wer, wann und
wie auf Dateien zugreift. Estland hat strenge Regeln aufgestellt, wer unter welchen Bedingungen Zugriff auf
Daten hat. Ein illegaler Zugriff auf Informationen wird daher sofort erkannt.
Eine dezentrale Infrastruktur gehört in Estland ebenfalls zu den tragenden Säulen der Abwehrstrategie
gegen DDoS-Angriffe. Dazu hat das Land ein Kommunikationssystem zwischen Datenbanken mit dem
Namen X-road geschaffen. Ein entscheidender Punkt der Abwehrstrategie liegt darin, dass es keine
13www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
zentrale Datenbank gibt, aus der Daten gestohlen werden können. Jede Organisation – staatliche Stellen,
Polizeibehörden oder Krankenhäuser – verwaltet ihre originären Daten selbst. Bei einem Datenleck kann
die betroffene Partei den Betrieb fortsetzen, da nur eine Kopie entwendet werden kann. Tatsächlich ist
die Initiative X-road so erfolgreich, dass Estland vom benachbarten Finnland um Unterstützung beim
Aufbau eines ähnlichen Systems gebeten wurde. Neben den autonomen Arbeiten innerhalb der eigenen
Landesgrenzen arbeiten Finnland und Estland gemeinsam daran, die beiden Länder bis Herbst 2016 digital
miteinander zu vernetzen.
14www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
Wie funKtionieren DDoS-angriffe?
Um besser zu verstehen, warum DDoS ein wichtiges Thema für die Sicherheit im Unternehmen ist, ist es
erforderlich, die vielfältigen Formen dieser Angriffe zu kennen und zu wissen, wie diese Schäden verursachen.
Die wichtigsten Angriffsmethoden werden nachstehend im Überblick dargestellt.
volumetriSche angriffe
Eine häufige Form sind Brute-Force-Angriffe, die ein anvisiertes Netz mit brutaler Gewalt vollständig
mit Datenverkehr überschwemmen und damit die verfügbare Bandbreite komplett auslasten. Dies wird
als volumetrischer Angriff auf die Netzwerk- und Transportschichten des OSI-Modells (Open System
Interconnection) bezeichnet. In diesem Szenario überlasten Hacker die Ressourcen des Opfers innerhalb von
Minuten. Auf diese Weise beeinträchtigen sie den Service oder verhindern sogar, dass legitime Nutzer auf das
Ziel zugreifen können. Solche volumetrischen Angriffe auf die OSI-Schichten 3 und 4 sind zum Beispiel ICMP,
TCP SYN und UDP Floods.
7 Application Layer
6 Presentation Layer
5 Session Layer
4 Transport Layer
2 Data Link Layer
3 Network Layer
1 Physical Layer
Application Attacks
Session Attacks
Network Attacks
HTTP and DNS floods, Sowloris
DNS UDP and SSL floods
ICMP, TCP SYN and UDP floods
OSI MOdel AttAck typeS And exAMpleS
15www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
icmp flooD
ICMP (Internet Control Message Protocol) ist eine Software für Diagnose- und Fehlerberichte und damit
integraler Bestandteil jeder IP-Implementierung. Router und Netzsysteme nutzen dieses Programm, um
Meldungen in Form von IP-Paketen an andere Geräte zu senden. Dadurch werden Fehler und Probleme
kommuniziert, zum Beispiel dass die sendenden Systeme für die Lieferung nicht erreichbar sind. Ein ICMP-
Angriff erfolgt, wenn ein Angreifer den Host absichtlich mit IP-Paketen überflutet, die seine Kapazität
übersteigen. Das System versucht zu reagieren und überlastet damit die Kapazität. Es kommt zum
Systemausfall.
tcp Syn flooD
Bei einer TCP SYN Flood wird die Struktur des TCP (Transmission Control Protocol) ausgenutzt. Dieses
gängige Protokoll für E-Mails und webbasierte Dienste ist ein leicht zugängliches und damit auch leicht
angreifbares Ziel. Eine TCP-Verbindung basiert auf dem „Three-Way-Handshake“ des SYN-ACK (Synchronize-
Acknowledgement) Messaging System. Im Prinzip trifft eine Abfrage ein und bleibt im Empfangsstatus, bis die
Legitimität der Abfrage überprüft worden ist. Um die Verbindung offen zu halten, nutzen Angreifer Quell-IP-
Adressen, die nicht bestätigt werden können. Kann dann die Prüfung nicht erfolgreich abgeschlossen werden,
stauen sich die eingegangen Statusabfragen und überfluten schließlich das System.
