1. Was ist DDoS?
DDoS steht für „Distributed Denial of Service“ (oder auf Deutsch: verteilte Verweigerung eines Dienstes). Durch eine Vielzahl gleichzeitiger Angriffe soll die angegriffene Website, das Netzwerk oder der Server überlastet werden, sodass sie für Nutzer nicht mehr oder nur stark eingeschränkt erreichbar sind. DDoS-Angriffe fallen unter Cyberkriminalität.
2. Muster von einem DDoS-Angriff
Viele verschiedene Endgeräte werden zunächst mit Malware infiziert und zu einem sogenannten Botnetz zusammengeschlossen, dass aus der Ferne gesteuert werden kann. Die Besitzer der kompromittierten Geräte bemerken dies in der Regel nicht. Das Botnetz erzeugt dann zeitgleich eine große Anzahl von Anfragen bzw. Datenpaketen, die gezielt an einen Server oder eine Website gesendet werden. Dadurch werden sowohl Serverressourcen als auch die verfügbare Internetanbindung überlastet. Infolgedessen reagieren Websites und Anwendungen deutlich langsamer oder sind zeitweise gar nicht mehr erreichbar.
3. Distributed-Reflected-Denial-of-Service-Angriff (DRDoS)
DRDoS Attacken stellen eine Sonderform von DDoS dar und kombinieren IP-Spoofing, Reflection und häufig Amplification. Dabei senden Angreifer eine Vielzahl kleiner Anfragen mit der gefälschten Absender-IP-Adresse des Ziels (IP-Spoofing) an unbeteiligte, offene Resolver oder andere reflektierende Dienste (sogenannte Reflektoren). Diese Reflektoren senden ihre Antworten an das eigentliche Ziel zurück (Reflection), wodurch dessen Bandbreite und Verfügbarkeit überlastet werden. Ein bekanntes Beispiel hierfür ist die DNS-Amplification sowie NTP-, SSDP- oder CLDAP-Amplification. Bei diesen Diensten sind die Antwortpakete deutlich größer als die ursprünglichen Anfragen, wodurch ein hoher Amplification-Faktor (z.B. 50 oder mehr) entsteht.
In der Praxis treten DDoS-Angriffe häufig als sogenannte Multi-Vektor-Angriffe auf. Dabei werden mehrere Angriffstypen über verschiedene OSI-Layer hinweg (siehe Abschnitt 6 „Methoden von Angreifern“) um Schutzmaßnahmen zu umgehen und die Wirkung des Angriffs zu verstärken.
4. Mögliche Angreifer und deren Ziele
Kriminelle Organisationen verfolgen meist finanzielle Motive durch Erpressung oder Betrug. Sie suchen ihre Opfer meist gezielt aus, beispielsweise Online-Shops, Banken oder Zahlungsdienste. Auch kriminelle Wettbewerber, die die Konkurrenz schwächen wollen, verwenden DDoS-Angriffe. Politisch oder idiologisch motivierte Hacktivisten möchten mittels DDoS-Angriffen Protest äußern, Statements oder Vergeltung ausüben, indem sie Regierungswebsites, Behörden oder Medien angreifen.
Staatliche Akteure wie Geheimdienste oder militärische Cyber-Einheiten nutzen Cyberangriffe zur Kriegsführung, sodass feindliche Länder eingeschüchtert und deren Infrastruktur stark geschädigt wird, indem Medien, Banken, Institutionen oder Kommunikationswege angegriffen werden. Auch Ablenkung oder Beeinflussung von Informationen können primäre Ziele darstellen. Zudem gibt es Einzelpersonen, auch „Skript-Kiddies“ genannt, die mit tendenziell weniger Know-How aus Langeweile oder „Spaß“ verschiedene Ziele wie Websites oder Gameserver angreifen.
5. Methoden von Angreifern
Es gibt verschiedene Arten von DDoS-Angriffen, die sich nach dem OSI-Modell in 7 Schichten unterteilen lassen, wobei für DDoS-Angriffe insbesondere Layer 3 (volumetrische Angriffe auf die Netzwerkschicht), Layer 4 (Protokoll-Angriffe auf die Transportschicht) sowie Layer 7 (Application-Layer-Angriffe auf die Anwendungsschicht) relevant sind.
5.1 Layer 3- und Layer 4-Angriffe
Layer 3-Angriffe zielen darauf ab, die verfügbare Bandbreite zu erschöpfen. Dabei werden massive Datenmenge mit hoher Datenrate an ein Ziel gesendet, sodass die Internetverbindung zu Server oder Router überlastet wird. Ein Beispiel sind UDP-Floods, bei denen zufällige UDP-Pakete ans Ziel gesendet werden, die der Server prüfen und beantworten muss, obwohl die Anfragen nutzlos sind, und dadurch unnötig Bandbreite verbraucht wird. Ein weiteres Beispiel sind ICMP-Floods, die einen Zielserver oder Router mit Ping-Anfragen überfluten. Der Server versucht, diese Anfragen zu verarbeiten und zu beantworten, wodurch CPU und Bandbreite verbraucht werden.
Layer 4-Angriffe nutzen Schwächen in Transportprotokollen TCP oder UDP aus und zielen auf Transportschichtressourcen wie Ports, Speicher und CPU ab. Ein klassisches Beispiel sind TCP-SYN-Floods, bei denen Angreifer eine große Zahl an SYN-Paketen an einen Server senden, dieser darauf mit SYN-ACK-Paketen antwortet, allerdings kein abschließendes ACK (zum vollständigen Verbindungsaufbau) erhält. Die so entstehenden halb offenen Verbindungen verbleiben im SYN-Backlog, ziehen wiederum Speicher und CPU und blockieren den Datenkanal, sodass der Aufbau von legitimen Verbindungen verhindert wird. Neben SYN-Floods können TCP-basierte Angriffe auch in Form von ACK-. RST-, und FIN-Floods erfolgen.
5.2 Layer 7-Angriffe
Angriffe auf Layer 7 sehen wie normaler Traffic aus und sind dadurch besonders schwer zu erkennen. Sie zielen auf Webanwendungen ab (und nicht die Netzwerkverbindung), indem Angreifer beispielsweise normale HTTP-Anfragen nutzen, die wie echte Nutzeranfragen wirken. Einen weiteren Layer-7-Angriffstyp stellen Low- und Slow-Angriffe dar (wie z.B. Slowloris), bei denen Angreifer sehr langsame oder unvollständige Anfragen senden, um Verbindungen möglichst lange offen zu halten und Serverrecourcen wie Threads zu blockieren. Auch DNS Query Floods zählen zu den Layer-7-Angriffen, indem sie DNS-Server mit scheinbar legitimen Anfragen unter der Verwendung zufälliger Subdomains überfluten, ohne auf Reflection oder Amplification zurückzugreifen.
5.3 Kombinierte Layer-Angriffe
Zudem gibt es Angriffsmethoden, die mehreren OSI-Layern zuzuordnen sind, wie zum Beispiel die DNS-Amplification, eine Variante von DRDoS. Dabei nutzen Angreifer sowohl Eigenschaften der Netzwerkschicht (Layer 3), durch das Fälschen der Absender IP-Adresse (IP-Spoofing), als auch der Transportschicht (Layer 4) über das verbindungslose UDP-Protokoll. Durch das Versenden kleiner Anfragen an offene DNS-Server werden diese dazu gebracht, deutliche größere Antwortpakete an das eigentliche Ziel zu senden, wodurch dessen Bandbreite und Verfügbarkeit überlastet werden.
6. Gesetzliche Einordnung
DoS/DDoS – Angriffe erfüllen regelmäßig den Tatbestand der Computersabotage nach § 303b Abs. 1 Nr. 2 Strafgesetzbuch (StGB), wenn dadurch eine für einen anderen wesentliche Datenverarbeitung vorsätzlich erheblich gestört wird. Zulässig sind derartige Maßnahmen nur im Rahmen ausdrücklich autorisierter Sicherheitsprüfungen oder Lasttests, etwa auf dem eigenen Netzwerk oder aufgrund einer klaren Zustimmung des Betreibers.
7. Konsequenzen eines Angriffs
DDoS-Attacken können insbesondere wirtschaftliche Schäden, Imageschäden und Sicherheitsrisiken zur Folge haben. Wirtschaftliche Konsequenzen entstehen durch direkte Umsatzeinbußen, indem Verkauf- und Servicewege blockiert werden, insbesondere bei Onlinehändlern, Banken, Games/Streaming und anderen Echtzeitdiensten. Auch Ausfallkosten für Incident-Response, Wiederherstellung und zusätzliche Sicherheitsinvestitionen sowie Vertragsstrafen bei SLA-Verletzungen zählen zu gravierenden Folgen. Imageschäden entstehen durch wiederholte Ausfälle, die das Vertrauen von Kunden und Partnern mindern, zu Kundenabwanderung führen und langfristig den Marktwert beeinträchtigen. Auch Datendiebstahl tritt oft als sekundäre Folge auf, da DDoS als Ablenkung dient: Während IT-Teams mit der Überlastung beschäftigt sind, erfolgen parallele Angriffe wie Ransomware oder Exfiltration.
