Mit zunehmender Sorge müssen wir feststellen, dass immer mehr die mittelständischen Unternehmen in’s Visier von Cyber Attacken gerät. Was in der Vergangenheit nur die „großen“ Unternehmen mit ihren Diensten im Internet betroffen hat, ist nun beim Mittelstand angekommen. Der Satz: „Was wollen Angreifer denn bei uns“ ist schon länger als Trugschluss ab adsurdum geführt. Das Thema ist ernst und es betrifft mehr Unternehmen als gemein hin angenommen wird. Daher wird es höchste Zeit für alle IT-Verantwortlichen, die sich bis dato noch nicht damit beschäftigt haben, dies nun zu tun.
Dieser Artikel hier im Blog ist keine Fiktion, er beruht auf den Auswertungen und Erfahrungen des vergangenen Jahres. Es sind alle Unternehmen betroffen, die in irgendeiner Form aus dem Internet zu erreichende Dienste anbieten. Zu den bevorzugten Diensten der Angreifer gehören http und https Dienste wie zum Beispiel Webserver, Bestellsysteme, Outlook Web Access/Applikation (OWA) oder Citrix. Auch bei VPN-Diensten und Mail-Servern sind diese Angriffe festzustellen. Gegenüber den Web-Diensten weniger häufig, aber trotzdem vorhanden und nicht zu vernachlässigen.
Die Angriffe auf die Webdienste sind spezieller geworden. Es wird vorher analysiert um welchen Dienst es sich handelt und dann ganz gezielt auf dessen Schwachstellen die Angriffe gestartet. Es geht hier soweit, dass der Angriff auf einen Webdienst unterscheidet, ob sich ein CMS als Backend auf dem System befindet, welche Script-Sprache Verwendung findet und auch welches OS die Basis des Webservers stellt. Sehr beliebt in den letzten Monaten sind Versuche Code in den Webserver einzuschleusen, der gezielt bekannte Schwachstellen von CMS und Script-Sprache nutzt.
Zu den Angriffen mit dem Ziel in das System einzudringen kommt noch ein weiteres Szenario von Angriffen hinzu. Die öffentlichen Dienste sind (D)DoS Angriffen ausgesetzt, die nur das Ziel hat, den Dienst unbrauchbar zu machen. Die Anzahl der DDoS Angriffe ist so hoch, dass sich zum einen mehrere Projekte mit dem Thema beschäftigen und auch viele Hersteller im Bereich IT Security spezielle Systeme zum Schutz gegen solche Angriffe entwickelt haben. Wer sich selbst ein Bild machen möchte, wie der ganz normalen Wahnsinn der DDoS Angriffen im Internet aussieht, kann das bei Digital Attack Map tun. Diese Seite visualisiert DDoS Angriffe und zeigt deren Verlauf, Bandbreite und die zum Angriff genutzten Protokolle an. Setzt man die Anzeige auf den Zeitstrahl auf ein vergangenes Datum, so kann man die Animation starten und die Angriffe bis zum aktuellen Tag im Zeitraffer ansehen. Da es sich hier um eine US Seite handelt, wird die Tausendertrennung mit einem Komma gemacht. Die Bandbreiten der Angriffe sind in Megabit pro Sekunde angegeben; 1,000 sind 1 Gigabit pro Sekunde. Was sehr eindringlich darstellt, welche Intensität diese Angriffe haben.
Diese Map zeigt auch etwas anderes ganz deutlich, jeder kann von überall aus betroffen sein. Zudem muss nicht zwingend ein Dienst für den Angriff da sein. Dies macht es unter Umständen den Angreifer leichter, aber es geht auch anders. Bei diesen Szenarien wird das Opfer mit so vielen Datenpakten überhäuft, dass dessen Außenanbindung unter der immensen Last einbricht und somit unbrauchbar wird. Vorzugsweise wird das DNS oder NTP System dafür verwendet, da es ebenfalls auf UDP basiert. Eine UDP Verbindung ist statuslos, was gewisse Vorteile hat – aber auch eben für den Angreifer. Häufig nehmen Botnetze eine zentrale Rolle bei DDoS Angriffen ein. Angriffe auf die Dienste, wie sie der Mittelstand derzeit erlebt, lassen sich noch am eigenen Perimeter mit geeigneten Maßnahmen in den Griff bekommen. Bei den Angriffsvarianten, die das Ziel haben die Außenanbindung zu fluten, funktioniert das nicht mehr oder nur sehr eingeschränkt. Bei einem solchen Szenario geht das nur in der Zusammenarbeit mit dem Anbieter der Anbindung.
In den meisten Fällen der Angriffe auf die IT Systeme mittelständischer Unternehmen zielen diese noch auf die angebotenen Dienste selbst ab, was es wiederum erlaubt, diese Dienste durch geeignete Maßnahmen am Perimeter zu schützen. Ein effektiver Schutz eines Dienste beginnt ab dem OSI Layer 4 und höher. Es gibt aber kein Pauschal-Rezept oder „das“ Produkt, welches man einsetzt und schon ist man geschützt. So einfach ist es nicht. Der Schutz eines Dienstes richtet sich nach vielen Faktoren, die alle berücksichtigt werden müssen. Es besteht ebenfalls die Option durch eine geschickte Auswahl der Schutzsysteme Synergien zu erzeugen, um dann mehrere Dienste und Diensttypen gleichzeitig zu schützen. Hier können Ressourcen und auch das Investitionsvolumen geschont werden.
Bei Fragen zum Schutz vor (D)DoS Angriffen sind wir wie gewohnt zu erreichen.