Netzwerksichtbarkeit als Schlüssel zur Abwehr von DDoS-Angriffen

Was ist DDoS?

Ein DDoS-Angriff (Distributed Denial of Service) ist ein Cyberangriff, bei dem mehrere kompromittierte Systeme, die häufig Teil eines Botnetzes sind, ein Ziel, z. B. einen Server oder ein Netzwerk, mit überwältigendem Datenverkehr überfluten. Diese übermässige Belastung führt dazu, dass das Ziel langsam oder gar nicht mehr erreichbar ist und die Dienste für legitime Benutzer unterbrochen werden. Häufig werden DDoS-Angriffe zur Sabotage von Unternehmen oder als eine Form der Erpressung eingesetzt.

Überblick: DDoS-Bedrohungslage in der DACH-Region

Im zweiten Quartal 2024 wurde die DACH-Region (Deutschland, Österreich und die Schweiz) mit einer auffälligen Zunahme von Cyberangriffen konfrontiert, wobei besonders DDoS-Angriffe im Fokus standen. Diese Art von Angriff überlastet Netzwerke durch eine enorme Flut an schädlichem Datenverkehr. Die Zahlen sprechen für sich: In Deutschland stiegen die Angriffe im Vergleich zum Vorjahr um 30 %, in Österreich sogar um alarmierende 66 %. Selbst in der Schweiz, wo die Lage etwas stabiler erscheint, gab es immer noch einen Anstieg um 25 %. Was besonders auffällt, ist die Zunahme von Ransom-DDoS-Angriffen. Hierbei fordern Angreifer Lösegeld, um von einem Angriff abzusehen, der die Verfügbarkeit kritischer Systeme lahmlegen würde. Allein im Mai 2024 meldeten 16 % der betroffenen Unternehmen solche Erpressungsversuche.

Dieses Phänomen zeigt ein zentrales Problem auf: Viele Unternehmen, insbesondere aus den Bereichen IT und Telekommunikation, haben nach wie vor keine ausreichende Netzwerksichtbarkeit. Ohne diese umfassende Transparenz ist es nahezu unmöglich, Angriffe in grossem Stil zu erkennen und schnell darauf zu reagieren.

Die Grenzen traditioneller Sicherheitslösungen

DDoS-Angriffe sind darauf ausgelegt, ihre Zielsysteme zu überfordern. Sie nutzen oft riesige Botnetze – Netzwerke aus kompromittierten Geräten – um in kürzester Zeit eine immense Anzahl an Anfragen an ein einzelnes Ziel zu senden. Diese Flut kann Websites, Services und sogar komplette Unternehmensnetzwerke lahmlegen.

Viele Unternehmen verlassen sich nach wie vor auf klassische Sicherheitslösungen wie Firewalls, IDS (Intrusion Detection Systems) und IPS (Intrusion Prevention Systems) to protect themselves. Doch diese haben spezifische Schwächen:

• Firewalls/EDRs: Sie fungieren als Wächter und blockieren oder erlauben Verkehr basierend auf vordefinierten Regeln. Wenn bei einem Angriff jedoch die Anzahl eingehender Anfragen zwar massiv, aber auf den ersten Blick legitim erscheint, wird auch eine Firewall überrannt und kann den bösartigen Datenverkehr nicht mehr zuverlässig filtern.
• IDS/IPS: Diese Systeme erkennen Bedrohungen auf Basis bekannter Muster. Sie scannen also nach Signaturen, die mit bereits bekannten Angriffen übereinstimmen. Dies funktioniert gut bei bekannten Bedrohungen, stösst aber an seine Grenzen, wenn es um neue oder stark veränderte Angriffsmuster geht.

Das Hauptproblem ist, dass diese Angriffe nicht starr sind. Sie entwickeln sich weiter, nutzen unbekannte Angriffsmuster und multiple Vektoren, um traditionellen Abwehrmassnahmen zu entgehen. Sich ausschliesslich auf statische Regeln zu verlassen, führt dazu, dass Unternehmen vor raffinierten oder neuartigen Angriffen praktisch „blind“ sind.

Network Detection and Response (NDR) als Antwort

Um diesen Herausforderungen zu begegnen, ist ein anderer Ansatz erforderlich, der weniger auf statischen Regeln basiert und mehr auf die Erkennung ungewöhnlicher Verhaltensmuster ausgerichtet ist. Hier kommen NDR- Systeme wie ExeonTrace ins Spiel.

Anders als herkömmliche Systeme sucht ExeonTrace nicht nur nach bekannten Bedrohungen. Es lernt kontinuierlich, wie der „normale“ Datenverkehr in einem Netzwerk aussieht und markiert alle Abweichungen, was es besonders effektiv gegen DDoS-Angriffe macht. Hier ein genauerer Blick auf die Funktionsweise:

1. Vollständige Überwachung des Datenverkehrs: ExeonTrace überwacht und analysiert den gesamten Datenverkehr, der in das Netzwerk eintritt oder es verlässt. Diese umfassende Sicht ermöglicht es, selbst subtile Anzeichen eines Angriffs zu erkennen.
2. Verhaltensbasierte Analyse: Mithilfe von Algorithmen des maschinellen Lernens wird eine Basislinie für das typische Netzwerkverhalten erstellt. Steigt der Datenverkehr plötzlich an oder werden bestimmte Protokolle missbraucht, schlägt das System Alarm.
3. Reaktion in Echtzeit: Durch die Fähigkeit, verdächtigen Datenverkehr sofort zu klassifizieren und das SOC-Team in die Lage zu versetzen, sofortige Gegenmassnahmen zu ergreifen - wie etwa die Drosselung oder Umleitung des Datenverkehrs - kann ExeonTrace die Auswirkungen eines Angriffs minimieren, bevor der Angriff das System lahmlegt.

Warum NDR traditionelle Lösungen übertrifft

NDR hebt sich in drei entscheidenden Punkten von herkömmlichen Abwehrsystemen ab:

• Umfassende Netzwerksichtbarkeit: Es geht nicht nur darum, den Datenverkehr zu sehen, sondern ihn zu verstehen. Mit NDR können Unternehmen tief in ihre Netzwerke eintauchen und nachvollziehen, wer Daten sendet, welche Protokolle verwendet werden und wo Anomalien auftreten.
• Kontextbasierte Echtzeit-Korrelation: Er reagiert nicht nur auf aktuelle Vorfälle, sondern kann dank historischer Daten auch längerfristige Muster erkennen, die auf bevorstehende Angriffe hinweisen.
• Adaptives Lernen: Während herkömmliche Systeme auf bekannte Signaturen angewiesen sind, entwickelt sich NDR kontinuierlich weiter. Es ist in der Lage, neue Angriffsvektoren zu erkennen, die ansonsten unentdeckt blieben.

NDR im Kampf gegen Ransom-DDoS-Angriffe

Fazit: Warum Netzwerksichtbarkeit für moderne Sicherheitsarchitekturen unverzichtbar ist

Mit der zunehmenden Komplexität und Häufigkeit von DDoS-Angriffen reicht ein statischer Ansatz nicht mehr aus. Eine dynamische Netzwerksichtbarkeit, wie sie durch NDR-Lösungen ermöglicht wird, bietet die erforderliche Tiefe und Reichweite, um diese Bedrohungen frühzeitig zu erkennen und abzuwehren.