Was ist eine DDoS-Attacke und wie können Unternehmen sich schützen?

DDOS Attacke Symbolbild

Die Zahl der verteilten Denial-of-Service-Angriffe nimmt jedes Jahr zu und verursacht Schäden in Milliardenhöhe für die gesamte Wirtschaft. Daher ist es wichtiger denn je, geeignete IT-Sicherheitsmaßnahmen zur Bekämpfung von verteilten Denial-of-Service-Angriffen zu ergreifen. In den folgenden Abschnitten wird erläutert, wie ein verteilter Denial-of-Service-Angriff funktioniert, warum er nicht unterschätzt werden sollte und welche IT-Sicherheitsmaßnahmen Sie ergreifen können, um sich und Ihr Unternehmen intelligent, schnell und effektiv zu schützen.

Ob Big Data, Internet der Dinge, Cloud-Computing, künstliche Intelligenz oder aber Virtual und Augmented Reality: Digitale Technologien sind aus dem Geschäftsleben nicht mehr wegzudenken. Sie ändern bestehende Arbeitsformen, gestalten Wertschöpfungsprozesse und setzen unerwartete Wachstumspotenziale frei. Mehr noch: Der Gebrauch digitaler Technologien bestimmt inzwischen im wachsenden Maße über die Wettbewerbsfähigkeit, die Robustheit und die Zukunftsfähigkeit eines Unternehmens.

Allerdings verhelfen digitale Technologien nicht bloß Betrieben zu Höhenflügen – auch Internetkriminelle ziehen einen Nutzen von den vielfältigen Optionen immer innovativerer Angriffsmethoden. In den vergangenen Jahren ist hier insbesondere der Trend zu Distributed-Denial-of-Service-Attacken entfacht.

Bei der Distributed-Denial-of-Service-Attacke handelt es sich um eine spezielle Angriffsform, die sich vom konventionellen Denial-of-Service-Angriff ableitet und das Ergebnis verfolgt, Webpräsenzen, Webserver, Unternehmensnetzwerke sowie anderweitige Netzwerkressourcen eines Unternehmens mit einer großen Menge gleichzeitiger Verbindungsanfragen oder aber fehlerhaften Paketen zu überfordern und auf diese Weise zu bremsen oder sogar komplett lahmzulegen. Häufig verwenden die Bedrohungsakteure hierzu kompromittierte Rechner und Endgeräte, die sie via Fernbedienung zu solch einem Botnetz vereinen und anschließend auf ein Zielsystem und dessen Services orientieren. Dabei würde die Multiplikation der Angriffsquelle, sprich die Größe des Botnetzes, die Effektivität der Distributed-Denial-of-Service-Attacke verstärken und dazu beitragen, die Identität der Bedrohungsakteure zu verbergen.

Anzahl und Komplexität der DDoS-Angriffe steigen! 

Distributed-Denial-of-Service-Attacken sind keine neuartige Gefahr. Vor knapp 20 Jahren fand die erste Distributed-Denial-of-Service-Attacke statt. Ein PC der University of Minnesota wurde plötzlich von 114 Computern attackiert, die mit einer Schadsoftware mit dem Namen Trin00 infiziert waren.

Seither kennt die Dynamik der Distributed-Denial-of-Service-Attacken im Wesentlichen bloß die Richtung nach droben, wie auch die nachfolgenden Beispiele aus jüngster Vergangenheit bestätigen: 

  • So wehrte Microsoft, laut dem DDoS-Jahresbericht, in der Jahreshälfte vom Jahr 2021 fast 360.000 DDoS-Angriffe gegen ihre Logistik ab. Darunter eine Attacke mit der Rekord-Bandbreite von 3,47 Terabit auf die Cloud-Plattform Azure.
  • Der IT-Sicherheitsdienst Cloudflare berichtet im Juli 2021 eine rekordverdächtige Distributed-Denial-of-Service-Attacke abgewehrt zu haben, bei der Internetkriminelle über 17 Millionen Anfragen pro Sekunde versendeten.
  • Die Firma Netscout registrierte 2020 zum ersten Mal mehr als 10 Millionen Distributed-Denial-of-Service-Attacken jährlich. Im ersten halben Jahr von 2021 wurden daraufhin fast 5,4 Millionen Distributed-Denial-of-Service-Attacken vernommen. Dies ist ein Zuwachs von 11 Prozent gegenüber dem Vergleichszeitraum 2020.
  • Außerdem zeigt der DDoS-Report 2021 von Imperva, dass bei etwa 12 % jeglicher Netzwerk-Distributed-Denial-of-Service-Attacken deutsche Unternehmen verwickelt waren. 

Die wichtigsten Arten von Distributed-Denial-of-Service-Attacken!

 Generell können sich Distributed-Denial-of-Service-Attacken gegen jede der sieben Lagen innerhalb des OSI-Modells für Netzwerkverbindungen richten. Die 3 Schlüsselarten wären:

1.     Netzwerkzentrierte beziehungsweise volumenbasierte Distributed-Denial-of-Service-Attacken: Netzwerkzentrierte beziehungsweise volumenbasierte Distributed-Denial-of-Service-Attacken sind die häufigste Art von Distributed-Denial-of-Service-Attacken. Bei dieser Angriffsart wird die vorhandene Palette durch die Zuhilfenahme eines Botnetzes mit Paketfluten überlastet. So wird verhindert, dass legitime Verbindungsanfragen eintreffen. Zu dieser Gruppe zählen unter anderem UDP -Flood-Attacken.

o    UDP-Flood-Attacken: Bei einem UDP-Flood-Angriff schicken Angreifer eine große Masse von UDP-Paketen (UDP= User-Datagram-Protocol) an Serverports des Ziels, um diese dadurch zu überlasten, solange bis sie nicht mehr erwidern.

2.     Anwendungsbasierte Distributed-Denial-of-Service-Attacken: Anwendungsbasierte Distributed-Denial-of-Service-Attacken sehen hierauf ab, die Ressourcen und den Arbeitsspeicher des Zielsystems mit sinnfreien oder ungültigen Verbindungsanfragen zu überlasten sowie zu verbrauchen. Am häufigsten sind in diesem Kontext so bezeichnete HTTP Flood-Attacken.

o    HTTP-Flood-Attacken: Bei dieser leichtesten DDoS-Angriffsvariante zur Ressourcenüberlastung überschwemmen Bedrohungsakteure den Webserver eines Zielsystems mit einer Vielzahl von HTTP-Requests. Zu diesem Sinn und Zweck muss er nur Internetseiten jeglicher Art des Zielprojekts aufrufen, bis der Server unter der Belastung an Anfragen zerbricht.

3.     Protokollbasierte Distributed-Denial-of-Service-Attacke: Protokollbasierte Distributed-Denial-of-Service-Attacken zielen auf Protokolle der Netzwerk- oder Transportschicht ab und nutzen Schwachstellen in diesen Protokollen, um das Zielsystem mit unvollständigen oder fehlerhaften Verbindungsanfragen zu überfordern. Zu den häufigsten protokollbasierten Distributed-Denial-of-Service-Attacken zählen:

o   die ICMP-Flood-Attacke: Bei der ICMP-Flood-Attacke (ICMP=Internet Control Message Protocol) überfluten die Bedrohungsakteure den Server mit unzähligen ICMP-Anfragen. Bei diesem Angriff wird probiert, die Fähigkeit des Servers, auf Anforderungen zu antworten, zu beeinträchtigen und damit gültige Anfragen zu blockieren. 

o   die SYN-Flood-Attacke: Bei diesem Angriffsmuster probieren die Bedrohungsakteure durch das wiederholte Senden von Synchronisationspaketen, knapp SYN-Paketen, die ganzen verfügbaren Ports auf einem Zielservercomputer zu überfordern, damit das Zielgerät lediglich schleichend oder gar nicht auf legitimen Daten-Traffic reagiert. SYN-Flood-Angriffe funktionieren unter Verwertung des Handshake-Prozesses einer TCP-Verbindung. 

4.     Multivektorangriffe: Bei Multivektorangriffen werden mehrere Angriffsmethoden, wie zum Beispiel protokollbasierte Distributed-Denial-of-Service-Attacken mit anwendungsbasierten Distributed-Denial-of-Service-Attacken kombiniert, um ein Zielsystem und dessen Dienste komplett zu überwältigen und dieses zum Absturz zu bringen. Kombinierte Multivektorangriffe sind besonders schwierig abzuwehren und verlangen daher eine durchdachte wie auch vielseitige Abwehrstrategie.

So verhindern Sie Distributed-Denial-of-Service-Attacken!

Da Distributed-Denial-of-Service-Attacken äußerst komplex sind, sollten Betriebe auf unterschiedlichen Arten IT-Abwehrmaßnahmen implementieren. 

Erfolgreiche Ansätze beinhalten meist folgende Punkte: 

  • Identifikation kritischer IP-Adressen sowie das Aufspüren bekannter Sicherheitslücken
  • Web Application Firewalls: Gegenüber klassischen Firewalls untersuchen Web Application Firewalls, kurz WAFs, die anwendungsspezifische Interaktion und sind dadurch in der Position Attacken auf Anwendungsschicht zu erkennen
  • IP-Sperrlisten: IP-Sperrlisten ermöglichen es, kritische IP-Adressen zu identifizieren und Datenpakete direkt zu löschen. Jene Sicherheitsmaßnahme lässt sich manuell ausführen oder durch flexibel hergestellte Sperrlisten über die Firewall automatisieren.
  • Filterung: Mit dem Ziel, gefährliche Datenpakete herauszufiltern, ist es möglich, Grenzwerte für Datenmengen in dem bestimmten Zeitabschnitt zu bestimmen. Hierbei ist aber zu beachten, dass Proxys mitunter dazu leiten, dass viele Clients mit derselben IP-Adresse beim Server registriert und möglicherweise grundlos blockiert werden.
  • SYN-Cookies: SYN-Cookies nehmen Sicherheitslücken im TCP-Verbindungsaufbau in den Fokus. Kommt die Sicherheitsmaßnahme zum Einsatz, werden Informationen über SYN-Pakete nicht mehr ausschließlich auf dem Webserver gesichert, sondern als Crypto-Cookie an den Client gesendet. SYN-Flood-Angriffe benötigen so allerdings Rechenkapazität, belasten hingegen nicht den Speicher des Zielsystems.
  • Load-Balancing: Eine effiziente Gegenmaßnahme gegen Überlastung ist eine Lastenverteilung auf mehrere Systeme, wie sie durch Load-Balancing gewährt wird. Im Zuge dessen wird die Hardware-Auslastung bereitgestellter Services auf unterschiedliche physische Geräte verteilt. Auf diese Weise lassen sich Distributed-Denial-of-Service-Attacken bis zu einem gewissen Maß erwischen. 

Behalten Sie DDoS-Bedrohungen auf dem Schirm!

Verteilte Denial-of-Service-Angriffe sind auf dem Vormarsch und werden in Zukunft noch größer und weiterverbreitet sein. Um große Schäden durch Betriebsunterbrechungen und manchmal unkalkulierbare Reputationsverluste zu vermeiden, ist es höchste Zeit, dass Unternehmen eine erhöhte Sensibilität für Distributed-Denial-of-Service-Angriffe entwickeln und präzise IT-Schutzmaßnahmen zur Vorbeugung und Entschärfung umsetzen.

Um die Betriebe bei der Recherche und Auswahl zu unterstützen, hat das Bundesamt für Sicherheit in der EDV, kurz BSI, eine Hilfestellung zur Kennung qualifizierter Überwachungsunternehmen für die Verteidigung von Distributed Denial-of-Service-Attacken veröffentlicht.

Wollen auch Sie Ihre exponierten Geschäftsanwendungen, Geschäftsdaten und Services mit leistungsstarken DDoS-Sicherheitslösungen beschützen? Sind Sie auf der Suche nach einem qualifizierten Sicherheitsdienstleister oder haben weitere Fragen zu Distributed Denial-of-Service-Attacken? Sprechen Sie uns gerne an!