Link11_imagefilm_thumbnail_4

DDoS-Mitigation: Warum Zeit eine kritische Rolle spielt

IT-Sicherheit

DDoS-Mitigation: Warum Zeit eine kritische Rolle spielt

DDoS-Attacken treten in unterschiedlichen Formen (z.B. Ransom-DDoS, Carpet-Bombing, etc.) auf und sorgen bei einer Vielzahl von Unternehmen regelmäßig für empfindliche Schäden.

Attacken werden massiver, je länger sie andauern

Die Auswirkung eines DDoS-Übergriffs steht im direkten Zusammenhang mit der Dauer der Attacke. Man kann sich das mit einem Graphen vorstellen, der zu Beginn des Angriffs noch recht flach ausgeprägt ist, sich aber im Laufe der Zeit schnell steigert und an Wucht zunimmt. Der Anstieg nimmt bereits nach den ersten 20 Sekunden zu und stört das Ziel zu diesem Zeitpunkt bereits beträchtlich.

Time does matter

Nach etwa einer Minute wird der Graph so steil, dass die Attacke kaum mehr aufzuhalten ist und zu merklichen Konsequenzen für den Betroffenen führen. Die eingesetzte Infrastruktur ist zu diesem Zeitpunkt entweder bereits in sich zusammengebrochen oder steht zumindest kurz davor. Das Ergebnis: Massive Performance-Einbußen bei den eingesetzten Web-Diensten oder – noch viel schlimmer – die nicht mehr vorhandene Verfügbarkeit der digital angebotenen Leistungen.

Schnelle Mitigation ist relativ

Nachdem wir nun geklärt haben, dass die Mitigation eines DDoS-Angriffs möglichst schnell stattfinden sollte, stellt sich nun der Frage nach der Zeitspanne, wie schnell eine Sicherheitslösung im Ernstfall reagieren sollte. Natürlich ist hier die offensichtliche Antwort: so schnell wie möglich. In der Realität stellen verschiedene Angriffsmuster, wie UDP Bandwith floods oder TCP SYN floods und viele mehr, die Schutzlösungen dabei vor unterschiedliche Hürden.

Es gilt, die geeignete Technologie zu finden, die nicht nur vor den gängigsten Angriffsarten schützt, sondern dies in einer Sekunden- und nicht Minuten-Zeitspanne tut. Wir erinnern uns: Nach 20 Sekunden wird die Attacke ungemütlich, nach einer Minute fängt es an, richtig gefährlich zu werden. Schutzlösungen, die DDoS-Angriffe in unter 30 Sekunden erkennen und mitigieren, sind daher optimal für den Unternehmenseinsatz. Erstklassige Lösungsmöglichkeiten erkennen bekannte Angriffsmuster sogar direkt und lassen diesen erst überhaupt nicht durch den Schutzwall dringen. So kann es durchaus passieren, dass selbst großangelegte Übergriffe an den integrierten Schutzmaßnahmen abprallen – ohne auch nur bemerkt worden zu sein.

Aus diesem Grund ist pauschal eine „schnelle“ DDoS-Abwehr relativ. Die erste Minute ist bei einem Angriff kritisch und hier zählt jede Sekunde. Umso schneller die DDoS-Schutzlösung agiert, umso mehr sind Kunden vor unschönen Nebeneffekten abgesichert. Ein Zeitunterschied von 10 – 20 Sekunden mag nach nicht viel klingen, in der Realität reden wir hier aber von einem potenziellen Schaden, der Sie bares Geld kosten kann.

Ist die Mitigation zu langsam, wird es teuer

Bereits im Anfangsstadium einer Cyber-Attacke kann es zu unangenehmen Folgen kommen, etwa wenn die Performance Ihrer Webseiten oder Webdienste darunter leidet. Vor allem Unternehmen, die digitale Service-Leistungen für ihre Kunden anbieten, sollten sich damit nicht konfrontiert sehen.

