sicherheit im cyberspace ddos-angriffe – einblicke und ... · form von externer...

Sicherheit im cyberSpace DDoS-Angriffe – einblicke unD löSungen

2www.telekom-icss.com/ddosdefense

SICHERHEIT IM CYBERSPACEDDoS-Angriffe – einblicke unD löSungen

inhaltSverzeichniS

Einführung ..................................................................................................................................... 3Was versteht man unter DDoS? .........................................................................................................................4Die Kosten .........................................................................................................................................................5Neue Möglichkeiten und Motive ........................................................................................................................6IT-Fortschritt erhöht die Gefahr .........................................................................................................................7Warum weiterlesen? ..........................................................................................................................................8

DDoS-Angriffe in einem sich wandelnden Umfeld ......................................................................... 9Neue Angriffsmethoden ....................................................................................................................................9Multivektorangriffe ............................................................................................................................................9Leichterer Zugang zu illegalen Instrumenten ..................................................................................................10Neue Möglichkeiten ........................................................................................................................................10Angriff auf Estland ...........................................................................................................................................11Die geheimen Cyber-Waffen eines E-Staates ...................................................................................................12

Wie funktionieren DDoS-Angriffe? ............................................................................................... 14Volumetrische Angriffe ....................................................................................................................................14

ICMP Flood ............................................................................................................................................................................... 15TCP SYN Flood ......................................................................................................................................................................... 15UDP Flood ................................................................................................................................................................................. 15Angriffe durch DNS-Amplifikation (Domain Name System) ....................................................................................................... 15

Angriffe auf die Anwendungsschicht ...............................................................................................................16HTTP GET und HTTP POST Floods ............................................................................................................................................ 16

Angriffstools ....................................................................................................................................................17Low Orbit Ion Cannon (LOIC) ..................................................................................................................................................... 17Slowloris .................................................................................................................................................................................... 18

Herkömmliche Abwehrprodukte wirken nicht mehr .........................................................................................18Firewalls .................................................................................................................................................................................... 18IDS und IPS ................................................................................................................................................................................ 19

Abwehrstrategien gegen DDoS-Angriffe ...................................................................................... 20Lösungen der Deutschen Telekom ..................................................................................................................21

Backbone-Schutz der Deutschen Telekom ................................................................................................................................ 22Cloud-Schutz der Deutschen Telekom ....................................................................................................................................... 23Kundenseitige Lösungen der Deutschen Telekom ..................................................................................................................... 24Vorteile der DDoS-Abwehrlösungen der Deutschen Telekom .................................................................................................... 24Zahlreiche Abwehrlösungen der Deutschen Telekom ............................................................................................................... 25

http://www.telekom-icss.com/ddosdefense



einführung

Sie fragen sich, warum das Thema Cyber-Sicherheit und DDoS-Angriffe (Distributed Denial of Service) so

wichtig ist? Sie glauben, Ihrem Unternehmen wird so etwas nie passieren, weil Sie die richtigen Firewalls und

Erkennungssysteme installiert haben? Dann führen Sie sich vor Augen, wozu Cyber-Kriminelle heute in der

Lage sind. Selbst die größten Organisationen sind schon solchen Angriffen zum Opfer gefallen.

Stellen Sie sich vor, Sie arbeiten in einem großen Medien- oder Rundfunkunternehmen. Sie fühlen sich sicher

und sind davon überzeugt, dass ihre sensiblen Informationen gegen unbefugten Zugriff geschützt sind. Doch

dann kommen Sie eines Tages zur Arbeit und sehen, dass Cyber-Kriminelle ihr fast fertiges Projekt gestohlen

haben – zusammen mit vertraulichen Dateien. In der gesamten IT-Infrastruktur des Unternehmens wurden

Geräte infiltriert und dabei Daten auf Servern und PCs gestohlen oder gelöscht. Im Netzwerk waren E-Mail-

Adressen, Gehaltslisten, Bankverbindungen und Angaben zur Krankenversicherung ebenso gespeichert wie

die Nummern Ihrer privaten Kreditkarten.

Oder stellen Sie sich vor, was passiert, wenn Ihre Online-Dienste plötzlich nicht mehr zur Verfügung stehen.

Am Morgen sitzen Sie noch am Rechner, um Rechnungen zu bezahlen, und am Nachmittag ist keine der

Webseiten, die Sie häufig nutzen, mehr erreichbar. Sie können auch nicht klären, was passiert ist, denn die

Verbindung zu Ihren digitalen Nachrichten und zu staatlichen Webseiten funktioniert nicht mehr. Diesmal ist

eine Gruppe von Cyber-Kriminellen am Werk: Sie fordern Lösegeld für die Rückgabe Ihrer Daten.

60%

50%

40%

30%

20%

10%

Surv

ey R

espo

nden

ts

Internal Network Security Threats

55%

28%

28%

26%

21%

13%

10%

8%

7%

6%

5%

5%

4%

2%

Internet connectivity congestion due to DDoS attack

Botted or otherwise compromised hosts on your corporate network

Internet connectivity congestion due to genuine traffic growth/spike

Accidental major service outage

None of the above

Accidental data loss

Advanced Persistent Threat (APT) on corporate network

Malicious insider

Exposure of sensitive, but non-regulated data

Theft

Exposure of regulated data

Web defacement

Industrial espionage or data exfiltration

Other

0%

Source: Arbor Networks tenth annual Worldwide Infrastructure Security Report

According to the Arbor Networks Wolrdwide Infrastructure Security Report, more than half of the respondents reported that internet connectivity congestion due to DDoS attack was the most commonly observed threat experienced on corporate networks.




Diese Szenarien sind nur zwei alltägliche Beispiele dafür, welche verheerenden Folgen ein Angriff haben kann.

Laut dem Akamai-Sicherheitsbericht “State of the Internet” für das 1. Quartal 2016 haben DDoS-Angriffe

im Vergleich zum Vorjahr um 125 Prozent zugenommen. Deshalb ist es von größter Bedeutung, dass die

jeweils aktuellsten Sicherheitsmaßnahmen installiert werden. Die modernen Abwehrsysteme von heute sind

im Gegensatz zu älteren Produkten und herkömmlichen Methoden in der Lage, Angriffe auf die bestehende

Infrastruktur und Cloud-basierte Netzwerke in Echtzeit vorauszusagen, zu erkennen und zu entschärfen.

WaS verSteht man unter DDoS?

DDoS steht für Distributed Denial of Service. Dabei wird versucht, die Verfügbarkeit von Internet-basierten

Anwendungen und Diensten für legitime Nutzer zu beeinträchtigen. Häufig geschieht dies dadurch, dass

Datenpakete von Computern oder anderen Endgeräten übertragen werden, die mit Schadware infiziert sind,

also mit Viren und Trojanern. Diese korrumpierten Computer werden „Bots“ genannt. Sie können gemeinsam

ein Netzwerk bilden, ein so genanntes „Botnet“. Botnets werden von einem zentralen Server gesteuert und

können für viele kriminelle Zwecke genutzt werden, zum Beispiel auch für DDoS-Angriffe.

