COMPUTERWOCHE-Debatte

Wer kann dem DDoS den Garaus machen?

05.10.2013
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Distributed Denial of Service (DDoS) ist seit jeher ein ebenso simples wie effektives Mittel, unliebsame Websites und -Services "abzuschießen". Betroffene Unternehmen können mehr dagegen tun - sind aber auf die Hilfe der Zugangsprovider angewiesen.

"Machten die Provider ihren Job, gäbe es kein DDoS" - diese These stellt Peter Kämper, Inhaber des Bernauer Unternehmens PKA Computernetzwerke, auf und sorgt damit für reichlich Diskussionsstoff in der Sicherheitsbranche. Die COMPUTERWOCHE lud ihn deshalb gemeinsam mit Providervertretern, Anwenderunternehmen und Security-Anbietern zu einer Diskussion über die Ursache und Bekämpfung von DDoS-Attacken ins IDG-Medienhaus nach München ein. Neben Kämper folgte eine hochkarätig besetzte Expertenrunde dem Aufruf: Michael Tullius, der das Deutschlandgeschäft des DDoS-Schutz-Spezialisten Arbor Networks verantwortet, Bernd Eßer, Leiter des Computer Emergency Response Teams (CERT) der Deutschen Telekom in Bonn, Motasem Al Amour vom bald zu McAfee gehörenden Netzwerk-Sicherheitsanbieter Stonesoft, Volker Lieder, Geschäftsführer des Managed Service Provider uvensys mit Sitz in Butzbach und Adem Sen, Security-Experte bei der DB Systel in Frankfurt.

Genügt es, nur die Bandbreite zu regeln?

Eine vorausgeschickte Begriffserklärung: Der "Carrier" besitzt/betreibt die Datenleitungen, die er an den "(Zugangs)Provider" vermietet - dieser wiederum vermietet sie an das Anwenderunternehmen. In vielen Anwendungsfällen handelt es sich um dasselbe Unternehmen, Beispiel Telekom. Der Einfachheit halber werden in diesem Artikel beide Begriffe synonym verwendet.

Ausgangspunkt der Diskussion: Kämper hat ein Konzept entwickelt, mit dem die Zugangsprovider ihren Kunden seiner Meinung nach einen Teil der Angst vor DDoS-Attacken nehmen könnten - wenn sie denn wollen. Das Zauberwort lautet Bandbreiten-Management. Darunter fallen technische Maßnahmen, die den Datenverkehr im Netz regeln. So können bestimmten Diensten oder Absender-IP-Bereichen höhere Bandbreiten, anderen Services wiederum niedrigere Bandbreiten zugeteilt werden - beispielsweise unter Berücksichtigung des Quality of Service (QoS) und eventuell geltender Service Level Agreements. Bandbreiten-Management ist damit nichts anderes als die "optimale" Verteilung der insgesamt vorhandenen Bandbreite respektive die Klassifizierung der Verkehrsströme innerhalb eines Netzes. Verwaltet ein Provider zwischen seinem Netzzugang und dem Zugang des Client die Bandbreite, sei es laut Kämper möglich, den Traffic, der einen Client-Server erreicht, zu kontrollieren und zu filtern. Da zumindest volumenbasierte DDoS-Angriffe darauf beruhen, bestimmte Web-Server durch zu viele (legale) Anfragen gleichzeitig außer Gefecht zu setzen, lasse sich laut Kämper hier providerseitig ein wirkungsvolles Schutzschild aufbauen.

"Der Provider sollte sein Netzwerk im Griff haben und von sich aus seine Bandbreite richtig verteilen", fordert der Netzwerkspezialist. Er will den bei DDoS-Attacken in die Schlagzeilen geratenen Anwenderunternehmen damit auch ein Stück weit die Verantwortung nehmen, selbst für einen ausreichenden DDoS-Schutz sorgen zu müssen. Diese tun das heutzutage beispielsweise durch die Nutzung von kostenintensiven Mitigation Services, die de facto auch nichts anderes machen als den Traffic vor Erreichen des Clients zu filtern - nur eben auf Kosten der Anwender und nicht auf Kosten der Zugangsprovider. Derzeit kassieren Zugangsprovider und Security-Dienstleister für Mitigation Services, also für die Umleitung von legalem Traffic innerhalb ihrer Netze, kräftig ab. Das dürfe laut Kämper nicht sein und sei auch gar nicht notwendig, wenn Provider Bandbreiten-Management einsetzen. Lediglich für den Schutz vor einfachen Denial-of-Service-Angriffen (DoS) und für content-basierte DDoS-Angriffe bleibe der Anwender selbst verantwortlich, da der Provider hier genauen Einblick in die IT-Systeme der Kunden haben müsse, um bekannte Angriffsvektoren abzuwehren. Mithilfe von Firewalls, Intrusion-Detection/Intrusion-Prevention-Systemen, Web Application Firewalls und Server-Security-Maßnahmen können Anwender das aber durchaus schaffen.

Denkende Systeme und Provider gefragt

Kämper resümiert: "Es fehlt an der denkenden System- und Netzwerkverwaltung der Provider. Wenn ich als deutscher Anwender prinzipiell immer nur 10.000 Pakete annehmen möchte oder kann, muss mir der Provider keine 11.000 Anfragen durchlassen." Netzwerk-Traffic solle nach Sicherheitsaspekten sauber getrennt werden - HTTP- und HTTPS-Datenströme beispielsweise müssen demnach auch an verschiedene Server mit unterschiedlichen Firewalls und entsprechenden Routern geschickt werden. Nur dann könne der Anwender dezidierte Sicherheitsregeln befolgen. Praxiserfahrungen mit Bandbreiten-Management hat Kämper in einem Projekt mit einer Berliner Behörde gesammelt, wo er sein Konzept gemeinsam mit Colt in die Tat umgesetzt hat. Im Falle eines DDoS-Angriffs sei der Zugriff auf die Webserver zwar eingeschränkt und beispielsweise der Aufbau der Websites langsam, diese aber wenigstens überhaupt noch zu erreichen.

Gegenwind erhält Kämper von Michael Tullius, der die Netzneutralität gefährdet sieht: "Sie können doch gar nicht wissen, ob es sich um ‚bösen‘ oder ‚guten‘ Verkehr handelt." Einen bestimmten Teil der empfangenen Datenpakete nicht zuzustellen respektive anders zu behandeln als andere, sei nicht tragbar. Darüber hinaus seien viele attackierte Dienste cloud-basiert und damit nicht im Zugriffsbereich eines Providers, so Tullius. Da es zudem keine industrieübergreifenden Standards für DDoS-Schutz-Produkte gebe - was beispielsweise die Menge der zu schützenden Ressourcen oder der Response-Zeiten der attackierten Server angeht - sei Bandbreiten-Management nicht flächendeckend umzusetzen. Zumal viele Anwender auch Kunde bei mehreren Providern gleichzeitig seien, was die nötige Vereinheitlichung und Koordinierung der Sicherheitsabläufe erschwert. Für einzelne Szenarien könne es funktionieren, wenn der Anwender seine Anforderungen genau kenne, als "verkäufliche" Idee sei das Thema nicht geeignet. "DDoS ist heute nur noch ein Teil eines gezielten Angriffs, um Unternehmen vom Netz zu nehmen", erklärt Tullius und begründet damit auch, warum diese Art von Attacke weder ein reines Anwender- noch ein reines Provider-Problem sein kann.

Provider beginnen zu kooperieren

Volker Lieder, dessen Unternehmen uvensys genau wie Adem Sens DB Systel und Bernd Eßers Telekom Kunde bei Arbor Networks ist, teilt die Meinung, dass die Regelung der Bandbreite allein nicht mehr zeitgemäß ist, weil die enormen Geschwindigkeitssteigerungen und zunehmend preisgünstigen Leitungen heute ganz andere Dimensionen von volumenbasierten Attacken zuließen als noch vor einigen Jahren.

Bernd Eßer unterstreicht das mit Zahlen: Das klassische DDoS-Prinzip hat jahrelang Bot-basiert funktioniert - Rechner wurden mit Trojanern infiziert und anschließend ferngesteuert zusammengeschaltet, um Volumenattacken auf Webserver zu fahren. Die erreichten Bandbreiten lagen im Schnitt zwischen 2 und 10 MBit pro Sekunde. Das war für die Anwender ärgerlich bis geschäftsgefährdend, für die Carrier jedoch nicht zu erkennen, weil derartige Bandbreiten nicht ins Gewicht fielen. Mittlerweile beobachtet die Telekom mehr und mehr DNS-Amplification-Attacken mit teils über 100 GBit Angriffsvolumen pro Sekunde - "das sind Größenordnungen, die für kleinere Carrier schon eine Bedrohung darstellen können", sagt Eßer. Er sitze deshalb immer häufiger auch in politischen Diskussionsrunden oder beim G8-Gipfel, um hier länder- und providerübergreifende Abwehrstrategien mit zu entwickeln. "Seit 2011 bringen wir bereits unsere Arbor-Betriebstruppen mit denen der anderen großen europäischen TK-Provider zusammen und haben gemeinsam mit Vodafone, Telecom Italia, France Telecom / Orange und Telefonica Prozesse abgestimmt, um Datenverkehr netzübergreifend filtern zu können", erklärt er. Mittlerweile könnten sie beispielsweise Angriffsverkehr aus Südamerika wegfiltern, bevor dieser europäische Zielserver überhaupt erreiche.

Neue Filterwerke

Lieder berichtet, dass auch er seit längerem ein Filterwerk und ein neues Protokoll zur Traffic-Steuerung im Internet anstrebe. So könne der Anwender gemeinsam mit dem Provider festlegen, welcher Traffic von welchem Absender in das jeweilige Netzwerk gelassen wird. "Das Ziel muss sein, die Quelle eines Schadcode-Angriffs möglichst weit vor dem eigenen Netz zu stellen", sagt der uvensys-Geschäftsführer. Eßer gibt jedoch zu bedenken, dass kundenspezifische Filterregeln bei der Anzahl der Netzzugänge und den heutigen Übertragungsgeschwindigkeiten nicht realistisch seien, weil es schlicht keine Router gäbe, die das im gewünschten Maße umsetzen könnten. Kämper widerspricht und behauptet, dass sich jeder Router mit wenigen Zugriffsregeln (ACLs) entsprechend einstellen und schneller machen lasse. "Bei solch einer Granularität erhalten Sie weit mehr als eine ACL für jeden einzelnen Kunden - ich wüsste nicht, wie Sie das mit einer geringen Komplexität noch in den Griff bekommen wollen", hält DB-Systel-Vertreter Sen dagegen. "Der Anwender muss auf alles vorbereitet sein", sagt Stonesoft-Vertreter Al Amour, der vor zu einfachen, aber auch zu komplexen Filterstandards warnt.

Die Runde streitet über die Zielsetzung eines Zugriffsregel- und Filterwerks zum DDoS-Schutz beim Anwender. "Die Frage ist ja, ob ich fünf, zehn oder fünfzig Prozent des guten Traffics verlieren möchte oder einfach nur, dass meine Systeme überleben", meint Lieder. "Wenn ich nur erreichbar sein will, haue ich mit dem Hammer vorne einfach alles weg." Ob der legitime Website-Besucher, der einfach nur eine Information abrufen oder einen Online-Service nutzen möchte, dann trotzdem durchkomme, sei aber nicht abschließend geklärt. Die Runde kommt zu dem Schluss, dass es immer einzelfallabhängig ist, ob sich Bandbreiten-Management als DDoS-Schutz eigne oder nicht. "Für den Großteil des Internetgeschäfts ist es heute einfach nicht mehr zu erlauben, dass Ihre Kunden einen langsamen Bildschirmaufbau haben - Sie müssen mit Ihren Diensten einfach da sein, weil Ihr Publikum sonst sofort wieder weg ist", fasst Tullius zusammen.

Die Zukunft des Denial of Service

Das Thema DDoS ist trotz seiner langen Historie heute aktueller denn je - nicht nur durch den Hacktivismus-Trend. Dem aktuellen "State of the Internet Report" vom CDN-Spezialisten Akamai zufolge ist die Zahl der bekannt gewordenen DDoS-Attacken im Jahr 2012 um satte 200 Prozent gegenüber dem Jahr 2011 gestiegen: es gab 768 Angriffe auf 413 Unternehmen, ein Großteil davon (35 Prozent) entfiel auf den Bereich E-Commerce. Für die kommenden Jahre erwartet Tullius nicht nur eine weitere Zunahme von DDoS, sondern auch neue Ausprägungen wie HTTPS- und IPv6-basierte Attacken oder Angriffe gezielt auf mobile Endgeräte. Weil das Know-how über DDoS-Attacken bei den Anwendern immer noch so gering sei, lassen sich deren Anwendungen und Dienste nur in Kooperation mit den Providern und Rechenzentrumsbetreibern gegen derartige Angriffe schützen. Auf Seiten der Provider sieht Eßer deshalb einen enorm steigenden Bedarf an Sicherheitsexperten, die sowohl die Netze des Providers und des Anwenders kennen als auch mit den Sicherheitsprodukten und -systemen umgehen können.

Aber auch die interne Expertise in den Anwenderunternehmen ist für Sen ein ganz wichtiger Punkt, den es zu forcieren und aufzubauen gelte. Er fordert dafür mehr Aufklärungsarbeit über die Bedeutung und Gefahren von DDoS sowie die vorhandene Technologie, dem zu begegnen. "Der Informationsaustausch ist ein wertvoller Aspekt für Unternehmen, der heute leider viel zu wenig genutzt wird." Al Amour unterstreicht, dass Security-Anbieter wie Stonesoft lediglich die "Last line of Defence" darstellen sollten, die das abfangen, was auf Seiten der Provider nicht geleistet werden kann.

Was das Jahr 2013 noch bringt

Im Anschluss an die Diskussion haben wir die Experten um kurze Statements für die Kamera gebeten: Was haben sie aktuell mit dem DDoS-Thema zu tun? Was erwarten sie für das laufende Jahr 2013 noch an Entwicklungen? Sehen Sie die Antworten im Video:

Diskutieren Sie mit!

Wer ist Ihrer Meinung nach verantwortlich für den Schutz vor DDoS-Attacken? Provider, Anwender, Security-Industrie oder eine Allianz aus mehreren dieser Gruppen? Berichten Sie uns über Ihre Erfahrungen in diesem Umfeld und debattieren Sie aktiv mit. Nutzen Sie einfach die Disqus-Kommentarfunktion unter diesem Artikel oder schreiben Sie uns eine E-Mail! Wir freuen uns auf Ihre Erfahrungen!