Was ist ein DDoS-Angriff?

DDoS-Attacken: Schutzgelderpressung im digitalen Zeitalter

DDoS-Attacken: Schutzgelderpressung im digitalen Zeitalter

DDoS-Attacken (Distributed Denial of Service) zielen darauf ab, IT-Systeme durch Überlastung außer Betrieb zu setzen. Oft werden dabei gekaperte Rechner ahnungsloser Userinnen und User verwendet. Wir erklären Ihnen, was es mit diesen Attacken auf sich hat und wie Sie sich vor ihnen schützen können.

Betriebsstörungen durch DDoS-Angriffe. Foto: ©Siarhei -

Fast jede Organisation ist heute auf die eine oder andere Weise im Internet präsent. Bei vielen Unternehmen basiert sogar ihr gesamtes Geschäftsmodell auf ihrem Web-Auftritt. Dazu zählen beispielsweise Internet Service Provider (ISP, Internetanbieter), Online-Handelsplätze, soziale Netzwerke oder Streaming-Anbieter. Hinter all diesen Online-Diensten steht eine Infrastruktur aus spezialisierten Servern, die den jeweiligen Dienst bereitstellen. Fällt der Server aus, ist auch der Zugang zum Dienst nicht möglich und dem Unternehmen die Verdienstgrundlage entzogen. Auf diese Form der Betriebsstörung zielen sogenannte DDoS (Distributed Denial of Service)-Angriffe ab.

Hinweis Über die Häufigkeit von DDoS-Attacken informiert Sie der Cybermonitor des IKT-Sicherheitsportals.

So funktioniert eine DDoS-Attacke

Obwohl es zahlreiche Varianten der DDoS-Angriffsmethode gibt, ist ihr Grundprinzip sehr simpel: Ein Angreifer stellt wiederholt eine hohe Anzahl von Anfragen an eine IT-Infrastruktur, zum Beispiel einen Web- oder E-Mail-Server. Weil der Server nur eine begrenzte Kapazität zu ihrer Beantwortung zur Verfügung hat, wird er irgendwann überfordert, verlangsamt seinen Dienst oder stellt ihn sogar gänzlich ein. Ausgefeiltere Versionen dieser Angriffe machen sich die Eigenheiten verschiedener Kommunikations-Protokolle des Internets zunutze. Bei der sogenannten „Land-Attacke“ beispielsweise, vertauscht der Angreifer seine Sendeadresse mit der Zieladresse des angegriffenen Systems. Dieses sendet die Antwort damit an sich selbst, interpretiert sie aber zugleich als erneute Anfrage. Die Folge ist ein Frage-Antwort-Loop bis das System abstürzt. Grundsätzlich gilt jedoch für alle DDoS-Angriffe: Je mehr zeitgleiche Anfragen den Server beschäftigen beziehungsweise je größer die Bandbreite an Anfragen ist, desto verheerender ist die Attacke. Den bisherigen Bandbreiten-Rekord hat im Frühjahr 2020 Amazon gemessen. Damals sah sich der Onlinehändler mit Anfrage-Volumina von bis zu 2,3 Terabit pro Sekunde konfrontiert. Durchschnittliche DDoS-Angriffe hingegen bewegen sich in einem Bereich von etwa 50 bis maximal 100 Gigabit pro Sekunde.

Besondere Gefahrenquellen für DDoS-Attacken:

Bot-Netze („Zombie-Rechner“): Um eine möglichst große Anzahl an Anfragen zu koordinieren, setzen Hackerinnen und Hacker gerne sogenannte Bot-Netze ein. Darunter versteht man weltweilt verteilte (deshalb „distributed“) Rechner von zumeist ahnungslosen Userinnen und Usern, die mit Malware infiziert sind und dadurch unter der Kontrolle von Cyberkriminellen stehen. Die gekaperten Rechner können dabei schon monatelang unbemerkt verseucht sein. Man spricht deshalb auch von „Zombie-Rechnern“. Wenn die mutmaßliche Täterin oder der mutmaßliche Täter den DDoS-Angriff startet, wird eine Art „Armee“ an Rechnern aktiviert, die das Ziel der Attacke mit Anfragen bombardiert.

Um eine möglichst große Anzahl an Anfragen zu koordinieren, setzen Hackerinnen und Hacker gerne sogenannte Bot-Netze ein. Darunter versteht man weltweilt verteilte (deshalb „distributed“) Rechner von zumeist ahnungslosen Userinnen und Usern, die mit Malware infiziert sind und dadurch unter der Kontrolle von Cyberkriminellen stehen. Die gekaperten Rechner können dabei schon monatelang unbemerkt verseucht sein. Man spricht deshalb auch von „Zombie-Rechnern“. Wenn die mutmaßliche Täterin oder der mutmaßliche Täter den DDoS-Angriff startet, wird eine Art „Armee“ an Rechnern aktiviert, die das Ziel der Attacke mit Anfragen bombardiert. Internet of Things (IoT): Eine Verschärfung der Gefahrenlage könnte das Internet of Things (IoT) mit sich bringen. Denn im Internet of Things können auch vermeintlich harmlose Netzwerkteilnehmer wie Router, Überwachungskameras oder sogar autonome Fahrzeuge für DDoS-Angriffe missbraucht werden, falls sie nicht ausreichend geschützt sind. Ob ein Gerät unter der Kontrolle von Hackerinnen oder Häckern ist, erkennt man oft erst, wenn es zu spät ist.

Motive für DDoS-Attacken

Der Angriffstypus DDoS ist darauf ausgerichtet, Schaden anzurichten, indem der Betrieb eines Online-Unternehmens lahmgelegt wird. Einer solchen Attacke können unterschiedliche Motive zugrundeliegen. Häufig wird er von Aktivistinnen und Aktivisten eingesetzt, die politischen Gegnerinnen oder Gegnern oder feindlich wahrgenommenen Organisationen einen Denkzettel verpassen wollen. Auch unzufriedene Kundinnen und Kunden, ehemalige Angestellte oder Konkurrenzunternehmen wurden bereits als Urheber von DDoS-Angriffen identifiziert.

Daneben tritt immer öfter die Schutzgelderpressung als primäres Motiv in den Vordergrund. Typischerweise geben die Erpresserinnen und Erpresser mit einer DDoS-Attacke geringen oder mittleren Ausmaßes eine Art „Warnschuss“ ab. In einem zeitnah versendeten Erpresserschreiben drohen sie den Opfern mit einer deutlich größeren Attacke, falls diese nicht die geforderte Summe (in Kryptowährung) bezahlen.

Der vermehrte Einsatz von DDoS-Angriffen zur Erpressung lässt erahnen, dass diese Form der Cyberkriminalität auch künftig verstärkt auftreten wird. Untersuchungen von Sicherheitsanalysten bestätigen diesen Trend. So zählte zum Beispiel der Threat Intelligence Report von Netscout im ersten Halbjahr 2021 insgesamt 5,4 Millionen DDoS-Angriffe. Das entspricht einem Plus von elf Prozent im Vergleich zur Vorjahresperiode.

Der aktuelle Cybersicherheit-Bericht (PDF, 4 MB) des Bundeskanzleramts vermerkt außerdem eine Angriffs-Konzentration auf den Banken- und Finanzsektor beziehungsweise auf Internet Service Provider. Dem Bericht zufolge stellten DDoS-Angriffe neben Datenleaks und Internetbetrug im vergangenen Jahr eine der drei großen Herausforderungen im Bereich Cyberkriminalität dar.

Die Folgen eines DDoS-Angriffs

Opfer von erfolgreich durchgeführten DDoS-Attacken erleiden in erster Linie wirtschaftlichen Schaden. Bei großen Webdiensten kann der Verlust rasch in die Millionenhöhe steigen, wenn ihr Dienst für Kundinnen und Kunden nicht erreichbar ist. Diese könnten außerdem zu Mitbewerbern wechseln.

Daneben darf auch der Imageschaden nicht unterschätzt werden. Wer seine IT-Landschaft nicht ausreichend schützen kann, muss mit einem Vertrauensverlust rechnen, der einen Abgang der Kundschaft zur Folge haben kann.

Eine oft unterschätzte Gefahr sind außerdem „indirekte Effekte“. Lahmgelegte oder überlastete Systeme können unter Umständen für andere Attacken angreifbar werden. In diesem Fall könnte ein DDoS-Angriff Cyberkriminellen als Ablenkung dienen, um daraus resultierende Sicherheitslücken auszunützen, beispielsweise um Datendiebstahl zu betreiben oder Spionagesoftware zu installieren.

So schützen Sie sich gegen DDoS-Angriffe

Wer nicht zum Werkzeug eines DDoS-Angriffs werden möchte, sollte seine Rechner und sonstige internetfähige Geräte (z.B. Smartphone, Router, Überwachungskameras, Smart-TVs) schützen. Dazu gehören regelmäßige Updates, die Installation von Sicherheitspatches und Firewalls sowie das Einrichten sicherer Passwörter.

Redundante Systeme erlauben es, eine ausgefallene IT-Infrastruktur kurzfristig zu ersetzen.