Viren und Trojaner lassen sich leicht verbreiten, häufig in scheinbar harmlosen E-Mails, die den PC infizieren,

sobald sie geöffnet werden. Aufgrund ihrer dynamischen Anpassungsfähigkeit sind sie sehr schwer zu

erkennen. Darüber hinaus gibt es noch zahllose Geräte, die mit dem Internet verbunden sind, aber nicht über

die neuesten Software-Aktualisierungen oder aktuelle Virenschutzprogramme verfügen. Nach Informationen

des SC Magazine UK sind derzeit 1,5 Milliarden Geräte potenziell infiziert1. Tatsächlich bleiben viele Bots über

Jahre hinweg unbemerkt und werden während dieser Zeit für Datendiebstahl, DDoS-Angriffe, den Versand

von Spam-Emails, die gezielte Überlastung von Online-Systemen oder zur Störung von Verbindungen

genutzt.

1 SC Magazine UK, 1. June 1 2016, http://www.scmagazineuk.com/15-billion-windows-computers-potentially-affected-by-

unpatched-0-day-exploit/article/499854/

INTERNET DATA CENTERSERVICE PROVIDER NETWORK

VOLUMETRIC ATTACK

APPLICATION ATTACK/MALWARE

LEGIT TRAFFIC

SATURATION STATE EXHAUSTION




Die DDoS-Landschaft hat sich in den letzten Jahren stark verändert, was die Durchführung von Angriffen

einfacher macht als jemals zuvor. Heute ist es beispielsweise relativ leicht, kriminelle Online-Organisationen

zu finden, die Botnets mit volumenabhängiger Bezahlung vermieten, Leitfäden für den Aufbau eines Botnets

anbieten oder Freiwillige suchen, die ihre Angriffe unterstützen. Da auch Umfang und Komplexität der

Angriffe zugenommen haben, sind sie schwerer zu erkennen und einzudämmen.

Die KoSten

Nach einer Erhebung der Marktforschungsagentur B2B International für den Zeitraum April 2014 bis Mai

2015 in 38 Ländern mit 5.564 Befragten sehen sich 90 Prozent der untersuchten Unternehmen in irgendeiner

Form von externer Cyber-Kriminalität bedroht2. Die durchschnittlichen Kosten von Datendiebstahl

werden in der Erhebung auf 38.000 bis 551.000 US-Dollar pro Unternehmen beziffert. Neben gestohlenen

Vermögenswerten gehören unter anderem Anwalts- und Gerichtskosten, Kosten für Abwehrmaßnahmen,

entgangene Gewinne und mitunter steigende Versicherungsprämien zu den Folgekosten von

Sicherheitslücken. Schwieriger zu berechnen sind die wirtschaftlichen Folgen für ein Unternehmen durch

Reputations- und Imageverlust.

2 Global IT Security Risks Survey 2015, durchgeführt von B2B International und analysiert von Kaspersky Labs




neue möglichKeiten unD motive

Unternehmen sind in zunehmendem Maß auf das Internet angewiesen. Schließlich können sie damit einem

größeren Kundenkreis mehr Produkte und Leistungen anbieten. Doch gerade die hohen Online-Umsätze

sorgen dafür, dass Unternehmen zu einem lukrativen Ziel für Cyber-Kriminelle geworden sind. Mit Daten-

und Identitätsklau, Betrug und Erpressung lässt sich eine Menge Geld verdienen. Direkte finanzielle Gewinne

sind jedoch nicht das einzige Motiv hinter DDoS-Angriffen. Auf dem Vormarsch sind auch politisch oder

ideologisch motivierte Angriffe sowie Attacken auf die Konkurrenz mit dem Ziel, Wettbewerbsvorteile zu

erzielen.

Der Schaden durch DDoS-Angriffe kann für Unternehmen sehr hoch sein. Direkte Vermögensschäden können

in die Millionen gehen, insbesondere bei zeitkritischen Transaktionen wie etwa im Handel. Gleichzeitig

sind langfristige Auswirkungen unkalkulierbar. Während der Ausfall einer Webseite oder die Störung von

Leistungen sehr teuer werden kann, können Reputationsschäden wirtschaftlich katastrophale Folgen

haben. Mitunter brauchen Unternehmen Jahre, um sich davon zu erholen. Kunden wechseln mit großer

Wahrscheinlichkeit zu Wettbewerbern, wenn Kreditkartendaten, Passwörter oder andere personenbezogene

Daten durch Sicherheitslücken kompromittiert worden sind.




it-fortSchritt erhöht Die gefahr

Mit den Fortschritten in der ICT-Branche öffnen sich gleichsam neue Wege für Sicherheitsverstöße. Die

Begeisterung über die Möglichkeiten der neuen Technologien führt häufig dazu, dass Unternehmen die

damit verbundenen Gefahren übersehen. Viele Unternehmen investieren heute in Virtualisierung und Cloud-

Anwendungen und erlauben ihren Mitarbeitern, eigene Geräte bei der Arbeit zu nutzen. Diese Verteilung

von Ressourcen macht es allerdings wesentlich schwieriger, die Sicherheit im Cyberspace zu gewährleisten.

Gleichzeitig nimmt die Zahl der Einfallstore für Angreifer zu. Auch deshalb wird es immer wichtiger,

Sicherheitslösungen zu entwickeln, die exakt auf die konkreten Anforderungen des Unternehmens zugeschnitten

sind, um Angriffe proaktiv abzuwehren.




Warum WeiterleSen?

Das White Paper liefert allgemeine Hintergrundinformationen über DDoS-Angriffe und zeigt in einem technischen

Überblick, wie diese funktionieren. Dabei wird auch untersucht, wie sich DDoS-Angriffe entwickelt haben und

weiterentwickeln werden. Zudem wird erörtert, warum herkömmliche Abwehrsystem nicht mehr wirksam sind.

Um mit der stetig wachsenden Bedrohung von Sicherheitsverletzungen zurechtzukommen, müssen moderne

Verfahren implementiert werden. Die Lösungen der Deutschen Telekom zur Abwehr von DDoS-Angriffen helfen

nicht nur, Angriffe einzudämmen, sondern können beginnende Angriffe sofort durch Echtzeit-Analyse erkennen.

Mit neuen, hoch entwickelten Technologien sichern Sie erhebliche Vorteile für ihr Unternehmen und schützen

gleichzeitig die Ressourcen Ihrer Kunden und Ihre Mitarbeiter.