uDp flooD
Das User Datagram Protocol (UDP) ist ein Computer-Netzwerkprotokoll, das zur Übertragung von
Mitteilungen in einem IP-Netz genutzt wird, ohne dass vorher ein Verbindungsaufbau oder eine
Empfangsbestätigung erfolgt. Der Vorteil liegt in seiner Geschwindigkeit, dies ist in Situationen sinnvoll, in
denen eine Fehlererkennung, aber keine Validierung erforderlich ist. Wie bei einer ICMP Flood, sendet ein
Angreifer viele UDP-Pakete. Das Opfer versucht, darauf zu antworten, kann es aber nicht – das System wird
verstopft. Sehr große UDP Floods lassen sich effektiv durch die so genannte DNS-Amplifikation generieren.
angriffe Durch DnS-amplifiKation (Domain name SyStem)
Angriffe über DNS sind relativ einfach, weil bei der Entwicklung von DNS nicht die Sicherheit, sondern die
Zuverlässigkeit im Vordergrund stand. Wann immer ein Nutzer einen Domain-Namen in den Browser eingibt,
tritt das Domain Name System in Aktion. Es wandelt die Domain in die dazugehörige IP-Adresse um – das sind
die langen Zahlenreihen mit Punkten dazwischen. Die DNS-Server suchen in ihrem Cache nach der Domain.
Wird diese nicht gefunden, geht die Anfrage immer zum nächsten Server weiter, bis die Adresse gefunden
wird.
Ein DNS-Angriff nutzt die Schwachstellen der DNS-Infrastruktur aus, die je nach der zu erledigen Aufgabe
sowohl UDP als auch TCP implementiert. Es gibt eine Reihe unterschiedlicher Angriffsmethoden. Bei einer
dieser Methoden wird die Zieladresse als Absender angegeben (Identitätswechsel), statt die Anfrage von der
16www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
eigenen IP-Adresse zu senden. Dadurch antwortet der DNS-Server an die gefälschte Adresse (das Angriffsziel).
Die DNS-Antwort kann jedoch bis zu 70-mal größer sein als die ursprüngliche Anfrage – sie verstärkt also
das Ausmaß des Angriffs. Mit einem Botnet können diese Anfragen das Ziel überschwemmen und komplett
lahmlegen. Dieses Verfahren ist für die sehr großflächigen Angriffe mit über 100 Gbit/s – in Einzelfällen sogar
500 Gbit/s – verantwortlich, die wir heute erleben.
angriffe auf Die anWenDungSSchicht
Ein DDoS-Angriff auf die Anwendungsschicht betrifft Schicht 7 des OSI-Modells, die Funktionen des
Endnutzers wie Web Browser und E-Mail-Dienste unterstützt. Im Vergleich zu Brute-Force- oder
volumetrischen Angriffen sind Attacken auf die Anwendungsschicht sehr viel ausgefeilter und effektiver, da sie
versuchen, unentbehrliche Ressourcen abzuschöpfen, statt das Ziel einfach zu “überschwemmen”. Bei dieser
Art von Angriff wird die Anwendung selbst lahmgelegt, nicht der Host wie bei Angriffen auf die OSI-Schichten
3 und 4.
Außerdem wirken Angriffe auf die Anwendungsschicht wie legitime Transaktionen und können so DDoS-
Abwehrmechanismen besser täuschen . Dadurch ist es auch schwieriger, den Angriff einzudämmen, ohne den
Zugang für legitime Nutzern zu blockieren. Angriffe auf die OSI-Schicht 7 weisen häufig niedrige Bitraten auf
und betreffen Anwendungen wie Hypertext Transfer Protocol (HTTP) oder Domain Name Systems (DNS).
http get unD http poSt flooDS
HTTP ermöglicht Kommunikation zwischen Clients und Servern, zum Beispiel zwischen einem Web Browser
und einem Server. Zwei gängige Methoden für diese Art von Anfrage-Antwort-Protokoll sind GET und POST.
GET fragt Daten wie etwa Bilder oder Skripte ab, die von einer bestimmten Ressource abgerufen werden
7 Application Layer
6 Presentation Layer
5 Session Layer
4 Transport Layer
2 Data Link Layer
3 Network Layer
1 Physical Layer
Session Attacks
Network Attacks
A pplication Attacks
HTTP and DNS floods, Slowloris
DNS UDP and SSL floods
ICMP, TCP SYN and UDP floods
OSI MOdel AttAck typeS And exAMpleS
17www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
sollen, während POST zu verarbeitende Daten an eine bestimmte Ressource sendet. Ziel des Angreifers ist es,
den Server mit so vielen Anfragen zu überfluten, dass seine Ressourcen durch die erzwungenen Antworten
auf jede Anfrage schlichtweg zum Erliegen gebracht werden.
DnS-angriffe (Domain name SyStem)Ein Spoofing-Angriff auf das DNS-Cache nutzt wie zuvor erwähnt die Schwachstellen der DNS-Infrastruktur
aus. Angreifer können DNS-Antworten manipulieren oder kontaminieren, um alle eingehenden Antworten zu
einem beliebig ausgewählten Server umzuleiten. Da die Nutzer glauben, auf einer legitimen Webseite zu sein,
erhalten die Angreifer so sensible Informationen wie Passwörter und Kreditkartendaten.
angriffStoolS
Laut dem Worldwide Infrastructure Security Report 2016 von Arbor Networks4 nehmen DDoS-Angriffe in
Zahl, Umfang, Komplexität und Schadenshöhe weiter zu. Sage und schreibe ein Drittel der Befragten hat
in den letzten zwölf Monaten DDoS-Angriffe erlebt. Arbor Networks berichtet auch, dass 51 Prozent der
Rechenzentrumsbetreiber von DDoS-Angriffen betroffen waren, die ihre Internet-Konnektivität komplett
lahmgelegt haben.
Aufgrund der ausgefeilteren Angriffsmethoden sind Angriffe heute gefährlicher und kostspieliger.
Multivektorangriffe – eine Kombination aus volumetrischen, TCP Flood und Angriffen auf die
Anwendungsschicht – sind ein Beispiel dieser verfeinerten Methoden. Häufig ist ein Erstschlag auf
die dritte und vierte OSI-Schicht nur ein taktisches Manöver, das von einem größeren Angriff auf die
Anwendungsschicht ablenken soll. Dabei kommen Werkzeuge wie Low Orbit Ion Cannon (LOIC) und
Slowloris zum Einsatz.
loW orbit ion cannon (loic)
LOIC wurde ursprünglich als Open-Source-Diagnoseanwendung für Netzbelastungstests entwickelt.
Nachdem LOIC frei zugänglich wurde, wurde die Anwendung jedoch von Kriminellen für die Durchführung
von DDoS-Angriffen modifiziert. Dabei werden große Datenmengen generiert, die ein Ziel mit TCP-, UDP-
oder HTTP-Paketen überfluten. Im „Hivemind“-Modus kann ein Angreifer eine Kopie von LOIC mit einem
IRC-Kanal (Internet Relay Chat) verbinden und so mit Tausenden von Kopien auf zahlreichen Geräten ein Ziel
angreifen.
LOIC ist häufig von der Hacker-Gruppe Anonymous eingesetzt worden. Da dabei die IP-Adresse des Nutzers
nicht standardmäßig verschleiert wird, konnten Personen ermittelt und verhaftet werden, die ihre Geräte
freiwillig für die Bot-Nutzung zur Verfügung stellten. In der Folge wurde dieses Verfahren seltener eingesetzt.
Gleichzeitig war dies möglicherweise der Anlass für Anonymous, High Orbit Ion Cannon zu entwickeln, eine
Nachfolgeanwendung, die für einen Angriff gleicher Stärke weniger Geräte benötigt.
4 Worldwide Infrastructure Security Report Band XI, Arbor Networks
18www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
SloWloriS
Gemeint sind hier nicht die Primaten mit den großen, weit geöffneten Augen, die in den Bäumen Südostasiens
leben, wenngleich der englische Name durchaus daher rührt. Slowloris ist ein DDoS-Tool, das versucht,
möglichst viele Verbindungen zum Zielserver offen zu halten, um damit den Zugang für legitime Nutzer zu
blockieren. Getreu seinem Namen versendet Slowloris Anfragen in sehr kleinen Portionen und so langsam wie
möglich. So ist der Server gezwungen, auf die Ankunft des nächsten Teils zu warten. Auf diese Weise benötigt
Slowloris weder große Datenmengen noch viel Bandbreite.
herKömmliche abWehrproDuKte WirKen nicht mehr
Die gängigsten Abwehrmechanismen gegen Cyber-Kriminalität waren bislang Firewalls, Intrusion Prevention
Systems (IPS) und Intrusion Detection Systems (IDS). Diese Verfahren allein schützen Systeme leider nicht
mehr vor heutigen DDoS-Angriffen, sondern sind oft selbst das Ziel von Angriffen.
fireWallS
Die Funktionsweise einer Firewall lässt sich in einfachen Worten so erklären, dass sie den Status der
sie passierenden Netzverbindungen überwacht, zum Beispiel Quell- und Ziel-IP-Adressen, und diese
Informationen in einer Speichertabelle ablegt, die als Zustandstabelle bezeichnet wird. Alle Datenpakete
im vorab geprüften Speicher wird durchgelassen, während erkannte Bedrohungen und Bedrohungsmuster
blockiert werden. Sendet ein Angreifer jedoch sehr viele solcher Sessions an eine Firewall, füllt sich die
Zustandstabelle. Ist die Tabelle voll, werden neue Sessions entweder verweigert oder sie stürzt unter der Last
ab. So oder so ist eine Firewall häufig das erste System zwischen dem Internet und allen mit dem Internet
verbundenen Diensten eines Unternehmens. Wenn sie ausfällt oder keine neuen Verbindungen mehr
akzeptiert, ist alles was dahinter liegt, vom Internet abgeschnitten.
19www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
iDS unD ipS
Wie die Namen schon sagen, erkennt ein IDS (Intrusion Detection System) böswillige Angriffsversuche auf
ein System oder Netz, während ein IPS (Intrusion Prevention System) derartige Versuche blockiert. Diese
Systeme werden in der Regel zusammen mit Firewalls implementiert. Sie führen und durchsuchen eine
Datenbank, in der Muster böswilliger Angriffe, von Administratoren definierte anormale Verhaltensweisen
bzw. vorkonfigurierte Sicherheitsvorgaben abgelegt sind. Allen erkannten Anomalien im Netz wird der Zugang
verweigert. Aufgrund ihrer Abhängigkeit von Rechenleistung und Speicherkapazität können die Ressourcen
dieser Systeme bei DDoS-Angriffen auf die Anwendungsschicht leicht erschöpft werden. Hinzu kommt, dass
diese Systeme ausschließlich bereits gespeicherte Bedrohungen erkennen. Neu konzipierte Angriffe (Zero
Day) werden problemlos durchgelassen.
20www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
abWehrStrategien gegen DDoS-angriffe
Die heutigen DDoS-Angriffe bestehen zunehmend aus einer Kombination aus volumetrischen und auf
die Anwendungsschicht gerichteten Vektoren. Das macht die Abwehr dieser Angriffe so schwer wie nie
zuvor. Hinzu kommt die Tatsache, dass Attacken in Größe und Komplexität zunehmen. Aus diesen Gründen
müssen wirksame Gegenmaßnahmen auf einem mehrstufigen Ansatz beruhen, der die eigene Infrastruktur
ebenso schützt wie die Cloud und das Backbone-Netz. Nur mit einem vollständig integrierten Service von
spezialisierten Anbietern ist es möglich, die heutigen Multivektor-DDoS-Angriffe abzuwehren.
Laut dem Worldwide Infrastructure Security Report 2016 von Arbor Networks waren über ein Drittel der
befragten Dienstanbieter, Unternehmen, Behörden und Bildungseinrichtungen in den letzten zwölf Monaten
von DDoS-Angriffen betroffen5. Angriffe mit über 100 Gbit/s machten dabei fast ein Viertel aller Angriffe aus
– ein deutlicher Anstieg in den letzten zwölf Monaten. Angriffe auf die Anwendungsschicht haben ebenfalls
zugenommen, von 86 Prozent im Jahr 2013 auf heute 93 Prozent. Am problematischsten war allerdings die
steigende Zahl von Multivektorangriffen, deren Anteil 2015 auf 56 Prozent anstieg.
5 52 Prozent Dienstanbieter, 38 Prozent Unternehmen, 6 Prozent Behörden, 4 Prozent Bildungseinrichtungen
21www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
löSungen Der DeutSchen teleKom
In enger Partnerschaft mit Sicherheitsexperten von Arbor Networks bietet die Deutsche Telekom eine
mehrschichtige Sicherheitsstrategie, die selbst bei den schwersten Angriffsszenarien wirksam ist. Der einzig
sinnvolle Weg bei massiven volumetrischen Angriffen ist ein Backbone-Schutz oder eine Cloud-Lösung.
Denn perimeterbasierte Schutzlösungen blockieren ausschließlich Angriffe, die die Kapazität der Internet-
Verbindung nicht überschreiten. Ein Aufrüsten, das den heutigen Volumen gerecht wird, wäre finanziell
unrealistisch. Abwehrsysteme vor Ort beim Kunden sind jedoch ebenfalls unerlässlich. Denn Angriffe auf
die Anwendungsschicht sollten jeweils kurz vor dem physischen Ort der Anwendung gestoppt werden.
Außerdem werden sie von Cloud-basierten Lösungen nicht erkannt. Auch die Industrie betrachtet diesen
mehrstufigen Ansatz zum Schutz vor DDoS-Angriffen heute als die beste Lösung für die Praxis. Viele Anbieter
und Branchenanalysten unterstützen diesen Ansatz.
Cloud ddos pRoTECTIoN
on Premises ddos pRoTECTIoN
BaCkBone ddos pRoTECTIoN
Local always-on protection
For attacks on networks and bandwidth Complex targeted attacks on systems
and applications
For global companies, organizations that have multiple internet providers
Sophisticated protection against smart (Layer 7) DDoS attacks
High-end protection against complex volumetric attacks
For companies that have Deutsche Telekom as an internet service provider
High-end protection against complex volumetric attacks
Over 2 Tbps of global and redundant mitigation capacity
22www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
bacKbone-Schutz Der DeutSchen teleKom
DDoS Defense ist eine IP-Backbone-Abwehrlösung, die die Deutsche Telekom ihren Geschäftskunden und IP-
Transit-Kunden anbietet. Sie schützt gegen volumetrische DDoS-Angriffe, die über die Deutsche Telekom zum
Netz des Kunden geleitet werden. Dank eines transparenten Reporting- und Managementsystems erkennt
DDoS Defense Angriffe im Voraus. So können sie gestoppt werden, bevor sie Schaden anrichten. Erkennt das
System einen Angriff, wird der Verkehr in den Sicherheitsbereich der Deutschen Telekom umgeleitet und mit
den Abwehrinstrumenten von Arbor Networks gefiltert. Dieser Backbone-Schutz sollte jedoch lediglich als ein
erster Schritt zur Eindämmung von Angriffen gesehen werden, da damit nicht in Echtzeit auf Angriffe auf die
Anwendungsschicht reagiert wird. Somit ist ein mehrstufiger Ansatz notwendig.
23www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
clouD-Schutz Der DeutSchen teleKom
Die Deutsche Telekom bietet zusätzlich eine auf Arbor Networks basierende Cloud-Lösung mit einer globalen
und redundanten Schutzkapazität von über zwei Terabit/s. Diese Lösung leitet Verkehr zu den vier globalen
Scrubbing-Zentren (Ausbau auf acht Scrubbing-Zentren für 2017 geplant) zur sofortigen Säuberung um. Der
„saubere“ Verkehr wird dann über einen GRE-Tunnel schnell zum Kunden zurückgesendet. Diese Lösung
ist anbieterunabhängig und kann daher autonom implementiert werden. Damit eignet sie sich ideal für
Unternehmen mit weltweiter Präsenz oder mehreren Upstream-Internetanbietern, die eine Lösung aus einem
Guss wollen.
Das ANYCAST-Modell der Scrubbing-Zentren sorgt dafür, dass der Verkehr im Fall eines Ausfalls dynamisch
an die anderen Zentren weitergeleitet wird. Um maximale Zuverlässigkeit zu gewährleisten, sind an jedem
Standort mehrere Abwehrsysteme mit 40 Gbit/s implementiert. Während die Zentren als Carrier-Class-
Einrichtungen zertifiziert sind, ist im Service Level Agreement der Cloud-Plattform eine Verfügbarkeit von
99,999 Prozent festgeschrieben – ein Wert, den andere Anbieter nur schwer erreichen könnten.
Internet
DDoS ProtectIon Arbor clouD
WebServer FArm
24www.telekom-icss.com/ddosdefense
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
KunDenSeitige löSungen Der DeutSchen teleKom
Die Deutsche Telekom bietet eine Reihe von kundenseitigen Lösungen an, die alle Anforderungen inklusive
Virtualisierung erfüllen. Lokaler Schutz ist die einzig richtige Methode, um anspruchsvolle Angriffe auf die
Anwendungsschicht ebenso zu blockieren wie State-Exhaustion-Angriffe. Diese Lösungen sind immer aktiv
und gewährleisten so automatischen Schutz in Echtzeit. Sie erkennen und blockieren gezielte Angriffe mithilfe
lokaler Intelligenz und einem zentralen DDoS-spezifischen Daten-Feed, der stündlich aktualisiert wird.
Allerdings sind kundenseitige Lösungen nur in Verbindung mit Cloud-Mechanismen wirklich effektiv, die mit
den großen volumetrischen Angriffskomponenten umgehen können.
Die Deutsche Telekom bietet unter anderem das kundenseitige Availability Protection System (APS) an. Dabei
handelt es sich um eine Always-On-Vorrichtung oder virtuelle Plattform für die Erkennung und Abwehr
von Angriffen auf die Anwendungsschicht und von volumetrischen Angriffen mit niedriger Bandbreite
bis zur Anschlussbandbreite des Kunden 500 Mbit/s bis 10 Gbit/s pro Link. Die Lösung verfügt über eine
zustandslose Analysefilterfunktion, die im Unterschied zu Firewalls und IPS keine hohe Rechnerkapazität
für zustandsbezogene Prüfungen benötigt. Daher erkennt APS Angriffe mit kleineren Volumen problemlos.
Zudem kann das System Bedrohungen und Bedrohungsmuster effektiv analysieren und erleichtert damit die
Abwehr künftiger Angriffe.
Zur Abwehr komplexer und sehr unterschiedlicher DDoS-Angriffe ist unbedingt eine Schutzlösung
erforderlich, die auf die besonderen Bedürfnisse Ihres Unternehmens zugeschnitten ist. Es reicht nicht,
einfach nur Datenpakete abzufangen, die als gefährlich wahrgenommen werden. Eine erfolgreiche Lösung
muss zwischen guten und böswilligen Verkehrsmustern unterscheiden können. Sie darf nur letztere
blockieren und den legitimen Verkehr nicht beeinträchtigen. Deshalb ist es wichtig, mit einem Anbieter wie
der Deutschen Telekom zusammenzuarbeiten, dessen intelligente Lösungen den Ursprung eines Angriffs
erkennen und einschätzen können, wie er sich entwickeln könnte.
vorteile Der DDoS-abWehrlöSungen Der DeutSchen teleKom
Mit den Lösungen der Deutschen Telekom profitieren die Kunden von der Expertise und
Forschungskompetenz des Unternehmens, zum Beispiel von unserem Projekt „DTAG Community
Honeypot“. Mit Unterstützung von Partnern hat die Deutsche Telekom Sensoren auf der ganzen Welt
installiert, um Daten zu erfassen und einen Überblick über aktuelle Cyber-Angriffe zu geben. Diese Daten
werden der Öffentlichkeit auf der Webseite www.sicherheitstacho.de zur Verfügung gestellt. Dabei werden
beobachtete Bedrohungen in Echtzeit auf einer Weltkarte bzw. auf Charts visualisiert. Daraus ergibt sich eine
transparente, globale Darstellung von DDoS-Angriffen, anhand derer laufende Attacken gestoppt und künftige
Entwicklungen eingeschätzt werden können.
