Alles Wichtige zu DDoS

Bei einer DDoS-Attacke handelt es sich um den systematischen und simultanen Angriff mehrerer Computer auf eine Webseite oder eine ganze Netz-Infrastruktur. Ziel des Angriffs ist es, die Erreichbarkeit oder Verfügbarkeit des Anbieters durch Überlastung der Netz-Infrastruktur temporär zu stören oder zu unterbrechen.

Während eines DDoS-Angriffs werden an die angegriffene Netz-Infrastruktur sehr viele, sinnlose, unvollständige Anfragen oder falsche Protokollelemente, etc. gesendet. Dadurch wird entweder die IT-Infrastruktur (z.B. Server) überlastet, oder die vorhandene Leitungskapazität bietet keine ausreichende Bandbreite mehr, um den echten Datenverkehr, beispielsweise den Ihrer Kunden, zu bewältigen.

Dadurch kann Ihre Webpräsenz für Ihre Kunden unerreichbar werden. Die attackierten Internet-Anschlüsse sowie die dahinter befindlichen LAN-Komponenten werden, auch bedingt durch den Start von Sicherheitsmaßnahmen (z.B. Firewalls), schnell überlastet und unerreichbar. Durch die eingeschränkte oder blockierte Erreichbarkeit entsteht Ihrem Unternehmen schnell ein erheblicher wirtschaftlicher Schaden.

Unter den gängigsten/verschiedenen Angriffsmethoden ist die Multi-Vector-Attacke der Angriff mit dem höchsten Gefahrenpotential. Hierbei werden mehrere Angriffsmethoden gleichzeitig einge­setzt, was das Risiko für Ihr Unternehmen deutlich erhöht. Da automatisierte Systeme nur bedingt Schutz gegen solch komplexe Angriffe bieten können, müssen oft spezialisierte Rettungsteams zur Bekämpfung gebildet werden, die die Bedrohung dann an mehreren Stellen aufspüren und bekämpfen.

Im Wesentlichen lassen sich drei Angriffs-Strategien unterscheiden:

Volumetrischer DDoS-Angriff

Diese Form der DDoS-Attacken zählt zu den meistverbreitesten und beliebtesten Angriffsformen. Auf der Carrier- Anschlussleitung wird eine Überlast erzeugt, bis die Kapazitätsgrenzen überschritten werden und das System lahm gelegt ist.

Service-LayerDDoS-Angriff

Attacken dieser Art richten sich gegen spezifische, von Ihrem System verwendete Applikationen (HTTP, SSL, DNS, SMTP, SIP, etc.) und überfluten diese mit einer Überzahl an Requests, sodass es zum Überschreiten von Sessions führen kann. Diese Überlast bewirkt dann den Stopp der Aufgaben-Abwicklung Ihrer Applikationen.

State-ExhaustingDDoS-Angriff

Dieser Angriffstyp zielt auf Stateful Security Appliances (Firewall, IPS, Loadbalancer-ADC) und soll, durch sehr viele Requests zum Überlauf der Session-Tabelle bzw. zum Überschreiten der maximalen Session-Setup-Rate führen. Durch diese Überlast können die System-Aufgaben nicht mehr wahrgenommen werden.

Kleine Besonderheit, große Wirkung: Im Gegensatz zu einer einfachen Denial-of-Service-Attacke (DoS) haben DDoS-Attacken eine immense Schlagkraft. Sie erzeugen sehr schnell einen Ausfall von Servern. Typische DDoS-Angriffe zielen dabei regelmäßig auf die Überlastung des Access-Link, der Ressourcen der Firewall, der Web- und der Datenbankserver.

Bei einem DoS-Angriff erfolgt die Netzwerk-Attacke von einem einzigen Rechner aus, der versucht, die IT-Infrastruktur zu überlasten und so eine Nicht-Verfügbarkeit oder Dienstblockade hervorzurufen. Weit häufiger als DoS-Angriffe sind mittlerweile aber DDoS-Attacken.

Bei einem DDoS-Angriff geht die Attacke nicht von einem einzelnen System, sondern einer Vielzahl von (gekaperten) Rechnern aus, die das Netzwerk mit Anfragen bombardieren. DDoS-Angriffe bzw. Botnetze für diesen Zweck können mittlerweile für ein paar Euro online gebucht werden. So ist es wenig verwunderlich, dass die Zahl der DDoS-Attacken allein zwischen 2014 und 2015 um fast 150 % zugenommen hat.

Das Ziel beider Angriffsformen ist gleich: die Nichtverfügbarkeit von Online-Diensten herbeizuführen, indem sie blockiert und folglich unbenutzbar werden. Häufig dienen DDoS-Angriffe aber auch dazu, gezielte Attacken von Hackern auf ein System zu verschleiern, indem die Zugriffsversuche in der riesigen Datenflut eines DDoS-Angriffs unbemerkt bleiben.

Unabhängig von Art und Ziel des DDoS-Angriffs kann der dabei entstandene Schaden existenzbedrohend für ein Unternehmen sein.

Auch bei der Motivation unterscheiden sich beide Angriffsformen nicht. Neben die finanziellen Interessen von Cyberkriminellen treten hier zunehmend auch die gesellschaftlichen oder politischen Ziele von sogenannten Hacktivists in den Vordergrund, die Unternehmen gezielt schädigen wollen.

DDoS-Attacken sorgen für lange Ausfallzeiten. Das Schadensausmaß einer DDoS-Attacke wird gemessen an der Zeit, die ein Unternehmen benötigt, um sich von dem Angriff zu erholen. Im Schnitt benötigen Firmen nach besonders heftigen Angriffen 12 Stunden, um sich vollständig wiederherzustellen – also wesentlich länger als einen ganzen Arbeitstag. In Deutschland hat mehr als die Hälfte der befragten IT-Entscheider (52 %) DDoS-Attacken erlebt, die ihre Systeme für mehr als sechs Stunden – also fast einen ganzen Arbeitstag – außer Kraft gesetzt haben.

Umsatzeinbußen und Imageschäden sind die teuersten Folgen eines DDoS-Angriffs. Das Ponemon Institute hat im März 2015 eine Studie zu den von DDoS-Angriffen verursachten Kosten veröffentlicht. Die beteiligten Unternehmen berichteten von Ausgaben in Höhe von durchschnittlich 1,5 Millionen $, die in den letzten 12 Monaten von durchschnittlich vier DoS-Angriffen verursacht wurden.

Dazu kommt schwindendes Kundenvertrauen, das ein Unternehmen in eine Krise stürzen kann. Wie Umfragen zeigen, erhöhte sich die Zahl der Reklamationen und Rückfragen um durchschnittlich 36 % bei jedem DDoS-Angriff.

DDoS-Attacken im Business-Umfeld lassen meist folgende kriminelle Motivation erkennen:

1. Politische Gegenansichten/Hacktivismus Die Aussagen oder politischen Ziele der angegriffenen Seite gehen nicht konform mit der Meinung und Motivation des Angreifers. Die Webseite wird zum Schweigen gebracht.
2. Erpressungsversuche Opfer sind hier häufig Webshop-Betreiber, die erpresst werden. Sofern die Forderungen der Erpresser nicht beglichen werden, drohen die Angreifer damit, die Seite zu überlasten, so dass diese für die Nutzer nicht mehr verfügbar ist.
3. Konkurrenz zu Ihrem Unternehmen Wettbewerber geben Angriffe in Auftrag, um Konkurrenzseiten zu blockieren. Neben Imageschäden sind immense finanzielle Einbußen die Folge.
4. Datendiebstahl/Verschleierung Durch eine DDoS-Attacke wird die IT/Security Abteilung des Unternehmens beschäftigt und abgelenkt. In der Zwischenzeit wird unbemerkt eine andere Schwachstelle ausgenutzt, um sensible Daten zu stehlen.

Vereinfacht gesagt: der Server lahmt. Tatsächlich ist dieser einfache Ansatz für den Anwender oftmals der erste Hinweis eines Angriffs auf den Server, mit dem Nachteil, dass die Attacke zu diesem Zeitpunkt offensichtlich bereits erfolgreich läuft.

Vor allem bei Finanzdienstleistern, E-Commerce-Anbietern und Händlern zeigen sich schnell negative Auswirkungen, wenn ihre Webseite oder andere Systeme zur Zielscheibe solcher Angriffe werden. Falls Sie selbst Unregelmäßigkeiten feststellen und befürchten angegriffen zu werden, können Sie gerne eine Analyse Ihres Netzwerks von uns anfordern.

Die Zahl aller von DDoS-Attacken betroffenen Unternehmen in Deutschland nimmt stetig zu. Täglich werden mehr als 130 Angriffe auf deutsche Unternehmen sämtlicher Branchen verzeichnet. Sowohl Kleinunternehmen als auch Großkonzerne sind Ziele der Angreifer. Die Mehrzahl der attackierten Unternehmen wird sogar mehrfach attackiert, da bei den Angreifern meist eine hohe kriminelle Motivation erkennbar ist. Die Wahrscheinlichkeit, dass Ihr Unternehmen auch zum Ziel von DDoS-Attacken wird oder bereits wurde, ist demnach sehr groß.