Was ist ein DDoS-Angriff?
Distributed-Denial-of-Service-Angriffe, auch DDoS-Angriffe genannt, haben das Ziel, einen digitalen Datenstau zu verursachen. Vergleichen kann man das mit Tausenden Verkehrsrowdys, die alle Spuren der Autobahn verstopfen, sodass der gesamte Verkehr zum Stehen kommt und kein anderes Fahrzeug mehr an sein Ziel kommt. So kann man sich auch einen DDoS-Angriff vorstellen: Mit einer Lawine aus schädlichen Server- und Netzwerkanfragen legen Angreifende Webseiten für andere User vorübergehend oder langfristig lahm.
DDoS-Angriffe sind nicht nur ein großes Ärgernis, sondern auch eine ernstzunehmende Bedrohung. Genauso wie ein zäher Stau den Krankenwagen daran hindern kann, an sein Ziel zu kommen, können DDoS-Angriffe wichtige Daten zurückhalten, ganze Systeme außer Betrieb setzen und massive finanzielle Verluste nach sich ziehen. Und die Bedrohung durch DDoS-Angriffe wächst: Zwischen 2021 und 2022 nahmen sie um 74 Prozent zu. Großkonzerne wie Microsoft waren jeden Tag durchschnittlich 1.435 DDoS-Angriffen ausgesetzt. Doch es gibt Hoffnung, denn mit den richtigen Schutz- und Abhilfemaßnahmen können DDoS-Angriffe erfolgreich abgewehrt werden. Das stellte Google im vergangenen Jahr unter Beweis, als der Konzern zur Zielscheibe einer der bisher größten DDoS-Angriffe wurde.
Wie laufen DDoS-Angriffe ab?
In der digitalen Welt von heute, die so stark verknüpft ist wie nie zuvor, kann jedes mit dem Internet verbundene System Opfer eines DDoS-Angriffs werden. Bei einem DDoS-Angriff ziehen die Cyberkriminellen mit einem Heer von Computern, den sogenannten Botnets, in die Schlacht. Dieses digitale Bataillon aus zuvor gehackten Computern hat ein zerstörerisches Ziel: die Server mit einer Flut an Anfragen zum Einsturz zu bringen. Server sind darauf ausgelegt, innerhalb eines bestimmten Zeitraums eine begrenzte Anzahl an Anfragen zu verarbeiten. Ist dieses Limit aufgrund der schädlichen DDoS-Anfragen erreicht, müssen sie anderen Usern den Zugriff verweigern. Es kommt zu einer Unterbrechung der Dienste, die dazu führen kann, dass Kunden stunden-, tage- oder wochenlang nicht auf bestimmte Webseiten zugreifen können. Dies kann verheerende finanzielle Verluste bedeuten.
Wie lange ein DDoS-Angriff dauert, ist höchst individuell. Laut Microsoft hielten 89 Prozent der Angriffe 2022 weniger als eine Stunde an. Auch wenn das Zeitfenster eher kurz erscheint, bietet es ausreichend Möglichkeit, schweren Schaden anzurichten – wie das Stilllegen von Ressourcen und Blockieren legitimen Datenverkehrs. Auffällig ist, dass vor allem diese kurzen, aber großflächigen Angriffe im Interesse der Cyberkriminellen zu liegen scheinen. Dazu sind weniger Ressourcen nötig und dennoch wird das System so stark überlastet, dass ein Neustart erforderlich wird. Sobald das System wieder online ist, versuchen meist viele User auf einmal, darauf zuzugreifen – was zu einer weiteren Anfragewelle führen kann, die das System zusätzlich belastet und die Unterbrechung in die Länge zieht.
DoS- vs. DDoS-Angriff: Was ist der Unterschied?
Distributed-Denial-of-Service-Angriffe sind eine Unterkategorie der Denial-of-Service-Angriffe (DoS). Ein DoS-Angriff wird von einem einzelnen Hacker durchgeführt, der über eine einzelne Internetverbindung einen Server mit einer Flut schädlicher Anfragen bombardiert und jede Schwachstelle ausnutzt.
Multipliziert man dieses Angriffsszenario um ein Vielfaches, ergibt sich ein Distributed-Denial-of-Service-Angriff. Anstatt eines einzelnen Hackers greifen dabei Tausende oder sogar Millionen infizierte, von Cyberkriminellen gesteuerte Computer gleichzeitig ein gemeinsames Ziel an. Der Unterschied ist immens. Während DoS-Angriffe unangenehm werden können, ist ein DDoS-Angriff ein regelrechter Cyber-Aufmarsch. Aufgrund der hohen Anzahl beteiligter Geräte kann der Angriffsursprung nur schwer identifiziert und somit nicht effektiv bekämpft werden. Man hat es nicht nur mit einem einzelnen lästigen Hacker zu tun, sondern mit einer gut koordinierten, großflächigen Bedrohung.
Welches Ziel haben DDoS-Angriffe?
Mit DDoS-Angriffen zielen Cyberkriminelle darauf ab, Website-Traffic und Dienste lahmzulegen und die Kommunikation zu unterbrechen. Während dies zunächst wie reiner Vandalismus wirkt, steckt meist ein größeres Ziel dahinter, wie das Verursachen finanzieller Verluste und eine mögliche Rufschädigung des Opfers. Dabei versuchen die Cyberkriminellen – oder auch Mitbewerber der betroffenen Organisation – finanziellen Gewinn aus dem umgeleiteten Datenverkehr zu ziehen.
Um die Auswirkungen weiter zu verschärfen, können DDoS-Angriffe mit anderen Angriffstaktiken kombiniert werden. Eine ausgefeilte Methode besteht darin, dass die Angreifenden mit einem DDoS-Angriff drohen, der nur durch die Zahlung eines Lösegelds aufgehalten werden kann. Dabei werden zwei der effektivsten Angriffstaktiken kombiniert: Ransomware und DDoS. Aufgrund der kostspieligen Ausfallzeiten und potenziellen Folgeangriffe ist DDoS eine ernstzunehmende Bedrohung für moderne Unternehmen. Umso wichtiger ist es, Mitarbeitende für diese Angriffsmethode zu sensibilisieren.
Arten von DDoS-Angriffen
DDoS-Angriffe können die Informationssicherheit von Organisationen auf unterschiedliche Weise bedrohen. Um diese besser zu veranschaulichen, wechseln wir von der Autobahn-Metapher zu einer gut organisierten Bibliothek. Mit der gewohnten Anzahl an Besuchern läuft ihr täglicher Betrieb völlig reibungslos, doch stürmen plötzlich ungewöhnlich viele Menschen auf einmal herein, wird die Ruhe unterbrochen. Der Tumult, der dabei entsteht, veranschaulicht die Unterbrechung der Website-Server durch einen DDoS-Angriff. Es gibt drei Arten von DDoS-Angriffen bzw. Möglichkeiten, die Ruhe in unserer Bibliothek zu stören: volumenbasierte Angriffe, Protokollangriffe und Anwendungsangriffe.
Volumenbasierte (bzw. volumetrische) Angriffe
Bei einem volumetrischen Angriff können wir uns eine Menschenmasse vorstellen, die in unsere Bibliothek strömt, sich so viele Bücher schnappt, wie sie nur tragen kann und damit alle Lesebereiche besetzt. Die Bibliothek ist völlig überlaufen. Unsere regulären Besucherinnen und Besucher haben Schwierigkeiten, sich zu setzen oder ihre gewünschten Bücher zu finden. Ein volumenbasierter bzw. volumetrischer DDoS-Angriff läuft ähnlich ab: Das Ziel wird mit einer massiven Datenmenge überflutet, sodass es den eingehenden regulären Datenverkehr nicht mehr verarbeiten kann.
Protokollangriffe
Öffentliche Bibliotheken arbeiten mit einem Computersystem, das Besuchern hilft, Bücher einfacher zu finden. Stellen Sie sich vor, über eine Schwachstelle im Computersystem der Bibliothek stört jemand dessen Funktionsweise, sodass Besucher keine Bücher finden oder ausleihen können. Auf ähnliche Weise nutzen Angreifende Schwachstellen im Netzwerkprotokoll ihres Opfers aus und verursachen so Chaos und eine Überlastung des Systems.
Anwendungsangriffe
Nehmen wir an, unsere fiktive Bibliothek hat ein Self-Checkout-System, mit dem man sich selbständig Bücher ausleihen kann. Einen Angriff auf die Anwendungsschicht kann man mit einer Gruppe Menschen vergleichen, die immer wieder den Self-Checkout nutzen, aber keine Bücher ausleihen. Als Folge werden die Geräte immer langsamer und andere Besucher, die wirklich etwas ausleihen wollen, haben dabei Schwierigkeiten. Bei einem Anwendungsangriff wird nicht die Infrastruktur gestört. Stattdessen schicken die Angreifenden schädliche Anfragen an die Zielanwendung oder Website, um Sicherheitslücken und Schwachstellen der App-Software auszunutzen. Durch die Inanspruchnahme der Ressourcen können reguläre Nutzende nicht mehr auf die Dienste zugreifen.
So erkennen Sie einen DDoS-Angriff
Was DDoS-Angriffe so heimtückisch macht, ist ihre Tarnung. Da sie von infizierten Computern an sich harmloser User ausgehen, kann nur schwer zwischen dem Datenverkehr der Botnets und dem normalen Traffic unterschieden werden. Dass die Botnets meist in aller Welt verteilt sind, macht die Sache noch komplizierter. Sicherheitsbeauftragte haben somit nicht die Möglichkeit, einen Standort zu bestimmen und den von dort ausgehenden Datenverkehr zu blockieren.
Auch wenn das Erkennen von DDoS-Angriffen nicht ganz einfach ist, kann ein frühzeitiger Eingriff dazu beitragen, schwerwiegende Konsequenzen zu vermeiden. Um einen Angriff frühzeitig zu erkennen, achten Sie auf die folgenden Anzeichen:
- Ungewöhnlicher Anstieg des Datenverkehrs
- Webseite lädt sehr langsam oder reagiert nicht
- Netzwerkverbindungs-Probleme
- Auffällige Muster im Datenverkehr
- Rasanter Anstieg von Serverfehlern und Kapazitätsmangel
- IP-Adresse stellt in kurzer Zeit extrem viele Anfragen
- Server-Fehler 503 weist auf Dienstausfall hin
Falls Sie in Ihrem Netzwerk eine dieser Auffälligkeiten beobachten, lohnt sich ein genauerer Blick und möglicherweise die Einleitung der Anti-DDoS-Maßnahmen, um weitere Störungen und Ausfälle zu verhindern.
DDoS-Angriffe: Beispiele aus dem echten Leben
DDoS-Angriffe können verheerende Folgen haben – von Ransomware-Drohungen und dem Ausfall kritischer Dienste über Rufschädigung bis hin zu hohen Wiederherstellungskosten. Zahlreiche Organisationen mussten bereits selbst erleben, welche Schäden ein DDoS-Angriff anrichten kann. Im Folgenden einige Beispiele aus dem echten Leben.
Geopolitische DDoS-Angriffe
In der heutigen komplexen Cyber-Bedrohungslage wird DDoS bei brodelnden politischen Konflikten nicht selten als verborgene digitale Angriffstaktik genutzt. Ein Fall, der für Aufsehen sorgte, waren die Cyberangriffe gegen Taiwan im August 2022, kurz vor dem Besuch der Vorsitzenden des US-Repräsentantenhauses. Bei dieser unmissverständlichen Demonstration von Cybermacht erreichten DDoS-Angriffe gegen die Regierung Taiwans ein Rekordniveau mit folgenreichen Ausfällen. Im Fokus lagen die Regierung und Kommunikationslinien Taiwans, wie das Präsidentschaftsbüro, das Verteidigungsministerium, das Außenministerium und der internationale Flughafen.
Eine ähnliche Angriffstaktik nahm im Juli 2022 die Website des israelischen Gesundheitsministeriums ins Visier. Dabei wurden internationale User gezielt davon abgehalten, auf die Website zuzugreifen. Im März 2023 griff die Cyberschlacht auf Australien über, wo Universitätswebseiten ins Fadenkreuz einer DDoS-Kampagne gerieten. Hinter diesen Angriffen steckten die kriminellen Vereinigungen Killnet und Anonymous Sudan. Zu den weitreichenden Folgen zählten Systemausfälle an acht Universitäten, acht Krankenhäusern und zehn Flughafen-Websites.
DDoS-Angriffe auf Tech-Giganten
Ein weiteres beliebtes Ziel für DDoS-Angriffe sind große Technologiekonzerne, da sie gewaltige Datenmengen handhaben und hohe Sichtbarkeit in der digitalen Welt genießen. Ein ikonisches Beispiel für einen DDoS-Angriff gegen Technologieunternehmen ist der Angriff auf Amazon Web Services (AWS) im Februar 2022. Dabei wurde über entführte CLDAP-Webserver eine Datenmenge von 2,3 Terabyte pro Sekunde in das System geflutet. Amazon wehrte den Angriff erfolgreich ab, bevor er größeren Schaden anrichten konnte. Dennoch gilt er als einer der größten DDoS-Angriffe der Cyber-Geschichte.
Ein weiterer bekannter Fall ist die DDoS-Kampagne vom Juni 2022 gegen Google. Glücklicherweise wehrte die IT-Infrastruktur der weltweit führenden Suchmaschine die Attacke erfolgreich ab, bei der bis zu 46 Millionen Anfragen pro Sekunde auf dem Server eingingen. Bei diesem Angriffsversuch, der über 30 Minuten andauerte, war ein Botnet aus mehr als 5.000 Geräten und 132 Ländern involviert. Dabei gingen in nur zehn Sekunden so viele Anfragen ein, wie Wikipedia Aufrufe an einem gesamten Tag hat.
DDoS-for-Hire: Digitale Sabotage per Knopfdruck
„DDoS-for-Hire“ bezieht sich auf einen Marktplatz, auf dem Einzelpersonen und Gruppierungen Dritte anheuern können, einen DDoS-Angriff für sie auszuführen. Diese Plattformen machen Cyberangriffe zu einer Dienstleistung, d. h. wirklich jeder kann mit wenigen Klicks einen DDoS-Angriff ausführen – ein Marktplatz für digitales Chaos.
Regierungsbehörden weltweit sind sich dieser rasch häufiger und immer größer werdenden Bedrohung mehr als bewusst und wenden nun das Blatt, um Hacker mit ihren eigenen Waffen zu schlagen. Ein spannendes Beispiel kommt von der britischen National Crime Agency (NCA), die kürzlich eine Website ins Leben rief, die vermeintliche DDoS-Dienste anbietet. In Wirklichkeit handelt es sich um eine Sting-Operation, bei der Cyberkriminelle ins Netz gehen sollen, die an dieser Art von krimineller Dienstleistung interessiert sind.
Auch andere Behörden gehen gegen die Bedrohung vor: Das Justizministerium der USA gab kürzlich eine Warnmeldung über DDoS-for-Hire-Domänen heraus, die auch als Stressor oder Booter-Services bekannt sind. Seit Mitte 2023 wurden mehr als 50 Domains erfasst. Da manche Cyberkriminelle neue Domains registrieren, um weiterhin DDoS-Dienste anzubieten, steht die Bedrohung unter fortwährender Beobachtung durch das FBI.
Können Sie DDoS-Angriffe vermeiden?
In der rasant wachsenden und stetig innovierenden Cyber-Bedrohungslage, müssen auch die Maßnahmen zum Schutz vor DDoS-Angriffen kontinuierlich angepasst werden. Der Schlüssel zur Abwehr von DDoS-Angriffen ist ein mehrschichtiger Ansatz, der auf verschiedene Angriffsmethoden angewendet werden kann. Durch die Implementierung umfassender Schutzmaßnahmen, die bei der Erkennung und Abwehr von DDoS-Angriffen Hand in Hand arbeiten, können wir die Sicherheit unserer Netzwerkumgebung verbessern.
Die erste Verteidigungslinie sollte aus Maßnahmen wie Ratenbegrenzung, IP-Filterung und Geoblocking bestehen. Durch die Ratenbegrenzung kann der Datenverkehr eingeschränkt und Attacken abgewehrt werden, die darauf abzielen, die Systemressourcen zu überfordern. Die IP-Filterung kann den Datenverkehr verdächtiger IP-Adressen blockieren, während das Geoblocking Traffic aus bestimmten geografischen Regionen verhindert, die als Ursprungsort für Angriffe bekannt sind.
Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) bilden die nächste Verteidigungslinie. Diese Systeme überwachen den Netzwerk-Traffic ununterbrochen und können so verdächtige Muster erkennen und einen möglichen DDoS-Angriff abwehren oder sein Ausmaß eindämmen. Web Application Firewalls bieten zusätzlichen Schutz vor ausgeklügelten Anwendungsangriffen, indem sie eingehenden Datenverkehr auf schädliche Muster prüfen.
Die letzte wichtige Verteidigungslinie ist ein starker Incident Response Plan, d. h. ein Reaktionsplan für das Worst-Case-Scenario, sollte ein DDoS-Angriff die Verteidigung durchdringen. Ein effektiver Plan ermöglicht, Ausfälle auf einem Minimum zu halten, Assets zu schützen und den normalen Betrieb möglichst schnell wieder aufzunehmen. Der Incident Response Plan muss zudem regelmäßig getestet und aktualisiert werden, um sicherzustellen, dass er mit aktuellen Bedrohungen Schritt hält.
Während jede einzelne dieser Schutzmaßnahmen zur Sicherheit Ihres Netzwerks beiträgt, bieten sie einzeln angewendet keinen umfassenden Schutz.
Mythen über den Schutz vor DDoS-Angriffen
Um die Funktionsweise von DDoS-Angriffen vollständig zu verstehen, muss man sich technisches Wissen aneignen, das recht komplex sein kann. Hinzu kommt, dass sich die Angriffstaktiken ständig weiterentwickeln, sodass das Wissen von heute morgen schon veraltet sein kann. Deshalb haben wir einige der hartnäckigsten Mythen rund um DDoS-Angriffe gesammelt, um sie genauer zu beleuchten und aufzulösen.
Mythos Nr. 1: DDoS-Angriffe sind ärgerlich, aber nicht gefährlich
Allein die Wiederherstellungskosten nach einem DDoS-Angriff betragen im Durchschnitt 218.000 US-Dollar. Ist bei dem Angriff Ransomware involviert, sind sie noch höher. Der Irrtum, dass DDoS-Angriffe zwar ärgerlich, aber nicht schädlich sind, beruht auf der Tatsache, dass diese großangelegten Angriffe meist nur etwa eine Stunde andauern. Neben verheerenden finanziellen Verlusten und der Schädigung des Rufs eines Unternehmens kann dabei jedoch auch die Software und Infrastruktur beschädigt werden – Folgen, von denen sich Organisationen nur schwer wieder erholen.
Mythos Nr. 2: Nur große Organisationen sind von DDoS betroffen
DDoS-Angriffe zielen auf Organisationen der verschiedensten Größen und Sektoren ab. In manchen Fällen führen Wettbewerber Angriffe gegeneinander aus. In anderen Fällen bringen Cyberkriminelle eine kleinere Website mit dem Wissen zum Stillstand, dass damit auch der gesamte Server zusammenstürzt. Zwar sind es meist Großunternehmen wie Google, die im Zusammenhang mit Cyberangriffen in die Medien gelangen. Tatsächlich können die Folgen eines DDoS-Angriffs für kleine und mittlere Unternehmen schwerwiegende Folgen haben – und diese haben sogar ein dreimal höheres Risiko als große Unternehmen, ins Visier von Cyberkriminellen zu geraten.
Mythos Nr. 3: DDoS-Angriffe sind keine Herausforderung mehr
DDoS-Angriffe werden nicht nur immer häufiger. Sie werden auch immer komplexer, wobei bei aktuellen Fällen bis zu 38 verschiedene Angriffsvektoren involviert waren. In jüngster Zeit umfassen Botnets weniger Geräte, da jeder einzelne infizierte Computer eine deutlich höhere Cloud-Computing-Leistung als früher aufweist. Hochleistungs-Botnetze sind mitunter bis zu 5.000-mal leistungsfähiger als herkömmliche Botnets. Damit können sie mittels geleakter Zugangsdaten in nahezu jeden virtuellen Server und in Access-Management-Konsolen eindringen.
DDoS-Angriffe aggressiver denn je: Was können Organisationen zu ihrem Schutz tun?
Zwar sollen DDoS-Angriffe 2023 und darüber hinaus weiter an Fahrt aufnehmen. Die gute Nachricht lautet jedoch, dass Organisationen ihr Risiko proaktiv reduzieren können, indem sie die entsprechenden Maßnahmen zur Vorbeugung und Abwehr ergreifen. Da es verschiedene, nur schwer identifizierbare Arten von DDoS-Angriffen gibt, erfordern sie entsprechend komplexe Gegenmaßnahmen, die sich aus verschiedenen Elementen zusammensetzen. Dazu gehören Ratenbegrenzung, IP-Filterung, Geoblocking, Firewalls und ein starker Incident Response Plan.
Technische Maßnahmen sind im Kampf gegen DDoS zwar essenziell. Doch es gibt ein weiteres Verteidigungselement, das wir nicht vergessen sollten – die Mitarbeitenden. Indem Sie die Awareness und das Wissen Ihres Teams im Bereich Cybersicherheit steigern, gehen Sie einen wichtigen Schritt zur Verbesserung Ihrer Sicherheit. Die Lernmodule und das Awareness-Training von SoSafe befähigen Ihre Mitarbeitenden, Bedrohungen selbstbewusst zu erkennen und abzuwehren – anstatt in die Falle zu tappen. Ihr Team wird in der Lage sein, sich selbst und Ihre Organisation effektiv vor verschiedenen Angriffstaktiken zu schützen. Dazu gehört auch Malware, die meist den ersten Zugangspunkt für Cyberkriminelle bildet, die ein Botnet aufbauen wollen. Machen Sie Ihre Mitarbeitenden zu Ihrer wichtigsten Verteidigungslinie – wehren Sie Botnets ab, schützen Sie Ihre Server und steigern Sie Ihre Cybersicherheit insgesamt.