Das raten Experten

DDoS-Horror - Was Onlineshops jetzt tun können

Uhr | Aktualisiert
von George Sarpong

Nach der DDoS-Attacke auf verschiedene Schweizer Onlinehändler bleibt die Frage: Wie kann man sich schützen? Das raten Experten.

Verschiedene Schweizer Onlineshops sind in den vergangenen Tagen Opfer grossangelegter Distributed-Denial-of-Service-Attacken (DDoS) geworden. Dabei werden die Server mit Anfragen überflutet. Sie knicken unter der Last ein und zeigen die gewünschte Website nicht mehr an.

Für Onlineanbieter ein kostspieliges Ärgernis, insbesondere an Wochenenden. "In vielen Onlineshops erreichen die Wochenenden Rekordbestellwerte. Schlechtes Wetter ist oft noch ein Turbofaktor", teilte Patrick Kessler vom Verband der Schweizer Versandhändler (VSV) auf Anfrage mit. Dem Verband haben sich 200 Schweizer Onlinehändler angeschlossen.

Perfide Attacken

DDoS-Angriffe finden oft dann statt, wenn die Besucherzahlen in den Onlineshops besonders hoch sind und durch die Nichtverfügbarkeit der Websites ein möglichst grosser Schaden in Form eines entgangenen Umsatzes, aber auch durch den Imageverlust angerichtet werden kann.

Ebenfalls sind an Wochenenden und Feiertagen oft weniger IT-Spezialisten im Einsatz, was die Bekämpfung dieser Attacken erschwere und somit die Wirksamkeit zusätzlich erhöhe, erklärt Peter Nissen, Channel Manager Switzerland, beim Spezialisten für Webtechnologie Akamai.

Am Wochenende und Anfang dieser Woche waren Medienberichten zufolge die Websites der Migros-Töchter Leshop, Digitec und Galaxus wegen DDoS-Angriffen nicht mehr erreichbar. Auch die Coop-Töchter Interdiscount und Microspot wurden Opfer der Attacken. Selbst das Onlineangebot der SBB war längere Zeit nicht erreichbar, wie etwa Watson berichtete.

"Gegen eine DoS-Attacke kann man sich sehr schlecht verteidigen"

Sicherheit ist nicht gerade das Lieblingsthema von Unternehmen. IT-Security kostet und bringt zunächst keinen Mehrwert. Haben die betroffenen Onlinehändler schlicht zu wenig für ihre IT-Sicherheit getan?

Dem widerspricht Sicherheitsexperte Umberto Annino, Vizepräsident bei der Information Security Society Switzerland (ISSS). Eine DoS-Attacke sei vom Prinzip her besonders hinterhältig, da man sich sehr schlecht dagegen verteidigen könne.

Das sagt auch Max Klaus, stellvertretender Leiter von der staatlichen Melde- und Analysestelle Informationssicherung (Melani): "Grundsätzlich kann jedes System erfolgreich angegriffen werden, das ist lediglich eine Frage der zur Verfügung stehenden Power."

Wer genug Geld investiere, könne die für solche Angriffe notwendige Infrastruktur mieten, sagt Klaus. Noch konkreter wird Alex Bachmann, Produktmanager beim Netzwerkspezialisten Studerus, der auch IT-Security-Lösungen entwickelt und vertreibt.

Laut Bachmann werden DDoS-Attacken auf dem Schwarzmarkt als Service gehandelt. Angreifer könnten etwa einen Zielserver für 1 Stunde oder auch für 24 Stunden in die Knie zwingen.

Millionenteurer Scherbenhaufen

Der Angriff ist vorüber. Doch der Schaden bleibt. Er könnte millionenschwer sein, wie Kessler vom VSV schätzt. Sicherheit ist aufwendig. Ein Thema, das Unternehmen täglich beschäftigen kann und sich konstant verändert.

Bei den technischen Massnahmen immer am Ball zu bleiben sei eine extreme Herausforderung und im KMU-Bereich fast nur über Outsourcing-Dienste zu lösen, sagt Kessler. Die meisten kleineren Shopanbieter seien inhaltlich, aber auch finanziell mit dem Thema Sicherheit überfordert und hofften darauf, dass ihnen nichts Vergleichbares geschehen werde, sagt Kessler weiter.

