Abwehr von DDoS-Attacken: die Niederlande als Vorbild?

Security-Unternehmen, -Experten und Marktbeobachter sind sich einig: DDoS-Attacken werden nicht nur häufiger, sondern auch immer heftiger. Sich dagegen zu wehren, ist trotz zunehmender Angebote nicht einfach, denn jeder – Website-Betreiber, Hoster, Provider – sieht die jeweils anderen in der Pflicht. In den Niederlanden hat sich jetzt ein pragmatischer Ansatz durchgesetzt.

DDoS-Attacken und Möglichkeiten, sie abzuwehren, sind grundsätzlich nichts Neues. Allerdings ist das Thema in den vergangenen Monaten stärker in den Vordergrund gerückt. Das hat mehrere Gründe. Zum einen sind immer mehr Firmen auf eine funktionierende und erreichbare Website angewiesen – oder auf eine funktionierende Internetverbindung überhaupt, die im Falle einer Attacke nämlich auch in Mitleidenschaft gezogen werden kann. Zum anderen hat die Cybercrime-Branche den Bedarf erkannt und bietet inzwischen günstig DDoS-Attacken an. Das ist natürlich illegal, was aber offenbar viele Firmen nicht davon abhält, es dennoch einmal zu versuchen, um ihrem Mitbewerber eins auszuwischen.

Cybersicherheit (Bild: Shutterstock)

Außerdem scheinen immer häufiger Kriminelle in DDoS-Attacken zu investieren, um Firmen zu erpressen. Wie Frank Ip, Vizepräsident Marketing und Business Development beim Dienstleister Black Lotus Communications auf dem Huawei CIO-Forum 2014 in Amsterdam vergangene Woche berichtete, fangen sie dabei oft mit lächerlich geringen Beträgen an – etwa 500 Dollar – die wahrscheinlich sogar ihre Kosten übersteigen. Allerdings rät er von Zahlungen ab, denn nachdem man einmal als erpressbares Opfer identifiziert sei, dürfe man nicht darauf hoffen, in Zukunft in Ruhe gelassen zu werden.

Die Versuchung zu zahlen ist aber groß, denn wirksame Werkzeuge zur Abwehr kosten immer noch viel Geld – und die richtige Auswahl zu treffen ist nicht einfach. Die meisten Angebote, zu denen das von Akamai übernommene Prolexic, Black Lotus, CloudFlare, Incapsula, Verisign sowie das Angebot von NTT Communications oder des deutschen Unternehmes Link11 gehören, richten sich an größere Firmen und sind nicht billig. Ähnlich verhält es sich mit dem kürzlich von Kaspersky vorgestellten DDoS-Protection-Dienst. Allen gemeinsam ist eigentlich, dass im Falle eines Angriffs von einem eigens dafür bereitstehenden Team in Absprache mit dem Kunden eine Umleitung via DNS-Forwarding oder mittels des BGP-Protokolls vorgenommen wird. Den Weg gehen übrigens auch klassische Anbieter von Netzwerk-Appliances wie Radware und seit kurzem auch Huawei mit einer Anti-DDos-Appliance.

Einer von Kaspersky bei B2B International in Auftrag gegebenen Studie zufolge, in deren Rahmen rund 3900 IT-Entscheider aus 27 Ländern befragt wurden, waren 41 Prozent der aus Banken stammenden Umfrageteilnehmer und 28 Prozent aller deutschen Unternehmen insgesamt im Zeitraum eines Jahres vor der Umfrage DDoS-Attacken ausgesetzt. Eine im Oktober vom BSI und der Allianz für Cybersicherheit vorgestellte Umfrage, ausschließlich unter deutschen Firmen und Behörden, kommt zu tendenziell ähnlichen Ergebnissen. Demnach waren in den vergangenen zwei Jahren etwa die Hälfte der Befragten Opfer von Cyberangriffen generell. Etwas über ein Drittel berichtete von (D)DoS-Angriffen auf ihren Internetauftritt oder ihre weiteren Netzinfrastrukturen.

Stefan Ortloff, Virus Analyst bei Kaspersky, wundert das nicht – schließlich seien heutzutage DDoS-Attacken schon ab 50 Dollar und weitgehend anonym im Web beauftragbar. Der Schaden betrage laut der von seinem Unternehmen in Auftrag gegeben Umfrage bei den Angegriffenen im deutschen Mittelstand durchschnittlich 41.000 Euro, bei großen Unternehmen rund 360.000 Euro. So gesehen lohnt sich die Anschaffung von Technik zur Abwehr schnell – vorausgesetzt, man verfügt über ein Team, das auch damit umzugehen weiß. Oder man verlässt sich dann doch lieber auf einen Anbieter, der das als Dienst anbietet.

Sich an die Provider zu wenden, ist nach Aussagen von Betroffenen in der Regel ein sinnloses Unterfangen. Die schieben entweder die Verantwortung ab oder bietet eine einfache Lösung an: Sie ziehen den Stecker. Damit haben die Angreifer aber dann genau das erreicht, was sie wollten – wenn auch auf Umwegen.

NBIP Logo (Bild: NBIP)In den Niederlanden kümmern sich die in der NBIP (Nationale Beheersorganisatie Internet Providers) organisierten Provider gemeinschaftlich um die Abwehr von DDoS-Attacken (Bild: NBIP).

In den Niederlanden sieht das aus mehreren Gründen anders aus. Einerseits handelt es sich um eines der am besten vernetzten Länder der Welt, in dem zudem aufgrund des Internet Exchange in Amsterdam ungewöhnlich viel Bandbreite – und damit auch Bandbreite für DDoS-Attacken vorhanden ist. Anderseits ist die Vielfalt der Internet Provider außergewöhnlich hoch. Da es sich vielfach um vergleichsweise kleine Unternehmen handelt, haben diese bereits 2003 mit dem NBIP (Nationale Beheersorgansiatie Internet Providers) eine Einrichtung geschaffen, die als Shared Service Center vieler ISPs fungiert und seitdem zum Beispiel im Auftrag ihrer über 100 Mitglieder Anfragen der Behörden, insbesondere der Polizei und der Justizbehörden, entgegennimmt und bearbeitet.

Diese Einrichtung hat dazu beigetragen, dass die niederländischen ISPs untereinander gut vernetzt sind – sowohl im wörtlichen als auch im übertragenen Sinn. Angesichts immer heftiger werdender DDoS-Attacken, die jeder Einzelne für sich nur noch mit Mühe abwehren konnte, lag es daher nahe, auch hier eine gemeinsame Lösung zu finden. Und sie wurde gefunden.

Inzwischen zahlen zahlreiche NBIP-Mitglieder in einen Topf, aus dem ein DDoS-Abwehrzentrum finanziert wird. Das agiert als Non-profit-Organisation. Die Leistungen stehen allen Mitgliedern gleichermaßen zur Verfügung. Als Reaktionszeit, bis ein Angriff als solcher erkannt und abgewehrt wird, sind in der Regel zwei Minuten ausreichend.

Auf technische Details wollte NBIP-Vorstandsmitglied Ludo Baauw, der das Konzept auf dem Huawei CIO-Forum 2014 vergangenen Woche in Amsterdam vorgestellt hatte, nicht eingehen. Schließlich liefere man sich einen ständigen Kampf mit den Angreifern, die nach dem Scheitern eines Angriffs häufig andere und immer neue Attacken ausprobierten. Da sein Team sich allerdings ganz dieser Aufgabe widme, sei es ihr auch in vollem Umfang gewachsen – was man von Personen, die derartige Angriffe bei einem ISP quasi nebenher abzuwehren hätten, nicht immer behaupten könne.

Aufgrund der Gemeinschaftsaufgabe sind die Kosten für alle Beteiligten ISPs moderat. Sie rechnen sich auch dadurch, dass durch den Eingriff des NBIP das Netzwerk des ISPs entlastet wird. Für die Kunden der ISPs fallen übrigens für abgewehrte Angriffe keine Kosten an. Die, so Baauw, wären zumindest in den Niederlanden aber auch nicht bereit, sie zu bezahlen.

Der Erfolg hat sich herumgesprochen. Inzwischen sind auch schon belgische ISPs daran interessiert, sich dem NBIP respektive dessem gemeinschaftlichem DDoS-Abwehrzentrum anzuschließen. Bei Gesprächen in Deutschland sei er aber auf Unverständnis gestoßen, berichtet Baauw. Die hiesigen Provider könnten sich eine Zusammenarbeit untereinander nicht recht vorstellen.

Schade, denn wie das Beispiel der Niederlande zeigt, ließe sich so pragmatisch und mit vertretbaren Kosten ein wachsendes Sicherheitsproblem aus der Welt schaffen oder zumindest eindämmen. Vielleicht nutzt es etwas, wenn den Kunden bewusst ist, dass diese Aufgabe nicht gottgewollt ihnen zufällt, sondern auch von den Providern erledigt werden kann – und sie das in Gesprächen mit ihnen nur oft genug wiederholen.

In einem Video bei Youtube erklärt Radware – das eine Appliance-basierende Abwehrtechnik anbietet- recht anschaulich, wie DDos-Attacken ablaufen.

Themenseiten: Analysen & Kommentare

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Abwehr von DDoS-Attacken: die Niederlande als Vorbild?

Kommentar hinzufügen
  • Am 28. November 2014 um 21:12 von bicmic2004

    Echt lächerlich das sich die Deutschen Provider sträuben eine Zusammenarbeit einzugehen…. Typisch

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *