Preview only show first 10 pages with watermark. For full document please download

Ddos White Paper - Stay Safe In Cyber Space

   EMBED

Share

Transcript

Sicherheit im Cyberspace DDoS-Angriffe – Einblicke und Lösungen SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen Inhaltsverzeichnis Einführung������������������������������������������������������������������������������������������������������������������������������������� 3 Was versteht man unter DDoS?�������������������������������������������������������������������������������������������������������������������������4 Die Kosten���������������������������������������������������������������������������������������������������������������������������������������������������������5 Neue Möglichkeiten und Motive������������������������������������������������������������������������������������������������������������������������6 IT-Fortschritt erhöht die Gefahr�������������������������������������������������������������������������������������������������������������������������7 Warum weiterlesen?������������������������������������������������������������������������������������������������������������������������������������������8 DDoS-Angriffe in einem sich wandelnden Umfeld������������������������������������������������������������������������� 9 Neue Angriffsmethoden������������������������������������������������������������������������������������������������������������������������������������9 Multivektorangriffe��������������������������������������������������������������������������������������������������������������������������������������������9 Leichterer Zugang zu illegalen Instrumenten��������������������������������������������������������������������������������������������������10 Neue Möglichkeiten����������������������������������������������������������������������������������������������������������������������������������������10 Angriff auf Estland�������������������������������������������������������������������������������������������������������������������������������������������11 Die geheimen Cyber-Waffen eines E-Staates���������������������������������������������������������������������������������������������������12 Wie funktionieren DDoS-Angriffe?����������������������������������������������������������������������������������������������� 14 Volumetrische Angriffe������������������������������������������������������������������������������������������������������������������������������������14 ICMP Flood ������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� 15 TCP SYN Flood ������������������������������������������������������������������������������������������������������������������������������������������������������������������������� 15 UDP Flood �������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� 15 Angriffe durch DNS-Amplifikation (Domain Name System)������������������������������������������������������������������������������������������������������� 15 Angriffe auf die Anwendungsschicht���������������������������������������������������������������������������������������������������������������16 HTTP GET und HTTP POST Floods�������������������������������������������������������������������������������������������������������������������������������������������� 16 Angriffstools����������������������������������������������������������������������������������������������������������������������������������������������������17 Low Orbit Ion Cannon (LOIC)����������������������������������������������������������������������������������������������������������������������������������������������������� 17 Slowloris������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ 18 Herkömmliche Abwehrprodukte wirken nicht mehr�����������������������������������������������������������������������������������������18 Firewalls������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������ 18 IDS und IPS�������������������������������������������������������������������������������������������������������������������������������������������������������������������������������� 19 Abwehrstrategien gegen DDoS-Angriffe�������������������������������������������������������������������������������������� 20 Lösungen der Deutschen Telekom������������������������������������������������������������������������������������������������������������������21 Backbone-Schutz der Deutschen Telekom�������������������������������������������������������������������������������������������������������������������������������� 22 Cloud-Schutz der Deutschen Telekom��������������������������������������������������������������������������������������������������������������������������������������� 23 Kundenseitige Lösungen der Deutschen Telekom��������������������������������������������������������������������������������������������������������������������� 24 Vorteile der DDoS-Abwehrlösungen der Deutschen Telekom���������������������������������������������������������������������������������������������������� 24 Zahlreiche Abwehrlösungen der Deutschen Telekom��������������������������������������������������������������������������������������������������������������� 25 www.telekom-icss.com/ddosdefense 2 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen Einführung Sie fragen sich, warum das Thema Cyber-Sicherheit und DDoS-Angriffe (Distributed Denial of Service) so wichtig ist? Sie glauben, Ihrem Unternehmen wird so etwas nie passieren, weil Sie die richtigen Firewalls und Erkennungssysteme installiert haben? Dann führen Sie sich vor Augen, wozu Cyber-Kriminelle heute in der Lage sind. Selbst die größten Organisationen sind schon solchen Angriffen zum Opfer gefallen. Stellen Sie sich vor, Sie arbeiten in einem großen Medien- oder Rundfunkunternehmen. Sie fühlen sich sicher und sind davon überzeugt, dass ihre sensiblen Informationen gegen unbefugten Zugriff geschützt sind. Doch dann kommen Sie eines Tages zur Arbeit und sehen, dass Cyber-Kriminelle ihr fast fertiges Projekt gestohlen haben – zusammen mit vertraulichen Dateien. In der gesamten IT-Infrastruktur des Unternehmens wurden Geräte infiltriert und dabei Daten auf Servern und PCs gestohlen oder gelöscht. Im