Schützen Sie sich vor DDoS-Angriffen, indem Sie illegitimen Datenverkehr blockieren

Digitale Ökosysteme gewinnen in unserer Gesellschaft zunehmend an Bedeutung, und sehr viele Anwendungen sind aus unserem Alltag nicht mehr wegzudenken. Dies gilt insbesondere für das berufliche Umfeld. Unabhängig von der Art der Organisation ist ein sicherer Informationsfluss für die Kontinuität der Aktivitäten von entscheidender Bedeutung. Denn die Verbindung zwischen Unternehmen, Partnern und Kunden muss heutzutage fortlaufend gewahrt bleiben. Darüber hinaus sind immer mehr Objekte vernetzt. Sie sammeln Informationen, beschleunigen Betriebsabläufe, tragen zur Effizienzsteigerung bei und unterstützen die Entwicklung neuer Dienstleistungen. 

Jede Medaille hat eine Kehrseite

Durch die Öffnung ihrer IT-Systeme können Organisationen neue Hebel für ihre Entwicklung erkunden, und Mitarbeitende profitieren dank der Möglichkeit, von überall aus zu arbeiten, von einer größeren Flexibilität. Leistungsfähigere IT-Lösungen, z. B. in der Cloud, erleichtern dabei die Datenverarbeitung und ermöglichen einen besseren Kundenservice. Doch jede Medaille hat auch eine Kehrseite. Denn diese Öffnung nach außen bringt auch neue Risiken mit sich. Cyberkriminelle führen heute sogenannte Denial-of-Service-Angriffe durch und versuchen, Unternehmen lahmzulegen oder ihre Dienste zu verschlechtern, indem sie die Verbindungsleitungen überlasten.

Wie funktioniert ein DDoS-Angriff?

Es wird hauptsächlich zwischen zwei Kategorien von Angriffen unterschieden.

Bei einem volumetrischen Angriff wird eine große Datenmenge an eine IP-Adresse geleitet, um die Bandbreite des Netzwerks, d. h. der Leitung, die das Unternehmen mit der Außenwelt verbindet, zu überlasten. Das Volumen des illegitimen Datenverkehrs ist so groß, dass der legitime Datenverkehr sein Ziel nicht mehr erreichen kann. Daten und Anfragen kommen nicht an. Dadurch wird der Dienst verschlechtert oder ist nicht mehr funktionsfähig.

Bei Akteuren, die über eine sehr große Bandbreite verfügen, zielt eine andere Strategie darauf ab, die Fähigkeit der Systeme des Unternehmens, Anfragen von außen zu verarbeiten, zu beeinträchtigen. In diesem Fall werden oftmals Firewalls ins Visier genommen. Für jede Anfrage müssen sich diese anmelden, und durch das Senden illegitimer Anfragen versuchen Cyberkriminelle, Firewalls zum Einsturz zu bringen. In diesem Fall ist nicht mehr das Netzwerk das Ziel, sondern direkt die Systeme des Unternehmens.

DDoS-Angriffe werden immer häufiger

Mit dem Aufkommen des Internets der Dinge (Internet of Things – IoT) wächst auch die Schlagkraft von Cyberkriminellen. Vernetzte Endgeräte wie Sensoren, Drucker, Heizungssysteme, Kameras, Lautsprecher oder viele andere Gadgets sind oft schlecht gesichert. Cyberkriminelle Gruppen können sie leicht zweckentfremden, sodass diese Millionen von Objekten illegitimen Datenverkehr erzeugen, den sie auf die IP-Adresse einer Organisation lenken können.

Im September 2022 haben die Dienste von POST 561 DDoS-Angriffe in Luxemburg registriert. Ihre Zahl nimmt tendenziell von Monat zu Monat zu, ebenso wie ihre Wirkung. Der größte volumetrische Angriff im September betrug 2 Gbps. Der größte Angriff, der in diesem Jahr verzeichnet wurde, belief sich auf 15 Gbps.

Lesen Sie auch: Schützen Sie Ihr KMU vor verschiedenen Cyberangriffen

So schützen Sie sich vor DDoS-Angriffen

Um sich vor DDoS-Angriffen zu schützen, müssen Organisationen mit ihrem Internet Service Provider (ISP), wie beispielsweise POST, zusammenarbeiten. Die Herausforderung besteht darin, DDoS-Angriffe abzumildern, indem illegitimer Datenverkehr bereits im Vorfeld blockiert wird, und so sicherzustellen, dass legitimer Datenverkehr weiterhin Vorrang hat.

POST bietet mehrere Lösungen zur Minimierung von DDoS-Angriffen an. Diese stützen sich auf unser „Scrubbing Center“. Mit dieser Infrastruktur, die wie eine Waschmaschine funktioniert, lässt sich der illegitime aus dem legitimen Datenverkehr herausfiltern. Datenverkehr und Anfragen mit böswilliger Absicht lassen sich so blockieren.

Filterung im Falle eines Angriffs oder dauerhafte Filterung

Je nachdem, wie kritisch ihre Aktivitäten sind, haben Organisationen zwei Möglichkeiten.

Bei der ersten Option – DDoS Mitigation Traffic Protect – wird der gesamte Datenverkehr durch das Scrubbing Center geleitet, sobald ein Angriff erkannt wurde, um eine Filterung vornehmen zu können.

Bei der zweiten Option – DDoS Mitigation IN-Line – läuft der gesamte Datenverkehr ständig durch das Scrubbing-Center, und die Abwehr erfolgt in Echtzeit. Die Organisation verfügt damit über einen ständigen Schutz. Diese Option bietet sich an, wenn die verbundenen Anwendungen als kritisch angesehen werden, z. B. im Finanzwesen oder auch im medizinischen Bereich.

Wie filtert die Minimierungslösung den Datenverkehr?

Die Umsetzung der Anwendung setzt voraus, dass der Datenverkehr des Unternehmens unter normalen Umständen, d. h. außerhalb von Angriffen, analysiert wird. Es werden verschiedene Parameter betrachtet, wie z. B. die Herkunft der eingehenden Anfragen, um zu erkennen, was legitim ist und was nicht. Bei der ersten Option wird die Analyse vor der Implementierung des Dienstes über einen Zeitraum von sieben Tagen durchgeführt. Bei der zweiten Option findet ein ständiger Abgleich zwischen legitimem und illegitimem Datenverkehr statt, um die Filterung zu verfeinern.

Angriffsabwehr mit in das SOC integrierten Lösungen

Bei POST Luxembourg sind wir ständig bestrebt, unsere Lösungen zum Schutz vor DDoS-Angriffen weiterzuentwickeln. Sie sind Teil unseres Cybersicherheitsangebots, das vor allem auf unserem Security Operations Center basiert, das zur Überwachung von Angriffen auf unsere Kunden eingerichtet wurde und Maßnahmen zur möglichst effektiven Abwehr ergreifen soll.