DDoS-angriffe in einem Sich WanDelnDen umfelD

neue angriffSmethoDen

Die Hauptangriffsarten sind entweder volumen- oder anwendungsbezogen – oder eine Kombination aus

beidem. In dem Maße, wie das Internet sich stetig weiterentwickelt, ändern sich auch die Methoden für

DDoS-Angriffe kontinuierlich. Attacken nehmen nicht nur in Umfang, Häufigkeit und Raffinesse zu. Sie lassen

sich auch viel schwerer erkennen und eindämmen.

multiveKtorangriffe

Während die Zahl volumetrischer Angriffe gesunken ist, hat ihre Intensität mit Datenraten von nicht

selten über 100 Gbit/s deutlich zugenommen. Der größte bestätigte Angriff im Jahr 2015 erfolgte mit

massiven 500 Gbit/s. Noch komplexer und schwerer zu bekämpfen ist allerdings die wachsende Zahl von

Multivektorangriffen. Dabei handelt es sich um parallele Angriffe auf die Netzwerkschicht (OSI Schicht 3 und

4), wo volumetrische Attacken stattfinden, und auf die Anwendungsschicht (OSI Schicht 7), wo – wie der

Name schon sagt – Angriffe auf Anwendungen erfolgen.

Bei Multivektorangriffen kann eine Vielzahl unterschiedlicher Techniken zum Einsatz kommen. In einem vor

kurzem in Europa lancierten Angriff wurden beispielsweise sechs unterschiedliche Vektoren miteinander

kombiniert. Dazu zählten DNS-Reflection-Angriffe und UDP-Fragmentierung ebenso wie SYN, PUSH, TCP und

UDP Floods. Während dieser Angriff extrem breit angelegt war, nutzen Angreifer Multivektorangriffe häufig,

um Opfer zu Abwehrmaßnahmen in einem bestimmten Bereich zu verleiten – gleichzeitig starten sie dann

unbemerkt einen Angriff auf sensiblere Bereiche.




So ist es beispielsweise sehr einfach, einen volumetrischen DDoS-Angriff zu starten, auf den sich das IT-

Team im Unternehmens konzentriert, und gleichzeitig einen so genannten State-Exhaustion-Angriff auf die

Anwendungsschicht zu unternehmen, um die Firewall oder das IPS im Netz zum Absturz zu bringen. In einem

verzweifelten Versuch, Konnektivität wiederherzustellen, umgeht das IT-Team die ausgefallene Firewall. Damit

stehen dem Angreifer Tür und Tor offen, um das Netz mit Schadware zu infiltrieren.

neue Kriminelle motive

Was sich inzwischen auch verändert hat, sind die Motive der Hacker. Früher ging es Kriminellen vor allem

um finanziellen Gewinn. Ihr Ziel war es, Geld von Unternehmen zu erpressen. Oft blockierten sie Webseiten

so lange, bis ein Lösegeld in bestimmter Höhe gezahlt wurde. Es gab auch Übeltäter, die einfach nur sehen

wollten, ob sie ihrem Ziel Schaden zufügen können.

Heute besteht für viele Cyber-Kriminelle der Antrieb darin, ihre persönlichen Überzeugungen oder Ideologien

zu verbreiten. Diese so genannten „Hacktivisten“ zielen in einer Art Selbstjustiz auf Bankstrukturen oder

öffentliche Einrichtungen ab. Sie sind überzeugt, damit soziale Konventionen oder wirtschaftliche Systeme

zu untergraben, die sie für korrupt oder unmoralisch halten. Es gibt sogar Freiwillige, die ihre PCs quasi als

Fußsoldaten für eine Botnet-Armee anbieten. Ein Angriff, der mit die höchste Medienaufmerksamkeit erzielt

hat und dieser Art von Aktivismus zugeschrieben wird, ereignete sich 2007 in Estland. In der Folge führte

das Land eine Reihe weitreichender, innovativer Reformen durch, um die Internet-Infrastruktur in Estland

systematisch abzusichern.

leichterer zugang zu illegalen inStrumenten

Cyber-Kriminalität ist in der Umsetzung einfacher geworden. Zum Teil liegt das an dem deutlich größeren

Schwarzmarkt, wo Cyber-Kriminelle Baukästen zum Erstellen von Botnets für unter 20 US-Dollar verkaufen

oder sogar komplette Botnet-Lösungen zum Mieten anbieten. Daneben hat die zunehmende Verbreitung von

Tools für Open-Source-Software die Entwicklung von Anwendungen für Cyber-Angriffe einfacher gemacht.

Ein Beispiel dafür ist Low Orbit Ion Cannon (LOIC). LOIC wurde ursprünglich als Open-Source-Software für

Netzbelastungstests eingesetzt, dann aber von Hackern modifiziert, um als Angriffstool ein neues Leben zu

beginnen.

neue möglichKeiten

Um zu verstehen, welche sich Cyber-Angriffe entwickelt haben und weiter entwickeln werden, muss man

verstehen, wie sich das Internet verändert hat. In den vergangenen zehn Jahren ist nicht nur die Zahl der

Menschen, die das Internet nutzen, exponentiell gestiegen, sondern auch die Vielzahl an Möglichkeiten,

wie das Internet genutzt wird. Bei vielen grundlegenden Aufgaben wie etwa Banking, Kommunikation und

Unterhaltung verlassen wir uns heute auf das Internet. Das allein hat Cyber-Dieben ganz neue Möglichkeiten

eröffnet.




Zudem stellen Telekommunikationsanbieter ihre Netze auf All-IP um, um Qualitäts- und Leistungsvorteile

zu nutzen. Durch die großflächigere und offenere Umgebung werden Netzbetreiber jedoch anfälliger

für Sicherheitsverletzungen. Auch deshalb wird es zunehmend wichtiger, DDoS-Angriffen mit proaktiven

Maßnahmen in Echtzeit zu begegnen.

Smart DeviceS unD DDoS-angriffeUm uns das Leben einfacher zu machen, haben Smart Devices, das Internet der Dinge und Machine-to-

Machine-Module Einzug in unser Heim, unser Auto und unseren Arbeitsplatz gehalten. Allerdings wird oft

vernachlässigt, dass diese Geräte potenzielle Quellen einer Botnet-Infektion sind. Smart-Devices haben eine

eigene IP-Adresse, sind mit dem Internet verbunden und stehen teilweise in direkter Kommunikation mit

anderen Geräten.

Gleichzeitig sind Smart Devices nicht besonders komplex, haben begrenzte Benutzeroberflächen und sind

in der Regel nicht wie PCs mit Sicherheitsinstrumenten ausgestattet. Mängel dieser Art machen Szenarien

möglich, die sich wie Science Fiction anhören. So könnte ein Hacker etwa die Heizungssteuerung im Haus des

Nutzers infiltrieren, diese als Bot nutzen und damit das Navigationsgerät im Auto des Nutzers stören. Ebenso

könnte eine Vielzahl dieser internetfähigen Geräte genutzt werden, um einen großflächigen Angriff auf ein

Finanzinstitut zu starten.

angriff auf eStlanD

Im April 2007 erlebte der baltische Staat Estland einen Angriff, der als erster Cyberkrieg der Welt bezeichnet

worden ist. Zuvor hatte das Land erhebliche Anstrengungen für den Ausbau der Informationstechnologie

und Telekommunikation unternommen. Estland galt 2007 als das Land mit der höchsten Dichte an

Internetanschlüssen in Europa. Seine Bürger vertrauten bei vielen alltäglichen Aufgaben wie Banking,

Steuererklärungen und Wahlen auf das Internet. Gleichzeitig wurde das Land durch die Abhängigkeit vom

Internet zu einem äußerst anfälligen Ziel.

Man geht davon aus, dass die Angriffe als Protest gegen die Pläne der Regierung lanciert wurden, ein

sowjetisches Kriegerdenkmal aus dem Jahr 1947 abzureißen3. Die politische Lage im Land war bereits

gespannt – die Kluft zwischen ethnischen Esten und Russen im Land war groß. Erstmals entdeckt wurde

der Angriff, als der Verteidigungsminister bemerkte, dass er die Webseite des Premierministers nicht mehr

aufrufen konnte. Kurz darauf wurden andere Regierungsseiten ins Visier genommen und die Angriffe weiteten

sich schnell auf Medien, Banken und Universitäten in Estland aus.

Zur Abwehr der Angriffe wurde der gesamte eingehende Datenverkehr aus dem Ausland für die gefährdeten

Webseiten blockiert. In der Folge waren viele Webseiten von Medien und staatlichen Stellen komplett vom

Rest der Welt abgeschnitten. Die internationale Kommunikation beschränkte sich auf Telefon und Fax. Nach

3 International Affairs Review, 4. April 2009, http://www.iar-gwu.org/node/65




genaueren Analysen des Datenverkehrs wurden präzisere Blockaden implementiert. Es dauerte mehr als zwei

Wochen, um das Problem in den Griff zu bekommen. Auch wenn schwere Anschuldigungen erhoben wurden,

ist bis heute nicht klar, wer die Angreifer waren. Wie bei den meisten DDoS-Angriffen, ist es äußerst schwer,

wenn nicht unmöglich, die Täter zu ermitteln.

Der Cyber-Angriff auf die Internet-Infrastruktur in Estland hat die Gestaltung der künftigen E-Strategie des

Landes entscheidend geprägt. Heute hat sich Estland zu einem wahren E-Staat entwickelt, der über massive

Waffen für den Kampf gegen Cyber-Kriminalität verfügt.

Die geheimen cyber-Waffen eineS e-StaateS

Die Republik Estland gehört zu den fortschrittlichsten Ländern der Welt, wenn es um digitale Konnektivität

für die private und geschäftliche Nutzung geht. Estland nennt sich selbst tatsächlich einen E-Staat, der IT in

nahezu allen Bereiche staatlicher Verwaltung nutzt. So können seine Bürger beispielsweise von zu Hause

aus wählen oder ihre Steuererklärung in wenigen Minuten online einreichen. Dieses Vertrauen auf eine

übergreifende IT-Struktur erfordert eine starke Sicherheitsagenda gegen Cyber-Kriminalität.

„Unsere Geheimwaffe sind Menschen“ versichert Anto Veldre, ein Analyst der estnischen Behörde für

Informationssysteme. Alle Experten für IT-Sicherheit treffen sich mehrmals im Jahr persönlich und bilden eine

Community, die potenzielle Angriffe überwacht. Wird ein Angriff erkannt, arbeiten die Experten – Vertreter

von Banken, der Industrie und staatlichen Stellen – gemeinsam daran, ihn abzuwehren. Sie bilden einen

„zweiten Kommunikationskanal“, wie Veldre es nennt. Damit stellen sie sicher, dass Informationen bei einem

Angriff weiter fließen, sodass Gegenmaßnahmen schnell ergriffen werden können.

Estlands Antwort auf solche Angriffe besteht darin, die individuellen, in der Community vorhandenen

Fähigkeiten zu koordinieren, um zu analysieren, woher der Angriff kommt und wer der Gegner ist. Dies sei

nötig, so Veldre, um Prognosen über die Fähigkeiten und Ziele des Angreifers machen zu können. Nur dann

kann entschieden werden, welche Abwehrmaßnahmen ergriffen werden sollten. So kann beispielsweise ein

kleiner Angriff mit geringem Ausweitungspotenzial vom Ziel selbst bewältigt werden. Wird hingegen das Netz

überschwemmt, müssen Netzbetreiber mit ins Boot.

Eine andere Möglichkeit, um Daten vor unbefugtem Zugriff zu schützen, ist Transparenz, sagt Taavi Kotka,

Estlands CIO im Ministerium für Wirtschaft und Kommunikation. Für ihn ist Transparenz „der Schlüssel zur

digitalen Gesellschaft“. Er meint, dass damit Sicherheit geschaffen wird, da stets ersichtlich ist, wer, wann und

wie auf Dateien zugreift. Estland hat strenge Regeln aufgestellt, wer unter welchen Bedingungen Zugriff auf

Daten hat. Ein illegaler Zugriff auf Informationen wird daher sofort erkannt.

Eine dezentrale Infrastruktur gehört in Estland ebenfalls zu den tragenden Säulen der Abwehrstrategie

gegen DDoS-Angriffe. Dazu hat das Land ein Kommunikationssystem zwischen Datenbanken mit dem

Namen X-road geschaffen. Ein entscheidender Punkt der Abwehrstrategie liegt darin, dass es keine




zentrale Datenbank gibt, aus der Daten gestohlen werden können. Jede Organisation – staatliche Stellen,

Polizeibehörden oder Krankenhäuser – verwaltet ihre originären Daten selbst. Bei einem Datenleck kann

die betroffene Partei den Betrieb fortsetzen, da nur eine Kopie entwendet werden kann. Tatsächlich ist

die Initiative X-road so erfolgreich, dass Estland vom benachbarten Finnland um Unterstützung beim

Aufbau eines ähnlichen Systems gebeten wurde. Neben den autonomen Arbeiten innerhalb der eigenen

Landesgrenzen arbeiten Finnland und Estland gemeinsam daran, die beiden Länder bis Herbst 2016 digital

miteinander zu vernetzen.




Wie funKtionieren DDoS-angriffe?

Um besser zu verstehen, warum DDoS ein wichtiges Thema für die Sicherheit im Unternehmen ist, ist es

erforderlich, die vielfältigen Formen dieser Angriffe zu kennen und zu wissen, wie diese Schäden verursachen.

Die wichtigsten Angriffsmethoden werden nachstehend im Überblick dargestellt.

volumetriSche angriffe

Eine häufige Form sind Brute-Force-Angriffe, die ein anvisiertes Netz mit brutaler Gewalt vollständig

mit Datenverkehr überschwemmen und damit die verfügbare Bandbreite komplett auslasten. Dies wird

als volumetrischer Angriff auf die Netzwerk- und Transportschichten des OSI-Modells (Open System

Interconnection) bezeichnet. In diesem Szenario überlasten Hacker die Ressourcen des Opfers innerhalb von

Minuten. Auf diese Weise beeinträchtigen sie den Service oder verhindern sogar, dass legitime Nutzer auf das

Ziel zugreifen können. Solche volumetrischen Angriffe auf die OSI-Schichten 3 und 4 sind zum Beispiel ICMP,

TCP SYN und UDP Floods.

7 Application Layer

6 Presentation Layer

5 Session Layer

4 Transport Layer

2 Data Link Layer

3 Network Layer

1 Physical Layer

Application Attacks

Session Attacks

Network Attacks

HTTP and DNS floods, Sowloris

DNS UDP and SSL floods

ICMP, TCP SYN and UDP floods

OSI MOdel AttAck typeS And exAMpleS




icmp flooD

ICMP (Internet Control Message Protocol) ist eine Software für Diagnose- und Fehlerberichte und damit

integraler Bestandteil jeder IP-Implementierung. Router und Netzsysteme nutzen dieses Programm, um

Meldungen in Form von IP-Paketen an andere Geräte zu senden. Dadurch werden Fehler und Probleme

kommuniziert, zum Beispiel dass die sendenden Systeme für die Lieferung nicht erreichbar sind. Ein ICMP-

Angriff erfolgt, wenn ein Angreifer den Host absichtlich mit IP-Paketen überflutet, die seine Kapazität

übersteigen. Das System versucht zu reagieren und überlastet damit die Kapazität. Es kommt zum

Systemausfall.

tcp Syn flooD

Bei einer TCP SYN Flood wird die Struktur des TCP (Transmission Control Protocol) ausgenutzt. Dieses

gängige Protokoll für E-Mails und webbasierte Dienste ist ein leicht zugängliches und damit auch leicht

angreifbares Ziel. Eine TCP-Verbindung basiert auf dem „Three-Way-Handshake“ des SYN-ACK (Synchronize-

Acknowledgement) Messaging System. Im Prinzip trifft eine Abfrage ein und bleibt im Empfangsstatus, bis die

Legitimität der Abfrage überprüft worden ist. Um die Verbindung offen zu halten, nutzen Angreifer Quell-IP-

Adressen, die nicht bestätigt werden können. Kann dann die Prüfung nicht erfolgreich abgeschlossen werden,

stauen sich die eingegangen Statusabfragen und überfluten schließlich das System.

uDp flooD

Das User Datagram Protocol (UDP) ist ein Computer-Netzwerkprotokoll, das zur Übertragung von

Mitteilungen in einem IP-Netz genutzt wird, ohne dass vorher ein Verbindungsaufbau oder eine

Empfangsbestätigung erfolgt. Der Vorteil liegt in seiner Geschwindigkeit, dies ist in Situationen sinnvoll, in

denen eine Fehlererkennung, aber keine Validierung erforderlich ist. Wie bei einer ICMP Flood, sendet ein

Angreifer viele UDP-Pakete. Das Opfer versucht, darauf zu antworten, kann es aber nicht – das System wird

verstopft. Sehr große UDP Floods lassen sich effektiv durch die so genannte DNS-Amplifikation generieren.

angriffe Durch DnS-amplifiKation (Domain name SyStem)

Angriffe über DNS sind relativ einfach, weil bei der Entwicklung von DNS nicht die Sicherheit, sondern die

Zuverlässigkeit im Vordergrund stand. Wann immer ein Nutzer einen Domain-Namen in den Browser eingibt,

tritt das Domain Name System in Aktion. Es wandelt die Domain in die dazugehörige IP-Adresse um – das sind

die langen Zahlenreihen mit Punkten dazwischen. Die DNS-Server suchen in ihrem Cache nach der Domain.

Wird diese nicht gefunden, geht die Anfrage immer zum nächsten Server weiter, bis die Adresse gefunden

wird.

Ein DNS-Angriff nutzt die Schwachstellen der DNS-Infrastruktur aus, die je nach der zu erledigen Aufgabe

sowohl UDP als auch TCP implementiert. Es gibt eine Reihe unterschiedlicher Angriffsmethoden. Bei einer

dieser Methoden wird die Zieladresse als Absender angegeben (Identitätswechsel), statt die Anfrage von der




eigenen IP-Adresse zu senden. Dadurch antwortet der DNS-Server an die gefälschte Adresse (das Angriffsziel).

Die DNS-Antwort kann jedoch bis zu 70-mal größer sein als die ursprüngliche Anfrage – sie verstärkt also

das Ausmaß des Angriffs. Mit einem Botnet können diese Anfragen das Ziel überschwemmen und komplett

lahmlegen. Dieses Verfahren ist für die sehr großflächigen Angriffe mit über 100 Gbit/s – in Einzelfällen sogar

500 Gbit/s – verantwortlich, die wir heute erleben.

angriffe auf Die anWenDungSSchicht

Ein DDoS-Angriff auf die Anwendungsschicht betrifft Schicht 7 des OSI-Modells, die Funktionen des

Endnutzers wie Web Browser und E-Mail-Dienste unterstützt. Im Vergleich zu Brute-Force- oder

volumetrischen Angriffen sind Attacken auf die Anwendungsschicht sehr viel ausgefeilter und effektiver, da sie

versuchen, unentbehrliche Ressourcen abzuschöpfen, statt das Ziel einfach zu “überschwemmen”. Bei dieser

Art von Angriff wird die Anwendung selbst lahmgelegt, nicht der Host wie bei Angriffen auf die OSI-Schichten

3 und 4.

Außerdem wirken Angriffe auf die Anwendungsschicht wie legitime Transaktionen und können so DDoS-

Abwehrmechanismen besser täuschen . Dadurch ist es auch schwieriger, den Angriff einzudämmen, ohne den

Zugang für legitime Nutzern zu blockieren. Angriffe auf die OSI-Schicht 7 weisen häufig niedrige Bitraten auf

und betreffen Anwendungen wie Hypertext Transfer Protocol (HTTP) oder Domain Name Systems (DNS).

http get unD http poSt flooDS

HTTP ermöglicht Kommunikation zwischen Clients und Servern, zum Beispiel zwischen einem Web Browser

und einem Server. Zwei gängige Methoden für diese Art von Anfrage-Antwort-Protokoll sind GET und POST.