Netzwerk waren E-MailAdressen, Gehaltslisten, Bankverbindungen und Angaben zur Krankenversicherung ebenso gespeichert wie die Nummern Ihrer privaten Kreditkarten. Oder stellen Sie sich vor, was passiert, wenn Ihre Online-Dienste plötzlich nicht mehr zur Verfügung stehen. Am Morgen sitzen Sie noch am Rechner, um Rechnungen zu bezahlen, und am Nachmittag ist keine der Webseiten, die Sie häufig nutzen, mehr erreichbar. Sie können auch nicht klären, was passiert ist, denn die Verbindung zu Ihren digitalen Nachrichten und zu staatlichen Webseiten funktioniert nicht mehr. Diesmal ist eine Gruppe von Cyber-Kriminellen am Werk: Sie fordern Lösegeld für die Rückgabe Ihrer Daten. Internal Network Security Threats 60% 50% Survey Respondents According to the Arbor Networks Wolrdwide Infrastructure Security Report, more than half of the respondents reported that internet connectivity congestion due to DDoS attack was the most commonly observed threat experienced on corporate networks. 40% 55% Internet connectivity congestion due to DDoS attack 28% Botted or otherwise compromised hosts on your corporate network 28% Internet connectivity congestion due to genuine traffic growth/spike 26% Accidental major service outage 21% None of the above 30% 13% Accidental data loss 10% Advanced Persistent Threat (APT) on corporate network 20% 8% Malicious insider 7% Exposure of sensitive, but non-regulated data 10% 6% Theft 5% Exposure of regulated data 0% Source: Arbor Networks tenth annual Worldwide Infrastructure Security Report www.telekom-icss.com/ddosdefense 5% Web defacement 4% Industrial espionage or data exfiltration 2% Other 3 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen Diese Szenarien sind nur zwei alltägliche Beispiele dafür, welche verheerenden Folgen ein Angriff haben kann. Laut dem Akamai-Sicherheitsbericht “State of the Internet” für das 1. Quartal 2016 haben DDoS-Angriffe im Vergleich zum Vorjahr um 125 Prozent zugenommen. Deshalb ist es von größter Bedeutung, dass die jeweils aktuellsten Sicherheitsmaßnahmen installiert werden. Die modernen Abwehrsysteme von heute sind im Gegensatz zu älteren Produkten und herkömmlichen Methoden in der Lage, Angriffe auf die bestehende Infrastruktur und Cloud-basierte Netzwerke in Echtzeit vorauszusagen, zu erkennen und zu entschärfen. Was versteht man unter DDoS? DDoS steht für Distributed Denial of Service. Dabei wird versucht, die Verfügbarkeit von Internet-basierten Anwendungen und Diensten für legitime Nutzer zu beeinträchtigen. Häufig geschieht dies dadurch, dass INTERNET SERVICE PROVIDER NETWORK DATA CENTER LEGIT TRAFFIC VOLUMETRIC ATTACK SATURATION STATE EXHAUSTION APPLICATION ATTACK/MALWARE Datenpakete von Computern oder anderen Endgeräten übertragen werden, die mit Schadware infiziert sind, also mit Viren und Trojanern. Diese korrumpierten Computer werden „Bots“ genannt. Sie können gemeinsam ein Netzwerk bilden, ein so genanntes „Botnet“. Botnets werden von einem zentralen Server gesteuert und können für viele kriminelle Zwecke genutzt werden, zum Beispiel auch für DDoS-Angriffe. Viren und Trojaner lassen sich leicht verbreiten, häufig in scheinbar harmlosen E-Mails, die den PC infizieren, sobald sie geöffnet werden. Aufgrund ihrer dynamischen Anpassungsfähigkeit sind sie sehr schwer zu erkennen. Darüber hinaus gibt es noch zahllose Geräte, die mit dem Internet verbunden sind, aber nicht über die neuesten Software-Aktualisierungen oder aktuelle Virenschutzprogramme verfügen. Nach Informationen des SC Magazine UK sind derzeit 1,5 Milliarden Geräte potenziell infiziert1. Tatsächlich bleiben viele Bots über Jahre hinweg unbemerkt und werden während dieser Zeit für Datendiebstahl, DDoS-Angriffe, den Versand von Spam-Emails, die gezielte Überlastung von Online-Systemen oder zur Störung von Verbindungen genutzt. 1 SC Magazine UK, 1. June 1 2016, http://www.scmagazineuk.com/15-billion-windows-computers-potentially-affected-byunpatched-0-day-exploit/article/499854/ www.telekom-icss.com/ddosdefense 4 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen Die DDoS-Landschaft hat sich in den letzten Jahren stark verändert, was die Durchführung von Angriffen einfacher macht als jemals zuvor. Heute ist es beispielsweise relativ leicht, kriminelle Online-Organisationen zu finden, die Botnets mit volumenabhängiger Bezahlung vermieten, Leitfäden für den Aufbau eines Botnets anbieten oder Freiwillige suchen, die ihre Angriffe unterstützen. Da auch Umfang und Komplexität der Angriffe zugenommen haben, sind sie schwerer zu erkennen und einzudämmen. Die Kosten Nach einer Erhebung der Marktforschungsagentur B2B International für den Zeitraum April 2014 bis Mai 2015 in 38 Ländern mit 5.564 Befragten sehen sich 90 Prozent der untersuchten Unternehmen in irgendeiner Form von externer Cyber-Kriminalität bedroht2. Die durchschnittlichen Kosten von Datendiebstahl werden in der Erhebung auf 38.000 bis 551.000 US-Dollar pro Unternehmen beziffert. Neben gestohlenen Vermögenswerten gehören unter anderem Anwalts- und Gerichtskosten, Kosten für Abwehrmaßnahmen, entgangene Gewinne und mitunter steigende Versicherungsprämien zu den Folgekosten von Sicherheitslücken. Schwieriger zu berechnen sind die wirtschaftlichen Folgen für ein Unternehmen durch Reputations- und Imageverlust. 2 Global IT Security Risks Survey 2015, durchgeführt von B2B International und analysiert von Kaspersky Labs www.telekom-icss.com/ddosdefense 5 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen Neue Möglichkeiten und Motive Unternehmen sind in zunehmendem Maß auf das Internet angewiesen. Schließlich können sie damit einem größeren Kundenkreis mehr Produkte und Leistungen anbieten. Doch gerade die hohen Online-Umsätze sorgen dafür, dass Unternehmen zu einem lukrativen Ziel für Cyber-Kriminelle geworden sind. Mit Datenund Identitätsklau, Betrug und Erpressung lässt sich eine Menge Geld verdienen. Direkte finanzielle Gewinne sind jedoch nicht das einzige Motiv hinter DDoS-Angriffen. Auf dem Vormarsch sind auch politisch oder ideologisch motivierte Angriffe sowie Attacken auf die Konkurrenz mit dem Ziel, Wettbewerbsvorteile zu erzielen. Der Schaden durch DDoS-Angriffe kann für Unternehmen sehr hoch sein. Direkte Vermögensschäden können in die Millionen gehen, insbesondere bei zeitkritischen Transaktionen wie etwa