Zum Inhalt springen
Microsoft Branchenblogs

Lange Zeit herrschte die allgemeine Meinung, dass eine lokale IT-Infrastruktur mit einem umfangreichen Sicherheitsperimeter viel sicherer ist als die Cloud. Mit einer steigenden Anzahl an umfangreichen Angriffen beginnt sich diese Wahrnehmung jedoch zu ändern. Die Vorteile der Economy of Scale einer Cloud bieten klare Vorteile: Microsoft nutzt diese technisch sowie wirtschaftlich und investiert jährlich über 1 Milliarde nur in Cybersicherheit und beschäftigt über 3.500 dedizierte Cybersecurity Experten und kann so eine deutlich höhere Sicherheit im Vergleich zur lokalen IT-Infrastruktur/Rechenzentrum leisten.
In den letzten Wochen waren besonders Angriffe durch sogenannte DDoS Attacken aufgetreten, auch hier bietet die Cloud von Microsoft besseren Schutz.

 

Ein Mann an einem Geldautomaten

 

Was ist überhaupt eine DDoS Attacke:

Bei einer sog. DDoS Attacke („Distributed-Denial-of-Service“) wird eine Anwendung mit scheinbar normalen Zugriffen von einer massiven Anzahl unterschiedlicher IP-Adressen „bombardiert“. Gelingt es dem Angegriffenen nicht, die Attacke rechtzeitig zu erkennen und abzuwehren, bricht die Anwendung unter der Last der vielen Aufrufe unterschiedlicher Herkunft zusammen. Herausforderungen dabei sind diese Attacke rechtzeitig zu erkennen (denn theoretisch kann es sich auch um legitime Zugriffe handeln) und reagiert die Anwendung nicht zeitnah auf Nutzeraufrufe, versuchen diese die Anwendung wieder und wieder zu laden. Damit wird die DDoS Attacke indirekt verstärkt.

Es gibt 3 Arten von DDoS-Angriffstypen:

  1. Volumetrische Angriffe – Brute-Force-Angriffe, die Netzwerke und Ressourcen sättigen.
  2. Protokollangriffe – Auslasten von Servern oder Intermediären wie Firewalls und Load Balancer.
  3. Ressourcenangriffe – zielen auf die Anwendungsebene ab und beinhalten das Auslösen eines Back-End-Prozesses, um Ressourcen auf dem Zielsystem zu überfordern.

Inzwischen müssen Angreifer nicht einmal mehr ein eigenes Botnet bauen, sondern können einfach einen DDoS-as-a-Service für weniger als 100 USD für 24 Stunden im Dark Net kaufen. Da die Investition so gering ist, gibt es sicherlich interessante Geschäftsfälle mit einer positiven Kapitalrendite.
Eine Motivation von DDoS-Angriffen kann zum einen sein, einem Unternehmen zu schaden und dessen Services für eine gewisse Zeit unzugänglich zu machen. DDoS-Angriffe erzeugen aber auch viel Lärm und werden daher oft als Ablenkungsmanöver verwendet und versteckt Infiltrationsangriffe auf das interne Netzwerk durchzuführen. Daher sollten DDoS-Angriffe vor allem im Kontext betrachtet werden. In diesem Zusammenhang ist es also wichtig, die Identitäten zu schützen und das Eindringen eines Angreifers in das interne System zu verhindern.

 

Sicherheitsmaßnahmen in der Microsoft Cloud

Microsoft hat eine widerstandsfähige Cloud Architektur, eine tiefgehende Verteidigungsstrategie, die eine Zusammenarbeit mit Kunden, Partner Lösungen, Sicherheitskontrollen kombiniert und darüber Identitäten, Netzwerk, Systeme und Daten schützen. Zudem stellt Microsoft umfangreiche Werkzeuge für ein Sicherheitsmanagement und Threat Protection zur Verfügung. Ein Aufdecken von Eindringlingen erfolgt so in wenigen Minuten anstelle der durchschnittlichen 141+ Tage (Stand 2017) in lokalen IT-Infrastrukturen.

