Ist Ihr Web-Shop gut für das Weihnachtsgeschäft gerüstet? Verfügbarkeit und Performance sind entscheidende Erfolgsfaktoren, die permanent sichergestellt werden müssen. Denn schwere Serverüberlastungen in Form von DDoS-Attacken können Ihr E-Business in dieser umsatzstarken Zeit lahmlegen. Wenn Sie DDoS-Abwehr bislang noch nicht auf Ihrer Agenda haben, sollten Sie die IT-Sicherheit Ihres Shops noch einmal überdenken, mahnt Raymond Hartenstein, Security-Experte bei Link11, in einem Gastbeitrag für etailment.

Online-Shops sind ein beliebtes Ziel von Cyberkriminellen. Mal mit, mal ohne Vorwarnung versuchen sie Webseiten mit DDoS-Attacken in die Knie zu zwingen. Oft stecken Erpressungsversuche oder mit der Attacke einhergehender Datendiebstahl dahinter. In Deutschland war bereits jeder achte Shop in dieser Form von Internetkriminalität betroffen, zeigt eine aktuelle Studie von ibi Research.
Doch soweit muss es nicht kommen. Shop-Betreiber können sich schützen. Das bedeutet zuallererst sich über DDoS-Attacken zu informieren, um ihre geschäftsbedrohende Wirkung zu verstehen.
Einem Bombenhagel gleich prasseln bei einem DDoS-Angriff manipulierte Anfrage auf den Online-Shop ein. Grafik: Link11
Einem Bombenhagel gleich prasseln bei einem DDoS-Angriff manipulierte Anfrage auf den Online-Shop ein. Grafik: Link11


Was sind DDoS-Attacken?
Bei DDoS (Distributed Denial of Service)-Attacken werden Shops und Online-Services mit manipulierten Anfragen regelrecht bombardiert. Die Folge: Die Leitung ist verstopft, der Datenverkehr in beide Richtungen blockiert. Hinter den Angriffen stehen statt legitimer User-Anfragen gekaperte Rechner, die in sogenannten Botnetzen zu mehreren Tausenden zusammengeschaltet werden. Besonders in der Weihnachtszeit, in der die Shop-Server durch regulären Käufer-Traffic ohnehin stark ausgelastet sind, kann ein zusätzliches Anfrage-Bombardement zum Ausfall der Systeme führen. Bei großen Shops sind so schnell Umsatzverluste im 6-stelligen Bereich zu verzeichnen. Für kleine und mittelständische Webhändler kann eine mehrstündige oder gar mehrtägige Abtrennung vom Netz schon existenzbedrohend sein.

Im Angriffsfall ist viel zu tun
Natürlich kann man darauf hoffen, dass der eigene Shop nicht ins Visier von Cyberkriminellen gerät. Aus ökonomischer Sicht ist das Ausblenden der Gefahr jedoch als grob fahrlässig einzustufen. Denn spätestens, wenn DDoS-Attacken auf einen unvorbereiteten und ungeschützten Shops prallen, müssen Management und interne IT sehr großen personellen und materiellen Aufwand leisten, um den Schaden zu begrenzen. Das zeigt das Beispiel eines Notfallplans:
Notfallpläne können die Schäden von DDoS-Attacken begrenzen, sie verhindern sie aber nicht. (Grafik: Link11)
Notfallpläne können die Schäden von DDoS-Attacken begrenzen, sie verhindern sie aber nicht. (Grafik: Link11)


Firewalls schützen nicht vor DDoS-Attacken
Neben solchen Notfallplänen gibt es zwar einfache Methoden, die vermeintlich DDoS-Angriffe abwehren. Nur wenige davon sind aber wirklich wirksam. Firewalls können wie ein Flaschenhals in der Regel schnell überlastet werden und schützen daher nur unzureichend gegen DDoS-Angriffe. Die Firewall regelt die externen Zugriffe auf Anwendungen und geht dabei nach einem strikten Regelwerk vor. Gibt es zu viele Anfragen, ist die Firewall überlastet. Denn der permanente Abgleich mit dem Regelwerk benötigt entsprechend Ressourcen. Als Ergänzung zur Firewall werden häufig Intrusion Detection Systeme (IDS) eingesetzt. Diese stoßen besonders bei neuartigen Angriffen schnell an ihre Grenzen.

Das DDoS-Risiko zuverlässig eliminieren
Professionelle DDoS-Schutzlösungen halten hingegen genügend Ressourcen vor, um auch großvolumige und lang anhaltende DDoS-Attacken abzuwehren. Sie allein sichern Performance und Verfügbarkeit von Online-Shops ab. Erkennen die Systeme einen Angriff, setzen sofort die Abwehrmechanismen ein. Sie blockieren die manipulierten Anfragen und lassen nur den legitimen Datenverkehr in Richtung Webshop passieren. Professionelle Schutzlösungen sind außerdem so flexibel, dass sie auch neue Angriffsszenarien zuverlässig erkennen und erfolgreich abwehren.

Drei Methoden haben sich durchgesetzt, die einen wirksamen Schutz bieten können:

Hardware: Es wird ein Gerät (DDoS-Appliance) vor Ort in der Infrastruktur des Unternehmens integriert. Solange die physikalische Netzwerkanbindung groß genug ist, funktioniert diese Lösung. Sobald das Datenvolumen des Angriffs die Kapazität der Anbindung überschreitet, ist die Hardware-Lösung im Nachteil.

CDN: Das Content Distribution Netzwerk (CDN) verteilt Inhalte der Webseite auf weltweit platzierte Server. Das hilft Lastenspitzen bis zu einem gewissen Level auszugleichen und abzufangen.

DDoS Cloud-Schutz: Der Datenverkehr für die Webseite wird schon weit vor einem Angriff über den externen Filter eines Dienstleisters geleitet und geprüft. Durch die permanente Analyse der Anfragen können Angreifer zuverlässig erkannt und sicher blockiert werden.
Im Angriffsfall prallen DDoS-Attacken nur an gut geschützten IT-Strukturen ab. (Grafik: Link11)
Im Angriffsfall prallen DDoS-Attacken nur an gut geschützten IT-Strukturen ab. (Grafik: Link11)

Moderner DDoS-Schutz ist dabei wirtschaftlicher als viele glauben. Er rechnet sich durch flexible Preisgestaltung auch für kleine Unternehmen.

Wenn Sie mehr über die Bedrohungslage durch DDoS-Attacken und ihre Abwehrmöglichkeiten erfahren wollen, lesen Sie das Link11 Whitepaper „Best Practice Ansätze zum DDoS-Schutz“.