0
20

Wie kann man sich vor DDoS-Attacken schützen?

23.3.2016


Vor ein paar Tagen fielen grosse Onlineshops wie Digitec, Microspot, Interdiscount aber auch die sbb.ch mehrfach über Stunden komplett aus. Sie wurden von grossen DDoS-Attacken heimgesucht und waren dadurch nicht mehr erreichbar. Der kommerzielle Schaden dürfte teilweise im sechsstelligen Bereich liegen, den Image-Schaden nicht eingerechnet. Da kommt schnell die Frage auf wie man sich vor solchen Attacken schützen kann.

DDoS-Attacken (distributed denial of service) funktionieren nach einem ganz einfachen Prinzip: Die Website, die attackiert werden soll, wird einfach mit tausenden von Anfragen überhäuft, bis diese nicht mehr in der Lage ist, die Anfragen alle zu beantworten und dadurch lahmgelegt wird. Um gleichzeitig so viele Anfragen absetzen zu können, bedienen sich die Angreifer meist einem sogenannten Bot-Netz. Das ist eine grosse Anzahl von Computern, die von einem Virus infiziert sind, der es erlaubt den Computer fernzusteuern. Diese Angriffe werden also über ganz gewöhnliche, virusverseuchte Heimcomputer geführt, ohne dass deren Besitzer etwas davon merken. Genau das ist das perfide daran. Für den angegriffenen Shop sieht es aus, als würden ganz normale User auf den Onlineshop zugreifen. Der Server wird weder gehackt noch geht es darum Daten zu stehlen, sondern nur darum, die Website, den Onlineshop oder einen anderen Webdienst, für eine gewisse Zeit lahm zu legen. Und dadurch, dass die Website nicht mehr erreicht werden kann, einen wirtschaftlichen Schaden anzurichten.

Neben politischen oder ideologischen Motiven verfolgen Angreifer auch kriminelle Ziele: Sie versuchen Geld vom Opfer zu erpressen und versprechen nach Zahlung die Angriffe einzustellen. Im oben genannten Fall von ging es ebenfalls um Erpressungsgelder in der Höhe von jeweils CHF 10’000.–. Es herrscht an sich Konsens unter den Shopbetreibern, dass auf solche Lösegeldforderungen, die meist vorab per Mail an den entsprechenden Betreiber gelangen, nicht eingegangen wird. Auch die Bundesstelle MELANI rät nicht zu bezahlen. Aber es gibt offenbar immer wieder Shopbetreiber, die ausscheren, da der Schaden für sie bei einem Ausfall viel höher liegt. Dies wiederum öffnet Nachahmern und Wiederholungstätern Tür und Tor und solche Angriffe werden dadurch eher zunehmen. Es finden heute schon täglich hunderte von Attacken auf verschiedensten Websites statt. Einen anschaulichen Einblick in die aktuell laufenden Attacken gibt die Digitalattackmap.

DDOS Attacken Übersicht Weltkarte

Sich vor solchen Angriffen zu schützen, ist relativ schwierig. Weil eben kaum feststellbar ist, ob es sich um die Anfrage eines echten Users oder eines virenverseuchten Computers handelt. Das Ziel von Schutzmechanismen ist es aber genau, die «echten» Anfragen von den «falschen» zu unterscheiden und nur die Anfragen von echten Benutzern zu beantworten. Ein Ansatz ist es, zu schauen, woher die Anfragen stammen. Bei einem Schweizer Onlineshop kann man davon ausgehen, dass das Gros der Anfragen aus dem Inland stammt. So können bspw. Anfragen aus dem Ausland, wenn sie in grosser Zahl auftreten abgewiesen werden, weil der Verdacht eines Angriffs Nahe liegt. Allerdings ist aber auch dieser Ansatz limitiert. Denn ist ein Angriff genügend stark, kann es vorkommen, dass ein solcher «Inland-Filter» schon nur durch das Filtern und das Abweisen derart belastet wird, dass der Webserver schon deshalb überlastet wird und die Attacke dadurch trotzdem erfolgreich ist. Um dem entgegen zu wirken kann man in die Infrastruktur (Hardware) des vorgelagerten «Filters» investieren, damit dieser in der Lage ist mehr Anfragen pro Sekunde abzuweisen und dadurch einem Angriff länger standhalten kann. Doch das ist kostenintensiv. Und einen kompletten Schutz gibt es auch dann nicht: Wird der Angriff von genügend vielen Computern ausgeführt, wird das attackierte System früher oder später in die Knie gezwungen und nicht mehr antworten. Bei grossen, internationalen Onlineshop ist es ausserdem noch schwieriger die «echten» von den «falschen» Anfragen zu unterscheiden, da hier Herkunfts-Filter schwieriger anzuwenden sind.
Oft werden bei grossen Onlineshops über die Onlineplattform auch «interne» Dienste in einem geschützten Bereich zur Verfügung gestellt. Bspw. können Filialen darüber Nachbestellungen von Produkten beim Zentrallager auslösen oder die Filiale wickelt den physischen Verkauf ebenfalls direkt über die Onlineplattform ab. Bei einer DDoS-Attacke ist in diesem Fall nicht nur der Onlineshop nicht mehr erreichbar – die Filiale kann unter Umständen keinem Kunden mehr etwas verkaufen wenn sie auf das System angewiesen ist. Hier empfiehlt es sich das «interne» System auf einer zweiten, separaten Plattform laufen zu lassen, damit dieses im Fall eines Angriffs auf den Onlineeshop weiter verfügbar bleibt und damit nicht auch noch Schaden in den Filialen angerichtet wird. Aber natürlich ist auch dies mit Investitionen verbunden und auch hier gilt: Einen kompletten Schutz gibt es nicht, auch das Zweitsystem könnte unter Beschuss geraten. Hier ist die Filterung aber sehr viel einfacher, da nur ganz wenige bekannte Benutzer zugreifen dürfen.
Auch wenn es keinen 100%igen Schutz vor DDoS-Attacken gibt, lohnt es sich sich frühzeitig damit auseinander zu setzen und vernünftige Vorsichts-Massnahmen zu treffen, denn leider dürfte das Volumen von DDoS-Attacken in Zukunft eher zunehmen.

 

E-Commerce - MySign

Google+ 0 Facebook 20 Twitter 0 Pinterest 0

Kategorisiert in: ,

0
20