 

Wie kann die Microsoft Cloud nun konkret gegen DDoS Angriffe schützen?

In vielen Meldungen zu Maßnahmen gegen DDoS Angriffen heißt es: es helfe „endlose“ Serverkapazität und richtig viele, gute IT-Sicherheitsexperten. Beide Kriterien sind also bereits mit Microsoft Cloud Lösungen erfüllt, wie eingangs beschrieben.
Darüber hinaus verfügt die Microsoft Cloud Plattform über ein Abwehrsystem zum Schutz vor DDoS-Angriffen, um Angriffen, die sowohl von außerhalb als auch innerhalb der Plattform generiert werden, zu widerstehen.
Der grundlegende DDoS-Schutz ist automatisch als Teil der Azure Plattform aktiviert. Die sog. Azure „DDoS Protection Basic“ bietet eine ständige Datenverkehrsüberwachung mit nahezu Echtzeiterkennung eines DDoS-Angriffs. Die „DDoS Protection“ steuert dem Angriff automatisch entgegen, sobald dieser systemseitig erkannt wird. Sowohl die Ressourcen als auch deren normale Auslastung sind der DDoS Protection bekannt und im Laufe der Zeit werden die gewöhnlichen Auslastungsmuster automatisch erlernt und weiter verfeinert. Steigt die Last also über die normale Nutzung an, setzt die DDoS Mitigation ein:

Während der Mitigation werden die folgenden Checks durchgeführt:

  • Sicherstellung, dass die Pakete vorgegebenen Spezifikationen entsprechen
  • Interaktion mit dem Client, um festzustellen, ob die Pakete potentiell „gespoofed“ wurden
  • Limitierung der Pakete, wenn keine andere Möglichkeit besteht

„Azure DDoS Protection Standard“ ist ein optionaler Dienst, der zusätzliche Abwehrfunktionen bereitstellt und speziell auf die Azure Virtual Network-Ressourcen abgestimmt ist. Dazu gehören Echtzeit-Angriffsmetriken und Diagnoseprotokolle, Berichte zur Abwehr durchgeführter/versuchter Angriffe, nahezu Echtzeit-Protokolldaten für die Integration von Sicherheitsinformationen und Ereignismanagement (SIEM) sowie der Zugriff auf DDoS-Experten während eines aktiven Angriffs.
„DDoS Protection Standard“ überwacht die Auslastung und vergleicht sie dauerhaft mit dem Grenzwert, der in einer DDoS Policy definiert ist. Wird der Grenzwert überschritten, starten die Gegenmaßnahmen automatisch, fällt die Last wieder unter den Grenzwert, wird sie auch automatisch beendet.
Der DDoS Protection Dienst lässt die Datenpakete unberührt (kein Aufbrechen, kein Auslesen). Vor allem bleiben die Daten in der gewählten Region, z.B. Europa oder Deutschland oder in der (lokalen) IT-Infrastruktur des Kunden.
Weiterführende Informationen zur DDoS Protection und zum Schutz vor DDoS Attacken finden Sie hier.

 

Weitere Sicherheitsmaßnahmen

Darüber hinaus hat Microsoft das weltweit größte Malwarecenter, steht in direkter Zusammenarbeit mit den National Security Operations Center und ist seit 2014 Partner des „Financial Services Information Sharing and Analysis Center“ (FS-ISAC). So wurde weltweit mehr als 1/3 ernstzunehmender Attacken durch Microsoft identifiziert und Kunden sowie Behörden entsprechend informiert sowie unterstützt.

 

Unser Microsoft Financial Services Newsletter bringt Ihnen regelmäßig die wichtigsten Neuerungen aus dem Finanz- und Versicherungswesen direkt in Ihr Postfach. Melden Sie sich jetzt hier an und verpassen Sie keine News mehr.