Alt aber immer noch wirkungsvoll. Bereits seit den 90er Jahren des vergangenen Jahrhunderts sind Distributed-Denial-of-Service-Angriffe (DDoS) nicht nur ausgesprochen ärgerlich, sondern können für viele Unternehmen sogar zu einer sehr realen wirtschaftlichen Gefahr werden. Denn bei einem DDoS-Angriff handelt es sich um eine ausgeklügelte Taktik, mit der Angreifer die Ressourcen eines Netzwerks durch eine massive Überflutung mit Datenverkehr erschöpfen und so die Funktionsfähigkeit eines Internetdienstes lahmlegen. Vor allem für Unternehmen mit Webshops und Onlinediensten ein fatales Ereignis.
Ein DDoS-Angriff beginnt in der Regel damit, dass Angreifer eine große Anzahl kompromittierter Geräte – sogenannte „Bots“ – unter ihre Kontrolle bringen. Diese Geräte sind Teil eines Botnets, das sich aus allem zusammensetzen kann, was eine Internetverbindung besitzt: von infizierten Firmen- oder Privatrechnern über Smart Home-Geräte bis hin zu Routern. Sobald das Botnet stark genug ist, ordnet der Cyberkriminelle eine koordinierte Flut von Anfragen an den Zielserver des Opfers an. Im Prinzip lässt sich ein DDoS-Angriff dann mit einem koordinierten Ansturm auf ein Geschäft vergleichen, bei dem so viele Menschen gleichzeitig versuchen durch die Eingangstür zu stürmen, dass normale (also „echte“) Kunden keinen Zugang mehr finden und der Betrieb bzw. die Webseite zum Erliegen kommt bzw. offline geht.
Technisch gesehen können diese Anfragen auf verschiedenen Ebenen des Netzwerks ansetzen:
- Network-Layer-Angriffe zielen darauf ab, die Bandbreite eines Netzwerks zu besetzen. Große Datenpakete oder steigende Verbindungsanfragen überlasten Router und Firewalls.
- Application-Layer-Angriffe hingegen simulieren legitime Anfragen an Webanwendungen oder Datenbanken. Diese Anfragen verbrauchen Server-CPU und Arbeitsspeicher, ohne auf den ersten Blick wie schädlicher Traffic auszusehen.
Das Fatale dabei ist zudem das „verteilte“ Element: Der Datenverkehr kommt nicht von einem einzelnen Computer, sondern von einem weltweit verzweigten Netzwerk kompromittierter Systeme – eben dem zuvor erwähnten Botnet. Tausende von Endgeräten schleusen massenhaft sinnlose Anfragen oder Datenpakete in Richtung Ziel. Interessantes Detail am Rande: Erst 2024 haben US-Behörden ein Botnet (namens 911 S5) zerschlagen das aus über 19 Millionen infizierten Windows-Geräten in über 200 Ländern bestanden haben soll. Die Geräte wurden – wenig überraschend – primär als Proxy-Dienst für kriminelle Aktivitäten, einschließlich Betrug und Cyberangriffe, vermietet.
Für Unternehmen, die auf ihre Webseite wirtschaftlich angewiesen sind (wie etwa Online-Händler), ist es sehr relevant, welche Kosten und Risiken aus einem erfolgreichen DDoS-Angriff entstehen können: Kurzfristig führt der Ausfall von Onlinediensten zu entgangenen Umsätzen, unzufriedenen Kunden und einem Imageschaden. Und auch interne Betriebsabläufe können zum Erliegen kommen, wenn wichtige Software oder Kommunikationsmittel blockiert sind. Langfristig können Wiederherstellungsmaßnahmen, forensische Analysen und der Ausbau der eigenen Infrastruktur erhebliche Investitionen erfordern. Gerade im E-Commerce oder bei Cloud-Anbietern kann eine Stunde Ausfall mehrere Zehntausend Euro Verlust bedeuten.
Um Unternehmen vor DDos-Angriffen zu schützen empfiehlt sich eine Kombination aus vorbeugenden und reaktiven Maßnahmen:
Skalierbare Infrastruktur: Der Einsatz von Cloud-Diensten mit elastischer Bandbreite kann kurzfristig zusätzliche Kapazitäten bereitstellen, um plötzliche Traffic-Spitzen zu absorbieren.
Traffic-Filter und Scrubbing-Center: Spezialisierte Anbieter leiten den Traffic über ihre Netzwerke und entfernen verdächtige Pakete, bevor sie Ihre Systeme erreichen.
Web Application Firewalls (WAF): Diese analysieren Anfragen auf der Anwendungsebene und blockieren bösartige Muster bereits vor der Anwendungslogik.
Monitoring und Alarmierung: Frühwarnsysteme erfassen ungewöhnliche Traffic-Anstiege und lösen automatisiert Gegenmaßnahmen aus, noch bevor ein vollständiger Dienstausfall eintritt.
