Bedrohungslage

Das können Sie tun, um DDoS-Angriffe erfolgreich abzuwehren

1. Februar 2023 von Juliane Groß
DDoS Angriff abwehren
©jg - PSW GROUP

5
(2)

DDoS Angriffe („Distributed Denial of Service“) und die Angriffe auf das Netzwerk von Unternehmen, Institutionen und Behörden durch Cyberkriminelle gehören leider mittlerweile zum Alltag. Wie Sie einen DDoS-Angriff bestmöglich abwehren können, behandeln wir in unserem heutigen Blogbeitrag.

 

 

 

Behalten Sie einen klaren Kopf bei einem DDoS-Angriffsszenario

Wichtig ist es, bei allen Angriffen, egal welcher Art, dass Sie erst einmal Ruhe bewahren und sich einen Überblick verschaffen. Dies hilft Ihnen dabei, die entsprechenden Schritte mit einem klaren Kopf einzuleiten.

Kennen Sie schon unsere kleine DDoS-Blogreihe?
Im ersten Teil der DDoS Reihe mit dem Titel „DDoS-Attacken auf Webseiten, Shops & Netzwerke – einfach erklärt“ erklären wir Ihnen kurz und knapp, was es sich mit einem DDoS Angriff auf sich hat. Im nachfolgenden Beitrag „DDoS-Angriffe rechtzeitig erkennen“ möchten wir Ihnen näherbringen, wie Sie einen DDoS Angriffe frühzeitig erkennen. Und im heutigen Beitrag erfahren Sie von uns, was Sie in einem Worst-Case-Szenario eines DDoS-Angriffes unternehmen können, um diesen abzuwehren.

Wie auch in dem Blogbeitrag „Hackerangriff: Das können Sie nach dem Erkennen tun!“ erwähnt, sind folgende Schritte bei einem Cyberangriff essenziell umzusetzen:

  1. Alarm auslösen: Informieren Sie so schnell wie möglich Ihre Vorgesetzten oder den zuständigen Sicherheitsexperten der IT-Abteilung bei einem DDoS-Angriff. Diese Zeit ist notwendig, um Gegenmaßnahmen einzuleiten und die Reaktionszeit auf diesen Angriff zu beschleunigen.
  2. Sichern Sie sensible Daten und deren Zugang: Blockieren Sie jeglichen Zugriff auf sensiblen Daten. Der Angreifende soll keine Daten von Ihrem Unternehmen stehlen oder beschädigen können.
  3. Isolieren Sie betroffene Systeme und begrenzen Sie weiteren Schaden: Trennen Sie betroffene Systeme vom Netzwerk und des Firmennetzwerks. Dies soll verhindern, dass Angreifende weitere Systeme infizieren und weitere Schäden verursachen
  4. Sammeln Sie Beweise für den Angriff: Versuchen Sie, so viele Informationen, wie möglich über den Angriff zu sammeln. Alle wichtigen Fakten sind notwendig aufzuzählen und in einem Protokoll festzuhalten. Wesentliche Daten können sein:
    1. Art des Angriffs, wie z.B. UDP-Flood, SYN-Flood oder HTTP-Flood
    2. Zeitpunkts des Angriffs
    3. der IP-Adresse des Angreifers.
  5. Folgen Sie Ihrem Notfallplan: Befolgen Sie den Notfallplan Ihres Unternehmens und arbeiten Sie mit den Sicherheitsexperten der IT-Abteilung und anderen betroffenen Abteilungen zusammen, um die Auswirkungen des Angriffs zu minimieren und das Netzwerk und den Originalzustand wiederherzustellen.

Diese Informationen können später von IT-Sicherheitsexperten verwendet werden, um den Angriff zu untersuchen und einen erneuten Angriff zu verhindern. Alle Mitarbeitenden sollten dabei über die richtigen Prozesse und Verfahren eines Angriffs informiert sein und an regelmäßigen Schulungen teilnehmen, um sicherzustellen, dass jeder darüber informiert ist, was in diesem Fall zu tun ist.

 

DDoS Angriff abwehren, so einfach geht’s!

Einen DDoS-Angriff abzuwehren, ist eigentlich recht einfach! Denn ein Unternehmen muss lediglich im Falle eines Angriffs die benötigten Ressourcen und Kapazitäten schaffen, um die Masse an Anfragen verarbeiten zu können. Durch das Zuschalten von Rechenleistung durch u.a. Cloud-Diensten kann ein Anstieg von Anfragen rechtzeitig erkannt, verarbeitet und auch reguliert werden.

DDOS-Abwehr: Vorbeugende Maßnahmen und Gegenmaßnahmen bei einem Angriff

Zusätzlich lassen sich zu der Erhöhung der Kapazitäten, auch diverse Sicherheitsmaßnahmen integrieren und umsetzen, um einem DoS- oder auch DDoS-Angriff entgegenzuwirken.

Eines der wichtigsten Ansatzpunkte für diese Sicherheitsmaßnahmen ist die Identifizierung der kritischen IP-Adressen der Anfragen, sowie die Schließung bekannter Sicherheitslücken. Allgemein kann man auch die Betrachtung von Hard- und Software hinzuziehen, mit denen sich kleinere Angriffe abwehren lassen.

Vorbeugende Maßnahmen und Gegenmaßnahmen bei einem DDoS-Angriff

Hier haben wir einige Stellschrauben, die Sie für Ihre DDoS-Abwehr nutzen können:

  • Überwachen Sie Ihre Ressourcen und Ihr Netzwerk: Mit einem intelligenten Überwachungssystem für Ihr Netzwerk können Sie sicherstellen, dass Ihre Ressourcen und Kapazitäten nicht überlastet oder die Leistung der Website oder Anwendungen nicht beeinträchtigt wird.
  • Implementieren Sie DDoS-Schutzmaßnahmen: Überprüfen und optimieren Sie Ihre aktuellen Schutzmaßnahmen gegen DDoS Angriffe, bzw. implementieren Sie gegebenenfalls neue Technologien oder Dienste, um Ihr Netzwerk besser vor Angriffen zu schützen.
  • IP-Sperrlisten: Sperrlisten, auch bekannt unter dem Begriff „Blacklist“, ermöglichen es, IP-Adressen zu identifizieren und Datenpakete direkt zu verwerfen. Diese Sicherheitsmaßnahme lässt sich manuell umsetzen oder durch dynamisch erzeugte Sperrlisten über die Firewall automatisieren.
  • Filterung über sogenannten „Scrubbing Center“: Um auffällige Datenpakete herauszufiltern, ist es möglich, Grenzwerte für Datenmengen in einem bestimmten Zeitraum zu definieren. Dabei ist jedoch zu beachten, dass Proxys mitunter dazu führen, dass viele Clients mit derselben IP-Adresse beim Server registriert und möglicherweise unbegründet blockiert werden.
  • SYN-Cookies: SYN-Cookies nehmen Sicherheitslücken im TCP-Verbindungsaufbau ins Visier. Kommt diese Sicherheitsmaßnahme zum Einsatz, werden Informationen über SYN-Pakete nicht mehr auf dem Server gespeichert, sondern als Crypto-Cookie an den Client gesendet. SYN-Flood-Angriffe beanspruchen so zwar Rechenkapazität, belasten jedoch nicht den Speicher des Zielsystems.
  • Load-Balancing: Load-Balancing ist eine effektive Gegenmaßnahme gegen die Überlastung, indem es die Lastenverteilung auf verschiedene Systeme (Hardware oder auch Cloud-Dienste) aufteilt.
  • Schulung der Mitarbeiter: Auch das Schulen der eigenen Mitarbeiter trägt maßgeblich zu Ihrer Sicherheit bei. Daher sollten regelmäßige Schulungen in der IT-Sicherheit durchgeführt werden, dass die Mitarbeiten die Angriffe erkennen können und wie sie reagieren sollen.
  • Reporting über den vergangenen Angriff: Nach einem Angriff ist es wichtig, alle gesammelten Daten zu analysieren, um die Schwachstellen zu identifizieren und zukünftige Angriffe zu verhindern. Es ist auch wichtig, einen Bericht zu erstellen, um die Angriffssituation zu dokumentieren und die Entscheidungsträger über den Angriff zu informieren.

 

Das Fazit zu den Abwehrmaßnahmen eines DDoS-Angriffs

DDoS-Angriffe und den damit einhergehenden Traffic zu identifizieren, Fake-Traffic von legitimen Anfragen zu unterscheiden und diesen zuzulassen, erweist sich ohne jegliche Hilfsmittel als recht schwierig. Den eigentlichen Distributed-Denial-of-Service-Angriff zu stoppen ist einfach, in dem man alle http-Anfragen blockiert (das kann in der Tat auch nötig sein, wenn es darum geht, Ihre Server vor dem Absturz zu bewahren) oder den Server herunterfährt. Großer Nachteil ist bei dieser Praxis, dass auch alle User blockiert bzw. den eigenen Dienst nicht erreichen, womit der Angreifende sein Hauptziel erreicht hat.

In den letzten Jahren hat der Trend von DoS-, DDoS- und verschiedenen Angriffsszenarien den Weg in unseren Alltag gefunden, sodass wir uns regelmäßig mit dieser Thematik befassen müssen.

Und hier die gute Nachricht!

Auch der technologische Fortschritt hilft Ihnen weitestgehend, sich gegen solche Attacken zu schützen. Denn viele System-Dienstleister haben erkannt, dass solche Maßnahmen bereits integriert werden sollten. Das gibt den einzelnen Kunden, Sicherheit und Vertrauen.

So hat beispielsweise ein Network Service Provider, der in Frankfurt am Main eine geraume Anzahl an Server zur Verfügung stellt, sein eigenes Sicherheitssystem, dass solche Angriffe erkennt und entsprechende Gegenmaßnahmen einleitet. Der IT-Dienstleister behält in den Fällen genügend Kapazitäten vor, um große Mengen an eingehendem Datenverkehr zu bewältigen.

Natürlich können Sie diese Praxis ebenfalls umsetzen und je nach Situation Ihr eigenes Netzwerk aufrüsten oder ein Content Delivery Network (CDN) zu nutzen.

Wichtig, wie bei allen technischen Gegebenheiten: Verschaffen Sie sich einen Überblick über Ihre aktuelle Sicherheitssituation und der Zustand der Hard- bzw. Software und optimieren Sie an entsprechender Stelle.

Folgende Fragen könnten Sie sich hierbei stellen:

  • Deckt mein aktuelles Paket/Dienstleister dieses Angriffsszenario ab?
  • Benötige ich weitere Plugins, Tools oder Dienstleister?
  • Benötige ich neue Hardware oder Software?
  • Kann ich Plugins löschen, Pakete oder Dienstleister kündigen, da Überschneidungen vorliegen?
  • Bin ich auf dem neusten Stand der Technik?
  • Benötige ich weitere Sicherheitsmaßnahmen?
  • v.m.

 

 

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 2

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu