HSP Summit 2017 – IoT-Devices lösen alte Botnetze ab

So kontern Hoster effektiv DDoS (Distributed Denial of Service)-Angriffe

Weltweit gibt es acht Milliarden IoT(Internet of Things)-Geräte – und die werden zunehmend für DDoS-Attacken auf Hoster und Unternehmen missbraucht. Im Interview verrät Link11-Geschäftsführer, wie sich Organisationen wirkungsvoll schützen.

Auf dem Hosting & Service Provider Summit 2017 wird Jens-Philipp Jung Mitte Mai ein umfassendes Risikolagebild zu DDoS-Attacken auf Rechenzentren vorstellen. Schon jetzt skizziert der Sicherheitsexperte, wie Angreifer ihre Strategien in jüngster Vergangenheit grundlegend umgestellt haben – und wie sich Unternehmen dagegen rüsten sollten.

Unter dem Namen „Mirai“ sorgte eine DDoS-Malware 2016 für erhebliche Probleme bei Internetgrößen wie Dyn, Twitter oder Amazon – und auch für einiges Aufsehen in den Medien. Handelt es sich hier um eine einmalige Bedrohungslage oder den Beginn einer neuen Ära?

Jens-Philipp Jung: Seit Jahren steigt die Vernetzung in der Industrie, im Büro sowie im Haushalt und die Zahl der IoT-Geräte wächst. Das Link11 Security Operation Center (LSOC) hat seit Anfang 2016 einen Strategiewechsel bei den DDoS-Angreifern, weg von Botnetzen aus infizierten Firmenservern und privaten PCs hin zu solchen mit IoT-Devices, festgestellt. Fehlende Sicherheitseinstellungen bei den Geräten und Probleme beim Patchen begünstigen den Missbrauch. Je mehr Hacker das Angriffspotenzial von IoT-Geräten erkennen, desto mehr IoT-Botnetze müssen wir erwarten. Mirai könnte daher durchaus den Anfang einer immer größer werdenden IoT-Botnetz-Gefahr für Unternehmen markieren.

Inwieweit lohnt sich für Angreifer überhaupt der Aufwand, um einen erfolgversprechenden DDoS-Angriff zu starten?

Jung: Ungeschützte Unternehmen sind schon mit sehr geringem Aufwand angreifbar. Im Gegensatz zu Konzernen gehen viele kleine und mittlere Unternehmen mit Leitungen von nur 100 Mbit/s ins Internet. DDoS-Angreifer haben daher auch mit geringen Bandbreiten von einem bis fünf Gbit/s sehr gute Chancen auf Erfolg. Die entsprechenden DDoS-Tools können sie sich anonym im Darknet downloaden oder die Attacken bei IP-Stressern über das Internet in Auftrag geben.

Mit einem Tbit/s Spitzenbandbreite fand im September die mutmaßlich größte DDoS-Attacke überhaupt statt – auf Minecraft-Server in einem Rechenzentrum des Hosters OVH. Wie adäquat hat der Anbieter Ihrer Meinung nach reagiert?

Jung: OVH zählt zu den großen Hosting-Anbietern auf internationaler Ebene. Mit zahlreichen weltweit verteilten Rechenzentren und einer Netzwerkkapazität von über sieben Tbit/s haben sie den DDoS-Angriff Ende September 2016 erfolgreich ins Leere laufen lassen. Für die Filterung von Angriffen auf Anwendungs- und Netzwerkebene kombiniert OVH verschiedene Technologien. Diesen Hybridschutz setzt Link11 ebenfalls bei vielen Kunden um, die sich rundum absichern wollen. Außerdem arbeitet OVH permanent daran, die Lasten noch besser zu verteilen und Überlastungen von Services zu verhindern. Die DDoS-Schutzkollegen bei OVH haben bei dieser Rekord-Attacke wirklich gute Arbeit geleistet.

Welche Handlungsempfehlungen leiten Sie daraus für Hoster allgemein ab?

Jung: Wenn sich Hosting-Betreiber im Bereich DDoS-Abwehr gut aufstellen wollen, sind zwei Faktoren wichtig: die Intelligenz und die Kapazität der Filter. Bei der Kapazität gilt, dass für einen erfolgreichen Schutz vor Volumenattacken die eigene Anbindung größer sein muss, als die der Angreifer. Mit Bezug auf die Attacke gegen OVH hieße das, dass ein Hoster permanent freie Netzwerkkapazitäten von mehr als ein Tbit/s vorhalten müsste. Andernfalls wären die DDoS-Filter schnell überlastet. Wenn wirtschaftliche Gründe dagegen sprechen, so eine Infrastruktur selbst zu managen, sollte man als Hoster auf eine geeignete DDoS-Schutzlösung von einem Experten vertrauen.

Angreifer konzentrieren sich zunehmend auf Schwachstellen in IoT-Devices. Heißt das im Gegenzug, dass Sicherheitslücken gehosteter CMS seltener als bisher für Botnetze ausgenutzt werden?

Jung: IoT-Attacken verfügen über ein so großes Angriffspotenzial, wie wir es von bisherigen Angriffstechniken wie Reflection-Amplification oder dem Ausnutzen von Schwachstellen in CMS (Compliance Management System) noch nicht kennen. Wenn es Hackern gelingt, noch mehr von den weltweit aktuell verfügbaren acht Milliarden IoT-Geräten unter ihre Kontrolle zu bringen, müssen Firmen im Vorfeld abgesichert sein. Sonst gehen sie ein sehr großes Risiko ein. Denn wenn bereits große Internetdienstleister wie Dyn unzureichend vor IoT-Attacken geschützt sind, stellt sich doch die alarmierende Frage, wie es erst um die Abwehr bei mittelständischen Unternehmen in Deutschland bestellt ist.

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.