DDoS-Angriffe - Gegenmaßnahmen
Im Folgenden finden Sie Informationen, welche Instrumente Sie aktiv einsetzen können, um DDoS-Attacken zu bewältigen.
In der fortschreitend digitalen Welt ist es schwierig, DDoS-Situationen vollständig einzudämmen. Man kann jedoch nach und nach Schritte setzen, um mögliche Auswirkungen zu reduzieren.
Awareness und Prävention
Generelle Awareness, Anschaffung und Einkauf. Informieren Sie sich über Einsatzmöglichkeiten sowie potenzielle Risiken Ihrer technischen Geräte (z. B.: Babyphone, IoT-Kameras, intelligente Kühlschränke, Smart-TVs etc.) und bedenken Sie, dass diese bei Ihnen zu Hause, in Ihrem Büro oder bei anderen Personen bzw. entfernten Internet-Diensten Schaden verursachen können. Kaufen Sie Infrastruktur-Komponenten (Router, Switches, WiFi-Repeater etc.) und Geräte (z. B.: IoT-Geräte) erstrangig von zuverlässigen Herstellern mit angesehener Reputation, die Wert auf Sicherheit legen.
Nutzung bei Bedarf und nicht benötigte Services deaktivieren. Schalten Sie mit dem Internet verbundene Geräte und Dienste nur dann ein, wenn Sie diese benötigen und deaktivieren Sie diese nach der Nutzung wieder. Unterbinden Sie Services, wie z. B.: Universal Plug and Play (UPnP), um möglichen Geräte-Missbrauch und Fernzugriff zu verhindern.
Zugang und Passwortsicherheit. Setzen Sie für Ihre notwendigen Services unterschiedliche – am besten einmalig genutzte – Zugangsdaten und insbesondere abweichende Passwörter ein. Sie müssen die Zugangsdaten nicht alle im Kopf behalten, sondern können dafür einen vertrauenswürdigen Passwort-Managern einsetzen. Beachten Sie auch gängige Passwort-Regeln (z. B.: Einzigartigkeit, Geheimhaltung, Länge, Zusammensetzung). Ändern Sie Standard-Zugangsdaten zeitgerecht – am besten vor der ersten Verbindung mit dem Internet. Darüber hinaus können Sie Standard-Benutzernamen (z. B.: root, Admin, administrator) deaktivieren und minimale Rechte vergeben. Vermeiden Sie die Nutzung derselben Passwörter für unterschiedliche Services im Privatbereich sowie im Business-Umfeld. Weitere Informationen zu diesem Thema finden Sie unter “Konten & Passwörter”.
Verbundene Geräte und Verbindungen einschränken. Achten Sie auf Geräte, welche sich mit Ihrer Infrastruktur verbinden. Generell können Sie das Verbinden derartiger Geräte verbieten (Blacklisting) oder erlauben (Whitelisting). Hier empfiehlt sich eine regelmäßige Überprüfung. Minimieren Sie die erlaubte Höchstzahl von zulässigen Anfragen pro Quelladresse (Rate-Limiting).
Aktualisierungen von Programmen. Spielen Sie rechtzeitig notwendige Security-Patches aus zuverlässigen Quellen ein. Manche Hersteller stellen automatische Update-Funktionen bereit. Suchen Sie insbesondere bei zeitkritischen Updates aber auch manuell nach erforderlichen Aktualisierungen. So können etwa bei CMS- oder Shop-Systemen entdeckte Anfälligkeiten, die DDoS-Angriffe begünstigen, beseitigt werden.
Erkennung und Management
Auslastung. Eine ungewöhnlich hohe Auslastung der Systemressourcen deutet auf DDoS-Attacken hin. Ihr Gerät kann sowohl Teil eines Botnets als auch ein Angriffsziel sein. Ist Ihre Internetverbindung langsamer als gewöhnlich, ist dies ein Indiz für einen Angriff. Verdächtig sind häufige Verbindungsanfragen einzelner IP-Adressen oder zahlreiche aktive HTTP-Prozesse auf dem Computer.
Identifizierung von Angriffen. Durch die Erkennung von angreifenden Systemen und den damit verbundenen zu setzenden Maßnahmen, wie etwa Blacklisting, können künftige Attacken auf die Geräte verhindert oder zumindest erschwert werden.
Hilfe suchen, Meldung von Straftaten und Erpressungsversuchen. Wenn Sie Opfer einer DDoS-Attacke werden, sollten Sie professionelle Hilfe einholen. Bedenken Sie dabei auch, dass es sich bei DDoS-Attacken – egal ob mit oder ohne Erpressungsversuch – um Straftaten handelt und Sie diese bei der Polizei melden sollten. Zusätzlich bietet die Meldestelle Internetkriminalität des BMI Hilfestellung an.
Entschärfung und Verteidigung
Aktivierung von Sicherheits-Features und Abkopplung von Geräten. Achten Sie auf ausreichende Sicherheitsfunktionen – vor allem bei IoT-Geräten. Stecken Sie Geräte ab, wenn Sie diese nicht benötigen oder wenn Sie erkennen, dass die Devices von einer Attacke betroffen sind. Es ist auch sinnvoll, darüber nachzudenken, ob die Internetverbindung zu einem Gerät permanent aktiviert sein muss oder ob auf diese verzichtet werden kann.
Flüchtiger Speicher und Neustarten. Schalten Sie Ihre Infrastruktur phasenweise aus und starten Sie diese neu. So können Sie bei betroffenen Geräten Schadsoftware im flüchtigen Speicher beseitigen.
Einstellungen härten. Wenn Sie davon ausgehen, dass Sie von einer DDoS-Attacke betroffen sind, härten Sie die Einstellungen (z. B.: Blacklisting, Whitelisting, Verbindungen einschränken uvm.). Regulieren Sie die Infrastruktur nach dem Minimalprinzip und erlauben Sie nur notwendige Verbindungen.
Änderung der Zugangsdaten und Reduktion der Rechte. Ändern Sie die Zugangsdaten bevor Sie ein betroffenes Gerät wieder in Betrieb nehmen. Sie haben auch die Möglichkeit, Benutzer-Berechtigungen mit restriktiven Regeln einzuschränken, um Schaden zu minimieren und Verbindungsversuche auf Administrations-Accounts zu unterbinden.
Aussieben. Je mehr Bandbreite zu Ihrer Verfügung steht und je größer die Menge verarbeitbarer Instruktionen ist, umso mehr Zeit haben Sie, um auf DDoS-Attacken zu reagieren. Schäden können so zumindest hinausgezögert werden. Das Filtern von verdächtigen Anfragen bzw. Datenpaketen erlaubt Ihren Geräten, wie beispielsweise Routern, darüber hinaus die Blockierung bösartiger Angriffe.
Informationen und Kooperation
Hersteller kontaktieren und Internet-Service-Provider benachrichtigen. Die Zusammenarbeit mit zuverlässigen und renommierten Herstellern erleichtert die Fehlerbehebung. Wenn Sie Ihren ISP benachrichtigen, kann dieser für Sie zum Beispiel eine neue IP-Adresse vergeben.
Expertise einholen. Besprechen Sie mögliche Vorgehensweisen und potenzielle Lösungen mit Kolleginnen und Kollegen. Auch ist professionelle Unterstützung häufig sinnvoll. Ratschläge und Informationen zu aktuellen Entwicklungen im Bereich von DDoS-Angriffen erleichtern den Umgang mit einer Attacke zusätzlich.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria