Cyberangriffe vor den Front-Routern abwehren

Distributed-Denial-of-Service-Attacken, kurz DDoS-Attacken, sind gefürchtet. Die Überlastungsangriffe legen Websites, Onlinedienste und Server lahm, indem sie ein Internetangebot so lange aufrufen, bis es zusammenbricht. DDoS-Attacken kommen von tausenden Systemen irgendwo im Internet. Sie sind deshalb nur schwer vom normalen Datenverkehr im Internet zu unterscheiden. Woher DDoS-Attacken kommen und wie sie orchestriert werden, ist selten eruierbar. Die Angreifer verteilen sich über die ganze Welt und werden gezielt für die Angriffe ausgewählt. Würde ein Angriff auf ein Schweizer Finanzinstitut beispielsweise nur aus Kenia stattfinden, wäre das a) offensichtlich und b) mit einem einfachen Geoblocking mitigierbar.

Gefährlich sind DDoS-Attacken, weil es schwierig ist, sie überhaupt als solche zu erkennen. Die Medien berichteten in den letzten Jahren vor allem über die grossen und lange anhaltenden Angriffe. Neuere Attacken zielen aber häufig auf E-Mail- oder DNS-Server und nicht mehr unbedingt auf eine eigentliche Website. Bei betroffenen Unternehmen werden dann etwa Bestellungen nicht mehr automatisch via E-Mail bestätigt oder E-Banking-Log-in-Seiten sind im Browser nicht mehr auffindbar. Es folgen "Phishing E-Mails", in denen sich das Unternehmen für den Teilausfall entschuldigt und die Kunden bittet, ihre Angaben nochmals einzugeben – dann allerdings auf einer Seite des Angreifers.

Sicherheitsarchitektur

Die Angriffsszenarien sind vielseitig und erfordern deshalb ausgeklügelte Sicherheitsarchitekturen. Kritische Anwendungen aus dem eigenen Rechenzentrum auszulagern, bietet besseren Schutz, da Serviceprovider oder Public Clouds über entsprechende Dienste verfügen. Mit dem Auslagern sind aber Schwierigkeiten verbunden, etwa was den Standort der Datenhaltung anbelangt oder den Weg, der eine Anfrage zwischen Kunde und Anbieter zurücklegt. Schützt man sich über einen vorgelagerten Proxy, etwa einer Web Application Firewall eines Content Distribution Networks, gibt man einen Teil des Steuers aus der Hand. So steht mindestens der DNS, meist aber auch die TLS/SSL-Terminierung ausserhalb des bekannten Perimeters und ist nicht selten über die ganze Welt verteilt.

Ein anderer Architekturansatz implementiert den kritischen Internetverkehr über ein zentrales Element mit einem Partner vor Ort, der diesen Dienst in und aus der Schweiz bewerkstelligt.

Der Schutz vor den Front-Routern

Doch auch ein zentraler Schutz hat Grenzen: Sind die Ressourcen an Bandbreite ausgeschöpft, kann auch dieser ungenügend sein. Ein solch zentraler Schutz kennt typischerweise mehrere Zustände: a) kein Angriff, b) ein Angriff, der mit lokalen Ressourcen mitigiert wird, c) ein Angriff, der mit lokalen Ressourcen nicht mitigiert werden kann.

A) Kein Angriff

Genau genommen wird man permanent angegriffen. Es stellt sich eher die Frage, ob man den Angriff feststellt und ob dieser Schaden anrichtet oder zu viele Ressourcen bindet. Denn Cyberschutz besteht nicht nur aus Abwehr von Attacken, sondern auch aus dem minutiösen Aufzeichnen des Verhaltens aller Verbindungen. Die Auswertungen bestimmen die Trigger, die gesetzt werden, wie zum Beispiel das Sperren einer Quelle. Serviceprovider bieten ihren Kunden idealerweise Zugang zu diesem Monitoring. So arbeiten sie nicht nur transparent, sondern sensibilisieren ihre Kunden auch für mögliche Gefahren.

B) Angriffe, die mit lokalen Ressourcen ­mitigiert werden

Serviceprovider verfügen immer über mehrere Internetleitungen. Jede einzelne Leitung schützen sie separat, idealerweise noch vor den sogenannten Front-Routern. Dabei wird der Verkehr nach verschiedenen Kriterien analysiert und im Bedarfsfall abgewehrt. Der Vorteil: Der Internetverkehr zwischen Kunden und Unternehmen nimmt immer den gleichen Weg und wird nicht umgeleitet über externe Systeme, die unter Umständen im Ausland verteilt sind. Der Nachteil: Ein solcher Schutz ist abhängig von den Ressourcen des Serviceproviders bei seinen Internetlieferanten.

C) Angriffe, die mit lokalen Ressourcen nicht mitigiert ­werden können

Jede Internetanbindung ist limitiert. Sind bei einem Angriff alle Internetlinks ausgelastet, muss die Mitigation des Angriffs im Internet selbst stattfinden. Das betroffene IP-Netzwerk (mindestens 255 IP-Adressen) wird dann nicht mehr vom Serviceprovider im Internet angepriesen, sondern von einem CDN (Content Delivery Network), etwa Akamai. CDN-Provider verfügen im Verhältnis zum Serviceprovider über beinahe unendliche, global verteilte Ressourcen, weshalb ein Angriff für einen CDN-Provider einfacher zu bewältigen ist. Im CDN werden offensichtliche Angriffspakete, wie Angriffe auf Ports oder Protokolle zurückgehalten. Zwischen CDN und Serviceprovider besteht eine gesicherte und isolierte direkte Verbindung. Über diese Leitung gelangen dann die "guten" Anfragen zum Serviceprovider. Dieser "White Traffic" wird beim Serviceprovider erneut geprüft und danach von der Anwendung beantwortet. Bei diesem Verfahren wird der Internetverkehr in keinem Fall im Ausland oder im CDN aufgebrochen oder terminiert. So bleiben auch DNS und Zertifikate voll und ganz in der Hand des lokalen Serviceproviders.

Cyberattacken finden dauernd statt

Keine Organisation und keine Website ist vor Angriffen gefeit. Um sich vor massiven Attacken zuverlässig zu schützen, sind mehrstufige Konzepte notwendig. Für maximale Handlungs- und Analysemöglichkeiten empfiehlt sich ein zentraler, lokaler Schutz, der DDoS-Attacken mitigiert und den "guten" Verkehr an die zu schützende Anwendung weiterleitet. Idealerweise werden der lokale Schutz und die Anwendung beim selben Serviceprovider betrieben. Alternativ verfügt der Serviceprovider über entsprechend gesicherte Verbindungen zur Anwendung, wodurch die Anwendung auch in einer Public Cloud betrieben werden kann.