im Handel. Gleichzeitig sind langfristige Auswirkungen unkalkulierbar. Während der Ausfall einer Webseite oder die Störung von Leistungen sehr teuer werden kann, können Reputationsschäden wirtschaftlich katastrophale Folgen haben. Mitunter brauchen Unternehmen Jahre, um sich davon zu erholen. Kunden wechseln mit großer Wahrscheinlichkeit zu Wettbewerbern, wenn Kreditkartendaten, Passwörter oder andere personenbezogene Daten durch Sicherheitslücken kompromittiert worden sind. www.telekom-icss.com/ddosdefense 6 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen IT-Fortschritt erhöht die Gefahr Mit den Fortschritten in der ICT-Branche öffnen sich gleichsam neue Wege für Sicherheitsverstöße. Die Begeisterung über die Möglichkeiten der neuen Technologien führt häufig dazu, dass Unternehmen die damit verbundenen Gefahren übersehen. Viele Unternehmen investieren heute in Virtualisierung und CloudAnwendungen und erlauben ihren Mitarbeitern, eigene Geräte bei der Arbeit zu nutzen. Diese Verteilung von Ressourcen macht es allerdings wesentlich schwieriger, die Sicherheit im Cyberspace zu gewährleisten. Gleichzeitig nimmt die Zahl der Einfallstore für Angreifer zu. Auch deshalb wird es immer wichtiger, Sicherheitslösungen zu entwickeln, die exakt auf die konkreten Anforderungen des Unternehmens zugeschnitten sind, um Angriffe proaktiv abzuwehren. www.telekom-icss.com/ddosdefense 7 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen Warum weiterlesen? Das White Paper liefert allgemeine Hintergrundinformationen über DDoS-Angriffe und zeigt in einem technischen Überblick, wie diese funktionieren. Dabei wird auch untersucht, wie sich DDoS-Angriffe entwickelt haben und weiterentwickeln werden. Zudem wird erörtert, warum herkömmliche Abwehrsystem nicht mehr wirksam sind. Um mit der stetig wachsenden Bedrohung von Sicherheitsverletzungen zurechtzukommen, müssen moderne Verfahren implementiert werden. Die Lösungen der Deutschen Telekom zur Abwehr von DDoS-Angriffen helfen nicht nur, Angriffe einzudämmen, sondern können beginnende Angriffe sofort durch Echtzeit-Analyse erkennen. Mit neuen, hoch entwickelten Technologien sichern Sie erhebliche Vorteile für ihr Unternehmen und schützen gleichzeitig die Ressourcen Ihrer Kunden und Ihre Mitarbeiter. www.telekom-icss.com/ddosdefense 8 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen DDoS-Angriffe in einem sich wandelnden Umfeld Neue Angriffsmethoden Die Hauptangriffsarten sind entweder volumen- oder anwendungsbezogen – oder eine Kombination aus beidem. In dem Maße, wie das Internet sich stetig weiterentwickelt, ändern sich auch die Methoden für DDoS-Angriffe kontinuierlich. Attacken nehmen nicht nur in Umfang, Häufigkeit und Raffinesse zu. Sie lassen sich auch viel schwerer erkennen und eindämmen. Multivektorangriffe Während die Zahl volumetrischer Angriffe gesunken ist, hat ihre Intensität mit Datenraten von nicht selten über 100 Gbit/s deutlich zugenommen. Der größte bestätigte Angriff im Jahr 2015 erfolgte mit massiven 500 Gbit/s. Noch komplexer und schwerer zu bekämpfen ist allerdings die wachsende Zahl von Multivektorangriffen. Dabei handelt es sich um parallele Angriffe auf die Netzwerkschicht (OSI Schicht 3 und 4), wo volumetrische Attacken stattfinden, und auf die Anwendungsschicht (OSI Schicht 7), wo – wie der Name schon sagt – Angriffe auf Anwendungen erfolgen. Bei Multivektorangriffen kann eine Vielzahl unterschiedlicher Techniken zum Einsatz kommen. In einem vor kurzem in Europa lancierten Angriff wurden beispielsweise sechs unterschiedliche Vektoren miteinander kombiniert. Dazu zählten DNS-Reflection-Angriffe und UDP-Fragmentierung ebenso wie SYN, PUSH, TCP und UDP Floods. Während dieser Angriff extrem breit angelegt war, nutzen Angreifer Multivektorangriffe häufig, um Opfer zu Abwehrmaßnahmen in einem bestimmten Bereich zu verleiten – gleichzeitig starten sie dann unbemerkt einen Angriff auf sensiblere Bereiche. www.telekom-icss.com/ddosdefense 9 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen So ist es beispielsweise sehr einfach, einen volumetrischen DDoS-Angriff zu starten, auf den sich das ITTeam im Unternehmens konzentriert, und gleichzeitig einen so genannten State-Exhaustion-Angriff auf die Anwendungsschicht zu unternehmen, um die Firewall oder das IPS im Netz zum Absturz zu bringen. In einem verzweifelten Versuch, Konnektivität wiederherzustellen, umgeht das IT-Team die ausgefallene Firewall. Damit stehen dem Angreifer Tür und Tor offen, um das Netz mit Schadware zu infiltrieren. Neue kriminelle Motive Was sich inzwischen auch verändert hat, sind die Motive der Hacker. Früher ging es Kriminellen vor allem um finanziellen Gewinn. Ihr Ziel war es, Geld von Unternehmen zu erpressen. Oft blockierten sie Webseiten so lange, bis ein Lösegeld in bestimmter Höhe gezahlt wurde. Es gab auch Übeltäter, die einfach nur sehen wollten, ob sie ihrem Ziel Schaden zufügen können. Heute besteht für viele Cyber-Kriminelle der Antrieb darin, ihre persönlichen Überzeugungen oder Ideologien zu verbreiten. Diese so genannten „Hacktivisten“ zielen in einer Art Selbstjustiz auf Bankstrukturen oder öffentliche Einrichtungen ab. Sie sind überzeugt, damit soziale Konventionen oder wirtschaftliche Systeme zu untergraben, die sie für korrupt oder unmoralisch halten. Es gibt sogar Freiwillige, die ihre PCs quasi als Fußsoldaten für eine Botnet-Armee anbieten. Ein Angriff, der mit die höchste Medienaufmerksamkeit erzielt hat und dieser Art von Aktivismus zugeschrieben wird, ereignete sich 2007 in Estland. In der Folge führte das Land eine Reihe weitreichender, innovativer Reformen durch, um die Internet-Infrastruktur in Estland systematisch abzusichern. Leichterer Zugang zu illegalen Instrumenten Cyber-Kriminalität ist in der Umsetzung einfacher geworden. Zum Teil liegt das an dem deutlich größeren Schwarzmarkt, wo Cyber-Kriminelle Baukästen zum Erstellen von Botnets für unter 20 US-Dollar verkaufen oder sogar komplette Botnet-Lösungen zum Mieten anbieten. Daneben hat die zunehmende Verbreitung von Tools für Open-Source-Software die Entwicklung von Anwendungen für Cyber-Angriffe einfacher gemacht. Ein Beispiel dafür ist Low Orbit Ion Cannon (LOIC). LOIC wurde ursprünglich als Open-Source-Software für Netzbelastungstests eingesetzt, dann aber von Hackern