Mit den modernen Überwachungssystemen der Deutschen Telekom kann erkannt werden, ob Geräte eines
Kunden infiziert worden sind. Das Unternehmen benachrichtigt in diesem Fall umgehend den Kunden per
Mail oder per Post und leitet ihn auf die Webseite www.botfrei.de. Dabei handelt es sich um ein Anti-Botnet-
SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen
Beratungszentrum, das Deutsche Telekom als teilnehmender Partner unterstützt. Botfrei bietet Anweisungen
zur Bekämpfung von Sicherheitsproblemen und eine Hotline für schwer zu lösende Fälle. Wie groß das
Problems ist, zeigt sich daran, dass Deutsche Telekom Monat für Monat bis zu 40 000 Infektionsmeldungen
an Kunden versendet.
Die Kunden profitieren außerdem von den laufenden Aktivitäten von Arbor Networks zum Schutz des
Internets vor Angriffen. Das Unternehmen betreibt ein System mit dem Namen ATLAS, das ähnlich wie das
System der Deutschen Telekom weltweite Bedrohungen analysiert. ATLAS ist ein internationales Netzwerk,
das aus Spezialisten von Arbor Networks und Kunden besteht und Daten über erkannte Verkehrsströme und
Angriffe sammelt und weitergibt. Das Ergebnis ist eine zeitnahe, detaillierte Analyse zur globalen Entwicklung
von DDoS-Angriffen.
Arbor Networks verfügt darüber hinaus über ein spezielles Forschungsorganisation für Sicherheitsfragen
namens ASERT (Arbor Security Engineering and Response Team), das eine umfangreiche Schadware-Plattform
entwickelt hat. Sie gilt als weltweite Instanz für DDoS-basierte Schadware-Tools und arbeitet daran, solche
Tools zu finden und unschädlich zu machen. Die patentierte DDoS-Abwehrtechnologie in Verbindung mit
dem Know-how und der Unterstützung der Deutschen Telekom bietet Kunden ein Komplettpaket, das
Bedrohungen wirksam erkennt und klare, konsequente und leistungsstarke Lösungen liefert.
zahlreiche abWehrlöSungen Der DeutSchen teleKom
Zur Abwehr hochvolumiger Angriffe bietet Deutsche Telekom zwei Lösungen. Bestandskunden, die
ausschließlich die Deutsche Telekom als Provider nutzen, können von der Backbone-Schutzlösung des
Unternehmens profitieren. Es gibt aber auch Unternehmen, die mehr als einen Provider haben und eine
Lösung aus einer Hand brauchen. In diesem Fall ist der Cloud-Schutz die ideale Lösung für Bestands- und
Neukunden gleichermaßen.
Zur Abwehr von Anwendungsangriffen sind nach Ansicht vieler Experten weltweit kundenseitige Lösungen,
die einen zustandslosen Schutz in Echtzeit bieten, am sinnvollsten. Da die Angriffe heute zunehmend auf
Volumen und Anwendungsschichten setzen, sind kundenseitige Systeme in Verbindung mit einem Backbone-
oder Cloud-Schutz am wirkungsvollsten.
DDoS-Angriffe nehmen weiter zu und ein Ende ist nicht absehbar. Deshalb bietet eine individuelle Strategie
den bestmöglichen Schutz, egal welche Lösungen konkret gewählt werden, . Jedes Unternehmen
hat besondere Anforderungen und Schwachstellen, die bei der Planung eines Abwehrmechanismus
berücksichtigt werden müssen. Kein Unternehmen kann es sich leisten, zu warten, bis es mit einem
Erpresserangriff, dem Diebstahl sensibler Daten oder einer kompletten Blockierung von Diensten konfrontiert
ist.
irgenDWelche fragen?
Weitere Informationen finden Sie unter www.telekom-icss.com/ddosdefense
veröffentlicht von
Deutsche Telekom AGInternational Carrier Sales & Solutions (ICSS)Friedrich-Ebert-Allee 71–77 D-53113 Bonn, Germany