Hinweise zum DDos Schutz

Das Distributed Denial of Service (DDOS)  ist inzwischen deutlich mehr, als nur eine lästige Angelegenheit am Rande des Geschäftsbetriebs im oder um das Internet. Die lange Liste der erfolgreichen Blockaden von Diensten im Web, die sich seit geraumer Zeit auch um Erpressungsversuche und politischen Drohungen erweitert, spricht Bände. Gerade das Internet of Things mit seinen unzähligen IP-fähigen Geräten stellt ein enormen Zuwachs der Bedrohung dar, da die Kameras und Sensoren mit Netzwerkanschluss oft nur unzureichend gegen fremden Zugriff gesichert sind. Das alles wirft die Frage nach Möglichkeiten zum Schutz vor DDOS auf. Neben den konkreten Maßnahmen wird zusätzlich auch eine grundsätzliche Debatte um die Struktur des Internets geführt. Müssen Kühlschränke und Fernsteuerungen zur Öffnung der heimischen Garage wirklich an das Internet angeschlossen sein? Sollten Hersteller in die Pflicht zur Gewährleistung eines sicheren Betriebes genommen werden – und wenn ja, wie lässt sich eine solche Sicherheit festlegen und durchsetzen?
Zurück zum Konkreten. Die Omnipräsenz von Botnets, die sich inzwischen per Web-Interface einfach mieten lassen, senken die Hemmschwelle zur Anwendung deutlich – und lassen die Wahrscheinlichkeit einer Beeinträchtigung im Geschäftsbetrieb damit deutlich steigen. Auf die Frage nach einem effektiven DDos Schutz gibt es verschiedene Antworten, die sich zum Teil ergänzen.

Grundsätzlich gibt es verschiedene Methoden dieser Bedrohung zu begegnen, diese unterscheiden sich nach dem Ort, an dem der Wirkmechanismus zu Tragen kommen soll und nach technischem Know-How. Zum einen kann Serverseitig, also in einem Rechenzentrum, für eine große Bandbreite und Rechenkapazität gesorgt werden, die sich an der Dimension bisherriger Angriffe orientiert und diese schlicht verkraften könnte. Für Unternehmen ist dies in der Regel praktikabel, da Kapazität einfach durch Dienstleister in der Cloud eingekauft werden kann.
Für diese Dienstleister, sogenannte Content Delivery Networks, gilt dann natürlich ebenfalls, ausreichend Kapazität vorzuhalten. Zudem muss hier die Verteilung von Rechnerverbünden und Leitungslegung strategisch erfolgen, sprich: Systeme sollten möglichst dezentral aufgestellt sein, um einen erfolgreichen Angriff an einem Nadelör zu verhindern. Die Serverfarmen von Akamai, Cloudflare und Co. sind entsprechend international verbreitet, zudem bietet das IP-basierte Routing hier den Vorzug im Falle eines akuten Angriffs auch Umwege über entfernte Knotenpunkte gehen zu können. So ließen sich Last-Spitzen gegebenenfalls an unterschiedlichen Orten abfangen, analysieren und beheben – während der eigentlich abzusichernde Dienst weiterhin im Internet verfügbar bleibt.
Seitens der Hersteller von IP-Geräten und Betriebssystemen sollte für einen effektiven Ddos Schutz dem Kunden ausreichend Information zu individuellen Passwörtern zur Verfügung stehen und die Notwendigkeit von Sicherheitsupdates muss ebenfalls deutlich werden. In den großen Botnets sind oft ungepatchte Windows-Rechner anzutreffen, zusätzlich können auch IP-Geräte mit Standard-Passwort nach belieben missbraucht werden. Bei letzteren ließe sich eine einfache Passwort-Richtlinie implementieren, nach der bei erstmaligem Gebrauch ein eigenes Passwort festgelegt werden muss.
An allen Verbindungspunkten des Internets kann letztlich auch ein Filter auf einen konkreten Angriff oder eine systematische Lücke angewandt werden. Im heimischen Router etwa sollte UpnP deaktiviert sein, damit durch den Router hindurch die Computer im lokalen Netz nicht für Botnetze zur Verfügung stehen. Dies erfordert aber einen technischen Sachverstand und ein Problembewusstsein auf der Ebene des Privatnutzers. IT-Unternehmen hingegen können IP- oder Portsperren vornehmen, sofern ein DDOS-Angriff über die Hardware des Hauses erfolgt. Gerade für Konzerne mit eigenem Rechenzentrum ist hierfür ein Notfallplan unabdingbar.

0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.