modifiziert, um als Angriffstool ein neues Leben zu beginnen. Neue Möglichkeiten Um zu verstehen, welche sich Cyber-Angriffe entwickelt haben und weiter entwickeln werden, muss man verstehen, wie sich das Internet verändert hat. In den vergangenen zehn Jahren ist nicht nur die Zahl der Menschen, die das Internet nutzen, exponentiell gestiegen, sondern auch die Vielzahl an Möglichkeiten, wie das Internet genutzt wird. Bei vielen grundlegenden Aufgaben wie etwa Banking, Kommunikation und Unterhaltung verlassen wir uns heute auf das Internet. Das allein hat Cyber-Dieben ganz neue Möglichkeiten eröffnet. www.telekom-icss.com/ddosdefense 10 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen Zudem stellen Telekommunikationsanbieter ihre Netze auf All-IP um, um Qualitäts- und Leistungsvorteile zu nutzen. Durch die großflächigere und offenere Umgebung werden Netzbetreiber jedoch anfälliger für Sicherheitsverletzungen. Auch deshalb wird es zunehmend wichtiger, DDoS-Angriffen mit proaktiven Maßnahmen in Echtzeit zu begegnen. Smart Devices und DDoS-Angriffe Um uns das Leben einfacher zu machen, haben Smart Devices, das Internet der Dinge und Machine-toMachine-Module Einzug in unser Heim, unser Auto und unseren Arbeitsplatz gehalten. Allerdings wird oft vernachlässigt, dass diese Geräte potenzielle Quellen einer Botnet-Infektion sind. Smart-Devices haben eine eigene IP-Adresse, sind mit dem Internet verbunden und stehen teilweise in direkter Kommunikation mit anderen Geräten. Gleichzeitig sind Smart Devices nicht besonders komplex, haben begrenzte Benutzeroberflächen und sind in der Regel nicht wie PCs mit Sicherheitsinstrumenten ausgestattet. Mängel dieser Art machen Szenarien möglich, die sich wie Science Fiction anhören. So könnte ein Hacker etwa die Heizungssteuerung im Haus des Nutzers infiltrieren, diese als Bot nutzen und damit das Navigationsgerät im Auto des Nutzers stören. Ebenso könnte eine Vielzahl dieser internetfähigen Geräte genutzt werden, um einen großflächigen Angriff auf ein Finanzinstitut zu starten. Angriff auf Estland Im April 2007 erlebte der baltische Staat Estland einen Angriff, der als erster Cyberkrieg der Welt bezeichnet worden ist. Zuvor hatte das Land erhebliche Anstrengungen für den Ausbau der Informationstechnologie und Telekommunikation unternommen. Estland galt 2007 als das Land mit der höchsten Dichte an Internetanschlüssen in Europa. Seine Bürger vertrauten bei vielen alltäglichen Aufgaben wie Banking, Steuererklärungen und Wahlen auf das Internet. Gleichzeitig wurde das Land durch die Abhängigkeit vom Internet zu einem äußerst anfälligen Ziel. Man geht davon aus, dass die Angriffe als Protest gegen die Pläne der Regierung lanciert wurden, ein sowjetisches Kriegerdenkmal aus dem Jahr 1947 abzureißen3. Die politische Lage im Land war bereits gespannt – die Kluft zwischen ethnischen Esten und Russen im Land war groß. Erstmals entdeckt wurde der Angriff, als der Verteidigungsminister bemerkte, dass er die Webseite des Premierministers nicht mehr aufrufen konnte. Kurz darauf wurden andere Regierungsseiten ins Visier genommen und die Angriffe weiteten sich schnell auf Medien, Banken und Universitäten in Estland aus. Zur Abwehr der Angriffe wurde der gesamte eingehende Datenverkehr aus dem Ausland für die gefährdeten Webseiten blockiert. In der Folge waren viele Webseiten von Medien und staatlichen Stellen komplett vom Rest der Welt abgeschnitten. Die internationale Kommunikation beschränkte sich auf Telefon und Fax. Nach 3 International Affairs Review, 4. April 2009, http://www.iar-gwu.org/node/65 www.telekom-icss.com/ddosdefense 11 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen genaueren Analysen des Datenverkehrs wurden präzisere Blockaden implementiert. Es dauerte mehr als zwei Wochen, um das Problem in den Griff zu bekommen. Auch wenn schwere Anschuldigungen erhoben wurden, ist bis heute nicht klar, wer die Angreifer waren. Wie bei den meisten DDoS-Angriffen, ist es äußerst schwer, wenn nicht unmöglich, die Täter zu ermitteln. Der Cyber-Angriff auf die Internet-Infrastruktur in Estland hat die Gestaltung der künftigen E-Strategie des Landes entscheidend geprägt. Heute hat sich Estland zu einem wahren E-Staat entwickelt, der über massive Waffen für den Kampf gegen Cyber-Kriminalität verfügt. Die geheimen Cyber-Waffen eines E-Staates Die Republik Estland gehört zu den fortschrittlichsten Ländern der Welt, wenn es um digitale Konnektivität für die private und geschäftliche Nutzung geht. Estland nennt sich selbst tatsächlich einen E-Staat, der IT in nahezu allen Bereiche staatlicher Verwaltung nutzt. So können seine Bürger beispielsweise von zu Hause aus wählen oder ihre Steuererklärung in wenigen Minuten online einreichen. Dieses Vertrauen auf eine übergreifende IT-Struktur erfordert eine starke Sicherheitsagenda gegen Cyber-Kriminalität. „Unsere Geheimwaffe sind Menschen“ versichert Anto Veldre, ein Analyst der estnischen Behörde für Informationssysteme. Alle Experten für IT-Sicherheit treffen sich mehrmals im Jahr persönlich und bilden eine Community, die potenzielle Angriffe überwacht. Wird ein Angriff erkannt, arbeiten die Experten – Vertreter von Banken, der Industrie und staatlichen Stellen – gemeinsam daran, ihn abzuwehren. Sie bilden einen „zweiten Kommunikationskanal“, wie Veldre es nennt. Damit stellen sie sicher, dass Informationen bei einem Angriff weiter fließen, sodass Gegenmaßnahmen schnell ergriffen werden können. Estlands Antwort auf solche Angriffe besteht darin, die individuellen, in der Community vorhandenen Fähigkeiten zu koordinieren, um zu analysieren, woher der Angriff kommt und wer der Gegner ist. Dies sei nötig, so Veldre, um Prognosen über die Fähigkeiten und Ziele des Angreifers machen zu können. Nur dann kann entschieden werden, welche Abwehrmaßnahmen ergriffen werden sollten. So kann beispielsweise ein kleiner Angriff mit geringem Ausweitungspotenzial vom Ziel selbst bewältigt werden. Wird hingegen das Netz überschwemmt, müssen Netzbetreiber mit ins Boot. Eine andere Möglichkeit, um Daten vor unbefugtem Zugriff zu schützen, ist Transparenz, sagt Taavi Kotka, Estlands CIO im Ministerium für Wirtschaft und Kommunikation. Für ihn ist Transparenz „der Schlüssel zur digitalen Gesellschaft“. Er meint, dass damit Sicherheit geschaffen wird, da stets ersichtlich ist, wer, wann und wie auf Dateien zugreift. Estland hat strenge Regeln aufgestellt, wer unter welchen Bedingungen Zugriff auf Daten hat. Ein illegaler Zugriff auf Informationen wird daher sofort erkannt. Eine dezentrale Infrastruktur gehört in Estland ebenfalls zu den tragenden Säulen der Abwehrstrategie gegen DDoS-Angriffe. Dazu hat das Land ein Kommunikationssystem zwischen Datenbanken mit dem Namen X-road geschaffen. Ein entscheidender Punkt der Abwehrstrategie liegt darin, dass es keine www.telekom-icss.com/ddosdefense 12 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen zentrale Datenbank gibt, aus der Daten gestohlen werden können. Jede Organisation – staatliche Stellen, Polizeibehörden oder Krankenhäuser – verwaltet ihre originären Daten selbst. Bei einem Datenleck kann die betroffene Partei den Betrieb fortsetzen, da nur eine Kopie entwendet werden kann. Tatsächlich ist die Initiative X-road so erfolgreich, dass Estland vom benachbarten Finnland um Unterstützung beim Aufbau eines ähnlichen Systems gebeten wurde. Neben den autonomen Arbeiten innerhalb der eigenen Landesgrenzen arbeiten Finnland und Estland gemeinsam daran, die beiden Länder bis Herbst 2016 digital miteinander zu vernetzen. www.telekom-icss.com/ddosdefense 13 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen Wie funktionieren DDoS-Angriffe? Um besser zu verstehen, warum DDoS ein wichtiges Thema für die Sicherheit im Unternehmen ist, ist es erforderlich, die vielfältigen Formen dieser Angriffe zu kennen und zu wissen, wie diese Schäden verursachen. Die wichtigsten Angriffsmethoden werden nachstehend im Überblick dargestellt. Volumetrische Angriffe Eine häufige Form sind Brute-Force-Angriffe, die ein anvisiertes Netz mit brutaler Gewalt vollständig mit Datenverkehr überschwemmen und damit die verfügbare Bandbreite komplett auslasten. Dies wird als volumetrischer Angriff auf die Netzwerk- und Transportschichten des OSI-Modells (Open System Interconnection) bezeichnet. In diesem Szenario überlasten Hacker die Ressourcen des Opfers innerhalb von Minuten. Auf diese Weise beeinträchtigen sie den Service oder verhindern sogar, dass legitime Nutzer auf das Ziel zugreifen können. Solche volumetrischen Angriffe auf die OSI-Schichten 3 und 4 sind zum Beispiel ICMP, TCP SYN und UDP Floods. OSI MOdel 7 Application Layer 6 Presentation Layer 5 Session Layer 4 Transport Layer 3 Network Layer 2 Data Link Layer 1 Physical Layer www.telekom-icss.com/ddosdefense AttAck typeS And exAMpleS Application Attacks HTTP and DNS floods, Sowloris Session Attacks DNS UDP and SSL floods Network Attacks ICMP, TCP SYN and UDP floods 14 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen ICMP Flood ICMP (Internet Control Message Protocol) ist eine Software für Diagnose- und Fehlerberichte und damit integraler Bestandteil jeder IP-Implementierung. Router und Netzsysteme nutzen dieses Programm, um Meldungen in Form von IP-Paketen an andere Geräte zu senden. Dadurch werden Fehler und Probleme kommuniziert, zum Beispiel dass die sendenden Systeme für die Lieferung nicht erreichbar sind. Ein ICMPAngriff erfolgt, wenn ein Angreifer den Host absichtlich mit IP-Paketen überflutet, die seine Kapazität übersteigen. Das System versucht zu reagieren und überlastet damit die Kapazität. Es kommt zum Systemausfall. TCP SYN Flood Bei einer TCP SYN Flood wird die Struktur des TCP (Transmission Control Protocol) ausgenutzt. Dieses gängige Protokoll für E-Mails und webbasierte Dienste ist ein leicht zugängliches und damit auch leicht angreifbares Ziel. Eine TCP-Verbindung basiert auf dem „Three-Way-Handshake“ des SYN-ACK (SynchronizeAcknowledgement) Messaging System. Im Prinzip trifft eine Abfrage ein und bleibt im Empfangsstatus, bis die Legitimität der Abfrage überprüft worden ist. Um die Verbindung offen zu halten, nutzen Angreifer Quell-IPAdressen, die nicht bestätigt werden können. Kann dann die Prüfung nicht erfolgreich abgeschlossen werden, stauen sich die eingegangen Statusabfragen und überfluten schließlich das System. UDP Flood Das User Datagram Protocol (UDP) ist ein Computer-Netzwerkprotokoll, das zur Übertragung von Mitteilungen in einem IP-Netz genutzt wird, ohne dass vorher ein Verbindungsaufbau oder eine Empfangsbestätigung erfolgt. Der Vorteil liegt in seiner Geschwindigkeit, dies ist in Situationen sinnvoll, in denen eine Fehlererkennung, aber keine Validierung erforderlich ist. Wie bei einer ICMP Flood, sendet ein Angreifer viele UDP-Pakete. Das Opfer versucht, darauf zu antworten, kann es aber nicht – das System wird verstopft. Sehr große UDP Floods lassen sich effektiv durch die so genannte DNS-Amplifikation generieren. Angriffe durch DNS-Amplifikation (Domain Name System) Angriffe über DNS sind relativ einfach, weil bei der Entwicklung von DNS nicht die Sicherheit, sondern die Zuverlässigkeit im Vordergrund stand. Wann immer ein Nutzer einen Domain-Namen in den Browser eingibt, tritt das Domain Name System in Aktion. Es wandelt die Domain in die dazugehörige IP-Adresse um – das sind die langen Zahlenreihen mit Punkten dazwischen. Die DNS-Server suchen in ihrem Cache nach der Domain. Wird diese nicht gefunden, geht die Anfrage immer zum nächsten Server weiter, bis die Adresse gefunden wird. Ein DNS-Angriff nutzt die Schwachstellen der DNS-Infrastruktur aus, die je nach der zu erledigen Aufgabe sowohl UDP als auch TCP implementiert. Es gibt eine Reihe unterschiedlicher Angriffsmethoden. Bei einer dieser Methoden wird die Zieladresse als Absender angegeben (Identitätswechsel), statt die Anfrage von der www.telekom-icss.com/ddosdefense 15 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen eigenen IP-Adresse zu senden. Dadurch antwortet der DNS-Server an die gefälschte Adresse (das Angriffsziel). Die DNS-Antwort kann jedoch bis zu 70-mal größer sein als die ursprüngliche Anfrage – sie verstärkt also das Ausmaß des Angriffs. Mit einem Botnet können diese Anfragen das Ziel überschwemmen und komplett lahmlegen. Dieses Verfahren ist für die sehr großflächigen Angriffe mit über 100 Gbit/s – in Einzelfällen sogar 500 Gbit/s – verantwortlich, die wir heute erleben. Angriffe auf die Anwendungsschicht Ein DDoS-Angriff auf die Anwendungsschicht betrifft Schicht 7 des OSI-Modells, die Funktionen des Endnutzers wie Web Browser und E-Mail-Dienste unterstützt. Im Vergleich zu Brute-Force- oder volumetrischen Angriffen sind Attacken auf die Anwendungsschicht sehr viel ausgefeilter und effektiver, da sie versuchen, unentbehrliche Ressourcen abzuschöpfen, statt das Ziel einfach zu “überschwemmen”. Bei dieser Art von Angriff wird die Anwendung selbst lahmgelegt, nicht der Host wie bei Angriffen auf die OSI-Schichten 3 und 4. OSI MOdel 7 Application Layer 6 Presentation Layer 5 Session Layer 4 Transport Layer 3 Network Layer 2 Data Link Layer 1 Physical Layer AttAck typeS And exAMpleS Application Attacks HTTP and DNS floods, Slowloris Session Attacks DNS UDP and SSL floods Network Attacks ICMP, TCP SYN and UDP floods Außerdem wirken Angriffe auf die Anwendungsschicht wie legitime Transaktionen und können so DDoSAbwehrmechanismen besser täuschen . Dadurch ist es auch schwieriger, den Angriff einzudämmen, ohne den Zugang für legitime Nutzern zu blockieren. Angriffe auf die OSI-Schicht 7 weisen häufig niedrige Bitraten auf und betreffen Anwendungen wie Hypertext Transfer Protocol (HTTP) oder Domain Name Systems (DNS). HTTP GET und HTTP POST Floods HTTP ermöglicht Kommunikation zwischen Clients und Servern, zum Beispiel zwischen einem Web Browser und einem Server. Zwei gängige Methoden für diese Art von Anfrage-Antwort-Protokoll sind GET und POST. GET fragt Daten wie etwa Bilder oder Skripte ab, die von einer bestimmten Ressource abgerufen werden www.telekom-icss.com/ddosdefense 16 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen sollen, während POST zu verarbeitende Daten an eine bestimmte Ressource sendet. Ziel des Angreifers ist es, den Server mit so vielen Anfragen zu überfluten, dass seine Ressourcen durch die erzwungenen Antworten auf jede Anfrage schlichtweg zum Erliegen gebracht werden. DNS-Angriffe (Domain Name System) Ein Spoofing-Angriff auf das DNS-Cache nutzt wie zuvor erwähnt die Schwachstellen der DNS-Infrastruktur aus. Angreifer können DNS-Antworten manipulieren oder kontaminieren, um alle eingehenden Antworten zu einem beliebig ausgewählten Server umzuleiten. Da die Nutzer glauben, auf einer legitimen Webseite zu sein, erhalten die Angreifer so sensible Informationen wie Passwörter und Kreditkartendaten. Angriffstools Laut dem Worldwide Infrastructure Security Report 2016 von Arbor Networks4 nehmen DDoS-Angriffe in Zahl, Umfang, Komplexität und Schadenshöhe weiter zu. Sage und schreibe ein Drittel der Befragten hat in den letzten zwölf Monaten DDoS-Angriffe erlebt. Arbor Networks berichtet auch, dass 51 Prozent der Rechenzentrumsbetreiber von DDoS-Angriffen betroffen waren, die ihre Internet-Konnektivität komplett lahmgelegt haben. Aufgrund der ausgefeilteren Angriffsmethoden sind Angriffe heute gefährlicher und kostspieliger. Multivektorangriffe – eine Kombination aus volumetrischen, TCP Flood und Angriffen auf die Anwendungsschicht – sind ein Beispiel dieser verfeinerten Methoden. Häufig ist ein Erstschlag auf die dritte und vierte OSI-Schicht nur ein taktisches Manöver, das von einem größeren Angriff auf die Anwendungsschicht ablenken soll. Dabei kommen Werkzeuge wie Low Orbit Ion Cannon (LOIC) und Slowloris zum Einsatz. Low Orbit Ion Cannon (LOIC) LOIC wurde ursprünglich als Open-Source-Diagnoseanwendung für Netzbelastungstests entwickelt. Nachdem LOIC frei zugänglich wurde, wurde die Anwendung jedoch von Kriminellen für die Durchführung von DDoS-Angriffen modifiziert. Dabei werden große Datenmengen generiert, die ein Ziel mit TCP-, UDPoder HTTP-Paketen überfluten. Im „Hivemind“-Modus kann ein Angreifer eine Kopie von LOIC mit einem IRC-Kanal (Internet Relay Chat) verbinden und so mit Tausenden von Kopien auf zahlreichen Geräten ein Ziel angreifen. LOIC ist häufig von der Hacker-Gruppe Anonymous eingesetzt worden. Da dabei die IP-Adresse des Nutzers nicht standardmäßig verschleiert wird, konnten Personen ermittelt und verhaftet werden, die ihre Geräte freiwillig für die Bot-Nutzung zur Verfügung stellten. In der Folge wurde dieses Verfahren seltener eingesetzt. Gleichzeitig war dies möglicherweise der Anlass für Anonymous, High Orbit Ion Cannon zu entwickeln, eine Nachfolgeanwendung, die für einen Angriff gleicher Stärke weniger Geräte benötigt. 4 Worldwide Infrastructure Security Report Band XI, Arbor Networks www.telekom-icss.com/ddosdefense 17 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen Slowloris Gemeint sind hier nicht die Primaten mit den großen, weit geöffneten Augen, die in den Bäumen Südostasiens leben, wenngleich der englische Name durchaus daher rührt. Slowloris ist ein DDoS-Tool, das versucht, möglichst viele Verbindungen zum Zielserver offen zu halten, um damit den Zugang für legitime Nutzer zu blockieren. Getreu seinem Namen versendet Slowloris Anfragen in sehr kleinen Portionen und so langsam wie möglich. So ist der Server gezwungen, auf die Ankunft des nächsten Teils zu warten. Auf diese Weise benötigt Slowloris weder große Datenmengen noch viel Bandbreite. Herkömmliche Abwehrprodukte wirken nicht mehr Die gängigsten Abwehrmechanismen gegen Cyber-Kriminalität waren bislang Firewalls, Intrusion Prevention Systems (IPS) und Intrusion Detection Systems (IDS). Diese Verfahren allein schützen Systeme leider nicht mehr vor heutigen DDoS-Angriffen, sondern sind oft selbst das Ziel von Angriffen. Firewalls Die Funktionsweise einer Firewall lässt sich in einfachen Worten so erklären, dass sie den Status der sie passierenden Netzverbindungen überwacht, zum Beispiel Quell- und Ziel-IP-Adressen, und diese Informationen in einer Speichertabelle ablegt, die als Zustandstabelle bezeichnet wird. Alle Datenpakete im vorab geprüften Speicher wird durchgelassen, während erkannte Bedrohungen und Bedrohungsmuster blockiert werden. Sendet ein Angreifer jedoch sehr viele solcher Sessions an eine Firewall, füllt sich die Zustandstabelle. Ist die Tabelle voll, werden neue Sessions entweder verweigert oder sie stürzt unter der Last ab. So oder so ist eine Firewall häufig das erste System zwischen dem Internet und allen mit dem Internet verbundenen Diensten eines Unternehmens. Wenn sie ausfällt oder keine neuen Verbindungen mehr akzeptiert, ist alles was dahinter liegt, vom Internet abgeschnitten. www.telekom-icss.com/ddosdefense 18 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen IDS und IPS Wie die Namen schon sagen, erkennt ein IDS (Intrusion Detection System) böswillige Angriffsversuche auf ein System oder Netz, während ein IPS (Intrusion Prevention System) derartige Versuche blockiert. Diese Systeme werden in der Regel zusammen mit Firewalls implementiert. Sie führen und durchsuchen eine Datenbank, in der Muster böswilliger Angriffe, von Administratoren definierte anormale Verhaltensweisen bzw. vorkonfigurierte Sicherheitsvorgaben abgelegt sind. Allen erkannten Anomalien im Netz wird der Zugang verweigert. Aufgrund ihrer Abhängigkeit von Rechenleistung und Speicherkapazität können die Ressourcen dieser Systeme bei DDoS-Angriffen auf die Anwendungsschicht leicht erschöpft werden. Hinzu kommt, dass diese Systeme ausschließlich bereits gespeicherte Bedrohungen erkennen. Neu konzipierte Angriffe (Zero Day) werden problemlos durchgelassen. www.telekom-icss.com/ddosdefense 19 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen Abwehrstrategien gegen DDoS-Angriffe Die heutigen DDoS-Angriffe bestehen zunehmend aus einer Kombination aus volumetrischen und auf die Anwendungsschicht gerichteten Vektoren. Das macht die Abwehr dieser Angriffe so schwer wie nie zuvor. Hinzu kommt die Tatsache, dass Attacken in Größe und Komplexität zunehmen. Aus diesen Gründen müssen wirksame Gegenmaßnahmen auf einem mehrstufigen Ansatz beruhen, der die eigene Infrastruktur ebenso schützt wie die Cloud und das Backbone-Netz. Nur mit einem vollständig integrierten Service von spezialisierten Anbietern ist es möglich, die heutigen Multivektor-DDoS-Angriffe abzuwehren. Laut dem Worldwide Infrastructure Security Report 2016 von Arbor Networks waren über ein Drittel der befragten Dienstanbieter, Unternehmen, Behörden und Bildungseinrichtungen in den letzten zwölf Monaten von DDoS-Angriffen betroffen5. Angriffe mit über 100 Gbit/s machten dabei fast ein Viertel aller Angriffe aus – ein deutlicher Anstieg in den letzten zwölf Monaten. Angriffe auf die Anwendungsschicht haben ebenfalls zugenommen, von 86 Prozent im Jahr 2013 auf heute 93 Prozent. Am problematischsten war allerdings die steigende Zahl von Multivektorangriffen, deren Anteil 2015 auf 56 Prozent anstieg. 5 52 Prozent Dienstanbieter, 38 Prozent Unternehmen, 6 Prozent Behörden, 4 Prozent Bildungseinrichtungen www.telekom-icss.com/ddosdefense 20 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen Lösungen der Deutschen Telekom In enger Partnerschaft mit Sicherheitsexperten von Arbor Networks bietet die Deutsche Telekom eine mehrschichtige Sicherheitsstrategie, die selbst bei den schwersten Angriffsszenarien wirksam ist. Der einzig sinnvolle Weg bei massiven volumetrischen Angriffen ist ein Backbone-Schutz oder eine Cloud-Lösung. Denn perimeterbasierte Schutzlösungen blockieren ausschließlich Angriffe, die die Kapazität der InternetVerbindung nicht überschreiten. Ein Aufrüsten, das den heutigen Volumen gerecht wird, wäre finanziell unrealistisch. Abwehrsysteme vor Ort beim Kunden sind jedoch ebenfalls unerlässlich. Denn Angriffe auf die Anwendungsschicht sollten jeweils kurz vor dem physischen Ort der Anwendung gestoppt werden. Außerdem werden sie von Cloud-basierten Lösungen nicht erkannt. Auch die Industrie betrachtet diesen mehrstufigen Ansatz zum Schutz vor DDoS-Angriffen heute als die beste Lösung für die Praxis. Viele Anbieter und Branchenanalysten unterstützen diesen Ansatz. Cloud ddos pRoTECTIoN on Premises ddos pRoTECTIoN BaCkBone ddos pRoTECTIoN High-end protection against complex volumetric attacks Sophisticated protection against smart (Layer 7) DDoS attacks High-end protection against complex volumetric attacks Over 2 Tbps of global and redundant mitigation capacity Complex targeted attacks on systems and applications For attacks on networks and bandwidth For global companies, organizations that have multiple internet providers Local always-on protection For companies that have Deutsche Telekom as an internet service provider www.telekom-icss.com/ddosdefense 21 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen Backbone-Schutz der Deutschen Telekom DDoS Defense ist eine IP-Backbone-Abwehrlösung, die die Deutsche Telekom ihren Geschäftskunden und IPTransit-Kunden anbietet. Sie schützt gegen volumetrische DDoS-Angriffe, die über die Deutsche Telekom zum Netz des Kunden geleitet werden. Dank eines transparenten Reporting- und Managementsystems erkennt DDoS Defense Angriffe im Voraus. So können sie gestoppt werden, bevor sie Schaden anrichten. Erkennt das System einen Angriff, wird der Verkehr in den Sicherheitsbereich der Deutschen Telekom umgeleitet und mit den Abwehrinstrumenten von Arbor Networks gefiltert. Dieser Backbone-Schutz sollte jedoch lediglich als ein erster Schritt zur Eindämmung von Angriffen gesehen werden, da damit nicht in Echtzeit auf Angriffe auf die Anwendungsschicht reagiert wird. Somit ist ein mehrstufiger Ansatz notwendig. www.telekom-icss.com/ddosdefense 22 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen Cloud-Schutz der Deutschen Telekom Die Deutsche Telekom bietet zusätzlich eine auf Arbor Networks basierende Cloud-Lösung mit einer globalen und redundanten Schutzkapazität von über zwei Terabit/s. Diese Lösung leitet Verkehr zu den vier globalen Scrubbing-Zentren (Ausbau auf acht Scrubbing-Zentren für 2017 geplant) zur sofortigen Säuberung um. Der „saubere“ Verkehr wird dann über einen GRE-Tunnel schnell zum Kunden zurückgesendet. Diese Lösung ist anbieterunabhängig und kann daher autonom implementiert werden. Damit eignet sie sich ideal für Unternehmen mit weltweiter Präsenz oder mehreren Upstream-Internetanbietern, die eine Lösung aus einem Guss wollen. Das ANYCAST-Modell der Scrubbing-Zentren sorgt dafür, dass der Verkehr im Fall eines Ausfalls dynamisch an die anderen Zentren weitergeleitet wird. Um maximale Zuverlässigkeit zu gewährleisten, sind an jedem Standort mehrere Abwehrsysteme mit 40 Gbit/s implementiert. Während die Zentren als Carrier-ClassEinrichtungen zertifiziert sind, ist im Service Level Agreement der Cloud-Plattform eine Verfügbarkeit von 99,999 Prozent festgeschrieben – ein Wert, den andere Anbieter nur schwer erreichen könnten. DDoS ProtectIon Arbor clouD WebServer FArm Internet www.telekom-icss.com/ddosdefense 23 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen Kundenseitige Lösungen der Deutschen Telekom Die Deutsche Telekom bietet eine Reihe von kundenseitigen Lösungen an, die alle Anforderungen inklusive Virtualisierung erfüllen. Lokaler Schutz ist die einzig richtige Methode, um anspruchsvolle Angriffe auf die Anwendungsschicht ebenso zu blockieren wie State-Exhaustion-Angriffe. Diese Lösungen sind immer aktiv und gewährleisten so automatischen Schutz in Echtzeit. Sie erkennen und blockieren gezielte Angriffe mithilfe lokaler Intelligenz und einem zentralen DDoS-spezifischen Daten-Feed, der stündlich aktualisiert wird. Allerdings sind kundenseitige Lösungen nur in Verbindung mit Cloud-Mechanismen wirklich effektiv, die mit den großen volumetrischen Angriffskomponenten umgehen können. Die Deutsche Telekom bietet unter anderem das kundenseitige Availability Protection System (APS) an. Dabei handelt es sich um eine Always-On-Vorrichtung oder virtuelle Plattform für die Erkennung und Abwehr von Angriffen auf die Anwendungsschicht und von volumetrischen Angriffen mit niedriger Bandbreite bis zur Anschlussbandbreite des Kunden 500 Mbit/s bis 10 Gbit/s pro Link. Die Lösung verfügt über eine zustandslose Analysefilterfunktion, die im Unterschied zu Firewalls und IPS keine hohe Rechnerkapazität für zustandsbezogene Prüfungen benötigt. Daher erkennt APS Angriffe mit kleineren Volumen problemlos. Zudem kann das System Bedrohungen und Bedrohungsmuster effektiv analysieren und erleichtert damit die Abwehr künftiger Angriffe. Zur Abwehr komplexer und sehr unterschiedlicher DDoS-Angriffe ist unbedingt eine Schutzlösung erforderlich, die auf die besonderen Bedürfnisse Ihres Unternehmens zugeschnitten ist. Es reicht nicht, einfach nur Datenpakete abzufangen, die als gefährlich wahrgenommen werden. Eine erfolgreiche Lösung muss zwischen guten und böswilligen Verkehrsmustern unterscheiden können. Sie darf nur letztere blockieren und den legitimen Verkehr nicht beeinträchtigen. Deshalb ist es wichtig, mit einem Anbieter wie der Deutschen Telekom zusammenzuarbeiten, dessen intelligente Lösungen den Ursprung eines Angriffs erkennen und einschätzen können, wie er sich entwickeln könnte. Vorteile der DDoS-Abwehrlösungen der Deutschen Telekom Mit den Lösungen der Deutschen Telekom profitieren die Kunden von der Expertise und Forschungskompetenz des Unternehmens, zum Beispiel von unserem Projekt „DTAG Community Honeypot“. Mit Unterstützung von Partnern hat die Deutsche Telekom Sensoren auf der ganzen Welt installiert, um Daten zu erfassen und einen Überblick über aktuelle Cyber-Angriffe zu geben. Diese Daten werden der Öffentlichkeit auf der Webseite www.sicherheitstacho.de zur Verfügung gestellt. Dabei werden beobachtete Bedrohungen in Echtzeit auf einer Weltkarte bzw. auf Charts visualisiert. Daraus ergibt sich eine transparente, globale Darstellung von DDoS-Angriffen, anhand derer laufende Attacken gestoppt und künftige Entwicklungen eingeschätzt werden können. Mit den modernen Überwachungssystemen der Deutschen Telekom kann erkannt werden, ob Geräte eines Kunden infiziert worden sind. Das Unternehmen benachrichtigt in diesem Fall umgehend den Kunden per Mail oder per Post und leitet ihn auf die Webseite www.botfrei.de. Dabei handelt es sich um ein Anti-Botnet- www.telekom-icss.com/ddosdefense 24 SICHERHEIT IM CYBERSPACE DDoS-Angriffe – Einblicke und Lösungen Beratungszentrum, das Deutsche Telekom als teilnehmender Partner unterstützt. Botfrei bietet Anweisungen zur Bekämpfung von Sicherheitsproblemen und eine Hotline für schwer zu lösende Fälle. Wie groß das Problems ist, zeigt sich daran, dass Deutsche Telekom Monat für Monat bis zu 40 000 Infektionsmeldungen an Kunden versendet. Die Kunden profitieren außerdem von den laufenden Aktivitäten von Arbor Networks zum Schutz des Internets vor Angriffen. Das Unternehmen betreibt ein System mit dem Namen ATLAS, das ähnlich wie das System der Deutschen Telekom weltweite Bedrohungen analysiert. ATLAS ist ein internationales Netzwerk, das aus Spezialisten von Arbor Networks und Kunden besteht und Daten über erkannte Verkehrsströme und Angriffe sammelt und weitergibt. Das Ergebnis ist eine zeitnahe, detaillierte Analyse zur globalen Entwicklung von DDoS-Angriffen. Arbor Networks verfügt darüber hinaus über ein spezielles Forschungsorganisation für Sicherheitsfragen namens ASERT (Arbor Security Engineering and Response Team), das eine umfangreiche Schadware-Plattform entwickelt hat. Sie gilt als weltweite Instanz für DDoS-basierte Schadware-Tools und arbeitet daran, solche Tools zu finden und unschädlich zu machen. Die patentierte DDoS-Abwehrtechnologie in Verbindung mit dem Know-how und der Unterstützung der Deutschen Telekom bietet Kunden ein Komplettpaket, das Bedrohungen wirksam erkennt und klare, konsequente und leistungsstarke Lösungen liefert. Zahlreiche Abwehrlösungen der Deutschen Telekom Zur Abwehr hochvolumiger Angriffe bietet Deutsche Telekom zwei Lösungen. Bestandskunden, die ausschließlich die Deutsche Telekom als Provider nutzen, können von der Backbone-Schutzlösung des Unternehmens profitieren. Es gibt aber auch Unternehmen, die mehr als einen Provider haben und eine Lösung aus einer Hand brauchen. In diesem Fall ist der Cloud-Schutz die ideale Lösung für Bestands- und Neukunden gleichermaßen. Zur Abwehr von Anwendungsangriffen sind nach Ansicht vieler Experten weltweit kundenseitige Lösungen, die einen zustandslosen Schutz in Echtzeit bieten, am sinnvollsten. Da die Angriffe heute zunehmend auf Volumen und Anwendungsschichten setzen, sind kundenseitige Systeme in Verbindung mit einem Backboneoder Cloud-Schutz am wirkungsvollsten. DDoS-Angriffe nehmen weiter zu und ein Ende ist nicht absehbar. Deshalb bietet eine individuelle Strategie IRGENDWELCHE FRAGEN? VERÖFFENTLICHT VON den bestmöglichen Schutz, egal welche Lösungen konkret gewählt werden, . Jedes Unternehmen hat besondere Anforderungen und Schwachstellen, die bei der Planung eines Abwehrmechanismus Weitere Informationen SieKein unterUnternehmen kann es sich leisten, Deutsche AGes mit einem berücksichtigt werdenfinden müssen. zu Telekom warten, bis www.telekom-icss.com/ddosdefense International Carrier Sales & Solutions (ICSS) Erpresserangriff, dem Diebstahl sensibler Daten oder einer kompletten Blockierung von Diensten konfrontiert Friedrich-Ebert-Allee 71–77 ist. D-53113 Bonn, Germany