Technische Lösungen implementieren: Es gibt auf dem Markt zahlreiche Lösungen zur Abwehr von DDoS-Angriffen. Diese analysieren den Datenverkehr und leiten ihn gegebenenfalls um. Der Funktionsumfang, die Komplexität und der Wartungsaufwand dieser Lösungen sollten an die tatsächlichen Bedürfnisse, zum Beispiel an die Größe des eigenen Netzwerkes, angepasst werden.

Kommen Angriffe immer von derselben Absenderadresse, kann man die verdächtige IP-Adresse sperren und somit jegliche Angriffe bereits im Ansatz unterbinden.

Wenn es möglich ist, empfiehlt es sich, eine Liste zugelassener Geräte zu definieren. Alle anderen Anfragen werden dann automatisch abgelehnt.

Nicht jeder Internet Service Provider (ISP) bietet standardmäßig das gleiche Maß an Sicherheit gegen DDoS-Angriffe. Es lohnt sich, die Dienstleister zu vergleichen.

Schutzgeldforderungen nicht bezahlen! In Hackerkreisen kursieren Listen mit Unternehmen, die bereitwillig Schutzgeld bezahlt haben. Wer auf so einer Liste steht, wird mit Sicherheit erneut zum Ziel eines Angriffs.

Hinweis Weitere Informationen darüber, was Sie gegen DDoS-Attacken tun können, finden Sie im Beitrag DDos-Angriffe – Gegenmaßnahmen. Darüber hinaus hat das deutsche Bundesamt für Sicherheit einen Leitfaden zur Abwehr von DDoS-Angriffen herausgegeben.

DOS- und DDOS-Angriff

DOS steht für Denial of Service. Dies bedeutet wörtlich übersetzt „Verweigerung des Dienstes“. Passender wäre „Nichtverfügbarkeit des Dienstes“. Denn ein DOS-Angriff zielt darauf ab, ein System absichtlich so stark zu überlasten, dass es seine Aufgaben nicht mehr erfüllen kann – der von ihm angebotene Dienst nicht mehr verfügbar ist. Dadurch kann z. B. die Unternehmenswebseite nicht mehr erreichbar sein, die Produktion stillstehen oder der Kundenservice vom E-Mail-Verkehr abgeschnitten werden. DDOS ist die Abkürzung für Distributed Denial of Service, sinngemäß übersetzt: dezentralisiert verursachte Nichtverfügbarkeit des Dienstes. Denn bei einem DDOS-Angriff wird die absichtliche Überlastung von einer Vielzahl dezentralisierter Quellen verursacht. Dadurch ist ein solcher Angriff nur sehr schwer einzudämmen.

Was bedeutet DOS- und DDOS-Angriff im Detail?

DOS-Angriffe

Grundlegend erfolgen viele DOS- und DDOS-Angriffe, indem mehr Anfragen an ein Zielsystem gesendet werden, als dieses bearbeiten kann.

Bei einem DOS-Angriff gehen alle diese Anfragen von einer einzigen Quelle aus, z. B. dem Rechner eines Cyberkriminellen.

Dieser Angriff kann gestoppt werden, indem Anfragen von dieser einen Quelle nicht mehr akzeptiert werden.

Dieser Angriff kann gestoppt werden, indem Anfragen von dieser einen Quelle nicht mehr akzeptiert werden. Ein DOS-Angriff kann auch ohne Anfragen erfolgreich sein: Wenn er Programmfehler ausnutzt, welche das Zielsystem abstürzen lassen, so dass es nicht mehr erreichbar ist.

DDOS-Angriffe

Bei einem DDOS-Angriff senden sehr viele unterschiedliche Quellen Anfragen. Oft handelt es sich bei diesen Quellen um Rechner in aller Welt, die ein kriminelles Botnetz bilden – ohne das Wissen ihrer Eigentümer.

Bei einem DDOS-Angriff erfolgen die Anfragen von so vielen unterschiedlichen Quellen, dass diese nicht gezielt blockiert werden können.

Alle DOS- und DDOS-Angriffe stellen Straftaten dar. Sie können aus verschiedenen Motivationen erfolgen:

Vandalismus

politischer Aktivismus

Sabotage (z. B. im Auftrag eines Konkurrenzunternehmens)

Erpressung (wenn für das Beenden des Angriffes ein Lösegeld gefordert wird) –

Als Ablenkung z. B. von einem Angriff auf ein anderes unternehmenseigenes System

Um legitime Anfragen an das angegriffene System auf ein betrügerisches System umzuleiten.

Wo begegnet mir das Thema DOS- und DDOS-Angriff im Arbeitsalltag?

