Matthias, vielen Dank, dass du dir die Zeit für dieses Gespräch nimmst. Würdest du zu Beginn bitte kurz deinen Background und deine Kompetenz im Bereich DDoS-Attacken erläutern?
Sehr gerne. Natürlich habe ich bereits einige Schulungen des Herstellers erhalten. Ich würde aber sagen, dass mir vor allem meine Erfahrung im Umgang mit komplexen Umgebungen und meine Erfahrung mit bisher betreuten Angriffen eine solide Basis auf diesem Themengebiet geben. Der Umgang mit Störungen auf Kundenseite hilft, hier auch die Abgrenzung korrekt vorzunehmen. Internationale Fachmedien, und der Blick auf die globale Situation sind eine wichtige Ergänzung. Bei DDoS-Angriffen ist neben der technischen Betrachtung oft auch ein gutes Verständnis der externen Umstände wie Politik, Marktfolgen und Prozesse des Kunden notwendig, um das Gesamtbild zu verstehen.
Wie siehst du die Entwicklung von DDoS-Attacken in den letzten Jahren? Sind die Heftigkeit und die Methode wie vor 3 Jahren oder hat sich etwas verändert?
In den letzten Jahren haben sich die Angriffe von einer experimentellen Ebene hin zu einem regelrechten Wirtschaftszweig entwickelt. Wie auch bei anderen Bedrohungen, wie zum Beispiel bei Ransomware, sehen wir inzwischen sowohl rein experimentelle als auch profitgetriebene Angriffe, die sich in Dauer, Intensität und Zeitpunkt des Angriffes unterscheiden.
Welche Kunden sind vor allem betroffen – kann man ein Muster erkennen?
Kunden mit hoher öffentlicher Visibilität werden oft aus politischen Motiven angegriffen, Kunden mit hoher wirtschaftlicher Abhängigkeit (zum Beispiel Web-Portale) aus finanziellen Gründen.
Wie reagieren Kunden die „unverhofft“ eine DDoS-Attacke erleiden?
Oft wenden sich Kunden aufgrund einer Störung an unser NOC-Team. Dass ein DDoS-Angriff für diese Störung verantwortlich ist, erfahren diese Kunden meist erst durch uns. Es kann sein, dass der Kunde kurze Test-Angriffe in der Vergangenheit nicht bemerkt oder nicht als gravierend empfunden hat. Der direkte Zugriff auf die Mess-Daten kann schon beim Ersttelefonat viel Zeit sparen.
Wenn sich ein Kunde für DDoS-Protection von next layer entschieden hat, wie kann next layer diesen rasch helfen? Welche Schritte werden gemeinsam gesetzt und wie lange dauert das?
Die technische Umsetzung der Erstmaßnahmen kann starten, sobald der Kunde eine gute Übersicht hat, was es in seiner Infrastruktur zu schützen gilt. Der Kunde erhält Vorschläge von Sofort-Maßnahmen – zum Beispiel Filter, mit denen next layer in den Datenverkehr nach Zustimmung eingreift, um die gravierenden Folgen abzumildern. Dies kann nicht betroffene Systeme wieder freispielen und direkt betroffene Endpunkte wieder in einen betriebsfähigen Zustand versetzen. Nach diesem ersten Schritt können weitere Maßnahmen eingestellt und automatisiert werden. Damit ist der Kunde bei einem erneuten DDoS-Angriff in der Regel ohne weiteren manuellen Eingriff sofort geschützt.
Wie du ja bereits erwähnt hast, ändern sich DDoS-Attacken laufend. Was macht next layer, damit auch zukünftige Angriffe abgefangen werden können?
Die Erfahrungen, die wir mit Angriffen auf einzelne Kunden machen, ziehen wir in den Erkennungsprofilen und Gegenmaßnahmen für alle Kunden, die keine spezielleren Einstellungen wünschen, nach. Auch ein Austausch mit anderen Betreibern und Herstellern bringt zusätzliche Hinweise auf veränderte Bedrohungen.
Matthias, vielen Dank für das Gespräch!
Sehr gerne!
Sie möchten noch mehr über die DDoS-Protection von next layer wissen? In diesem Video erklärt unser Kollege Alexandros Osyos, was bei einer DDoS-Attacke passiert und wie next layer einer solchen entgegenwirkt.
