Aufrufe
vor 2 Jahren

Netzwoche 08/2016

  • Text
  • Unternehmen
  • Schweizer
  • Netzmedien
  • Schweiz
  • Software
  • Kmus
  • Swiss
  • Webcode
  • Agentur
  • Unic

10 Business

10 Business Titelgeschichte Die Distributed-Denial-of-Service(DDos)- Angriffe auf Schweizer Onlineshops scheinen die Branche wachgerüttelt zu haben. Einen Schutzschild finden sie bei Providern und Hostern. Doch DDoS ist nicht einfach DDoS, und ein Schild allein reicht nicht. Es braucht ein umfassendes Konzept, um sich gegen solche Angriffe zu schützen. Autor: George Sarpong Erste Hilfe beim DDoS-Schutz 23 100. So viele Treffer liefert Youtube bei der Anfrage nach DDoS-Tutorials. Sogar auf Deutsch. In HD-Qualität. So einfach wie das Erlernen der Angriffe, ist der Schutz leider nicht, wie die DDoS-Attacken auf Schweizer Onlineangebote vor einigen Wochen gezeigt haben. Es traf das Who’s who des Schweizer Onlinehandels: Digitec, Galaxus, Leshop – selbst das Onlineangebot der SBB war betroffen. Eine DoS-Attacke sei vom Prinzip her besonders hinterhältig, da man sich sehr schlecht dagegen verteidigen könne, erklärt Sicherheitsexperte Umberto Annino, Vizepräsident bei der Information Security Society Switzerland (ISSS). Das bestätigt auch Max Klaus, stellvertretender Leiter der staatlichen Melde- und Analysestelle Informationssicherung (Melani): «Grundsätzlich kann jedes System erfolgreich angegriffen werden, das ist lediglich eine Frage der zur Verfügung stehenden Power.» Sicherheit ist nicht gerade das Lieblingsthema von Unternehmen. IT-Security kostet und bringt zunächst keinen Mehrwert. Haben die betroffenen Onlinehändler schlicht zu wenig für ihre IT-Sicherheit getan? Die SBB baten um Verständnis dafür, dass man sich zu Fragen der Sicherheit nicht äussern wolle. Ähnlich antwortete Coop. Zum Grossverteiler zählen auch die Töchter Interdiscount und Microspot.ch, die ebenfalls von den Angriffen betroffen waren. Offener gab sich die Migros, deren Töchter Leshop, Digitec und Galaxus betroffen waren. Auf die Frage, ob die Migros-Unternehmen überhaupt einen DDoS-Schutz besäs sen, teilte die Genossenschaft mit, dass alle Migros- Unternehmen das Thema Sicherheit sehr ernst nähmen und viel Geld und Ressourcen investierten, um entsprechende Attacken möglichst effizient abwehren zu können. Im Zentrum stünden die Sicherheit der Kundendaten und der Schutz eigener Daten. Provider bieten erste Hilfe Klaus rät, in jedem Fall präventive Massnahmen zu ergreifen. «Ist ein DDoS-Angriff erst einmal im Gange, ist es oft schwierig, diesen abzuwehren. Einige Schweizer Provider bieten Abwehrmechanismen für DDoS-Angriffe an.» Der Spezialist von Melani empfiehlt überdies das Merkblatt «Massnahmen gegen DDoS-Attacken» seiner Behörde. Auf 08 / 2016 www.netzwoche.ch © netzmedien ag

Business Titelgeschichte 11 Bild: iStock Schützenhilfe der Provider setzt auch die Migros, wenn auch erst nach dem Angriff. «Nach den ersten Attacken haben wir den Provider der Migros-Sites, Swisscom, beauftragt, zum Schutz der Webseiten eine ‹Grenzkontroll- Station› einzurichten», teilte das Unternehmen mit. Nun würden alle Webseitenaufrufe durch einen Filter geführt. Solche Filterangebote bieten auch andere Provider und Hoster an, wie etwa UPC Cablecom. Das Unternehmen scheint sich vor Anfragen derzeit nicht mehr retten zu können. Obwohl früher die Kunden des Providers aus Kostengründen lieber auf einen Schutz verzichtet hätten, erklärt Walter Bichsel, VP Business Development & Produkt Management bei UPC Cablecom, und fügt an: «Die Attacke im März hat viele Kunden überrascht; seither sind sie sensibilisiert und wir werden von besorgten Kunden angegangen.» Schutz ist nicht gleich Schutz Grundsätzlich muss zwischen drei Arten von DDoS-Angriffen unterschieden werden. Es gibt die sogenannten Brute-Force-Angriffe, wie sie Schweizer Webshops jüngst erlebt haben. Dabei werden die Server mit Anfragen überflutet. Sie knicken unter der Last ein und zeigen die gewünschte Website nicht mehr an. Ausserdem exisitieren ausgeklügelte, sogenannte Sophisticated-Attacken. Diese zielen darauf ab, Serverkapazität zu überlasten, etwa CPU oder RAM, wie Annino erklärt. Des Weiteren gibt es die Application-Level-Angriffe. Diese seien deshalb gefährlich, weil sie sich mit einer verhältnismässig kleinen Anzahl an Angriffspaketen realisieren liessen, sagt Annino. Bichsel macht klar: «Sich vor Sophisticated-Angriffen zu schützen, ist schwierig, da man die Datenpakete mittels Deep Packet Inspection untersuchen müsste. Bei verschlüsselten Päckchen wie sie etwa Banken austauschen, ist das schwierig und teilweise nicht erwünscht.» UPC Cablecom, wie auch andere Provider, fokussierten sich daher in erster Linie auf den Brute-Force-Schutz. Hierfür erfassen Provider ein Basisprofil des Onlineverkehrs des Webshops. Weichen die Werte stark davon ab, könnte dies auf einen Angriff hindeuten. Bichsel nennt ein Beispiel: Liege die sogenannte Cleanbandbreite bei 500 Mbit/s und schnelle die Bandbreite auf 1 Gbit/s hoch, so stimme vermutlich etwas nicht. Doch dies müsse überprüft werden. Schliesslich könne sich das Bandbreitenprofil eines Onlineshops von gestern auf heute ändern, sagt Bichsel. Wird etwa eine plötzliche Steigerung des Traffics erfasst, müsse zunächst die Frage geklärt werden, ob es sich um eine Promoaktion für den Onlineshop eines Kunden oder um einen DDoS-Angriff handle. Gutartiger und bösartiger Traffic Bei Swisscom können kleinere DDoS-Attacken meist von lokalen, im Rechenzentrum befindlichen Komponenten wie Traffic Shapern und Intrusion-Prevention-Systemen abgefangen werden, wie Florian Leibenzeder sagt. Er ist Senior Security Analyst im Swisscom Computer Security Incident Response Team (CSIRT). Grössere Angriffe, welche die Bandbreite des Internet-Uplinks fluten oder mit einer hohen Anzahl gleichzeitiger Verbindungen die State Tables von Firewalls und Webservern füllen, können laut Leibenzeder nur vorgelagert im Netz des « Wenn ich einen Onlineshop betreibe, muss ich mich gegen Bruteforce-Angriffe schützen. » Walter Bichsel, Vice President Business Development & Produkt Management bei UPC Cablecom Upstream-Providers erfolgreich bekämpft werden. Das «Cleaning Device» verwirft dann laut Leibenzeder die DDoS-Datenpakete und routet den gutartigen Verkehr über einen «Tunnel» direkt bis zum letzten Swisscom- Router vor dem Zielsystem, bei dem nun nur noch «gesäuberter» Datenverkehr ankommt. Wird ein DDoS- Angriff von den Security-Monitoring-Komponenten erkannt, kann der Angriffsdatenverkehr im Backbone von Swisscom IP-Plus mittels Routing-Anpassungen durch ein sogenanntes «Cleaning Device» geleitet werden. Diese Umleitung geschieht teilweise automatisch mittels getesteter Auto-Mitigation-Regeln, oft jedoch manuell, da wie bei UPC Cablecom eine gezielte Anpassung der Mitigation an den Angriff notwendig ist, wie Leibenzeder erklärt. Dies alles erfordere eine umfangreiche Infrastruktur und hochspezialisiertes Personal. Technisch wird nach dem ISO-OSI-Netzwerk-Modell der Traffic auf den Schichten 3, dem Transport-Layer, gefiltert, indem etwa IP-Adressen geprüft werden. Auf Layer 4 findet ein Filtering auf Basis von TCP und UDP Ports statt. Auf dem Layer 7, dem Application-Layer, wird nach protokollspezifischen Parametern gefiltert. Auch Sunrise bietet mit «Business DDoS-Protection» einen Service für Unternehmen im Web an. Die DDoS- Protection-Lösung von Sunrise überwacht den Verkehr bis Layer 4. Datenpakete könnten bis zum letzten Bit analysiert und entsprechend weitergeleitet oder entsorgt werden. Zu den Funktionen zählen etwa die Umleitung und die Reinigung (Mitigation) des Traffics. Hoster helfen Händlern Auch Hoster bieten ihren Kunden einen DDoS-Schutz an, wie etwa Green.ch, der aktuell rund 150 Kunden betreut. Das Unternehmen bietet für Onlineshops etwa Domain- Namen, Hosting und ein E-Commerce-Tool an. Im Bereich der Sicherheit schützt das Unternehmen «alle Elemente gegen Missbräuche und Attacken», wie der Serviceanbieter auf Anfrage mitteilte. «Da wir für den Dienst sogar unser eigenes Rechenzentrum nutzen, sind auch alle technischen Elemente in unserem direkten Einflussbereich», sagt Un- www.netzwoche.ch © netzmedien ag 08 / 2016

Archiv