BSI gibt Empfehlungen zum Schutz vor DDoS-Angriffen

Kern der Empfehlung ist eine Liste von 6 Anbietern, deren DDoS-Abwehrdienste das BSI geprüft und für empfehlenswert befunden hat.

In Pocket speichern vorlesen Druckansicht 39 Kommentare lesen
Rechenzentrum

Bei DDoS-Angriffen versuchen Kriminelle, die Netzrechner ihrer Opfer mit einer Vielzahl von Anfragen zu überfluten und so in die Knie zu zwingen.

(Bild: dpa, Jens Wolf)

Lesezeit: 3 Min.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Kriterienkatalog zur Auswahl eines qualifizierten DDoS-Mitigation-Dienstleisters erstellt. Darüber hinaus präsentiert es eine Auswahl von sechs Dienstleistern, die es für geeignet hält, Firmen bei der Abwehr von DDoS-Angriffen zu unterstützen. Spannend ist dabei auch, welche Firmen in der Liste nicht auftauchen.

Als geeignete Dienstleister zur Abwehr von DDoS-Angriffen empfiehlt das BSI (in alphabetischer Reihenfolge):

  • Akamai
  • Arbor Networks
  • Deutsche Telekom
  • Link11
  • Myra Security
  • Vodafone

Um diese Liste zu erstellen, sichtete das BSI zunächst den Markt und forderte dann eine vollständige Dokumentation der bereitgestellten Dienste ein. Im letzten Schritt mussten die Anbieter zu mehrstündigen Fachinterviews antreten, in denen sie ihre Qualifikation nachweisen sollten. Von den prominenten Anbietern sind in diesem Verfahren offenbar Verisign und Cloudflare ausgeschieden. Das BSI hat zwar einen kompakten Kriterienkatalog veröffentlicht, den es bei der Bewertung zugrunde legte. Woran diese Anbieter dabei gescheitert sind, ist jedoch nicht ersichtlich.

Die im Katalog aufgeführten Kriterien zur Auswahl eines DDoS-Mitigation-Dienstleisters zielen vor allem auf Technik und Qualität der Dienste. Eine Ausnahme ist der vorletzte Punkt: "Der Dienstleister erfüllt die gleichen Datenschutzbestimmungen wie der Kunde." Er zielt darauf ab, dass man das Datenschutzniveau durch die den Einsatz eines solchen Dienstleisters nicht senken sollte.

Ein bei der Auswahl von DDoS-Mitigation-Services oft vernachlässigter Punkt ist dessen Vertrauenswürdigkeit und ein kontrollierter Umgang mit den eingeräumten Rechten. Denn letztlich muss man dem Dienstleister alle übers Netz transportierten Daten anvertrauen. Das geht so weit, dass man etwa die geheimen Schlüssel der zu schützenden Server übergeben muss, damit die vorgelagerten Reinigungsdienste verschlüsselte TLS-Verbindungen terminieren können. In vielen Fällen erfolgt das sogar präventiv – also auch ganz ohne akuten DDoS-Angriff.

Je wichtiger die Verfügbarkeit von Diensten und Infrastruktur für das Wohl und Wehe einer Firma ist, desto kritischer sind Denial of Service Angriffe (DoS), die darauf abzielen, diese lahmzulegen. Insbesondere die verteilte Variante der Distributed Denial of Service Attacken (DD0S), bei der oft viele tausende Bots einen Server angreifen, ist man in aller Regel auf externe Hilfe angewiesen, um das Problem in den Griff zu bekommen.

Cyber-Kriminelle setzen DDoS-Attacken unter anderem ein, um Firmen zu erpressen; aber auch gezielte Sabotage-Aktionen, etwa um einen Konkurrenten auszuschalten, kommen vor. Dabei muss sich der Verursacher nicht einmal selbst die Finger schmutzig machen: Die Betreiber von Bot-Netzen bieten DDoS-Angriffe gegen beliebige Ziele im Cyber-Untergrund als bezahlte Dienstleistung an. (ju)