Konkret begegnet es Ihnen nur im Falle eines Angriffs. Anzeichen sind zum Beispiel die Nicht-Erreichbarkeit Ihrer Unternehmenswebseite, Produktionsstillstand oder Zusammenbruch der elektronischen Kommunikation. Sie können im Arbeitsalltag dennoch zur Vermeidung von DOS- und DDOS-Angriffen beitragen.

Was kann ich tun, um meine Sicherheit zu verbessern?

Nahezu allen grundlegenden Maßnahmen zur Reduktion des Cyberrisikos wirken auch bei DOS- und DDOS-Angriffen entgegen und helfen zu vermeiden, dass unternehmenseigene Computer an kriminelle Botnetze angeschlossen werden. Ihr Administrator kann über Firewalls, Servereinstellungen usw. zusätzliche Maßnahmen ergreifen. Eine wichtige Maßnahme ist die Absicherung aller ans Internet angeschlossenen Geräte. Zu diesen zählen z. B. Lautsprecher, Uhren, Überwachungskameras und Babyphones. Solche Geräte sind selten mit sicheren Passwörtern versehen und ihre Firmware wird nur sporadisch aktualisiert. Dadurch sind sie für Cyberkriminelle besonders leicht an Botnetze anzuschließen und für DOS- und DDOS-Angriffe zu missbrauchen.

Weitere interessante Informetionen finden Sie auf der Themenseite „DDoS-Angriffe im Cyber-Raum“ der Allianz für Cyber-Sicherheit

Was ist ein DDoS-Angriff?

Definitionen Was ist ein DDoS-Angriff?

DDoS-Angriffe sind weit verbreitet. Seit Jahrzehnten taucht der Begriff immer wieder in den Medien auf. Es handelt sich um eine Attacke, bei der Online-Dienste blockiert werden. Dies geschieht durch eine bewusste Überlastung des Angebots.

DDoS-Angriff: Online-Dienste bewusst überlasten (© aga7ta – Fotolia)

DDoS steht für „Distributed-Denial-of-Service“ beziehungsweise in deutscher Übersetzung für „verteilte Verweigerung eines Dienstes“. Es handelt sich um Cyber-Kriminalität, die das Ziel hat, Online-Services zu blockieren oder wenigstens merklich zu verlangsamen. Dies geschieht durch eine gezielte Überlastung des jeweiligen Dienstes: Zeitgleich werden hierfür möglichst viele Anfragen gestellt, um diese durch das schiere Volumen nicht mehr bearbeitbar zu machen.

Der typische Ablauf eines DDoS-Angriffs

Eine solche Attacke funktioniert nach den folgenden Schritten:

1. Schadsoftware wird auf fremden Computern eingeschleust, um deren Steuerung zu übernehmen.

2. Diese Computer verbinden sich online.

3. Auf diese Weise entsteht ein sogenanntes Bot-Netzwerk.

4. Das Netzwerk stellt zeitgleich Anfragen an einen Dienst.

5. Der Service bricht unter der Überlastung zusammen.

Eine Sonderform dieser Attacke ist der DRDoS-Angriff. Die Abkürzung steht für „Distributed-Reflected-Denial-of-Service“ – reflektiert werden dabei bestehende Internetdienste. Dies klingt komplizierter als es ist: Die Angreifer verzichten auf ein Bot-Netz, um ihre Attacke durchzuführen. Stattdessen arbeiten sie mit umgeleiteten Internet-Diensten, die dann den schädlichen Traffic auf das jeweilige Ziel richten.

Wieso funktionieren DDoS-Angriffe? Eine Metapher als Erklärung

Internet-Dienste funktionieren im Prinzip wie öffentliche Verkehrsmittel. Als Metapher sei ein Bus genannt: Dieser kann eine bestimmte Zahl von Fahrgästen (Anfragen) an ihr Ziel (Bearbeitung der Anfragen) bringen und beginnt dann von neuem. Kommen zu viele Fahrgäste kann der Bus nicht mehr alle mitnehmen. Es dauert länger, bis sie alle ihr Ziel erreichen. Kommen deutlich zu viele Passagiere, kann der Bus nicht einmal mehr losfahren, weil die Route blockiert ist.

Wird der Zustrom der Fahrgäste gesteuert, erhält die Person, die ihn steuert, faktisch die Kontrolle über den Bus. Sie bestimmt, ob er fahren kann beziehungsweise wie schnell er unterwegs ist. Zurück zum Online-Dienst bedeutet dies: Der Angreifer kann beispielsweise Lösegeld erpressen, damit er den Dienst wieder freigibt.

(ID:47484126)

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels