Foto: Gorodenkoff - shutterstock.com
Wachstum im Internet - das heißt für viele IT-Chefs automatisierter Datenverkehr über APIs. Eine Entwicklung, die auch Cyber-Kriminelle erkannt haben. Ein Webcast der Computerwoche zeigt, was IT-Entscheider tun können.
Stefan Mardak, Senior Enterprise Security Architect bei Akamai Technologies, und sein Kollege Manfred Fochler, CISSP, Principal Solutions Engineer, geben Tipps für die richtige Reaktion auf einen Hacker-Angriff. Fachjournalist Arne Arnold moderiert den Webcast.
"Viele Firmen stehen ohne Konzept da, wenn ein Alarm losgeht", so die Praxiserfahrung von Mardak, "sie haben oft auch keinen Dienstleister und rufen den erst an, wenn es passiert ist." Der Experte rät im Fall eines Cyberangriffes zu einer vierstufigen DDoS-Checkliste:
Erstens Prozesse und Tools dokumentieren: Internet Services dokumentieren (also Server inclusive der Netzwerk Architektur, Hardware-Versionen, Software-Stände auch von Routern etc.) sowie IP-Adressen, DNS-Domänen und anderes.
Zweitens ein Notfallteam zusammenstellen: Wer kann und darf Änderungen vornehmen? Wie und wann sind Admins außerhalb der Bürozeiten erreichbar?
Drittens IT- und Management-Entscheider benennen: Wer darf im Notfall neue Verträge abschließen? "Wir hatten einen Fall, in dem ein Manager gesagt hat: 'Die Entscheidungen treffe nur ich', und der dann in Urlaub fuhr", erinnert sich Mardak mit einem Seufzen.
Viertens die Abschaltung aller Dienste in Betracht ziehen: Welche Services können ohne großen Schaden abgeschaltet werden? Welche Services müssen dagegen 24/7 verfügbar sein? Wieviel Umsatz generieren die Services und welche müssen aus regulatorischen Gründen verfügbar sein?
Content auf andere Server umziehen
Wenn der Notfallplan steht und umgesetzt werden kann, sollte das Unternehmen gegebenenfalls auch externe Dienstleister beauftragen. Wichtig ist, den Content auf andere Server umzuziehen, betont Mardak. Gibt es keinen Notfallplan, müssen alle Services abgeschaltet werden. "Also nicht nur einzelne Services wie Firewall, IDS oder AV", erklärt er. Denn DDoS-Attacken sind oft Ablenkungsmanöver für versteckten Datendiebstahl.
Sein Kollege Fochler nennt ein Kundenbeispiel, in dem es darum ging, DDoS-Angriff weit vor dem eigenen RZ zu stoppen. Der Kunde war ein E-Commerce-Anbeiter im Event-Bereich. Kritisch dabei: Alle Zugriffe laufen über das Internet.
Das Unternehmen entschied sich für ein zweistufiges maßgeschneidertes Schutzkonzept: Webfrontend und Datacenter. "Man verteidigt an verschiedenen Stellen", erklärt Fochler. Weil sich die Form der Attacken ständig verändert, wird die Security-Konfiguration permanent angepasst. Permanent heißt hier: etwa alle drei Monate.
Aber wie sieht es eigentlich bei den Zuschauern des Webcasts aus? Moderator Arnold startet eine Ad-hoc-Umfrage. Diese zeigt: Fast jeder (94 Prozent) setzt eine IT-Security-Lösung ein. 74 Prozent erklären, die IT sei stets auf dem aktuellen Patch-Level. Weitere 57 Prozent haben einen Notfall-Plan vorbereitet.
Typische Fehler vermeiden
Außerdem will der Moderator wissen, das sie typischen Fehler in Sachen IT-Security sind. "Da gibt es ein paar Klassiker", schmunzelt Fochler. "Wir werden nicht angegriffen", lautet einer daovn. Ein anderer: "IT-Security kostet viel Geld, wir kümmern uns darum, wenn es notwendig ist." Genau das sorgt dafür, dass man im Fall des Falles zwei Tage lang Panik im Unternehmen hat, kommentiert Fochler.
Manchmal können Entscheider auch schlicht nicht einschätzen, wie hoch sie die Kosten eines Angriffs und einer Downtime beziffern sollen. Schwer zu kalkulieren sind hier Reputationsrisiken und mögliche Strafen nach der DSGVO (Datenschutzgrundverordnung), weil sich das Unternehmen vorab um die IT-Security hätte kümmern müssen.
Stichwort Automatisierter Datenverkehr: APIs setzen sich zunehmend durch - und werden damit auch zunehmend angegriffen. Im Zuge des Internet of Things (IoT) wird sich dieses Problem verschärfen. Und um sich zu schützen, raten die Experten zu einer Schutzwand außerhalb des Unternehmens. "Ein Cloud-Provider überblickt den Traffic und schützt Kunden, die noch gar nicht angegriffen wurden", fasst Mardak zusammen. Ein solcher Provider sollte 24/7 Service, Erreichbarkeit und Verfügbarkeit bieten. "Das Kundenunternehmen muss sagen können: der Provider kümmert sich drum", so Mardak.