Ist die Website eines Unternehmens nicht mehr erreichbar, kann ein DDoS-Angriff der Grund sein. Hacker nutzen diese Attacken, um ihrem Opfer zu schaden und gegebenenfalls ein Lösegeld zu erpressen. Für Unternehmen ist es daher besonders wichtig, sich davor zu schützen. Lesen Sie hier, was genau ein DDoS-Angriff ist, wie er funktioniert und wie ein DDoS-Schutz aussehen kann.
Was ist DDoS?
DDoS steht für Distributed Denial of Service und bezeichnet eine digitale Angriffsform. Gelegentlich wird auch die Kurzform DoS verwendet. Mithilfe von Schadprogrammen auf Ihrem Rechner, sogenannter Malware, und einer Armee von Bots, die ein sogenanntes Botnetz bilden, wird ein Angriff auf Ihre Website gestartet, sodass diese nicht mehr erreichbar ist.
Was ist ein DDoS-Angriff?
Ein DDoS-Angriff ist eine Attacke auf ein Netzwerk oder einen Server, mit dem Ziel, eine Überlastung der Infrastruktur einer Website herbeizuführen. Ist die Website dann nicht mehr erreichbar, schadet das dem betroffenen Unternehmen. Der Angriff kann auf unterschiedliche Arten erfolgen.
Wie funktioniert ein DDoS-Angriff?
Die Grundidee hinter einem DDoS-Angriff besteht darin, das Netzwerk einer erfolgreichen Website mit so vielen Anfragen zu bombardieren, dass deren Kapazitäten nicht ausreichen und sie zusammenbricht. Die Website des jeweiligen Netzwerks ist für Interessierte und potenzielle Kunden und Kundinnen dann nicht mehr erreichbar.
Um dieses Ziel zu realisieren, infizieren Kriminelle die Hardware eines Unternehmens mit Malware, wodurch Bots entstehen. Bots sind Computerprogramme, die automatisch bestimmte Aufgaben abarbeiten. Die einzelnen Bots kommunizieren untereinander und bilden ein Netzwerk, das Botnetz. Die Angreifer können die Bots auch fernsteuern und sie dazu auffordern, Anfragen an eine Website zu stellen, bis diese zusammenbricht.
DDoS-Angriffe gelten laut § 303b StGB als Computersabotage und sind strafbar. Ebenso kann der Straftatbestand der Nötigung nach § 240 StGB gegeben sein. Können die Täter ermittelt werden, drohen ihnen je nach Schwere des Vergehens Geldstrafen oder Haftstrafen von bis zu drei Jahren.
Es gibt unterschiedliche Arten von DDoS-Attacken. Die drei häufigsten stellen wir Ihnen im Folgenden vor:
1. Die Anwendungsebene wird angegriffen
Das Ziel solcher Angriffe besteht darin, die vorhandenen Ressourcen eines Netzwerks zu überlasten und hierdurch einen Denial of Service (Deutsch: Nichtverfügbarkeit) auszulösen. Der Angriff erfolgt hierbei über die sogenannte „Application Layer“, über die Nutzer und Nutzerinnen Zugriff auf die Funktionen und Dienste eines Netzwerks haben. Ein typisches Beispiel für einen solchen Angriff nennt sich HTTP-Flood.
2. Protokoll-Angriffe
Protokoll-Angriffe streben ebenfalls eine Überlastung des Netzwerkes an, attackieren jedoch Netzwerkgeräte wie eine Firewall. Der Angriff fokussiert sich auf die „Network Layer“ und die „Transport Layer“. Erstere legt fest, auf welchem Weg Daten übertragen werden, Letztere organisiert den Datenverkehr mithilfe von Sicherheitsprotokollen. Die sogenannte SYN-Flood ist ein gängiges Beispiel für einen Protokoll-Angriff.
3. Volumetrische Angriffe
Bei diesen Attacken versuchen die Angreifer, die gesamte vorhandene Bandbreite auszunutzen und dadurch eine Überlastung des bestehenden Netzwerks auszulösen. Dies gelingt dadurch, dass sie zahlreiche Anfragen mit hohen Datenmengen an das Ziel schicken. Ein Beispiel für einen solchen Angriff ist die DNS-Amplification.
So können Sie einen DDoS-Angriff erkennen
Einen DDoS-Angriff können Sie auf verschiedene Weisen erkennen. Zuerst sollten Sie die URL Ihrer Website in Ihren Browser eingeben. Ist die Website nicht erreichbar, ist mit großer Wahrscheinlichkeit ein DDoS-Angriff erfolgt.
Darüber hinaus können Sie Ihr Analyse-Tool aufrufen, mit dem Sie beispielsweise die erfolgten Verkäufe, den Traffic, die Verweildauer oder andere Kennzahlen messen. Sollten Sie hier feststellen, dass Ihre Verkäufe von einem Tag auf den anderen massiv zurückgegangen sind, ist dies ein erstes Indiz für eine erfolgte DDoS-Attacke.
Kommt es zu ungewöhnlichen Zeiten zu Traffic-Spitzen oder fällt Ihnen auf, dass einzelne Seiten plötzlich unerklärlich viele Anfragen auf einmal bekommen, liegt vermutlich ein DDoS-Angriff vor.
Ebenso ist es verdächtig, wenn der Traffic sprunghaft massiv ansteigt und die jeweiligen Nutzer und Nutzerinnen nahezu identische Profile haben. Hierzu gehören beispielsweise die Geo-Lokalisation, die verwendeten Geräte sowie die verwendeten Webbrowser. Wenn ein hoher Traffic von einer einzelnen IP-Adresse oder aus einem bestimmten IP-Bereich stammt, ist das ebenfalls ein Indiz für einen DDoS-Angriff.
Wie lange dauert ein DDoS-Angriff?
Die Praxis zeigt, dass schon einige Stunden genügen, um durch einen DDoS-Angriff die gewünschten Effekte zu erreichen. Bei großen Netzwerken mit einer hohen Bandbreite und zahlreichen Ressourcen kann ein Angriff auch mehrere Tage in Anspruch nehmen.
Hierbei ist eine stetige Entwicklung nach oben festzustellen. Im zweiten Quartal 2021 dauerte ein DDoS-Angriff im Schnitt 30 Minuten, im zweiten Quartal 2022 bereits zwei Tage. Der längste bekannte Angriff dauerte 41.441 Minuten bzw. knapp 29 Tage.
DDoS-Gegenmaßnahmen: So schützen Sie sich
Es gibt einige sinnvolle Schutzmaßnahmen gegen DDoS-Angriffe: Zum einen können Sie ein sogenanntes Blackhole-Routing nutzen. Hierbei leiten Sie den übermäßigen Datenverkehr auf eine „Null-Route“. Dadurch vermeiden Sie eine Netzwerküberlastung. Allerdings lässt sich schädlicher von „gutem“ Traffic oft nicht unterscheiden, sodass die Seite für viele legitime Kunden und Kundinnen unzugänglich wird.
Außerdem gibt es einige Tools, mit denen Sie einen DDoS-Angriff zurückverfolgen können. Beim Rate Limiting begrenzen Sie die Anzahl der Anfragen, die ein Server in einem bestimmten Zeitraum annimmt. So vermeiden Sie Überlastungen, verlieren aber gegebenenfalls echte Kundschaft. Oft lassen sich DDoS-Angriffe mit dieser Methode zwar verlangsamen, aber nicht komplett stoppen.
Besonders effizient ist es, eine Web Application Firewall zu installieren. Diese fungiert als Schutzmembran zwischen Website und Bots und kann so einen DDoS-Angriff abwehren. Bei der Anycast-Netzwerk-Diffusion wird eingehender Traffic auf viele kleine Kanäle verteilt, sodass die Anfragen kontrollierbar bleiben und eine Überlastung des Netzwerks ausbleibt.
Fazit: Vorsicht ist besser als Nachsicht
Für einen effizienten DDoS-Schutz ist es wichtig, „guten“ Traffic von „bösem“ Traffic zu unterscheiden. Um Angriffe abzuwehren, Ihre Website zu schützen und Ihrer Zielgruppe Zugang zu Ihren Leistungen zu gewähren, stehen Ihnen verschiedene Strategien offen. Je früher Sie diese umsetzen und je professioneller Sie hierbei vorgehen, desto besser sind Sie geschützt.
Titelbild: Cavan Images / iStock / Getty Images Plus