Noch schlimmer wird es, wenn ein DDoS-Angriff die eigenen Dienstleistungen komplett in die Knie zwingt und diese für Minuten, Stunden oder gar Tage nicht mehr erreichbar sind. Der wirtschaftliche Schaden ist dann oft massiv und dazu addiert sich ein Image-Schaden, der nicht unterschätzt werden sollte. Eine Faustregel besagt, dass eine Minute Server-Downtime Unternehmen im Schnitt 20.000 US-Dollar kostet – und nur in den seltensten Fällen bleibt es bei zwei oder drei Minuten eingeschränkter Verfügbarkeit. DDoS-Attacken dauern erfahrungsgemäß bedeutend länger an, ganz besonders wenn keine geeigneten Schutzmaßnahmen zur Abwehr existieren.

Zudem gilt es weitere mögliche Folgekosten im Falle eines kritischen DDoS-Angriffs zu beachten:

– Leicht zu berechnende harte Kosten

  • Verlorene Einnahmen
  • Löhne unproduktiver Arbeitnehmer
  • Gebühren/Strafzahlungen

– Schwierig zu prognostizierende harte Kosten

  • Kosten für Auftragnehmer
  • Marketingkosten

– Nicht greifbare „weiche“ Kosten

  • Verlorene Geschäftsmöglichkeiten
  • Verringerung des Aktienwerts
  • Abwanderung des wankelmütigen Publikums zum Konkurrenten
  • Senkung der Mitarbeitermoral
  • Schwindender Goodwill bei Kunden/Geschäftspartnern

Aus diesem Grund ist bei weitem die beste Strategie, sich auf Denial-of-Service-Angriffe vorzubereiten, bevor sie auftreten. Wenn diese erst einmal begonnen haben, sind nachträgliche Bemühungen deutlich komplizierter und oft erst stark verzögert wirksam.

Wiederherstellung erfolgt nicht umgehend

Ist man aus diversen Gründen nicht auf einen DDoS-Angriff vorbereitet und es tritt tatsächlich der potenzielle Worst-Case ein, ist die gewünschte Systemwiederherstellung nur in den seltensten Fällen direkt wieder möglich. Man kann im Normalfall nicht davon ausgehen, dass der Angriff vorübergeht und danach alles wieder wie zuvor funktioniert:

  • Datenbanken benötigen erfahrungsgemäß eine ganze Zeit, um wieder vollständig hergestellt zu sein.
  • Das IT-Team wird mit großer Wahrscheinlichkeit viele Überstunden in die Wiederherstellung des Systems stecken müssen.
  • Bei der Wiederherstellung von Systemen, die nicht in der richtigen Reihenfolge bzw. nicht korrekt synchronisiert sind, kann zu einer Überflutung der Warteschlangen führen, die sich auf mehrere Systeme auswirkt und so eine sekundäre Störung auslöst.  Wenn es sich nicht um kritische Daten handelt, kann es sogar schneller funktionieren, die Warteschlangen manuell zu bereinigen und die Systeme in der richtigen Reihenfolge wiederherzustellen. Das kostet allerdings Stunden.
  • Wenn die Planung für zum Beispiel geschaltete Werbung aufgrund des Angriffs eingestellt werden muss, ist die Wiederherstellung/Freischaltung nicht sofort wieder möglich.  Die meisten Transitanbieter akzeptieren Anzeigen nach einigen Minuten der Stabilität, aber der kostenlose Peering-Austausch kann Stunden oder länger dauern, so dass Sie höhere Bandbreitenkosten und potenzielle Überschreitungsgebühren zahlen müssen.

Bei der DDoS-Abwehr nichts dem Zufall überlassen

Ein moderner DDoS-Schutz ist die wichtigste Absicherung für jedes Unternehmen. Vor allem in einer Zeit, in der die Größe und die Frequenz dieser Attacken exorbitant zugenommen haben. Hier gilt es, die einzelnen Leistungskriterien zu vergleichen und die beste Option zu wählen, die zu Ihrem Geschäftsmodell passt.

Eine Studie von Frost & Sullivan, einem führenden globalen Marktforschungsunternehmen, hat erst vor Kurzem die Sicherheitstechnologien von führenden DDoS-Anbietern mit Hilfe umfassender Tests überprüft. Diese Studie können Sie sich hier kostenfrei bei uns herunterladen, um sich einen Überblick zu verschaffen.

Alternativ können Sie bei einem seriösen Pentester Ihre Webseite nach DDoS-Schwachstellen überprüfen lassen. Hier können Sie mehr über professionelle Pentests lesen.