DDoS: Jedes fünfte Unternehmen war schon betroffen

21 % der deutschen Unternehmen waren bereits Opfer einer DDoS-Attacke. Zu diesem Ergebnis kommt eine im Jahr 2022 vom Branchenverband Bitkom e. V. veröffentlichte repräsentative Studie. Wir zeigen, woran Sie DDoS-Angriffe erkennen und wie Sie sich davor schützen können.

Was sind DDoS-Attacken?

Das Kürzel DDoS steht für „Distributed Denial-of-Service“. Bei einer DDoS-Attacke (zu Deutsch: „verteilter Dienstverweigerungsangriff“) führen Angreifer mithilfe eines Rechnernetzwerks eine Überlastung Ihrer Server oder Online-Dienste herbei. Dafür bombardieren sie Ihr System förmlich mit einer überwältigenden Anzahl gleichzeitig eintreffender Anfragen. Ein typisches Resultat: Ihre Website oder Ihr Server ist vorübergehend nicht erreichbar. Ein Browser zeigt dann in der Regel einen der folgenden Fehler an:

Connection Timeout: Der Server kann aufgrund der hohen Anfragenlast keine Verbindung innerhalb eines erwarteten Zeitraums herstellen.

500 Internal Server Error: Die hohe Traffic-Last durch gleichzeitige Anfragen hat einen Fehler auf dem Server verursacht.

503 Service Unavailable: Infolge der Überlastung durch eine DDoS-Attacke lehnt der Server die Annahme weiterer Anfragen ab.

Website Unreachable: Der Browser kann Ihre Website nicht finden oder die Verbindung zu ihr ist fehlgeschlagen.

DDoS-Attacken betreffen häufig entweder einzelne Komponenten einer IT-Infrastruktur (etwa Web- oder DNS-Server), aber auch Online-Ressourcen, die beispielsweise für Cloud-Computing benötigt werden. In manchen Fällen nehmen Angreifer die komplette Netzwerkinfrastruktur inklusive zugehöriger IoT-Anwendungen ins Visier. Im schlimmsten Fall ist Ihre gesamte IT-Struktur während solcher Cyberangriffe nicht mehr nutzbar.

DDoS vs. DoS

Bei einem DoS-Angriff sendet der Angreifer bösartige Dateien oder Anfragen an ein System. Ziel ist ein starkes Verlangsamen der angebotenen Dienste oder gar ein Zusammenbruch des IT-Systems. Ein DDoS-Angriff verfolgt das gleiche Ziel, ist aber ein größer angelegter DoS-Angriff, an dem eine Vielzahl von Geräten beteiligt ist.

So funktioniert ein Distributed Denial-of-Service-Angriff

Ein DDoS-Angriff auf Unternehmen läuft in der Regel in mehreren aufeinander folgenden Phasen ab:

Rekrutierung eines Botnetzes: Die Angreifer kapern mit dem Internet verbundene Rechner und IoT-Geräte, indem sie diese mit Schadsoftware infizieren. Diese Computer werden dadurch Teil eines sogenannten Botnetzes und stehen den Angreifern für den Angriff zur Verfügung.
Koordination des Angriffs: Die Angreifer senden Befehle an das Botnetz, um mithilfe der gekaperten Geräte eine große Zahl gleichzeitiger Anfragen an das anvisierte System zu schicken. Diese Anfragen stammen in der Regel von gefälschten IP-Adressen – dadurch verschleiern Angreifer ihre Spuren.
Überlastung des Ziels: Die Ziel-IT-Infrastruktur wird mit einer Flut von Anfragen bombardiert, die über ihre Kapazitätsgrenzen hinausgeht. Server und Netzwerkinfrastruktur werden überlastet und können den legitimen Datenverkehr nicht mehr bewältigen.

Botnetz

Ein Botnetz ist ein Netzwerk aus mit Schadsoftware infizierten Computern und anderen internetfähigen Geräten. Cyberkriminelle verwenden diese – neben DDoS-Angriffen – z. B. für Phishing oder Spamversand.

Absicht und Folgen eines Angriffs

In der Folge sind die betroffenen Websites und ggf. auch andere Dienste nicht mehr erreichbar. Ein Angriff kann mehrere Stunden oder sogar Tage andauern. Längerfristige Ausfallzeiten haben oft Umsatzverluste und auch einen Imageverlust zur Folge.

DDoS-Angriffe haben normalerweise nicht das Ziel, in das angegriffene System einzudringen und sensible Daten zu erbeuten. Allerdings dienen sie bisweilen als Werkzeug, um von anderen Cyberattacken abzulenken.

Angreifer können z. B. zeitgleich zur DDoS-Attacke die Systeme eines Unternehmens mit Ransomware oder anderer Schadsoftware infiltrieren. Solche Kombinationsangriffe stellen ein enormes Risiko für die Datensicherheit dar

Diese Arten von DDoS-Attacken gibt es

Eine DDoS-Attacke kann sich unterschiedlicher Methoden bedienen. Drei der wichtigsten Varianten sind:

Volumetrische DDoS-Attacken

Protokollangriffe

Angriffe auf Anwendungsebene

Ziel aller Varianten ist es – mit unterschiedlichen Methoden – den legitimen Traffic zu blockieren oder zumindest stark zu verlangsamen.

