Dossier in Kooperation mit Aspectra

"Die Attacken werden kürzer und gezielter"

Uhr

Cybergefahren kommen nicht nur in Form von Viren, Würmern oder Ransomware daher. Auch die Überlastung von Datennetzen mittels DDoS-Attacken stellt eine Bedrohung dar. Im Interview erklärt Kaspar Geiser, Geschäftsführer von Aspectra, wie sich Unternehmen dagegen wappnen können.

Kaspar Geiser, Geschäftsführer, Aspectra (Source: ZOE TEMPEST)
Kaspar Geiser, Geschäftsführer, Aspectra (Source: ZOE TEMPEST)

Wie funktionieren die von Ihnen erwähnten Boxen, die DDoS-­Attacken schon vor dem Router abfangen sollen?

Kaspar Geiser: Diese Boxen erkennen eine Vielzahl von bekannten Mustern wie "TCP/UDP/ICMP Flood Attacks", "Malformed Packets", "Smurf Attacks" oder aber auch "SSDP und DNS Amplification". Mit der Abwehr dieser Attacken werden die Router und dahinterstehenden Ressourcen geschont und diese können so auch unter Attacke "normal" arbeiten. Auch heuristische Analysen werden angewendet, um Layer-1- bis -4-Attacken abzuwehren.

Wie haben sich DDoS-Attacken Ihrer Erfahrung nach in den letzten Jahren verändert?

Die Attacken werden kürzer und gezielter. Wo früher ein manuelles Eingreifen ausreichte, muss heute mit Automatismen der Schutz sofort aktiv werden.

Wer steckt hinter den DDoS-Angriffen?

Es gibt nur wenige Fälle, die von Melani und anderen Stellen kommentiert werden. Bekannte Fälle waren politischer Natur und betrafen die Schweiz und Österreich vor und während Besuchen von ranghohen Regierungsvertretern in oder aus Asien.

Welche Art von Firmen sind besonders anfällig für DDoS-­Attacken?

Leider alle. Grossfirmen und reine Internetfirmen haben die Gefahr teilweise bereits erkannt und schützen sich. KMUs oder Vereine sind sich der Gefahr zwar bewusst, können aber die Tragweite selten abschätzen. Neben DDoS-Attacken gibt es eine Vielzahl an weiteren Angriffs- und Manipulationsmöglichkeiten. Hier lauern noch viele Gefahren für Firmen.

Was raten Sie KMUs, um ihre IT-Systeme vor DDoS-Attacken zu schützen?

DDoS-Attacken sind eine reelle Gefahr. Um einen umfassenden und auf die verschiedenen Gefahren abgestimmten IT-Schutz eines Unternehmens zu erlangen, empfehlen wir die Zusammenarbeit mit Managed-Service-Providern. Eine Auslagerung oder mindestens Aufteilung der IT in "interne" und "externe" IT-Infrastruktur ist ebenfalls ratsam, um die Risiken und Schutzmassnahmen zu verteilen, beziehungsweise gezielt zu implementieren.

Wie merkt ein Hoster, ob eine DDoS-Attacke stattfindet oder einfach nur viel Traffic im Netzwerk herrscht?

Dies bedingt die Korrelation verschiedener Parameter des Netzwerks: über das Betriebssystem bis hin zur Anwendung und die damit involvierten Schutzstufen wie Firewall und WAF. Bei einer DDoS-Attacke weisen diese Parameter Anomalien auf, da eine DDoS-Attacke nie perfekt ist. So steigt beispielsweise die Anzahl Anfragen von einer Quell-IP-Adresse bei Attacken überproportional an, was ein Indiz sein kann. Um Attacken zu erkennen, sind Hoster auf umfangreiche Security-Information-and-Event-Management-Lösungen, kurz SIEM, angewiesen. Diese Systeme dienen der Analyse oder der automatischen Auslösung von Massnahmen.

Webcode
DPF8_103936