GET fragt Daten wie etwa Bilder oder Skripte ab, die von einer bestimmten Ressource abgerufen werden

7 Application Layer

6 Presentation Layer

5 Session Layer

4 Transport Layer

2 Data Link Layer

3 Network Layer

1 Physical Layer

Session Attacks

Network Attacks

A pplication Attacks

HTTP and DNS floods, Slowloris

DNS UDP and SSL floods

ICMP, TCP SYN and UDP floods

OSI MOdel AttAck typeS And exAMpleS




sollen, während POST zu verarbeitende Daten an eine bestimmte Ressource sendet. Ziel des Angreifers ist es,

den Server mit so vielen Anfragen zu überfluten, dass seine Ressourcen durch die erzwungenen Antworten

auf jede Anfrage schlichtweg zum Erliegen gebracht werden.

DnS-angriffe (Domain name SyStem)Ein Spoofing-Angriff auf das DNS-Cache nutzt wie zuvor erwähnt die Schwachstellen der DNS-Infrastruktur

aus. Angreifer können DNS-Antworten manipulieren oder kontaminieren, um alle eingehenden Antworten zu

einem beliebig ausgewählten Server umzuleiten. Da die Nutzer glauben, auf einer legitimen Webseite zu sein,

erhalten die Angreifer so sensible Informationen wie Passwörter und Kreditkartendaten.

angriffStoolS

Laut dem Worldwide Infrastructure Security Report 2016 von Arbor Networks4 nehmen DDoS-Angriffe in

Zahl, Umfang, Komplexität und Schadenshöhe weiter zu. Sage und schreibe ein Drittel der Befragten hat

in den letzten zwölf Monaten DDoS-Angriffe erlebt. Arbor Networks berichtet auch, dass 51 Prozent der

Rechenzentrumsbetreiber von DDoS-Angriffen betroffen waren, die ihre Internet-Konnektivität komplett

lahmgelegt haben.

Aufgrund der ausgefeilteren Angriffsmethoden sind Angriffe heute gefährlicher und kostspieliger.

Multivektorangriffe – eine Kombination aus volumetrischen, TCP Flood und Angriffen auf die

Anwendungsschicht – sind ein Beispiel dieser verfeinerten Methoden. Häufig ist ein Erstschlag auf

die dritte und vierte OSI-Schicht nur ein taktisches Manöver, das von einem größeren Angriff auf die

Anwendungsschicht ablenken soll. Dabei kommen Werkzeuge wie Low Orbit Ion Cannon (LOIC) und

Slowloris zum Einsatz.

loW orbit ion cannon (loic)

LOIC wurde ursprünglich als Open-Source-Diagnoseanwendung für Netzbelastungstests entwickelt.

Nachdem LOIC frei zugänglich wurde, wurde die Anwendung jedoch von Kriminellen für die Durchführung

von DDoS-Angriffen modifiziert. Dabei werden große Datenmengen generiert, die ein Ziel mit TCP-, UDP-

oder HTTP-Paketen überfluten. Im „Hivemind“-Modus kann ein Angreifer eine Kopie von LOIC mit einem

IRC-Kanal (Internet Relay Chat) verbinden und so mit Tausenden von Kopien auf zahlreichen Geräten ein Ziel

angreifen.

LOIC ist häufig von der Hacker-Gruppe Anonymous eingesetzt worden. Da dabei die IP-Adresse des Nutzers

nicht standardmäßig verschleiert wird, konnten Personen ermittelt und verhaftet werden, die ihre Geräte

freiwillig für die Bot-Nutzung zur Verfügung stellten. In der Folge wurde dieses Verfahren seltener eingesetzt.

Gleichzeitig war dies möglicherweise der Anlass für Anonymous, High Orbit Ion Cannon zu entwickeln, eine

Nachfolgeanwendung, die für einen Angriff gleicher Stärke weniger Geräte benötigt.

4 Worldwide Infrastructure Security Report Band XI, Arbor Networks




SloWloriS

Gemeint sind hier nicht die Primaten mit den großen, weit geöffneten Augen, die in den Bäumen Südostasiens

leben, wenngleich der englische Name durchaus daher rührt. Slowloris ist ein DDoS-Tool, das versucht,

möglichst viele Verbindungen zum Zielserver offen zu halten, um damit den Zugang für legitime Nutzer zu

blockieren. Getreu seinem Namen versendet Slowloris Anfragen in sehr kleinen Portionen und so langsam wie

möglich. So ist der Server gezwungen, auf die Ankunft des nächsten Teils zu warten. Auf diese Weise benötigt

Slowloris weder große Datenmengen noch viel Bandbreite.

herKömmliche abWehrproDuKte WirKen nicht mehr

Die gängigsten Abwehrmechanismen gegen Cyber-Kriminalität waren bislang Firewalls, Intrusion Prevention

Systems (IPS) und Intrusion Detection Systems (IDS). Diese Verfahren allein schützen Systeme leider nicht

mehr vor heutigen DDoS-Angriffen, sondern sind oft selbst das Ziel von Angriffen.

fireWallS

Die Funktionsweise einer Firewall lässt sich in einfachen Worten so erklären, dass sie den Status der

sie passierenden Netzverbindungen überwacht, zum Beispiel Quell- und Ziel-IP-Adressen, und diese

Informationen in einer Speichertabelle ablegt, die als Zustandstabelle bezeichnet wird. Alle Datenpakete

im vorab geprüften Speicher wird durchgelassen, während erkannte Bedrohungen und Bedrohungsmuster

blockiert werden. Sendet ein Angreifer jedoch sehr viele solcher Sessions an eine Firewall, füllt sich die

Zustandstabelle. Ist die Tabelle voll, werden neue Sessions entweder verweigert oder sie stürzt unter der Last

ab. So oder so ist eine Firewall häufig das erste System zwischen dem Internet und allen mit dem Internet

verbundenen Diensten eines Unternehmens. Wenn sie ausfällt oder keine neuen Verbindungen mehr

akzeptiert, ist alles was dahinter liegt, vom Internet abgeschnitten.




iDS unD ipS

Wie die Namen schon sagen, erkennt ein IDS (Intrusion Detection System) böswillige Angriffsversuche auf

ein System oder Netz, während ein IPS (Intrusion Prevention System) derartige Versuche blockiert. Diese

Systeme werden in der Regel zusammen mit Firewalls implementiert. Sie führen und durchsuchen eine

Datenbank, in der Muster böswilliger Angriffe, von Administratoren definierte anormale Verhaltensweisen

bzw. vorkonfigurierte Sicherheitsvorgaben abgelegt sind. Allen erkannten Anomalien im Netz wird der Zugang

verweigert. Aufgrund ihrer Abhängigkeit von Rechenleistung und Speicherkapazität können die Ressourcen

dieser Systeme bei DDoS-Angriffen auf die Anwendungsschicht leicht erschöpft werden. Hinzu kommt, dass

diese Systeme ausschließlich bereits gespeicherte Bedrohungen erkennen. Neu konzipierte Angriffe (Zero

Day) werden problemlos durchgelassen.




abWehrStrategien gegen DDoS-angriffe

Die heutigen DDoS-Angriffe bestehen zunehmend aus einer Kombination aus volumetrischen und auf

die Anwendungsschicht gerichteten Vektoren. Das macht die Abwehr dieser Angriffe so schwer wie nie

zuvor. Hinzu kommt die Tatsache, dass Attacken in Größe und Komplexität zunehmen. Aus diesen Gründen

müssen wirksame Gegenmaßnahmen auf einem mehrstufigen Ansatz beruhen, der die eigene Infrastruktur

ebenso schützt wie die Cloud und das Backbone-Netz. Nur mit einem vollständig integrierten Service von

spezialisierten Anbietern ist es möglich, die heutigen Multivektor-DDoS-Angriffe abzuwehren.