Angriffe wie SYN Flood oder UDP Flood überlasten Ihre Netzwerkressourcen mit einer großen Anzahl von gefälschten Anfragen oder Datenpaketen, die möglichst lange unbeantwortet gelassen werden, sodass die Ressourcen des Zielservers immer weiter erschöpft werden. Andere Angriffsmethoden wie z. B. DNS Amplification oder Smurf erzeugen enorm hohen Traffic, um Ihr System zu überfluten.

So wehren Sie einen Angriff ab

DDoS-Angriffe frühzeitig zu erkennen ist der erste Schritt, um effektive Gegenmaßnahmen zu ergreifen. Diese Anzeichen können Hinweise darauf sein, dass Ihr Unternehmen Ziel einer DDoS-Attacke ist:

Abnormale Netzwerkaktivität: Der Traffic in Ihrem Netzwerk nimmt plötzlich unerwartet zu. Sie verzeichnen ungewöhnlich hohe Datenübertragungsraten oder außergewöhnliche Anfragemuster.

Serviceunterbrechungen: Wichtige Dienste oder Websites sind nicht mehr zugänglich oder reagieren nur noch mit starker Verzögerung.

Serverüberlastung: Serverressourcen sind übermäßig ausgelastet, etwa durch hohe CPU- oder Speicherauslastung.

Unregelmäßige Traffic-Muster: Der Datenverkehr in einem bestimmten Bereich steigt plötzlich und unerwartet stark an.

Schutzmaßnahmen

Um Ihr Unternehmen effektiv vor DDoS-Attacken zu schützen, sollte Ihr Konzept für Cybersecurity auf eine Kombination aus passenden Lösungen und Sicherheitsrichtlinien setzen. Zu den wesentlichen Maßnahmen zählen:

DDoS-Schutzdienste: Verwenden Sie Schutzlösungen mit speziell angepassten Funktionen, die Angriffsverkehr abfangen und abwehren.

Skalierbare Netzwerkinfrastruktur: Setzen Sie auf eine skalierbare Netzwerkinfrastruktur, um den erhöhten Datenverkehr während eines Angriffs zu bewältigen. Lastverteilung und Redundanz können helfen, den Ausfall von Schlüsselkomponenten zu vermeiden.

Traffic-Monitoring: Überwachen Sie Ihren Netzwerkverkehr in Echtzeit, um verdächtige Aktivitäten frühzeitig zu erkennen und darauf zu reagieren. Netzwerklösungen mit Intrusion Detection/Prevention-Systemen (IDS/IPS) unterstützen Sie dabei. Das sind Sicherheitsmechanismen, die entwickelt wurden, um Netzwerke und Computersysteme vor unbefugtem Zugriff, schädlichen Aktivitäten und Angriffen zu schützen.

Firewall: Eine gut konfigurierte Firewall gehört zu den wichtigen Grundlagen der technischen Schutzmaßnahmen in Ihrem Unternehmen. Sie kann einige einfache Arten von DDoS-Angriffen abwehren und auch bei komplexeren Angriffsmustern eine hilfreiche Sicherheitsstütze für Ihr Unternehmen sein.

Das waren die größten DDoS-Attacken auf Unternehmen

Von auf IT-Sicherheit spezialisierten Unternehmen veröffentliche Zahlen legen nahe, dass sowohl die Anzahl der DDoS-Angriffe auf Unternehmen als auch ihre Intensität zunehmen. Die gute Nachricht: Die hier gelisteten Angriffe wurden erfolgreich abgewehrt.

Im August 2022 meldete Google den bis dahin größten DDoS-Angriff: Während der 69 Minuten andauernden Cyberattacke auf einen nicht näher genannten Kunden des Unternehmens, versendeten Angreifer in der Spitze bis zu 46 Millionen Anfragen pro Sekunde.

Eine DDoS-Attacke im dritten Quartal 2022 erreichte laut Cloudflare 2,5 Tbit/s. Gemessen an der Bitrate war dies der bis zu diesem Zeitpunkt größte vom Unternehmen verzeichnete DDoS-Angriff. Für die gegen einen Server des Videospiels Minecraft gerichtete Attacke nutzten die Angreifer eine Variante des 2016 entdeckten Mirai-Botnetzes.

Im Februar 2023 verzeichnete Cloudflare den aktuell wohl größten DDoS-Angriff aller Zeiten: Die Attacke soll u. a. einen populären Gaming-Provider sowie verschiedene Krypto-Unternehmen, Hoster und Cloud-Plattformen getroffen haben. Dabei versendeten Angreifer von insgesamt 30.000 IP-Adressen aus bis zu 71 Millionen Anfragen pro Sekunde.

DDoS im Überblick

Bei einer DDoS-Attacke werden Server, Websites oder andere Online-Dienste Ihres Unternehmens mit einer hohen Flut zeitgleicher Anfragen überschwemmt.

Ziel der Attacke ist es, die Verfügbarkeit Ihrer Ressourcen stark einzuschränken oder komplett zu erschöpfen.

Zuweilen nutzen Hacker Distributed Denial-of-Service-Angriffe als Ablenkung, um im Zuge ihrer Attacke z. B. unbemerkt Schadsoftware auf den Systemen ihrer Opfer zu installieren.

Solche Cyberattacken auf Ihr Unternehmen können mehrere Stunden oder sogar Tage andauern und besonders in Kombination mit weiteren parallel ausgeführten Cyberattacken hohe Schäden verursachen.

Um sich ausreichend gegen DDoS-Angriffe zu schützen, sollten Sie verschiedene Maßnahmen ergreifen und kombinieren.

Quelle:

https://www.o2business.de/magazin/ddos-angriffe/