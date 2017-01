Mit welchen Bedro­hun­gen werden sich Unter­neh­men in diesem Jahr ausein­an­der­set­zen müssen? Wie kann die IT-Security-Branche dagegen­hal­ten? Wie lässt sich eine wirksame Cybersicherheits-Strategie imple­men­tie­ren? Acht Fragen an Guido Erroi, Regio­nal Direc­tor für die Regio­nen Deutsch­land, Öster­reich und Schweiz beim Spezia­lis­ten für DDoS-Abwehr Corero Network Security.



Mit welchen Bedro­hun­gen werden sich Unter­neh­men 2017 konfron­tiert sehen?

Guido Erroi: Die gesamte Bedro­hungs­land­schaft wird 2017 weiter­hin stark in Bewegung sein. Damit müssen sich Unter­neh­men und Insti­tu­tio­nen verstärkt ausein­an­der­set­zen. Angrei­fer sind äußerst erfin­dungs­reich. Und sie sind versiert darin bestehende Schwach­stel­len auszu­nut­zen und neue Angriffs­me­tho­den zu entwi­ckeln. Das gilt nicht zuletzt für DDoS-Attacken. Die zugrunde liegen­den Techno­lo­gien werden intel­li­gen­ter und zielge­rich­te­ter.

Vor allen Dingen werden wir es im kommen­den Jahr mit einer gefähr­li­chen Mischung zu tun haben: DDoS-Angriffe sind jetzt schon vergleichs­weise problem­los zu mieten, sie lassen sich über riesige Botnetze bisher nicht gekann­ten Ausma­ßes verbrei­ten und nicht zuletzt haben wir es mit einem Motiva­ti­ons­bün­del zu tun, aus dem heraus es überhaupt erst zu bestimm­ten DDoS-Angriffen kommt. Zutaten für einen brisan­ten Cocktail.

Angriffe gefähr­den poten­zi­ell erheb­li­che Teile der digita­len Wirtschaft, die auf einen funktio­nie­ren­den Internet-Backbone angewie­sen ist. Es ist durch­aus realis­ti­sch, dass solche Attacken Inter­net Service Provi­der ernst­haft in die Bredouille bringen. Die Urheber der Angriffe sind organi­sierte Krimi­nelle, genauso wie indivi­du­ell vorge­hende Hacker. Und prakti­sch jeder, der ein bisschen Geld in der Tasche hat, über techni­sches Basis­wis­sen und eine Inter­net­ver­bin­dung verfügt, kann es ihnen theore­ti­sch gleich­tun. Gerade DDoS-Angriffe haben sich in den letzten Jahren stark gewan­delt. Längst geht es nicht mehr nur darum Websei­ten und Dienste einfach nur lahm zu legen. Inzwi­schen wird die Verfüg­bar­keit von Diens­ten auf unter­schied­li­chen Ebenen angegrif­fen und die verschie­de­nen Angriffs­vek­to­ren gehen mit einer Vielzahl von weite­ren Sicher­heits­ri­si­ken einher.

Was ist ihrer Meinung nach die Nummer 1-Bedrohung im Jahr 2017?

DDoS-Angriffe im Terabit-Bereich werden zur neuen Norma­li­tät werden. Sie haben das Poten­zial den Internet-Backbone genauso zu beein­flus­sen wie die Dienste von Inter­net Service Provi­dern. Kombi­niert mit neuar­ti­gen Zero-Day-Reflection- und Amplification-Angriffen werden wir diese Szena­rien wesent­lich häufi­ger erleben als noch in diesem Jahr. Und nicht nur das. Sie werden gleich­zei­tig intel­li­gente und mehr zielge­rich­tete Attacken überhaupt erst möglich machen.

Auf welchem Stand ist die Sicher­heits­in­dus­trie aktuell?

Wenn es spezi­ell darum geht DDoS-Angriffe frühzei­tig zu bekämp­fen, dann kommt Inter­net Service Provi­dern ganz sicher eine Schlüs­sel­rolle zu. Sie sind in der Lage das Volumen des DDoS-Traffics signi­fi­kant zu senken und zwar durch Einsatz geeig­ne­ter Erkennungs- und Blockie­rungs­sys­teme. Diese Maßnah­men verhin­dern, dass Geräte infiziert und zum Teil eines Botnet­zes werden. Ingress-Filter zu nutzen gehört zu den Best Practices um DDoS-Angriffe zu vermei­den. Sie besei­ti­gen das Problem gefälsch­ter IP-Adressen, die häufig bei solchen Attacken verwen­det werden. Das wäre ein vergleichs­weise simpler erster Schritt zur Verbes­se­rung der Internet-Hygiene. Er würde aber bereits viel dazu beitra­gen, das Volumen der DDoS-Datenströme zu verrin­gern.

Wie setzen Unter­neh­men 2017 eine wirksame Cybersicherheits-Strategie am besten um?

Präven­tiv und somit voraus­schau­end zu planen wird der Schlüs­sel sein. »Abwar­ten und Tee trinken« – sprich, sich auf einem eher reakti­ven Ansatz verlas­sen, wird bei der Art von DDoS-Angriffen, mit denen wir heutzu­tage rechnen müssen, nicht mehr ausrei­chen. Von zukünf­tig vorstell­ba­ren Szena­rien gar nicht zu reden. DDoS-Angriffe gänzlich zu unter­bin­den ist nahezu unmög­lich. Hacker sind in diesem Bereich schwer dingfest zu machen. Umgekehrt ist es leider nicht beson­ders schwie­rig oder kostspie­lig eine DDoS-Attacke zu lancie­ren. Wir können also getrost davon ausge­hen, dass DDoS-Angriffe eher mehr als weniger werden. Was uns aller­dings zur Verfü­gung steht sind Techno­lo­gien mit denen sich Angriffe aufde­cken und blockie­ren lassen bevor sie komplette Netzaus­fälle oder geschäfts­schä­di­gende Service-Unterbrechungen verur­sa­chen. Solche Appli­an­ces sitzen direkt an der Netzwerk­grenze und überwa­chen den komplet­ten Daten­strom. So sind sie in der Lage DDoS-Traffic zu erken­nen und nahezu in Echtzeit zu blockie­ren. Der Vorteil: der betref­fende Daten­strom wird nicht erst tiefer ins Netzwerk gelas­sen um ihn von dort aus beispiels­weise in ein Scrubbing-Center umzulei­ten. Dazu kommt, dass dann in jedem Fall eine mensch­li­che Inter­ven­tion notwen­dig wird, die zusätz­lich Zeit kostet. Firmen und IT-Sicherheitsabteilungen sollten sich angesichts der Entwick­lung bei DDoS-Angriffen nicht länger auf inzwi­schen veral­tete Techno­lo­gien verlas­sen. Mit ihnen kommt man einer derart breiten Palette von mögli­chen und enorm schäd­li­chen DDoS-Angriffen nicht bei. Unter­neh­men riskie­ren den Ausfall von Verbin­dun­gen und können nicht sicher­stel­len, dass legiti­mer Traffic weiter­hin sein Ziel erreicht.

Wie berei­ten Unter­neh­men sich am besten auf die für 2017 prognos­ti­zier­ten Bedro­hun­gen vor?

Ein Unter­neh­men ist immer nur so gut gegen neuar­tige Bedro­hun­gen gewapp­net wie es in der Lage ist, bestimmte Netzwerk-Events recht­zei­tig zu erken­nen und einzu­ord­nen. Zeitge­mäße Lösun­gen zur Abwehr von DDoS-Bedrohungen gewäh­ren ununter­bro­chen die nötige Netzwerk­trans­pa­renz. Firmen erken­nen auftre­tende DDoS-Vorfälle unmit­tel­bar ebenso wie langfris­tige Trends. Die Ergeb­nisse einer Analyse erlau­ben es dann, die eigenen Sicher­heits­maß­nah­men recht­zei­tig anzupas­sen und poten­zi­elle Entwick­lun­gen mit zu berück­sich­ti­gen. Insbe­son­dere, was das frühzei­tige erken­nen, filtern und blockie­ren des Schad-Traffics angeht.

Kann man das Zerstö­rungs­po­ten­zial quanti­fi­zie­ren?

Die Folge­kos­ten nur einer einzi­gen DDoS-Attacke bezif­fern sich für große Unter­neh­men auf etwa 444.000 US-Dollar. Kosten für entgan­gene Umsätze und Kosten für die IT. Man braucht nicht viel Fanta­sie um sich vorzu­stel­len welchen ökono­mi­schen Schaden solche Angriffe anrich­ten könnten.

Wie schät­zen Sie den Stellen­wert von Cyber­kri­mi­na­li­tät für Unter­neh­men, aber auch für Behör­den und Regie­run­gen ein?

DDoS-Angriffe werden sicher­lich in der Priori­tä­ten­liste ganz nach oben rutschen. Vor allem, wenn man sich das Poten­zial von Multi-Vektor-Angriffen im Terabit-Bereich ansieht. Sowohl für Firmen als auch für Behör­den und Regie­run­gen.

Ist eine gewisse »Naivi­tät« in den Chefeta­gen weiter­hin verbrei­tet, wenn es um einen strate­gi­schen Ansatz für Cyber­si­cher­heit geht?

Noch vor etwa einem Jahr hätte ich die Frage wahrschein­lich mit »Ja« beant­wor­tet. Das sieht heute anders aus. Nicht zuletzt durch die vielen schlag­zei­len­träch­ti­gen Angriffe in jüngs­ter Zeit. Unsere Erfah­rung ist, dass die Führungs­ebene den Weckruf gehört hat und jetzt reagiert.