DDos ex Machina: Was sind DDoS-Angriffe und wie kann man sie verhindern?
Laut einer Studie des Cybersecurity-as-a-Service-Anbieters StormWall schoss die Anzahl der Distributed-Denial-of-Service-Angriffe – kurz DDoS-Angriffe – im Jahr 2022 um 74% in die Höhe, was für Unternehmen Unterbrechungen und finanzielle Verluste mit sich brachte. Die meisten dieser Vorfälle ereigneten sich in der Fintech-Branche, die 34% der Attacken erlitt und einen 12-fachen Anstieg von Angriffen erlebte. Politisch motivierte Hacker trugen dazu bei, dass das Ausmaß und die Dauer der Angriffe zunahmen (bis zu 2 Tbit/s und 3 Tage) und entwickelten Tools, die schließlich von profitorientierten Cyberkriminellen übernommen wurden.
Fazit? Hacker sind sehr viel besser in der Ausführung von DDoS-Angriffen geworden und die meisten Unternehmen sind für diese Attacken so anfällig wie eh und je. In diesem Artikel werden wir versuchen, die brennendsten Fragen zu den inneren Funktionsweisen von Denial-of-Service-Angriffen und zur DDoS-Prävention zu beantworten. Was sind DDoS-Angriffe und wie funktionieren sie? Warum erfolgen DDoS-Angriffe? Wie gängig sind DDoS-Angriffe? Und vor allem: Was können Unternehmen tun, um Denial-of-Service-Angriffe zu verhindern? Lassen Sie uns direkt in das Thema eintauchen.
Was sind DDoS-Angriffe und wie funktionieren sie?
Wie der Name bereits andeutet, kann jeder Cybervorfall, in dem Angreifer einen Service unterbrechen und den Zugriff für berechtigte Anfragen verwehren, als Dienstverweigerungsangriff (engl. „denial of service attack“, also DoS-Angriff) angesehen werden. DDoS-Angriffe richten ihren Fokus auf eine Überladung der Infrastruktur, die einen Service zugänglich macht, anstatt auf die vom Service genutzten Systeme – ganz so, wie es auch traditionelle Denial-of-Service-Angriffe tun.
Um zu veranschaulichen, wie ein solcher Vorfall abläuft, möchten wir unseren Lieblingsvergleich verwenden. Stellen Sie sich die Nutzung eines Cloudservices so vor, als würden Sie Ihren Reisepass in einem Safe im Haus Ihres Nachbarn aufbewahren. Der Zweck eines DDoS-Angriffs besteht nicht darin, den Reisepass direkt zu stehlen, sondern Sie daran zu hindern, auf ihn Zugriff zu nehmen. Wenn wir also den Reisepass mit einer Aufgabenverwaltungssoftware ersetzen, die eine 5000-köpfige Belegschaft tagtäglich verwendet, kann leicht erkannt werden, wie ein Distributed-Denial-of-Service-Angriff die Geschäftsabläufe, den Ruf und die Bottom-Line – also den Reingewinn – eines Unternehmens ins Chaos stürzen kann.
Der Unterschied zwischen DoS- und DDoS-Angriffen
Laut dem Bundesamt für Informationssicherheit (BSI) spricht man dann von einer Distributed- Denial-of-Service-Attacke (DDoS-Attacke), also einer „verteilten DoS-Attacke“, wenn diese über eine Vielzahl von Computern oder Vektoren anstelle von nur einem erfolgt. Hierbei handelt es sich um die häufigste Form von DoS-Angriffen auf Webseiten.
„Vielzahl“ kann hier tausende oder zehntausende Internetnutzer bedeuten, die IT-Infrastrukturen wie Server oder Webdienste mit Nachrichten, Verbindungsanfragen oder missgebildeten Paketen überfluten. Auf diese Weise wird das anvisierte Ziel beeinträchtigt oder gänzlich zum Stillstand gebracht. Die Teilnehmer an DDoS-Attacken lassen sich gewöhnlich zwei Kategorien zuordnen: Freiwillige, wie Mitglieder illegaler Hacktivismus-Gruppen, und unwissentliche Opfer, deren Geräte durch bösartige Mittel wie Schadsoftware kompromittiert worden sind.
Die drei Hauptarten von DDoS-Angriffen
Als breites Spektrum von Cyberbedrohungen haben Distributed-Denial-of-Service-Angriffe dennoch eines gemeinsam: Sie alle generieren eine gigantische Verkehrsüberflutung, um das anvisierte Ziel lahmzulegen und unzugänglich zu machen. Je nachdem, auf welche Art und Weise sie dies bewerkstelligen, können wir jedoch drei grundlegende Arten von DDoS-Angriffen unterscheiden.
1. Angriffe auf Anwendungsebene
Angriffe auf Anwendungsebene, die auch als Ebene-7- oder Layer-7-Angriffe bezeichnet werden, visieren die Anwendungen an, über die Cloudsysteme ausgeführt werden. Genauer gesagt nutzen sie Funktionalitäten dieser Anwendungen aus, die eine geringe Datenbewegung zwischen dem angreifenden Botnet und den Servern verlangen, wie z. B. Authentifizierungen. Die Anwendungsdienste werden mit einer großen Menge von Anfragen überschwemmt und überlasten begrenzte Ressourcen wie verfügbaren Speicherplatz. HTTP-Überflutung, deren Orchestrierung nur minimale Ressourcen benötigt, ist ein gängiges Beispiel für Angriffe auf Anwendungsebene.
Um noch einmal auf unsere Reisepass-Analogie zurückzukommen: Nehmen wir einmal an, Sie müssen Ihren Reisepass von Ihrem Nachbarn abholen, bevor Sie eine internationale Reise antreten. Auf dem Weg zum Haus Ihres Nachbarn stoßen Sie auf eine Schar hunderter Menschen, die behaupten, dass sie ebenfalls wichtige Dokumente in dem Safe hinterlegt haben. Nun muss Ihr Nachbar die Identität jeder einzelnen Person überprüfen, um zu entscheiden, welche der Forderungen legitim sind. Die meisten von ihnen sind es selbstverständlich nicht. Sie selbst müssen also trotz Ihrer legitimen Forderung stundenlang Schlange stehen und verpassen letztendlich Ihren Flug.
2. Protokollangriffe
Ziel dieser Attacken ist die Aufzehrung der Kapazität wichtiger Server und Geräte, die eine Verbindung mit dem breiteren Internet herstellen, wie z. B. Router oder Firewalls. Eine Möglichkeit, einen DDoS-Angriff auf Protokollebene auszuführen, besteht darin, Nutzern eine Fälschung der Webseite oder Dienstleistung anzuzeigen, auf die sie zuzugreifen versuchen.
Genau dies geschah im Jahr 2018, als Nutzer von MyEtherWallet, die auf ihre Crypto-Geldbörsen zuzugreifen versuchten, zwei Stunden lang auf eine Phishing-Webseite weitergeleitet wurden, die von böswilligen Individuen betrieben wurde. Einige Nutzer, denen Warnzeichen wie das nicht signierte SSL-Zertifikat entgingen, fielen dem Betrug zum Opfer – und mussten mit Schrecken feststellen, dass ihre Konten geleert worden waren.
In unserer Analogie würde dies bedeuten, dass Sie sich auf dem Weg zum Haus Ihres Nachbarn befinden, um Ihren Reisepass abzuholen, und dabei von einer Person angehalten werden, die sich für einen Polizeibeamten ausgibt. Oder Sie betreten ein falsches Haus, das genauso aussieht, wie das mit Ihrem Pass im Safe – aber komplett leer ist. Und in der Zwischenzeit nehmen die Angreifer möglicherweise Zugriff auf den echten Safe, der Ihr Dokument enthält.
3. Volumetrische Angriffe
Volumetrische Angriffe sind ein Klassiker unter den DDoS-Strategien. Sie machen sich die Brute-Force-Methode zunutze, bei der eine Flut von Datenpaketen an die Server eines Dienstes gesendet wird, um deren gesamte Bandbreite aufzubrauchen und so legitimen Traffic lahmzulegen. Trotz ihrer relativen Einfachheit können diese Attacken extrem schädlich sein. Stellen Sie sich vor, Sie stecken auf dem Weg zum Haus Ihres Nachbarn in einem Verkehrsstau fest. Als Sie schließlich ankommen, um Ihren Reisepass abzuholen, wimmelt es nur so von Menschen, die in das Haus einzudrängen versuchen – und Ihr Nachbar hat aus lauter Angst sogar aufgegeben, Türen und Fenster zu verschließen.
Schlimmer geht’s nimmer: Die Folgen von DDoS-Angriffen
Im Jahr 2022 nahmen DDoS-Angriffe an Häufigkeit, Dauer und Raffinesse zu. Unternehmen mussten allein im vierten Quartal durchschnittlich 29,3 Angriffe pro Tag abwehren. An dieser Stelle sollte vermerkt werden, dass DDoS-Angriffe an sich im Gegensatz zu anderen Cyberbedrohungen nicht auf die Datenbestände von Unternehmen abzielen. Stattdessen dienen sie als Tarnung für andere böswillige Aktivitäten, die zu Datenschutzverletzungen führen können. Somit können sie sich dennoch langfristig auf die finanzielle Situation, den Ruf und die Leistung des von ihnen anvisierten Unternehmens auswirken. Hier finden Sie einige potenzielle Folgen von DDoS-Angriffen:
1. Umsatzeinbußen
Die durch einen DDoS-Angriff verursachten Ausfallzeiten können zu zurückgelassenen Warenkörben, fehlgeschlagenen Transaktionen und frustrierten Kunden führen, was Unternehmen laut dem Ponemon Institute durchschnittlich Kosten in Höhe von 22.000 US-Dollar pro Minute verursacht..
2. Produktivitätsverluste
Es sind jedoch nicht nur Kunden, für die während eines DDoS-Vorfalls der Netzwerkzugang blockiert werden kann. Attacken können Sekunden oder gar eine ganze Woche dauern, was Mitarbeiter daran hindern kann, auf effiziente Weise – oder überhaupt – zu arbeiten.
3. Neue Angriffsvektoren
Wie wir bereits erwähnt haben, sind DDoS-Angriffe eine narrensichere Methode, um IT- und Sicherheitsteams abzulenken. Auf diese Weise können sie Cyberkriminellen Tür und Tor öffnen, um andere Schwachstellen innerhalb Ihres Netzwerks aufzudecken und zu ihrem Vorteil auszunutzen.
4. Rufschädigung
Studien haben ergeben, dass öffentlichkeitswirksame Datenschutzverletzungen zu Einbußen in Höhe von 5–9% beim guten Ruf – sprich dem immateriellen Kapital – eines Unternehmens führen können. Dies kann katastrophale Auswirkungen für Unternehmen in Branchen haben, die auf Vertrauen basieren, wie das Gesundheitswesen oder der Finanzsektor.
DDoS-Schadensbegrenzung: So decken Sie einen DDoS-Angriff auf
Um die Auswirkungen von DDoS-Vorfällen zu lindern, ist es unerlässlich, sich mit den verräterischen Zeichen von DDoS-Angriffen vertraut zu machen. Laut der US-amerikanischen Cybersecurity and Infrastructure Security Agency können diese u. a. Folgendes beinhalten:
- Ungewöhnlich langsame Netzwerkleistung
- Performance von Anwendungen ist schwerfällig
- Hohe Prozessor- und Speicherauslastung
- Ungewöhnlich hoher Netzwerkverkehr
- Webseiten sind nicht verfügbar oder unzugänglich
4 Schritte, um einen DDoS-Angriff zu stoppen – oder den Schaden zumindest in Grenzen zu halten
1. Schenken Sie Verkehrszunahmen Aufmerksamkeit, die unerwartet oder wiederholt auftreten. Haben Sie gerade einen Schlussverkauf begonnen? Dann ist eine Steigerung des Webseiten-Traffics wahrscheinlich kein Grund zur Beunruhigung. Ein plötzlicher Anstieg des Anfragevolumens, besonders in regelmäßigen Abständen, sollte jedoch stets als Warnsignal angesehen werden.
2. Haben Sie ein ungewöhnliches Verkehrsaufkommen festgestellt? Beginnen Sie damit, den böswilligen Datenstrom aus dem legitimen Traffic des anvisierten Servers herauszufiltern, um sicherzustellen, dass der Zugriff auf Ihre Dienste oder Anwendungen für Nutzer erhalten bleibt, die ihn benötigen.
3. Leiten Sie verdächtigen oder gefährlichen Traffic in sogenannte Sinkholes um. Diese sind ein gängiges Tool für die Untersuchung und Eindämmung von DDoS-Angriffen und gestatten es Sicherheitsexperten, Botnetze daran zu hindern, die von Systemen für ihren Betrieb benötigten EDV-Ressourcen zu blockieren.
4. Zu guter Letzt sollten Sie sicherstellen, dass alle mit der Distributed-Denial-of-Service-Attacke in Verbindung stehenden Daten an Ihre Sicherheitsteams und die relevanten Behörden weitergeleitet und von diesen analysiert werden. Und behalten Sie vor allem Ihren Netzwerkverkehr auch zukünftig im Blick, um Anzeichen für einen erneuten Angriff direkt zu erkennen.
Wie können Sie DDoS-Angriffe verhindern? Tipps zur Prävention von Denial-of-Service-Attacken
- Finden Sie einen DoS-Schutzservice, der ungewöhnlichen Traffic feststellt und diesen von Ihrem Netzwerk umleitet, bevor er erheblichen Schaden anrichten kann.
- Stellen Sie sicher, dass Sie über einen DDoS-Reaktionsplan verfügen, der angibt, wer benachrichtigt werden und wer was wann tun sollte, sobald ein Angriff festgestellt wurde.
- Prüfen Sie die Sicherheitseinstellungen Ihrer mit dem Internet verbundenen Infrastruktur regelmäßig und informieren Sie sich über aktuelle und bewährte Sicherheitspraktiken.
- Stärken Sie die Netzwerksicherheit durch die Verwendung von Firewalls, Eindringungserkennungslösungen, Antivirenprogrammen und Tools für Endpoint-Sicherheit.
- Wechseln Sie in die Cloud und nutzen Sie mehrere Server für eine erhöhte Bandbreite, zusätzliche Sicherheitsebenen und eine verteilte Serverarchitektur, die böswilligen Traffic abfängt.