Gastblog: „E-Commerce-Mafia“, Erpressung – Datendiebstahl – Vandalismus: Was nun?

Es klingt wie ein reißerischer Hollywood-Film: „Keiner ist sicher vor der E-Commerce-Mafia“. Wer jedoch dachte, Erpressung, Datendiebstahl und Vandalismus durch Cyberattacken gäbe es nur in der Fiktion oder in Einzelfällen, der irrt gewaltig.

Eine im Mai 2014 veröffentlichte Studie der Universität Regensburg über die „Informationssicherheit im E-Commerce 2014“, die im Auftrag von ibi research erstellt wurde, enthüllt erschreckende Daten über den deutschsprachigen E-Commerce-Markt. Demnach wurde etwa jedes fünfte der befragten Unternehmen bereits erpresst, und ebenfalls jedes fünfte Unternehmen um sensible Daten bestohlen. Rund 20 Prozent der Online-Shops wurden gehackt und sogar jedes dritte Unternehmen hatte bereits Kontakt mit Erpressung, Datendiebstahl oder Hackern. Es betrifft nicht nur die „Großen“. Die Zahlen zeigen, es betrifft alle E-Commerce-Unternehmen.

Noch alarmierender zeigt sich die Situation, wenn man einmal genauer nachfragt: Fast 12 Prozent der Online-Shops geben an, dass sie zunächst mittels DDoS-Attacken angegriffen und anschließend mit Lösegeld-Forderungen erpresst wurden. Und schlimmer noch: einige Unternehmen werden sogar regelmäßig Opfer solcher Erpressungen. Eine neue Form der Mafia ist dabei sich zu organisieren: die E-Commerce-Mafia. Und das ist leider kein Hollywood-Film, sondern Realität.

Wie die Angriffe erfolgen? Es handelt sich häufig um Angriffe durch für Standardsysteme unbezwingbare Datenmengen – sogenannte DDoS-Angriffe! Bei diesen Distributed-Denial-of-Service (DDoS) Angriffen wird die Dienstverweigerung eines Systems ganz einfach durch die Überflutung mit großen Datenmengen erzielt. Dabei gibt es verschiedene Möglichkeiten, ein System zu überlasten: Sei es durch große Mengen an unvollständigen TCP-Systemverbindungen, durch große IP-Pakete oder durch automatisch generierte Anfragen zu Webseiten, welche die Zielsysteme – in diesem Fall Onlineshops – nicht mehr verarbeiten können.

Im Unterschied zu einer DoS-Attacke, bei der Angriffe von nur einem Rechner ausgehen, liegt den DDoS-Attacken ein verteilter Aufbau zugrunde. Ein Script zur Ausführung eines Angriffs wird einfach auf viele Hosts verteilt. Diese dazwischen geschalteten Wirte werden in Hacker-Kreisen auch als „Zombies“ oder „Bots“ bezeichnet. So entstehen ferngesteuerte Netze aus miteinander kommunizierenden Bots – die sogenannten Botnetze.

Auch wenn jeder einzelne Host nur über eine vergleichbar schwache Netzwerkleitung verfügt, kann der Angreifer durch eine strukturierte Vorgehensweise von mehreren Stellen aus angreifen. Dabei wird die Netzwerklast so groß, dass auch Server mit einer hohen Bandbreite sozusagen „in die Knie“ gehen.

Was also können Onlineshops dagegen tun? Es gibt schlicht nur drei Möglichkeiten: Den Täter finden und zur Rechenschaft ziehen oder sich wirksam vorher schützen – oder beides. Vorbeugen ist immer besser als Reparieren!

Nur wie können Shops sich wirksam gegen DoS- oder DDoS-Angriffe schützen? In einigen Systemen ist es möglich, die Anzahl der Versuche, ein ACK-Paket (Acknowledgement) vom Server aus zu versenden, zu verringern. Eine andere Variante wäre, die maximal zulässige Anzahl an halboffenen TCP-Verbindungen zu beschränken. Mit beiden Ansätzen werden die vom Server bereitgestellten Ressourcen zur Herstellung von Verbindungen geschont. Der Nachteil ist, dass diese Maßnahmen auch negative Auswirkungen auf normale Benutzer haben, die aufgrund einer langsamen Internetverbindung mehr Zeit für die Durchführung des Three-Way-Handshakes benötigen.

Eine weitere Möglichkeit ist es, die Anzahl der Sockets – also der bidirektionalen Software-Schnittstellen zur Netzwerk-Kommunikation – zu erhöhen. Multiple Sockets ermöglichen es, mehrere Verbindungen gleichzeitig herzustellen. Die Wahrscheinlichkeit, dass ein Angreifer so viele SYN (Synchronize)-Pakete schickt, dass dabei alle Sockets belegt werden, wird dadurch minimiert. Diese Maßnahmen mindern zumindest die Risiken, aber sie sind bei Weitem nicht ausreichend und auch nicht für alle Unternehmen umsetzbar.

Die bessere Alternative: Auslagern an vertrauenswürdige Managed Services Provider. Aber Achtung: Gehen Sie dabei sicher, dass diese Provider unter anderem über die entsprechende Infrastruktur und die einzige international anerkannte Norm für Informationssicherheit ISO/IEC 27001 verfügen. Dass Shops sich durch Auslagerung wirkungsvoll schützen können, zeigen auch die Zahlen der ibi-Studie: Trotz der hohen Angriffsrate auf alle Onlineshops waren nur 7,7 Prozent der ausgelagerten Miet-Shops betroffen.

Doch über welche Schutzmechanismen sollten Managed Service Provider verfügen? Spezialisierte Anbieter arbeiten zum Beispiel mit sogenannten Core-Caching-Diensten. Diese ermöglichen es, statische Objekte der Onlineshops zwischen zu speichern und mittels einer Vielzahl von Systemen beschleunigt an den Endkunden zu verteilen. Bei einem Ausfall von einem oder mehreren Front-Servern des einzelnen E-Commerce-Anbieters bleiben die im Cache enthaltenen Objekte im Ernstfall über mehrere Stunden verfügbar. Angriffe auf Webseiten werden bereits über den Caching Layer abgewehrt. Hierbei kommt das sogenannte Scrubbing zur Anwendung. Beim Scrubbing wird der Datenverkehr durch spezielle Geräte und Mechanismen im Provider Backbone um maliziöse Daten „gesäubert“ bevor er an die jeweilige Zielwebsite weitergeleitet wird. Dadurch sind die Systeme vor direkten Angriffen geschützt und auch bei einer großen DDoS-Attacke erreichbar.

Entscheidend für die Wahl eines Service Providers sind auch dessen technische Ausstattung und die Anbindung seines Backbones. Der Backbone des Managed Service Providers Claranet beispielsweise ist mehrfach mit zehn Gigabit an den weltgrößten Internetaustauschknoten DE-CIX in Frankfurt und zusätzlich an weitere europäische Peering-Punkte wie LINX, AMSIX und PARIX, sowie an verschiedene Upstream-Provider, angebunden. Die Claranet Managed Services Plattform auf Basis von Nutanix ist ebenfalls redundant mit vier Mal zehn Gigabit mit dem Backbone verbunden und mit einem speziell von Claranet entwickelten Framework (Web Acceleration & DoS Protection) gesichert. WADP, das als Kernkomponente den Caching-Layer der Claranet sowie mehrere DDoS-Protection Appliances von Arbor Networks verwendet, schützt die Plattformen und den Backbone zuverlässig gegen DDoS-Angriffe. Ein umfassendes Monitoring signalisiert eventuelle Angriffe, um definierte Vorgehensweisen unverzüglich ausführen zu können. Die hinter der DDoS-Protection geschalteten transparenten Firewalls verfügen zusätzlich über einen speziell entwickelten ASIC-Prozessor (Application Specific Integrated Circuit), der den Schutz vor ungewolltem Traffic zusätzlich erhöht.

Solche Sicherheitsmaßnahmen sind auch für größere Unternehmen oft nur schwer zu realisieren und mit hohen Kosten verbunden. Deshalb lautet mein Fazit: Prävention durch Auslagerung!

Foto_Fabian Kaiser_swAutor
Fabian Kaiser ist Head of Security & Compliance bei Claranet und verantwortet die Bereiche IT-Sicherheit, Datenschutz, Legal und Compliance. Zusätzlich ist er seit zwei Jahren als Chief Information Security Officer (CISO) tätig. Kaiser ist Mitglied bei der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD).

Mit integrierten Hosting- und Netzwerk-Services unterstützt Claranet Unternehmen, sich auf ihr Kerngeschäft statt auf den Betrieb von IT-Infrastrukturen zu konzentrieren. Gartner positionierte Claranet im „Magic Quadrant 2014“ als ein führendes Unternehmen für Cloud-Enabled Managed Hosting in Europa. Der Managed Service Provider unterhält 32 Rechenzentren in Europa und betreibt große Hosting-Umgebungen, beispielsweise in den Bereichen Big Data, Portale und eCommerce für Kunden wie Leica, Aktion Mensch, N24, Flaconi und Outletcity Metzingen. Claranet ist gemäß der internationalen Norm für Informationssicherheit ISO/IEC 27001 zertifiziert. Weitere Informationen über Claranet gibt es unter www.claranet.de.

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.