DDoS-Angriffe sind kein neues Phänomen, denn sie werden bereits seit mehr als 20 Jahren verwendet, um Unternehmen oder Instituten gezielt Schaden zuzufügen.
Was ist eine DDoS-Attacke?
DDoS steht für Distributed Denial of Servive, also ein “verteilter” Denial of Service (DoS) Angriff. Diese Art von Cyberkriminalität stellt eine Dienstblockade dar. Ein angefragter Dienst ist somit nicht mehr bzw. nur stark eingeschränkt verfügbar. Auslöser dafür ist eine mutwillig herbeigeführte Überlastung der IT-Infrastruktur.
Der große Unterschied zwischen einer DDoS und einer DoS Attacke besteht darin, dass erstere mehrere Systeme nutzen und letztere nur ein einziges.
Ziel dahinter ist meist, um von ungeschützten Organisationen Lösegeld zu erpressen oder andere kriminelle Handlungen durchzuführen, zu vertuschen oder vorzubereiten. In manchen Fällen soll aber auch das Unternehmen der Konkurrenz in Verruf gebracht und geschädigt werden.
Wie funktioniert ein DDoS-Angriff?
Ein DDoS-Angriff nutzt die begrenzte Anzahl von Anfragen, welche Netzwerkressourcen wie Webserver gleichzeitig verarbeiten können, aus. Neben der Kapazitätsgrenze des Servers ist auch die Bandbreite der Server-Internetverbindung beschränkt. Wenn also die Anzahl von Anfragen die Kapazitätsgrenze einer der Infrastrukturkomponenten überschreitet, leidet die Servicequalität darunter. Antworten auf legitime Anfragen dauern länger oder bleiben im schlimmsten Fall sogar unbeantwortet.
Die benötigte Leistung des Webservers hängt ab von der Besucheranzahl, die gleichzeitig die Website besuchen. Je mehr Besucher gleichzeitig, desto höher ist der Ressourcenbedarf. Auch die Komplexität der Anwendung hat Einfluss auf die benötigte Leistung. Bei einem komplexen Webshop können weniger Anfragen pro Sekunde verarbeitet werden wie auf einer einfachen statischen Website, welche 5.000 Anfragen/Sekunde meist problemlos verarbeiten kann.
Aber auch Server-Software, Konfiguration und Caching-Mechanismen, z.B. vom Betriebssystem oder vom Webserver, können enormen Einfluss auf die Leistung haben.
Um eine so hohe Anzahl von Anfragen zu erreichen, infizieren Cyberkriminelle mehrere Rechner mit Schadsoftware, mit der unbemerkt die Kontrolle über diese Computer übernommen wird. Dieses infizierte Rechner-Netz, auch Botnetz genannt, wird ferngesteuert für DDoS-Attacken verwendet.
Mit diesem Botnetz wird das Ziel der Kriminellen angegriffen und dessen Infrastruktur mit zahllosen Anfragen überlastet. Umso mehr Rechner sich in dem infizierten Netzwerk befinden, desto schlagkräftiger ist die Attacke.
Die angegriffenen Server sind mit der enormen Anzahl von Anfragen überfordert, die Internetleistung ist überlastet und die Website baut sich nur noch stark verlangsamt auf oder ist überhaupt nicht mehr verfügbar.
Wer ist betroffen?
Eine DDoS-Attacke kann jedes Unternehmen, unabhängig von Branche oder Größe treffen. Cyberkriminelle fokussieren sich jedoch oft auf E-Commerce-Unternehmen, Banken und Versicherungen oder Unternehmen, die einen Online-Dienst anbieten. Auch Rechenzentren und Organisationen aus dem öffentlichen Sektor sind beliebte Ziele.
Auswirkungen von Internet of Things auf DDoS
Das Internet of Things (Internet der Dinge) umfasst eine Vielzahl an vernetzten Geräten, die entweder aus privaten Haushalten stammen, oder in Form von vernetzten Produktionsanlagen in der Industrie eingesetzt werden.
Botnetze, die meist hinter einem DDoS-Angriff stecken bestehen nicht nur aus Computer und Telefone, sondern umfassen auch Tablets, Überwachungskameras oder sogar Haushaltsgeräte, wie internetfähige Geschirrspüler, Fernseher oder Babyfone. Um Kontrolle über die IoT-Geräte zu erlangen, verwenden Cyberkriminelle eine spezielle Software, welche sich selbstständig in Netzwerken verbreitet.
Bei einem DDoS-Angriff handelt es somit um echte Geräte, die sich an verschiedenen Standorten befinden. Sie erscheinen also als normale Zugriffe und können nur schwer von echten Clients unterschieden werden.
Abwehren von DDoS-Angriffen
Ein Großteil der DDoS-Attacken ist bereits nach ein paar Stunden bereits wieder vorbei. Nur in besonders schweren Fällen dauern sie tagelang.
Dennoch kann ein Angriff dieser Art schwerwiegende Folgen haben. Neben den wirtschaftlichen Folgen, welche bereits nach wenigen Minuten offline mehrere tausend Euro an entgangenen Gewinnen und verpufftem Marketing-Budget verzeichnen können, kann ein erfolgreicher DDoS-Angriff unkalkulierbare Reputationsschäden auslösen.
Obwohl DDoS-Attacken in der Regel kein direktes Sicherheitsrisiko darstellen, funktionieren die Systeme währenddessen nicht mehr in gewohnter Form. Anmeldeinformationen wie Usernamen werden nicht automatisch kompromittiert, jedoch kann die Überlast manche Systeme angreifbar machen und neue Angriffsmöglichkeiten eröffnen.
Wenn kein hauseigenes Team aus IT-Fachleuten zur Verfügung steht, ist Managed Hosting oftmals die nächstbeste Lösung. Bietet der gewählte Hoster DDoS-Schutzmaßahmen an, kümmert sich dieser auch um alles Technische, um die Website zu schützen und so schnell wie möglich wieder zum Laufen zu bringen.
Ebenso wichtig ist auch die Abklärung möglicher Gebühren bei einer Bandbreitenüberschreitung, da diese bei einem DDoS-Angriff schnell überschritten werden.
Eine der besten Abwehrmechanismen ist eine Web Application Firewall (WAF). Diese sitzt zwischen der Website und den Anfragen und filtert den Netzverkehr, um bösartige Zugriffe auszuschließen. Eine WAF hilft nicht nur im Schutz gegen Angriffe, sondern kann durch die Eingrenzung von Anfragen DDoS-Attacken eindämmen.
Zusätzlich kann auch eine automatische Überwachung der Erreichbarkeit der Website eingerichtet werden. Manche Webhoster bieten diesen Service sogar an. Dieser Uptime Überwachungsservice benachrichtigt innerhalb von Minuten, wenn die Website abstürzt oder sich stark verlangsamt. Falls der Provider dies nicht anbietet, stehen zahlreiche externe Tools zur Verfügung.