DDoS-Angriffe – Seit Jahren rangieren sie im Lagebericht der IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auf der Liste der Bedrohungen für Unternehmen ganz weit oben. Doch was verbirgt sich hinter dem Akronym DDoS, wie erkennt man einen DDoS-Angriff und wie schützt man sein Unternehmen davor?
Der Inhalt im Überblick
Was ist eine DDoS-Attacke?
DDoS steht für Distributed Denial of Service und bezeichnet Angriffe, die zur Überlastung von Systemen führen. Die Absicht dieser Attacken ist es, Webserver außer Betrieb zu setzen. Ein angefragter Dienst ist also gar nicht mehr oder nur noch stark eingeschränkt verfügbar. Im Gegensatz zum DoS (Denial of Service) werden anstatt eines einzigen Systems mehrere verteilte Systeme für einen großflächig koordinierten Angriff eingesetzt.
Wie funktioniert ein DDoS-Angriff?
Einer der Wege, einen DDoS Angriff herbeizuführen, ist es, mehrere Rechner mit Schadsoftware zu infizieren, eine Backdoor einzubauen und dadurch die Kontrolle über diese Computer zu erlangen. Mit Hilfe dieser „Zombierechner“ kann ein ferngesteuertes Botnetz aufgebaut werden, welches die Webressource des Opfers mit einer Masse von Anfragen überlastet.
Besonders gut funktionieren DDoS Angriffe über ferngesteuerte IoT-Geräte oder Server in Universitätsnetzwerken. Unvergessen bleibt z.B. das IoT-Botnetz Mirai, dass 3 Studenten entwickelten, um Minecraft Server lahm zu legen und das später im bis dato größten Angriff auf die Infrastruktur des Internets genutzt wurde, wodurch viele große Internetdienste vor allem an der US-Ostküste zeitweise nicht erreichbar waren.
Verschiedene Arten von DDoS-Attacken
Es gibt verschiedene Arten von DDoS-Attacken, einige möchten wir Ihnen hier vorstellen:
Syn Flooding:
Dabei stehen Schwachstellen beim TCP/IP Aufbau im Mittelpunkt des Angriffs. Der TCP Handshake wird dabei absichtlich vom Angreifer in die Länge gezogen. Durch das Fälschen der Absendeadresse des ersten Pakets kann das System den Computer nicht erreichen zu dem eine Verbindung aufgebaut werden sollte. Bei einer Vielzahl dieser Verbindungsanfragen verbraucht der angegriffenen Rechner seine Kapazitäten und ist dadurch für andere Systeme nicht mehr erreichbar.
Ping Flooding:
Über Pingen prüft ein Programm, ob ein System im Netz erreichbar ist. Die Bombardierung eines Rechners mit Pinganfragen führt dazu, dass ein System überlastet und nur noch mit der Beantwortung der Pings beschäftigt ist. Dadurch wir vor allem das Netzwerk des angegriffenen Rechners enorm beeinträchtigt.
Fluten des Mailaccounts:
Eine riesige Menge an gesendeten Mails verstopft das E-Mail Postfach. In Folge wird der Mailserver langsamer und bricht nach einiger Zeit zusammen.
HTTP-Flooding:
Tausende oder Millionen von Anfragen, die vom Angreifer an einen Zielwebserver ausgehen, der eine oder mehrere Webseiten betreibt, lassen die Systeme nach einiger Zeit zusammenbrechen.
Strafbarkeit von DDoS-Angriffen
DDoS-Angriffe sind in Deutschland als Computersabotage nach § 303b StGB strafbar. Schon die Vorbereitung eines DDoS-Angriffs ist strafbar und kann verfolgt werden. Dabei ist es unerheblich, ob die Attacke einen kriminellen Hintergrund hatte oder Teil einer politischen Protestaktion war, um eine bestimmte Website vom Netz zu nehmen.
Eine Ausnahme bilden Tests im eigenen Netzwerk oder Beauftragte vertraglich klar abgrenzte Penetration Tests.
Welche Ziele verfolgen DDoS-Angriffe?
Mit DDoS-Attacken können kriminelle Absichten verfolgt werden. Je nachdem, wie lange eine Webressource nicht mehr erreichbar ist, können große wirtschaftliche Schäden, Imageverlust oder Datendiebstahl mögliche Folgen sein.
Um dies zu verhindern, kommen die Opfer oft einer durch die Täter gestellten Lösegeldforderung nach. Im Anschluss ebben die Angriffe ab.
DDoS-Attacken können aber auch einen politischen Hintergrund haben. Nach dem Angriff auf die Ukraine gab es zahlreiche DDoS-Attacken von russischer Seite, um das Land zu schädigen. Im Gegenzug erfolgten dann umgekehrt Angriffe auf Regierungsorganisationen und Medien in Russland. Daran beteiligten sich etliche private Hackergruppierungen aus der ganzen Welt.
Wie erkennt man eine DDoS-Attacke?
Grundsätzlich stellt eine DDoS-Attacke ein Verfügbarkeitsproblem dar. Dabei kann nicht genau unterschieden werden, ob es sich dabei um ein Betriebsproblem oder einen DDoS-Angriff handelt.
Bei folgenden Anzeichen könnte es sich um einen DDoS-Angriff handeln:
- hohes Aufkommen von Spammails
- Verschlechterung der Netzwerkperformance
- Webseiten nicht mehr erreichbar
Wie kann man sich gegen DDoS-Angriffe schützen?
Unabhängig von Branche und Größe kann jedes Unternehmen Ziel eines DDoS-Angriffs werden. Sich vor solchen Attacken zu schützen ist schwierig, da ein Rechner die Daten erst erhalten muss, um sie zu analysieren.
Dennoch ist es möglich, einige Gegenmaßnahmen zu treffen. Schon bei der Wahl des Internetproviders sollte darauf geachtet werden, ob dieser einen Grundschutz gegen DDoS-Angriffe anbietet. Default Kennwörter für Router, Netzwerke und vernetzte IoT Geräte sollten geändert werden. Zusätzlich ist es möglich, geeignete Filter- und Analysemaßnahmen einzurichten, welche eine Überlastung des Internetzugangs effektiv verhindern.
Daneben gibt es auch Content Delivery Network (CDN), die einen Schutz vor DDoS-Angriffen bieten können. Das BSI stellt eine Liste von nach § 3 BSIG qualifizierten Dienstleistern zur DDoS-Mitigation bereit. Hier sollte man beim Auswahl eines Anbieter aber aus Datenschutzsicht die Problematik der Datenübermittlung in unsichere Drittländer auf dem Zettel haben. Denn die Platzhirsche stammen aus den USA und stehen damit aktuell auch im Fokus der Aufsichtsbehörden und Gerichte wie z.B. Cloudflare, dessen Einsatz beim Zensus von der portugiesischen Behörde untersagt wurde, oder Akami, dessen Einsatz im Cookiebot Verfahren Streitgegenstand war.
Mitunter hohes Bedrohungspotential durch DDoS-Angriffe
Es lässt sich also festhalten, dass Cyber-Kriminelle DDoS-Angriffe vor allem nutzen, um gezielt Schaden anzurichten, ihre Opfer zu erpressen, bzw. im Fall von Ransomware weiter Druck aufzubauen oder um einen anderen Angriff auf das Unternehmen zu verschleiern. DDoS-Angriffe bleiben immer ein Angriffsmittel mit dem temporär Unternehmen in ihrer Arbeitsfähigkeit eingeschränkt werden können, da es hier zu einem Messen der Ressourcen zwischen Angreifer und Unternehmen kommt.
Unternehmen sollten sich daher vorab im Rahmen eines Notfallplans unbedingt auch auf DDoS-Angriffe vorbereiten, denn davon hängt im Ernstfall die Dauer bis zur Behebung der Störungen und somit auch die Höhe des Schadens ab.