For English version click here.

Was sind
DDoS-Attacken?

DDoS (Distributed Denial of Service)-Attacken sind Cyberattacken, die auf die Überlastung von Webservern, Online-Services oder ganzer Netzwerke zielen. Im Gegensatz zu einer einfachen Denial-of-Service-Attacke (DoS) haben DDoS-Attacken eine immense Schlagkraft. Bei ihnen nutzt ein Angreifer eine Vielzahl gekaperter Rechner, Server oder infizierter Endgeräte des Internet of Things. Ferngesteuert über einen Command & Control-Rechner greifen diese Instanzen zeitgleich im Verbund als sogenanntes Botnetz ein Ziel an.

Über alle Branchen hinweg werden diese mächtigen Angriffe eingesetzt, um Unternehmen unter Druck zu setzen und hohe Summen als Schutzgeld einzufordern. Tendenz steigend. Auch im Bereich der Cyberspionage zählen DDoS-Angriffe zum Standardrepertoire. Was bedeuten die Attacken für Unternehmen und wichtige Infrastrukturen? Wie können Sie Ihr Unternehmen intelligent, schnell und effizient schützen?

Video anschauen

Ziele einer DDoS-Attacke

Der Zweck einer DDoS-Attacke ist es, die Dienste des Ziels extrem zu verlangsamen oder komplett lahmzulegen. Dabei sind die anvisierten Ziele von DDoS-Angriffen vielfältig: Netzwerke, Server, Webseiten, individuelle Anwendungen, Clouds oder andere Ressourcen. Da eine andauernde Nichtverfügbarkeit in den meisten Fällen drastische Konsequenzen für Betroffene hat, ist das Interesse groß, die Attacke schnell abzuwehren. Angreifer nutzte diese sehr anspannte Situation oft aus, um Lösegeldforderungen zu stellen.

Angreifer und Ziele von DDoS-Attacken

Grundbegriffe rund um DDoS

Relevante Fachbegriffe rund um DDoS-Attacken einfach und prägnant von Experten erklärt

Volumenattacke / Flood Attacks

Volumetrische Angriffe fassen eine Untergruppe von DDoS-Attacken zusammen. Sie funktionieren alle nach demselben Prinzip: Die schiere Flut der Datenpakete, die auf ein Ziel einbricht, verbraucht alle verfügbaren Ressourcen – entweder die Rechnerleistung oder die Internetanbindung (Layer 3 und 4). Die Volumina solcher Angriffe werden in Megabit pro Sekunde (Mbps) oder Gigabit pro Sekunde (Gbps) gemessen. Um das nötige Volumen eines erfolgreichen DDoS zu erreichen, nutzen Cyberkriminelle Botnetze oder Amplification Attacken.

Protokollattacken

Das Internet basiert auf der Maschinenkommunikation und dem Austausch von Daten. Grundlage für diese Kommunikation sind standardisierte Dateiübertragungsprotokolle wie UDP, TCP, ICMP oder DNS. Als Protokollattacken werden sämtliche DDoS-Angriffe zusammengefasst, die Schwachstellen in Layer 3 und 4 des Protokollstapels nutzen. Zwischenressourcen von Firewalls oder Load Balancer sollen gezielt überlastet werden.

Applikations-Attacken

Application Layer DDoS Attacken zielen direkt auf Webanwendungen ab. Dazu werden Schwachstellen in der Anwendung (z. B. Webserver) ausgenutzt. Konkret wird die oberste Schicht (Layer 7 im OSI-Modell) eines Netzwerkprotokolls beschossen. Damit erreichen Angreifer, dass die Webanwendung nicht mehr mit Clients kommunizieren kann.

Amplification

Man spricht von Amplification, wenn ein Angriff zusätzlich verstärkt wird. Dies funktioniert mithilfe eines Multiplikators (z. B. einem Server). Ziel dabei ist es, die komplette verfügbare Bandbreite des Opfers auszulasten. Dazu muss der Angreifer selbst nur relativ kleine Datenpakete senden. Anders als bei Volumenattacken bzw. Floods ist nicht die Anzahl der Datenpakete die Gefahr, sondern die Größe der einzelnen Datenpakete. Diese wird als Amplifcation Factor ausgewiesen. Amplification-Attacken funktionieren stets indirekt (Reflection), denn das eigentliche Ziel wird nicht aktiv angegriffen.

Reflection

Bei DDoS-Reflection wird das Opfer nicht direkt angegriffen, sondern die Antwort eines Services wird auf die IP-Adresse des Opfers gelenkt. Die Angriffe werden also “über Bande gespielt” - ähnlich wie beim Billard. Der Einsatz von DDoS-Reflection geht meist mit Amplification einher, bei dem die Antwortpakete größer als die Anfragen ausfallen. Zu den Online-Services und Internetdiensten, die häufig für DDoS-Attacken missbraucht werden, zählen DNS-Server, NTP-Server, CLPDAP, WS-Discovery und das Simple Service Discovery Device Protokoll (SSDP).

Vektor

Cyberkriminelle nutzen unterschiedliche Vektoren, um IT-Infrastrukturen oder Internetverbindungen zu stören. Als Vektor wird die jeweilige Technik bezeichnet, die zum Einsatz kommt. Um die Erfolgsaussicht einer Attacke zu erhöhen, werden häufig mehrere Vektoren miteinander kombiniert. In diesem Fall spricht man von einer Multi-Vektor-Attacke.  Die Angreifer können die verschiedenen Techniken parallel oder zeitlich versetzt einsetzen. Die höchste bekannte Anzahl von Vektoren in einer DDoS-Attacke liegt bei 14.

IP Spoofing

IP Spoofing bezeichnet das Verwenden einer gefälschten IP. Das heißt, der Absender eines Datenpakets ist erfunden, um den Empfänger zu manipulieren. Bei der Kommunikation zwischen Clients und Netzwerken (TCP/IP oder UDP/IP) wird die IP als Quelladresse übertragen. Ziel dieser Methode ist es, die Identität des Absenders zu verschleiern In den meisten Fällen dient IP-Spoofing der Ausführung von DDoS-Attacken.

Botnetz

Ein Botnetz wird häufig mit einer Armee digitaler Zombies verglichen: Gekaperte Geräte werden ferngesteuert und sind miteinander verbunden. Anders als viele denken, können neben Computern und Servern auch Handys und jedes weitere internetfähige Gerät missbraucht werden. Bot-Schadprogramme infizieren ungeschützte Geräte und übernehmen die gewünschten Funktionen, die vom Botmaster über den Command & Control Server gestartet werden. Unter dem Deckmantel von Booter- und IP-Stresser-Services bieten Botmaster ihrer Botnetze vielfach für die Ausführung von DDoS-Attacken an.

Advanced Persistent DoS (APDoS)

Unter dieser Bezeichnung werden Denial of Service Attacken zusammengefasst, bei denen Täter “fortschrittliche Techniken” nutzen. Dadurch soll der Angriff möglichst hartnäckig bleiben. In der Praxis bedeutet ein APDoS, dass das Opfer mit unterschiedlichsten Methoden und Techniken über einen langen Zeitraum wiederholt beschossen wird. Voraussetzung für einen Advanced Persistent DoS ist ein technisch versierter Angreifer, der über ausreichend Zeit und finanzielle Mittel verfügt. Der Begriff leitet sich ab von Advanced Persistent Threat, bei dem Hackerteams allerdings unentdeckt bleiben wollen, um Daten zu entnehmen.

Volumenattacke / Flood Attacks

Volumetrische Angriffe fassen eine Untergruppe von DDoS-Attacken zusammen. Sie funktionieren alle nach demselben Prinzip: Die schiere Flut der Datenpakete, die auf ein Ziel einbricht, verbraucht alle verfügbaren Ressourcen – entweder die Rechnerleistung oder die Internetanbindung (Layer 3 und 4). Die Volumina solcher Angriffe werden in Megabit pro Sekunde (Mbps) oder Gigabit pro Sekunde (Gbps) gemessen. Um das nötige Volumen eines erfolgreichen DDoS zu erreichen, nutzen Cyberkriminelle Botnetze oder Amplification Attacken.

Protokollattacken

Das Internet basiert auf der Maschinenkommunikation und dem Austausch von Daten. Grundlage für diese Kommunikation sind standardisierte Dateiübertragungsprotokolle wie UDP, TCP, ICMP oder DNS. Als Protokollattacken werden sämtliche DDoS-Angriffe zusammengefasst, die Schwachstellen in Layer 3 und 4 des Protokollstapels nutzen. Zwischenressourcen von Firewalls oder Load Balancer sollen gezielt überlastet werden.

Applikations-Attacken

Application Layer DDoS Attacken zielen direkt auf Webanwendungen ab. Dazu werden Schwachstellen in der Anwendung (z. B. Webserver) ausgenutzt. Konkret wird die oberste Schicht (Layer 7 im OSI-Modell) eines Netzwerkprotokolls beschossen. Damit erreichen Angreifer, dass die Webanwendung nicht mehr mit Clients kommunizieren kann.

Amplification

Man spricht von Amplification, wenn ein Angriff zusätzlich verstärkt wird. Dies funktioniert mithilfe eines Multiplikators (z. B. einem Server). Ziel dabei ist es, die komplette verfügbare Bandbreite des Opfers auszulasten. Dazu muss der Angreifer selbst nur relativ kleine Datenpakete senden. Anders als bei Volumenattacken bzw. Floods ist nicht die Anzahl der Datenpakete die Gefahr, sondern die Größe der einzelnen Datenpakete. Diese wird als Amplifcation Factor ausgewiesen. Amplification-Attacken funktionieren stets indirekt (Reflection), denn das eigentliche Ziel wird nicht aktiv angegriffen.

Reflection

Bei DDoS-Reflection wird das Opfer nicht direkt angegriffen, sondern die Antwort eines Services wird auf die IP-Adresse des Opfers gelenkt. Die Angriffe werden also “über Bande gespielt” - ähnlich wie beim Billard. Der Einsatz von DDoS-Reflection geht meist mit Amplification einher, bei dem die Antwortpakete größer als die Anfragen ausfallen. Zu den Online-Services und Internetdiensten, die häufig für DDoS-Attacken missbraucht werden, zählen DNS-Server, NTP-Server, CLPDAP, WS-Discovery und das Simple Service Discovery Device Protokoll (SSDP).

Vektor

Cyberkriminelle nutzen unterschiedliche Vektoren, um IT-Infrastrukturen oder Internetverbindungen zu stören. Als Vektor wird die jeweilige Technik bezeichnet, die zum Einsatz kommt. Um die Erfolgsaussicht einer Attacke zu erhöhen, werden häufig mehrere Vektoren miteinander kombiniert. In diesem Fall spricht man von einer Multi-Vektor-Attacke.  Die Angreifer können die verschiedenen Techniken parallel oder zeitlich versetzt einsetzen. Die höchste bekannte Anzahl von Vektoren in einer DDoS-Attacke liegt bei 14.

IP Spoofing

IP Spoofing bezeichnet das Verwenden einer gefälschten IP. Das heißt, der Absender eines Datenpakets ist erfunden, um den Empfänger zu manipulieren. Bei der Kommunikation zwischen Clients und Netzwerken (TCP/IP oder UDP/IP) wird die IP als Quelladresse übertragen. Ziel dieser Methode ist es, die Identität des Absenders zu verschleiern In den meisten Fällen dient IP-Spoofing der Ausführung von DDoS-Attacken.

Botnetz

Ein Botnetz wird häufig mit einer Armee digitaler Zombies verglichen: Gekaperte Geräte werden ferngesteuert und sind miteinander verbunden. Anders als viele denken, können neben Computern und Servern auch Handys und jedes weitere internetfähige Gerät missbraucht werden. Bot-Schadprogramme infizieren ungeschützte Geräte und übernehmen die gewünschten Funktionen, die vom Botmaster über den Command & Control Server gestartet werden. Unter dem Deckmantel von Booter- und IP-Stresser-Services bieten Botmaster ihrer Botnetze vielfach für die Ausführung von DDoS-Attacken an.

Advanced Persistent DoS (APDoS)

Unter dieser Bezeichnung werden Denial of Service Attacken zusammengefasst, bei denen Täter “fortschrittliche Techniken” nutzen. Dadurch soll der Angriff möglichst hartnäckig bleiben. In der Praxis bedeutet ein APDoS, dass das Opfer mit unterschiedlichsten Methoden und Techniken über einen langen Zeitraum wiederholt beschossen wird. Voraussetzung für einen Advanced Persistent DoS ist ein technisch versierter Angreifer, der über ausreichend Zeit und finanzielle Mittel verfügt. Der Begriff leitet sich ab von Advanced Persistent Threat, bei dem Hackerteams allerdings unentdeckt bleiben wollen, um Daten zu entnehmen.

So leicht ist es, Überlastungsattacken in Auftrag zu geben

DDoS-Angriffe für jedermann

Cyberkriminelle zielen längst nicht mehr nur auf private Wirtschaftsunternehmen ab, sondern attackieren auch den öffentlichen Sektor und kritische Grundversorger wie Energieerzeuger, Bahnnetzbetreiber, Banken und Krankenhäuser. In einigen Fällen ist den Tätern gar nicht daran gelegen, sich selbst zu bereichern. Stattdessen wollen sie Chaos verbreiten, Wettbewerber schwächen oder demokratische Prozesse lahmlegen.