Händler sollten ihre Webdienstleister hinterfragen

Annino vom ISSS sieht noch ein weiteres Problem. Die Computersysteme, auf denen viele Onlineshops laufen, würden oft nicht vom Händler selbst, sondern von anderen Dienstleistungserbringern betrieben werden.

Da setze sich oft der günstigere Anbieter durch. Ob dieser dann die richtigen Sicherheitsmassnahmen treffe – wenn überhaupt –, sei leider oft eine Frage des Vertrauens. Eine Frage, die im Vorfeld häufig zu wenig abgeklärt werde.

Hoffen, dass nichts passiert und auf günstige Webdienstleister setzen - beides sind fatale Lösungen, vor denen nur gewarnt werden kann. Denn DDoS-Angriffe dürften sich gemäss Analysen von Akamai häufen, und der Onlinehandel sei davon besonders betroffen, sagt Akamais Nissen.

Er empfiehlt Unternehmen daher den Einsatz mehrschichtiger und abgestufter interner und cloudbasierter Lösungen, mit denen Händler möglichst schnell auf aktuelle Attacken und auf neue Angriffsmethoden reagieren können. Gleiches gelte für kleine Onlineshops.

Risiken verteilen

Bachmann geht davon aus, dass das Wissen um die Gefahren vorhanden sei. Schliesslich ist der Webzugang "der Lebensnerv von Webshops", wie er sagt. Allerdings bedürfe es grosser Investitionen, um DDoS-Attacken abzuwehren.

Wie können sich Onlinehändler, die meist kein Sicherheitsbollwerk wie jenes von Coop oder Migros schützt, absichern? Bachmann rät zur Strategie des verteilten Risikos. Eine Abwehr von DDoS-Angriffen sei äusserst schwierig. Eine Firewall könne allenfalls den Server schützen. Wenn der Internetzugang des Händlers komplett geflutet werde, ist der Webserver dennoch nicht mehr erreichbar. "Der Schaden bleibt in etwa gleich", sagt Bachmann.

Hinzu kämen weitere Schwierigkeiten. Denn befindet sich der Shop im selben Netzwerk, könnten auch andere Dienste wie Telefonie oder ausgelagerte Software von einem Angriff betroffen sein. Bachmann rät daher: "WAN-Zugänge verschiedener Provider können die Abhängigkeit entschärfen. Auch kann es, je nach Art des Angriffs, helfen, sich an verschiedenen Serverstandorten einzumieten."

Händler sollten sich Zeit nehmen und ihre Lage analysieren

Kessler rät Shop-Betreibern, sich einmal Zeit zu nehmen und sich mit Sicherheitsthemen auseinanderzusetzen oder Spezialisten zum Thema anzuhören. Ausserdem könnte es helfen, sich in das Thema einzulesen. Klaus von Melani empfiehlt das Merkblatt: Massnahmen gegen DDoS-Attacken.

Ebenso könne eine Investition in ein Security-Audit viele Erkenntnisse bringen und die Sensibilität der Mitarbeiter erhöhen. Eine umfassende Analyse der möglichen Bedrohungen und Risiken und darauf basierend angemessene Sicherheitsmassnahmen – nicht nur technisch, sondern auch organisatorisch und personell – sind unabdingbar, wie Annino betont. Es gebe auch die Möglichkeit, einen Angriff zu simulieren, um so Erkenntnisse bezüglich der eigenen Sicherheit zu gewinnen und diese nötigenfalls zu verbessern, um so für Angriffe gewappnet zu sein.

Verbandspräsident Kessler geht übrigens davon aus, dass im KMU-Umfeld grössere Risiken als DDoS-Attacken schlummern: Adressdatenklau, Betrügerbanden, Phishing oder Trojaner seien oft die grösseren beziehungsweise häufiger eintretenden Risiken mit noch mehr Schadenspotenzial. Nur schon das "Sich-bewusst-Machen" helfe, Risiken zu reduzieren, sagt Kessler. Am Schluss sei immer noch der Mitarbeiter das grösste IT-Risiko, dort müsse man mit Massnahmen starten und sich dann vorarbeiten.

Webcode
7224