Zwischen DDoS-Abwehr und Datenschutz

Unternehmen müssen sich besser gegen DDoS-Attacken wappnen, allerdings ohne die IP-Adressen sämtlicher Kommunikationspartner zu analysieren.

In 2012 stieg die Zahl der Distributed-Denial-of-Service-Attacken (DDoS) um 20 Prozent, so der „Worldwide Infrastructure...

Security Report“ von Arbor Networks. Trotzdem stufen etwa 70 Prozent der Firmen und öffentlichen Einrichtungen in Europa die Gefahr, Ziel einer DDoS-Attacke zu werden, als gering ein, mit gefährlichen Konsequenzen: Die interne Abwehr ist bei vielen Unternehmen zu schwach aufgestellt, wie eine aktuelle Studie der Exclusive Networks Group zusammen mit Arbor Networks ergab.

Unternehmen sollten sich umgehend mit ihrer Abwehr gegen die massiven Online-Angriffe befassen, dabei aber den notwendigen Datenschutz nicht vergessen.

DDoS-Attacken rund um den Globus

Wenn Unternehmen Inhalte und Dienste im Internet anbieten, können sie praktisch jeden Internetnutzer erreichen. Umgekehrt können die möglichen Angreifer aber auch von jedem Standort mit Internetverbindung agieren und die Online-Angebote ihrer Opfer überlasten und blockieren. Viele Ansätze zur DDoS-Abwehr setzen deshalb auf die Ermittlung der Zugriffsquellen, die auffällig werden und die Verfügbarkeit der Dienste gefährden. Dabei wird unter anderem die IP-Adresse ausgewertet, die zu den Zugriffen auf den Dienst gehören. Damit aber kommt der Datenschutz ins Spiel. Laut Webanalysen für die Online-Werbung, sondern auch auf die DDoS-Abwehr.

Datenschutz: Nutzer haben Recht auf Privatsphäre

Selbst wenn es um Maßnahmen zur Absicherung der eigenen IT-Dienste geht und DDoS-Angriffe die Verfügbarkeit personenbezogener Daten bedrohen können, müssen die Rechte der Betroffenen beachtet werden. Das gilt insbesondere für das Recht eines Nutzers, einen Online-Dienst auch anonym oder pseudonym zu verwenden, sofern dies für den Anbieter technisch möglich und zumutbar ist. Wenn aber die Sicherheitslösungen die IP-Adressen grundsätzlich gezielt auswerten, um Angreifer bei DDoS-Attacken blockieren zu können, kann dies zum Datenschutz-Problem werden.

Ziel: Angreifer und Nutzer unterscheiden

Nun muss man aber nicht das Gefühl bekommen, der Datenschutz mache eine Abwehr von DDoS-Attacken unmöglich oder erschwere diese. Vielmehr will der Datenschutz im Prinzip das gleiche wie der Anbieter von Online-Diensten: Der echte Nutzer soll den Dienst erreichen können, ohne unbegründet blockiert zu werden. Der Angreifer, der auch die Verfügbarkeit, die Integrität und die Vertraulichkeit personenbezogener Daten gefährden kann, muss abgewehrt werden. Gesucht ist deshalb eine Unterscheidung zwischen Nutzer und Angreifer, die den Datenschutz beachtet.

Empfehlung: Geolokalisierung beschränken, Angreifer gezielt aufspüren

Für den Datenschutz ist es bei der DDoS-Abwehr entscheidend, dass die IP-Adresse nicht vollständig, sondern nur verkürzt in die Protokollierung einfließt, um so den möglichen Personenbezug auszuschließen. Sicherheitslösungen gegen DDoS-Attacken, die nur eine beschränkte Geolokalisierung vornehmen, gehen diesen Weg.

Wenn nun eine Sicherheitslösung zum Beispiel die Herkunft des Angreifers nur auf Bundeslandebene bestimmt, wie dies bestimmte Systeme machen, ist dies keine Minderung der Sicherheit gegen DDoS-Gefahren: Zum einen erlaubt es der Datenschutz durchaus, die IP-Adressen aus Gründen der IT-Sicherheit vorzuhalten und für eine definierte Zeit zu speichern. Wenn dann der Bedarf besteht, den Angreifer genauer zu ermitteln, können die Anonymisierungsvorgaben für diesen Fall aufgegeben werden, eine Auswertung der vollständigen IP-Adresse ist dann gerechtfertigt. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) erläutert, sollte die Meldung eines Angreifers an den eigenen Internet-Provider zeitnah erfolgen, da in der Regel bei Providern nur Log-Daten der letzten sieben Tage vorgehalten werden. Vorschriften und Regelungen des Datenschutzes sind in jedem Fall einzuhalten, so das BSI.

Mitunter wird als Gegenargument angeführt, dass es durch eine Aufdeckung der IP-Adresse erst im zweiten Schritt eine zeitliche Verzögerung in der Abwehr gebe. Doch gerade bei DDoS-Attacken geht es um eine gezielte und nicht nur um eine schnelle Abwehr: Zum einen sind DDoS-Attacken keine Angriffe, die blitzschnell enden, sondern sie halten lange an. Das ist ein wesentlicher Grund für ihre Gefährlichkeit. Zum andern können die Prozesse zur Aufdeckung der IP-Adresse des Angreifers schnell umgesetzt werden: Gibt es eine DDoS-Warnung, können die Administrator mit entsprechender Berechtigung und Dokumentation auf die IP-Adresse komplett zugreifen.

Spezialfall: DDoS-Schutz aus der Cloud

Wenn es um Datenschutz bei der DDoS-Abwehr geht, sollte noch ein weiterer Aspekt berücksichtigt werden: Auf dem Markt sind zunehmend Lösungen, die DDoS-Schutz aus der Cloud anbieten. Dabei nutzen solche Angebote die sicherheitsrelevanten Informationen aller Nutzer über mögliche Angriffe, was die Erkennungsrate durchaus erhöhen und die Abwehr beschleunigen kann. Werden dabei allerdings die Nutzerdaten nicht anonymisiert, muss zum einen die Einwilligung der Betroffenen vorliegen. Zum anderen sind die Vorgaben zum Datenschutz in der Cloud zu beachten, insbesondere die Frage des Cloud-Betriebsstandorts und die saubere Trennung der Cloud-Daten nach Mandanten.

Fazit: DDoS-Abwehr kann Verfügbarkeit und Privatsphäre schützen

Wer also die Verfügbarkeit seiner Online-Dienste und damit in aller Regel auch der Daten sicherstellen will, braucht die Privatsphäre der Nutzer im Gegenzug nicht zu gefährden. Wenn die IP-Adressen nur im konkreten Verdachtsfall zur Nutzeridentifizierung verwendet werden, findet kein anlassloses Massen-Screening der Besucher eines Online-Dienstes statt. Trotzdem lassen sich DDoS-Angreifer mit geeigneten Sicherheitstools erkennen und gezielt blockieren.

Artikel wurde zuletzt im Oktober 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datensicherheit und Cloud-Computing

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close