Laut dem Worldwide Infrastructure Security Report 2016 von Arbor Networks waren über ein Drittel der

befragten Dienstanbieter, Unternehmen, Behörden und Bildungseinrichtungen in den letzten zwölf Monaten

von DDoS-Angriffen betroffen5. Angriffe mit über 100 Gbit/s machten dabei fast ein Viertel aller Angriffe aus

– ein deutlicher Anstieg in den letzten zwölf Monaten. Angriffe auf die Anwendungsschicht haben ebenfalls

zugenommen, von 86 Prozent im Jahr 2013 auf heute 93 Prozent. Am problematischsten war allerdings die

steigende Zahl von Multivektorangriffen, deren Anteil 2015 auf 56 Prozent anstieg.

5 52 Prozent Dienstanbieter, 38 Prozent Unternehmen, 6 Prozent Behörden, 4 Prozent Bildungseinrichtungen




löSungen Der DeutSchen teleKom

In enger Partnerschaft mit Sicherheitsexperten von Arbor Networks bietet die Deutsche Telekom eine

mehrschichtige Sicherheitsstrategie, die selbst bei den schwersten Angriffsszenarien wirksam ist. Der einzig

sinnvolle Weg bei massiven volumetrischen Angriffen ist ein Backbone-Schutz oder eine Cloud-Lösung.

Denn perimeterbasierte Schutzlösungen blockieren ausschließlich Angriffe, die die Kapazität der Internet-

Verbindung nicht überschreiten. Ein Aufrüsten, das den heutigen Volumen gerecht wird, wäre finanziell

unrealistisch. Abwehrsysteme vor Ort beim Kunden sind jedoch ebenfalls unerlässlich. Denn Angriffe auf

die Anwendungsschicht sollten jeweils kurz vor dem physischen Ort der Anwendung gestoppt werden.

Außerdem werden sie von Cloud-basierten Lösungen nicht erkannt. Auch die Industrie betrachtet diesen

mehrstufigen Ansatz zum Schutz vor DDoS-Angriffen heute als die beste Lösung für die Praxis. Viele Anbieter

und Branchenanalysten unterstützen diesen Ansatz.

Cloud ddos pRoTECTIoN

on Premises ddos pRoTECTIoN

BaCkBone ddos pRoTECTIoN

Local always-on protection

For attacks on networks and bandwidth Complex targeted attacks on systems

and applications

For global companies, organizations that have multiple internet providers

Sophisticated protection against smart (Layer 7) DDoS attacks

High-end protection against complex volumetric attacks

For companies that have Deutsche Telekom as an internet service provider

High-end protection against complex volumetric attacks

Over 2 Tbps of global and redundant mitigation capacity




bacKbone-Schutz Der DeutSchen teleKom

DDoS Defense ist eine IP-Backbone-Abwehrlösung, die die Deutsche Telekom ihren Geschäftskunden und IP-

Transit-Kunden anbietet. Sie schützt gegen volumetrische DDoS-Angriffe, die über die Deutsche Telekom zum

Netz des Kunden geleitet werden. Dank eines transparenten Reporting- und Managementsystems erkennt

DDoS Defense Angriffe im Voraus. So können sie gestoppt werden, bevor sie Schaden anrichten. Erkennt das

System einen Angriff, wird der Verkehr in den Sicherheitsbereich der Deutschen Telekom umgeleitet und mit

den Abwehrinstrumenten von Arbor Networks gefiltert. Dieser Backbone-Schutz sollte jedoch lediglich als ein

erster Schritt zur Eindämmung von Angriffen gesehen werden, da damit nicht in Echtzeit auf Angriffe auf die

Anwendungsschicht reagiert wird. Somit ist ein mehrstufiger Ansatz notwendig.




clouD-Schutz Der DeutSchen teleKom

Die Deutsche Telekom bietet zusätzlich eine auf Arbor Networks basierende Cloud-Lösung mit einer globalen

und redundanten Schutzkapazität von über zwei Terabit/s. Diese Lösung leitet Verkehr zu den vier globalen

Scrubbing-Zentren (Ausbau auf acht Scrubbing-Zentren für 2017 geplant) zur sofortigen Säuberung um. Der

„saubere“ Verkehr wird dann über einen GRE-Tunnel schnell zum Kunden zurückgesendet. Diese Lösung

ist anbieterunabhängig und kann daher autonom implementiert werden. Damit eignet sie sich ideal für

Unternehmen mit weltweiter Präsenz oder mehreren Upstream-Internetanbietern, die eine Lösung aus einem

Guss wollen.

Das ANYCAST-Modell der Scrubbing-Zentren sorgt dafür, dass der Verkehr im Fall eines Ausfalls dynamisch

an die anderen Zentren weitergeleitet wird. Um maximale Zuverlässigkeit zu gewährleisten, sind an jedem

Standort mehrere Abwehrsysteme mit 40 Gbit/s implementiert. Während die Zentren als Carrier-Class-

Einrichtungen zertifiziert sind, ist im Service Level Agreement der Cloud-Plattform eine Verfügbarkeit von

99,999 Prozent festgeschrieben – ein Wert, den andere Anbieter nur schwer erreichen könnten.

Internet

DDoS ProtectIon Arbor clouD

WebServer FArm




KunDenSeitige löSungen Der DeutSchen teleKom

Die Deutsche Telekom bietet eine Reihe von kundenseitigen Lösungen an, die alle Anforderungen inklusive

Virtualisierung erfüllen. Lokaler Schutz ist die einzig richtige Methode, um anspruchsvolle Angriffe auf die

Anwendungsschicht ebenso zu blockieren wie State-Exhaustion-Angriffe. Diese Lösungen sind immer aktiv

und gewährleisten so automatischen Schutz in Echtzeit. Sie erkennen und blockieren gezielte Angriffe mithilfe

lokaler Intelligenz und einem zentralen DDoS-spezifischen Daten-Feed, der stündlich aktualisiert wird.

Allerdings sind kundenseitige Lösungen nur in Verbindung mit Cloud-Mechanismen wirklich effektiv, die mit

den großen volumetrischen Angriffskomponenten umgehen können.

Die Deutsche Telekom bietet unter anderem das kundenseitige Availability Protection System (APS) an. Dabei

handelt es sich um eine Always-On-Vorrichtung oder virtuelle Plattform für die Erkennung und Abwehr

von Angriffen auf die Anwendungsschicht und von volumetrischen Angriffen mit niedriger Bandbreite

bis zur Anschlussbandbreite des Kunden 500 Mbit/s bis 10 Gbit/s pro Link. Die Lösung verfügt über eine

zustandslose Analysefilterfunktion, die im Unterschied zu Firewalls und IPS keine hohe Rechnerkapazität

für zustandsbezogene Prüfungen benötigt. Daher erkennt APS Angriffe mit kleineren Volumen problemlos.

Zudem kann das System Bedrohungen und Bedrohungsmuster effektiv analysieren und erleichtert damit die

Abwehr künftiger Angriffe.

Zur Abwehr komplexer und sehr unterschiedlicher DDoS-Angriffe ist unbedingt eine Schutzlösung

erforderlich, die auf die besonderen Bedürfnisse Ihres Unternehmens zugeschnitten ist. Es reicht nicht,

einfach nur Datenpakete abzufangen, die als gefährlich wahrgenommen werden. Eine erfolgreiche Lösung

muss zwischen guten und böswilligen Verkehrsmustern unterscheiden können. Sie darf nur letztere

blockieren und den legitimen Verkehr nicht beeinträchtigen. Deshalb ist es wichtig, mit einem Anbieter wie

der Deutschen Telekom zusammenzuarbeiten, dessen intelligente Lösungen den Ursprung eines Angriffs

erkennen und einschätzen können, wie er sich entwickeln könnte.

vorteile Der DDoS-abWehrlöSungen Der DeutSchen teleKom

Mit den Lösungen der Deutschen Telekom profitieren die Kunden von der Expertise und

Forschungskompetenz des Unternehmens, zum Beispiel von unserem Projekt „DTAG Community

Honeypot“. Mit Unterstützung von Partnern hat die Deutsche Telekom Sensoren auf der ganzen Welt

installiert, um Daten zu erfassen und einen Überblick über aktuelle Cyber-Angriffe zu geben. Diese Daten

werden der Öffentlichkeit auf der Webseite www.sicherheitstacho.de zur Verfügung gestellt. Dabei werden

beobachtete Bedrohungen in Echtzeit auf einer Weltkarte bzw. auf Charts visualisiert. Daraus ergibt sich eine

transparente, globale Darstellung von DDoS-Angriffen, anhand derer laufende Attacken gestoppt und künftige

Entwicklungen eingeschätzt werden können.

Mit den modernen Überwachungssystemen der Deutschen Telekom kann erkannt werden, ob Geräte eines

Kunden infiziert worden sind. Das Unternehmen benachrichtigt in diesem Fall umgehend den Kunden per

Mail oder per Post und leitet ihn auf die Webseite www.botfrei.de. Dabei handelt es sich um ein Anti-Botnet-



Beratungszentrum, das Deutsche Telekom als teilnehmender Partner unterstützt. Botfrei bietet Anweisungen

zur Bekämpfung von Sicherheitsproblemen und eine Hotline für schwer zu lösende Fälle. Wie groß das

Problems ist, zeigt sich daran, dass Deutsche Telekom Monat für Monat bis zu 40 000 Infektionsmeldungen

an Kunden versendet.

Die Kunden profitieren außerdem von den laufenden Aktivitäten von Arbor Networks zum Schutz des

Internets vor Angriffen. Das Unternehmen betreibt ein System mit dem Namen ATLAS, das ähnlich wie das

System der Deutschen Telekom weltweite Bedrohungen analysiert. ATLAS ist ein internationales Netzwerk,

das aus Spezialisten von Arbor Networks und Kunden besteht und Daten über erkannte Verkehrsströme und

Angriffe sammelt und weitergibt. Das Ergebnis ist eine zeitnahe, detaillierte Analyse zur globalen Entwicklung

von DDoS-Angriffen.

Arbor Networks verfügt darüber hinaus über ein spezielles Forschungsorganisation für Sicherheitsfragen

namens ASERT (Arbor Security Engineering and Response Team), das eine umfangreiche Schadware-Plattform

entwickelt hat. Sie gilt als weltweite Instanz für DDoS-basierte Schadware-Tools und arbeitet daran, solche

Tools zu finden und unschädlich zu machen. Die patentierte DDoS-Abwehrtechnologie in Verbindung mit

dem Know-how und der Unterstützung der Deutschen Telekom bietet Kunden ein Komplettpaket, das

Bedrohungen wirksam erkennt und klare, konsequente und leistungsstarke Lösungen liefert.

zahlreiche abWehrlöSungen Der DeutSchen teleKom

Zur Abwehr hochvolumiger Angriffe bietet Deutsche Telekom zwei Lösungen. Bestandskunden, die

ausschließlich die Deutsche Telekom als Provider nutzen, können von der Backbone-Schutzlösung des

Unternehmens profitieren. Es gibt aber auch Unternehmen, die mehr als einen Provider haben und eine

Lösung aus einer Hand brauchen. In diesem Fall ist der Cloud-Schutz die ideale Lösung für Bestands- und

Neukunden gleichermaßen.

Zur Abwehr von Anwendungsangriffen sind nach Ansicht vieler Experten weltweit kundenseitige Lösungen,

die einen zustandslosen Schutz in Echtzeit bieten, am sinnvollsten. Da die Angriffe heute zunehmend auf

Volumen und Anwendungsschichten setzen, sind kundenseitige Systeme in Verbindung mit einem Backbone-

oder Cloud-Schutz am wirkungsvollsten.

DDoS-Angriffe nehmen weiter zu und ein Ende ist nicht absehbar. Deshalb bietet eine individuelle Strategie

den bestmöglichen Schutz, egal welche Lösungen konkret gewählt werden, . Jedes Unternehmen

hat besondere Anforderungen und Schwachstellen, die bei der Planung eines Abwehrmechanismus

berücksichtigt werden müssen. Kein Unternehmen kann es sich leisten, zu warten, bis es mit einem

Erpresserangriff, dem Diebstahl sensibler Daten oder einer kompletten Blockierung von Diensten konfrontiert

ist.

irgenDWelche fragen?

Weitere Informationen finden Sie unter www.telekom-icss.com/ddosdefense

veröffentlicht von

Deutsche Telekom AGInternational Carrier Sales & Solutions (ICSS)Friedrich-Ebert-Allee 71–77 D-53113 Bonn, Germany

sicherheit im cyberspace ddos-angriffe – einblicke und ... · form von externer...

Documents