Der Aufbau von Botnetzen und die eigentliche Umsetzung der DDoS-Attacke erfordern technisches Know-how, vor allem jedoch kriminelle Energie. In den vergangenen Jahren hatten es potenzielle Angreifer immer leichter, an das nötige Fachwissen zu gelangen. Wie der Fall des IoT-Botnetzes Mirai zeigt, werden Quellcode und Tools zum Aufbau von Botnetzen vielfach frei zur Verfügung gestellt. Zunehmend sind DDoS-Angriffe nicht mehr nur das Werkzeug von IT-Fachleuten oder Hackergruppen. Um Mitbewerber, politisch Andersgesinnte oder bestimmte Internet-Systeme mit DDoS-Attacken auszuschalten, muss man kein Programmierer mehr sein. Mittlerweile sind Cyber-Attacken eine Dienstleistung, die von Laien online in Auftrag gegeben werden kann – und das ist weder kompliziert noch kostenintensiv. Wer sich für DDoS-Angriffe als Dienstleistung interessiert, findet im Internet zahlreiche Anbieter von Booter- oder IP-Stresser-Diensten, bei denen man nach einem anonymen Registrierungsprozess Attacken in Auftrag geben kann.

DDoS-Attacken sind – egal ob in Auftrag gegeben oder selbst ausgeführt – in Deutschland strafbar. Alle Beteiligten – vom Auftraggeber bis zum Booter-Betreiber müssen im Falle einer Verurteilung mit bis zu fünf Jahren Freiheitsstrafe rechnen.

Motive und Gründe für DDoS-Attacken

Es gibt zahlreiche Gründe dafür, warum Unternehmen von DDoS-Attacken getroffen werden. Im Wesentlichen können vier unterschiedliche Motivationen im Bereich der DDoS-Angriffe auf professionelle Webseiten und Infrastrukturen definiert werden.

Politische Motive / Hacktivism

Die Aussagen oder politischen Ziele der angegriffenen Seite gehen nicht konform mit der Meinung und Motivation des Angreifers. Die Niederlande, Österreich, Großbritannien, Russland: In den vergangenen Monaten wurden in vielen Ländern Europas versucht, den digitalen Wahlkampf, die Wählerregistrierung oder die Wahlen selbst durch DDoS-Atttacken zu stören. Die Angriffe werden auch eingesetzt, um Protest zu unterdrücken oder den Zugang zu bestimmten Informationen zu behindern.

Finanzielle Motive/Erpressung

Opfer sind nicht mehr nur Webshop-Betreiber und Finanzdienstleister, die mittels DDoS-Angriffe erpresst werden. DDoS-Erpressungen richten sich zunehmend gegen Unternehmen alle Größen und jeder Branche. Sofern sie kein Geld zahlen, drohen die Angreifer damit, die Seite zu überlasten, damit sie nicht mehr verfügbar ist. Zuletzt machten Erpressergruppen, die sich Armada Collective oder Fancy Bear im Sommer/Herbst 2020 international von sich reden. Sie hatten u. a. KRITIS-Betreiber, Hosting-Anbieter und Finanzdienstleister im Visier.

Feindselige Konkurrenz / Blockade

Oftmals werden Unternehmen durch Wettbewerber angegriffen, um Image- und IT-Schäden zu verursachen oder zusätzlich den Online-Handel bzw. die Online-Dienste des Unternehmens zu blockieren. Online-Händler  stehen unter großem Konkurrenzdruck und ein Shop-Ausfall ist für Anbieter daher besonders geschäftsschädigend. Auch im eSport und im Online-Gaming sind DDoS-Attacken durch Wettbewerber ein Problem.

Datendiebstahl/Verschleierung

Durch eine unerwartete DDoS-Attacke wird die IT-Security-Abteilung des angegriffenen Unternehmens gezielt abgelenkt. Indem die Angreifer die Kontrollsysteme mit Junk-Events in hoher Taktung überschwemmen, beschäftigen sie das IT-Team und können sich ungestört über die Hintertür ins Netzwerk einschleichen.

Abwehr von DDoS-Attacken

DDoS-Attacken gehören heute für immer mehr Unternehmen zur alltäglichen Bedrohung. In Zeiten zunehmender Digitalisierung und immer größer werdenden Angriffsflächen in der IT-Infrastruktur müssen sie sich auf Angriffe einstellen, die in Zukunft noch großvolumiger und komplexer ausfallen. Der Trend zu einer verstärkten Nutzung von Anwendungen in der Cloud bietet weitere Einfallstore und wird zu einem weiteren alarmierenden Anstieg von DDoS-Attacken auf Layer 7 führen.

Aus diesem Grund ist effektiver DDoS-Schutz unerlässlich. Das Wissen um die Bedrohungen und um die verschiedenen Technologien, die Unternehmen zur Verfügung stehen, helfen, eine fundierte Entscheidung zu treffen und den besten Schutz vor heute schon bekannten und zukünftigen Angriffen zu finden.

Unsere Experten sind stets für Sie da