Es passiert bis zu 15 Mal pro Jahr und dauert im Schnitt 17 Stunden lang: So intensiv leiden Unternehmen laut aktuellem IDG Connect DDoS Survey unter DDoS-Attacken. Bei diesen sogenannten Distributed Denial of Service-Angriffen leiten Internet-Kriminelle mehr Verkehr auf eine Applikation oder einen Anschluss, als diese verarbeiten können und legen auf diese Weise die Systeme lahm. Firewalls sind dann nicht mehr in der Lage, diesen Traffic abzuhalten und die Server zu schützen. Die Folge: Das Unternehmen ist oft über viele Stunden arbeitsunfähig. Besonders schwerwiegend sind solche Angriffe auf Online-Shops, ein Ausfall der Webseite kann hier schnell Umsatzverluste in Millionenhöhe verursachen.

Der größte Angriff im vergangenen Jahr soll laut Medienberichten mithilfe von vernetzten Geräten aus dem „Internet der Dinge“ rund ein Terabit Datenverkehr pro Sekunde auf einen Firmenanschluss geleitet haben – das zwingt jeden Internet-Anschluss in die Knie. Auch Experten sind dagegen wehrlos: So war etwa der Blog des US-Sicherheitsexperten Brian Krebs kürzlich Ziel eines solchen Angriffs. Um mit diesen Attacken Erfolg zu haben, müssen sich Kriminelle noch nicht einmal besonders gut mit der IT auskennen, entsprechende Tools lassen sich im Netz problemlos erwerben. Häufig folgen auf solche Angriffe Geldforderungen.

Eigene IT kann Attacke kaum abwehren

Das Fatale an einer DDoS-Attacke: Ein solcher Angriff kann mehrere Tage oder Wochen dauern und sich wiederholen – und das Unternehmen ist kaum in der Lage, ihn abzuwehren, insbesondere, wenn das Datenvolumen des Angriffs die Kapazität der Anschlussleitung übersteigt. Selbst eine versierte IT-Abteilung hat dann keine Mittel, um einen solchen Ausnahmezustand in den Griff zu bekommen. Experten wie die Telekom schaffen Abhilfe. Kunden können zusätzlich zu ihren symmetrischen Anschlüssen wie Company Connect, DeutschlandLAN Connect L oder DeutschlandLAN Connect IP einen Abwehr-Service gegen DDoS-Attacken buchen. In enger Abstimmung mit dem angegriffenen Unternehmen löschen Experten den schädlichen Verkehr bereits im Backbone. Für Großunternehmen, die eigene autonome Systeme (IP-Backbones) betreiben und das Telekom-Produkt IP-Transit nutzen, steht das Angebot ebenfalls zur Verfügung.

Telekom-Kunden können zusätzlich zu ihren symmetrischen Netz-Anschlüssen einen Abwehr-Service gegen DDoS-Attacken buchen. Telekom-Kunden können zusätzlich zu ihren symmetrischen Netz-Anschlüssen einen Abwehr-Service gegen DDoS-Attacken buchen. (© 2016 Deutsche Telekom)

Dieser Telekom-Service war auch die Rettung für die Zippel Media GmbH, die in diesem Jahr Opfer eines solchen DDoS-Angriffs wurde. Der Anschluss des Medienunternehmens bei Köln wurde plötzlich mit rund 40.000 Open Connect-Verbindungen pro Sekunde aus Asien konfrontiert. Die Folge: Der Server brach zusammen. „Unser Anschluss war blockiert, wir konnten nicht mehr arbeiten und waren für unsere Kunden nicht erreichbar“, sagt Geschäftsführer Heinz Zippel.

Um solche Attacken abzuwehren, verwenden die Telekom-Experten verschiedene Methoden. „Beim Blackholing beispielsweise löschen wir einfach den gesamten Verkehr, der an eine IP-Adresse geleitet wird, die der Kunde nicht nutzt. Dadurch wird der Anschluss entlastet“, sagt Klaus-Peter Logsch, Accountmanager bei der Telekom. „Je nach Angriffsszenario kann auch der Einsatz von Filterlisten oder ein sogenanntes Rate-Limit eine geeignete Abwehrmethode sein.“ Bei der Referenz Zippel Media GmbH dagegen leitete die Telekom den gesamten Traffic über einen speziellen Router und sortierte den schädlichen Verkehr nach festgelegten Faktoren aus. Während des gesamten Angriffs hatte Zippel einen Ansprechpartner bei der Telekom, um die Filter anzupassen und beispielsweise neue Kunden auf die White List zu setzen, die das Unternehmen dann erreichen konnten.

Hilfe während des gesamten Angriffs

Dauert der Angriff länger an, ist es meist nicht mit einer Abwehrmaßnahme getan. „Häufig ändern die Hacker während einer DDoS-Attacke ihre Methode, unsere Experten müssen dann auch das Schutzsystem entsprechend schnell anpassen“, sagt Klaus-Peter Logsch.

"Wir helfen unseren Kunden, bis der Angriff vorbei ist."

Klaus-Peter LogschAccountmanager Telekom Deutschland

Und das kann monatelang dauern. Die Unternehmen können aber auch vorbeugen und präventiv Filterlisten oder Portsperren im Telekom-Backbone einrichten lassen.

Bei Zippel dauerte die Attacke einige Tage, dann erreichte der Traffic wieder ein Maß, das die Firewall bewältigen konnte. Daraufhin buchte Zippel den dauerhaften Service für ihren Anschluss. „Wir wollen kein Risiko mehr eingehen. Wenn wir beispielsweise multimediale Werbeinhalte für unsere Kunden ausliefern, ist das in der Regel sehr zeitkritisch. Denn sind die Informationen zu einer Sonderaktion nicht fertig, kostet das uns und unsere Kunden viel Geld“, sagt Heinz Zippel. „Deswegen war uns klar, dass wir den Service der Telekom auch weiterhin nutzen wollten.“

Ein weiterer Vorteil: Sobald Unternehmen eine Attacke feststellen, können sie der Telekom rund um die Uhr den Angriff melden. Kurz darauf beginnen die Telekom-Experten damit, den Anschluss wieder freizubekommen – auch nachts und am Wochenende. Die Zippel Media GmbH hat nach dem erfolgreich abgewehrten DDoS-Angriff nicht nur die DDoS-Defence der Telekom gebucht, sondern aus Sicherheitsgründen ihre Daten in zwei weitere Rechenzentren gespiegelt. „So können wir auf Anwendungen und aktuelle Daten zugreifen, auch wenn unser Anschluss lahmgelegt ist“, sagt der Geschäftsführer.
Kasten

Produkt-Info DDoS-Defence der Telekom

  • Abwehr von volumenbasierten DDoS-Angriffen direkt im Telekom Backbone
  • Schnelle Einleitung von Gegenmaßnahmen nach Meldung eines Angriffs bei der Störungshotline
  • Netzwerk-Experten stehen 24 Stunden an 7 Tage pro Woche bereit
  • Individuelle Abwehrstrategie in enger Abstimmung mit dem Kunden
  • Geschützt wird immer der gesamte Anschluss, völlig unabhängig von den genutzten Internetdiensten und dem Angriffsvolumen
  • DDoS-Defence erfordert keine Änderungen im Netz des Kunden
  • Zubuchbar zu den Anschlüssen: DeutschlandLAN Connect L, Company Connect, DeutschlandLAN Connect IP und IP-Transit

Weiterführende Links zum Thema