In unserem kürzlich veröffentlichten Gratis-Ratgeber „Nachgefragt: DDoS-Schutzgelderpressung – was tun?“ beschrieben wir, dass die Methoden von Cyberkriminellen immer ausgefeilter werden: Bislang waren DDoS-Angriffe meist von Rechnern aus typischen „Angreiferländern“ ausgeführt worden, so dass oft schon ein einfaches Blockieren der entsprechenden Länder-IPs ausreichte, um Angriffen die Schärfe zu nehmen. Mittlerweile aber wird immer öfter mittels Botnetzen in Deutschland angegriffen – ein einfaches „Aussperren von Länder-IPs“ verbietet sich dann als Gegenmaßnahme, denn so würde der Shop auch allen echten Kunden verschlossen.
Für Kriminelle sind verseuchte (und damit fernsteuerbare) Computer in Deutschland mithin besonders wertvoll und deutsche Botnetze zu mieten war bislang vergleichsweise teuer. Doch die Preise könnten fallen, denn immer mehr Rechner werden hierzulande verseucht und von Kriminellen übernommen, wie Microsoft laut Heise News festgestellt hat:
Damit hat sich die Zahl der für Angriffe oder zum Spamversand nutzbaren Computer in Deutschland mehr als verdoppelt. Der Grund für die schnelle Zunahme ist, dass Cyberkriminelle immer ausgefeilter vorgehen, schließlich bilden Botnetze die Basis ihres „Geschäftsmodells“. Aktuell wird vor allem Java als Einfallstor zur Übernahme von Computern genutzt.
Die Abwehr von DDoS-Attacken könnte also zunehmend schwierig werden, zumal die Täter auch die Art der Angriffe laufend „verbessern“ – indem beispielsweise statt eines reinen TCP SYN Flooding, „saubere per TCP Handshake etablierte Verbindungen […] die von einem Botnet zugehörigen Zombi Hosts initiiert wurden“ eingesetzt werden. (Bericht von Host Europe über detektierte und abgewehrte Angriffe)
Herzlich aus Hürth
Nicola Straub
Lädt...
DSGVO: Dem Monster ins Gesicht sehen
Nachgefragt: DDoS-Schutzgelderpressung – was tun?
Sichere Bereitstellung von Online-Werbung: 10 Tipps vom IT-Sicherheitsexperten
Andy meint
Ja, eine solche Erpressung ist eine ganz miese Nummer, vor allem weil man ziemlich machtlos dagegen ist, natürlich ausser die den Webhostern allbekannten Gegenmaßnahmen.
Aber mal ganz ehrlich, wenn ich da anfange mich erpressen zu lassen, kann ich meinen Laden sowieso dicht macht, oder? Zuimindest ist das meine Meinung. Denn wenn das mal anfängt und für die Erpresser auch noch gut funktioniert, dann werden das ganz sicher nicht die letzten sein bzw. dann werden die ganze sicher nochmal zu mir kommen.
Ich bin kein TEchniker, deshalb ist es für mich schwer vorstellbar das es wirklich keine sichere Gegenmaßnahme zum Schutz solcher Attacken machen kann. Es muss doch technisch machbar sein….???
dieter meint
Es ist dankenswert, daß durch diesen Artikel eine Form der organisierten Kriminalität beleuchtet wird. Leider sind
die Provider – ganz anders als in diesem Fachartikel beschrieben – alles andere als darauf vorbereitet, wie ich aus
eigener Erfahrung berichten kann.
Im Oktober letzten Jahres wurde mein Onlineshop erstmals von einer DDOS-Attacke betroffen. Bemerkt einfach erstmal nur
dadurch, daß die Webseite nicht erreichbar war. Die Rückfrage beim Provider ergab, daß von mehreren 10000 Computern
gleichtzeitig Anfragen auf den Server abgesendet wurden, wodurch dieser unter Überlast zusammenbrach. Da es shared
hosting war (mehrere Kunden auf einem Server) konnte nur durch Abschalten der Webseite bzw. Herausnahme der IP der
Serverbetrieb für die anderen gehosteten Seiten aufrechterhalten werden.
Also Suche nach einem Hoster für einen Server! Erste Erfahrung: man ist kein Kunde sondern Bittsteller, wenn man einem
aktuellen DDOS-Angriff ausgesetzt ist. Zitat Anbieter: „Bei einem DDOS-Angriff schalten wir den Server ab“. Schließlich
fanden wir einen Hoster, der mit Erfahrung in DDOS-Abwehr warb. Es dauerte noch fast eine Woche, bis der neue Hoster das
Problem halbwegs im Griff hatte, obwohl die Struktur der Angriffe eigentlich relativ simpel war. Die Frage, was da genau
für Maßnahmen ergriffen werden, wurde damit beantwortet, daß man dies aus verschiedenen Gründen nicht preisgeben könne.
Im März dieses Jahres war der Server wieder down. Eine Rückfrage beim Serverbetreiber ergab, daß aktuell ein Angriff mit
1,5 Gbit/s stattfindet und dieser Angriff nur durch ein Maßnahmenpaket für 1300 Euro im Monat abgewehrt werden könne.
Dieses Angebot erforderte die Suche nach Alternativen, zumal das Zutrauen in die Fähigkeit des Anbieters resultierend aus
der mangelhaften Einrichtung des Servers nicht so groß war.
Schließlich fand ich einen Provider in den USA, bei dem kein Webhosting erforderlich ist – die Seiten können also in
Deutschland auf dem vorhandenen Server gehostet bleiben. Es wird lediglich ein Proxyserver dort eingerichtet, der den
gesamten Datenverkehr empfangt, „wäscht“, und lediglich die sauberen Daten auf den Webserver durchläßt. Kosten: 750 US-
Dollar pro Monat, 1000 US-Dollar Einrichtungsgebühr. Es funkioniert.
Fakten:
1. Provider in Deutschland sind kaum darauf vorbereitet.
2. Wenn denn doch, kostet es deutlich mehr als in den USA.
3. Alle, mit denen ich in dieser Angelegenheit Kontakt hatte, rieten davon ab, eine Anzeige zu erstatten.
4. Die bisherigen direkten Kosten (ohne Umsatzausfälle und eigener verwendeter Zeit) betrugen seit Oktober 2010 ca. 10000
Euro.
Anmerkungen:
Die Angriffe kommen in Wellen und sind gezielt. Es gibt keine Erpresserbriefe, so daß man davon ausgehen kann, daß es
jemandem darum geht, die Webseite dauerhaft offline zu bringen und dafür einen Webseitenkiller angeheuert hat. Anfangs
ist man, wie Nicola Straub richtig bemerkt, sehr ratlos, aber auch weil der Rat der Fachleute
zunächst alles andere als ermutend und häufig falsch ist. Hier besteht erheblicher Nachholbedarf, damit man als
Webseitenbetreiber nicht auf sich alleine gestellt ist.