DDoS-Attacken richten schnell einen enormen finanziellen Schaden an, vom möglichen Image-Schaden ganz zu schweigen. Doch die Bedrohung lässt sich mit den entsprechenden Vorkehrungen relativ einfach und kostengünstig neutralisieren.

„Lloyds Bank von DDoS-Attacke getroffen.“ „A1 Telekom Austria wurde Opfer von Erpressern.“ Diese Schlagzeilen liessen sich beliebig fortsetzen. Was in den Medien steht, ist aber nur die Spitze des Eisberges. Denn jeden Tag, jede Stunde fahren Hacker so genannte DDoS-Attacken, bei denen Webseiten der Opfer beziehungsweise die Rechner, auf denen diese Dienste laufen, mit Anfragen überschwemmt und in die Knie gezwungen werden. Von den meisten dieser Vorfälle erfährt die Öffentlichkeit nichts. Oder bemerkt sie indirekt, etwa wenn ein Online-Shop nicht erreichbar ist.

Grösstmöglicher Schaden

DDoS steht für „Distributed Denial of Service“, was ausführlicher übersetzt so viel wie „Nichtverfügbarkeit des Dienstes mit verteiltem Angriff“ bedeutet. Während Hacker bei anderen, verdeckten Angriffsformen oft sensible Informationen von Regierungen oder Wettbewerbern ausspähen möchten, sind die Motive für DDoS-Attacken so simpel wie offensichtlich: Sie sollen grösstmöglichen Schaden anrichten, um Konkurrenten lahmzulegen, deren Reputation zu schädigen und sich am Markt einen Vorsprung zu verschaffen. Manchmal ist auch Erpressung im Spiel, durch Zahlung soll der Geschädigte sich freikaufen.

DDoS-Attacken breiten sich wie eine Seuche aus. 87 Prozent der Netzdienstleister waren 2017 von einem Angriff betroffen, das hat der jährliche Worldwide Infrastructure Security Report des Sicherheitsdienstleisters Netscout Arbor ergeben. Beim grössten bekannten Angriff 2017 wurde ein Opfer mit 600 Gigabit pro Sekunde bombardiert. Bevorzugtes Ziel sind Unternehmen (70% berichteten 2017 von einem Angriff), darunter auch Finanzdienstleister (41%) aber auch öffentliche Verwaltungen (37%).

Schlagkraft vervielfacht

Die Durchschlagskraft Angreifer steigt. Früher fuhren sie nur DoS-Attacken – ein Rechner greift einen anderen an. Heute gehen Angriffe von verteilten Rechnern aus, daher das zweite „D“ für „Distributed“. Dazu kapern die Hacker unbemerkt tausende Rechner ahnungsloser Nutzer und schalten sie zu so genannten Botnetzen zusammen. Diese senden gefakte Anfragen an Server, so als kämen sie von einer anderen IP-Adresse. Ein Angriff aus einem Botnetz oder gekaperten Servern heraus entfaltet eine viel grössere Wucht. Gleichzeitig sind solche Angriffe spottbillig. Hacker bieten sie schon für wenige Franken pro Stunde an, inzwischen hat sich eine regelrechte DDoS-Industrie entwickelt.

Angesichts der Bedrohung ist es erstaunlich, dass viele Unternehmen nichts dagegen unternehmen. Das liegt möglicherweise daran, dass DDoS-Vorfälle „nur noch“ auf Platz 2 der Angriffsszenarien liegen, Ransomware wie WannaCry und Petya hat 2017 für mehr Aufmerksamkeit gesorgt. Einige glauben auch, mit der Installation einer Firewall ausreichend geschützt zu sein – was nicht stimmt. Andere wiederum meinen, sie hätten keine Feinde und keine wichtigen Daten oder Prozesse, die geschützt werden müssten. Wer so denkt, irrt gewaltig. Jede Firma, die Dienstleistungen übers Internet anbietet, würde unter einer DDoS-Attacke leiden und Umsatz einbüssen – oder Reputation. Das betrifft auch Non-Profit-Organisationen, Politiker oder religiöse Organisationen.

Waschmaschine für Daten

Hoffen, dass es nur die anderen trifft, ist also eine riskante Strategie. Besser ist, eine Art Versicherung gegen DDoS-Angriffe abzuschliessen. Sie überwacht den Datenverkehr des Unternehmens und erkennt Auffälligkeiten, etwa wenn bestimmte Muster im Datenverkehr auftreten oder wenn die Menge der übermittelten Daten schnell anschwillt. Dann wird der Datenverkehr umgeleitet und durch eine „Waschmaschine“ geschickt. Dabei handelt es sich um spezielle Rechner, die „schlechte“ Daten von „guten“ unterscheiden und erstere blockieren und vernichten. Das geschieht so lange, bis der Angriff abebbt, dann wird die normale Verbindung wieder aufgenommen. Die Waschmaschine arbeitet nicht bitgenau, das heisst, auch schlechte Daten können mal durchrutschen Wichtig ist, dass der Angriff ins Leere läuft und alle Dienste uneingeschränkt weiter genutzt werden können sowie die Kunden (oder Dienstanbieter) unmittelbar benachrichtigt werden.

Ein Unternehmen kann sich eine eigene Waschmaschine einrichten. Dazu muss es allerdings einiges an Hard- und Software anschaffen und Experten anheuern, die notorisch knapp sind. Der Aufwand lohnt sich nur für sehr grosse Konzerne, etwa Banken. Für alle anderen Unternehmen ist ein Servicevertrag die bessere und vor allem kostengünstigere Option. Der Dienstleister betreibt eine ganze Batterie von Waschmaschinen in einem oder mehreren Rechenzentren, im Ernstfall wird der Datenverkehr von betroffenen Kunden dorthin umgeleitet und ohne merkliche Zeitverzögerung gereinigt. In der Regel bekommen weder das Unternehmen noch seine Kunden davon etwas mit.

DDoS Mitigation – der Anti-DDos-Service

So einen Rundum-Sorglos-Service bietet auch UPC. Businesskunden können den Anti-DDoS-Dienst zu ihrem Internet-Paket dazu buchen. „Unseren Dienst gibt es seit einigen Jahren, er ist State of the Art“, versichert Willy Landolt, Senior Product Manager für Datenprodukte bei UPC und früher bei einer Sicherheitsfirma tätig. Der Kunde müsse nichts machen, die Erkennung und Abwehr eines Angriffs geschehe vollautomatisch in einem der UPC-Rechenzentren mit der führenden Technologie von Arbor. Über ein Web-Portal ist der Kunde stets informiert, ob und welche Angriffe stattfinden.

Bei der Cyber Security hat die Schweiz aufgeholt, liegt aber laut Global Cyber Security Report von 2017 immer noch hinter Ländern wie Estland oder Norwegen zurück. Den Rückstand sollte das Land zügig aufholen, denn im Schnitt richtet eine DDoS-Attacke einen Schaden von über 400000 Dollar an. Willy Landolt: „Im Verhältnis zum potenziellen Schaden ist der Anti-DDoS-Service von UPC eine sehr preiswerte Versicherung.“