8. Relevanz von IoT – Geräten
IoT im Zusammenhang mit DDoS-Angriffen bezieht sich vor allem auf die Nutzung unsicherer Geräte des „Internet of Things“ (IoT). Aufgrund oft mangelhafter Sicherheitsmaßnahmen (z. B. Standardpasswörter oder fehlende Firmware-Updates) können diese massenhaft als „Zombies" in Botnetzen kompromittiert werden. Beispiele für besonders gefährdete IoT-Geräte sind Smart-Home-Komponenten wie Smart-TVs, aber auch Netzwerkgeräte wie Drucker, Webcams oder WLAN-Repeater, sowie industrielle IIoT -Systeme wie Sensoren. Da es eine riesige Anzahl an IoT-Geräten gibt und diese häufig ein erhöhtes Sicherheitsrisiko aufweisen, entsteht an ein enormes Angriffspotenzial. In Botnetzen zusammengeschaltet eignen sie sich ideal für DDoS-Angriffe. Zudem sind IoT-Geräte meist dauerhaft online und werden selten überwacht, sodass Kompromittierungen oft lange unbemerkt bleiben.
9. Welche Branchen sind betroffen?
DDoS-Angriffe betreffen grundsätzlich alle Branchen, da heute fast alle Geschäftsprozesse von der Verfügbarkeit digitaler Dienste abhängen. Besonders häufig betroffen sind jedoch Branchen, deren Services öffentlich erreichbar und zeitkritisch sind. Dazu zählen Banken, Finanzdienstleister und Versicherungen bei denen Ausfälle von Online-Systemen schnell zu finanziellen Schäden und Vertrauensverlust führen. Auch die öffentliche Verwaltung sowie Einrichtungen in Gesundheitswesen sind gefährdet, da ihre IT-Systeme zentrale Dienste für Bürgerinnen und Bürger bzw. für die medizinische Versorgung bereitstellen. Darüber hinaus geraten Betreiber kritischer Infrastrukturen (KRITIS), Unternehmen des produzierenden Gewerbes, E-Commerce-Anbieter und Medienunternehmen ins Visier von Angreifern.
10. Abwehr von DDoS-Angriffen:
DDoS-Schutzlösungen arbeiten mehrstufig. Sie analysieren, filtern und verteilen eingehenden Traffic, damit Angriffe abgewehrt werden, während legitime Anfragen die Anwendung weiterhin erreichen. Die mehrstufige Filterung überwacht eingehende Verbindungen kontinuierlich, z.B. anhand von IP-Reputation, Protokollanomalien, Request-Raten, Header-Mustern oder bekannten Signaturen, um schädliche Pakete/Anfragen frühzeitig auszufiltern. Dabei kommt eine Kombination aus Netzwerkfiltern (ACLs, Firewalls), DDoS-Appliances, Web Application Firewalls (WAF, beim Kunden) und ggf. Bot-Management zum Einsatz, die nacheinander unterschiedliche Kriterien prüfen (Volumen, Protokoll, Inhalt und Verhalten). Der gesamte Traffic wird zunächst über einen vorgeschalteten HTTP/S-Reverse-Proxy (beim Kunden) bzw. ein Scrubbing-Center geleitet, das Angriffe entfernt. So werden nur valide Anfragen weitergereicht, wodurch Backend-Systeme entlastet werden.
Dadurch bleiben webbasierte Dienste wie APIs oder Online-Shops auch unter Angriffslast erreichbar, Timeouts, Serverfehler und Abbrüche werden minimiert, was Nutzererlebnis, Performance und Umsatz schützt. Ebenso profitieren latenz- und paketverlustsensitive Dienste wie VoIP, da Volumen- und Protokollangriffe auf SIP- und RTP-Verkehr bereits vor den Kommunikationsservern abgefangen werden und Gesprächsqualität sowie Stabilität erhalten bleiben. Auch die Verfügbarkeit der DNS-Infrastruktur wird gesichert, indem Amplification- und Query-Floods abgewehrt werden, sodass Namensauflösungen weiterhin schnell erfolgen und abhängige Dienste funktionsfähig bleiben.
Genau diesen mehrstufigen Prozess verfolgen wir bei aixit: Durch mehrere kombinierten Netzwerk- und Infrastrukturmaßnahmen schützen wir Kundenumgebungen zuverlässig vor volumetrischen und protokollbasierten DDoS-Angriffen. Mithilfe kontinuierlicher Traffic-Analyse, intelligente Filtermechanismen sowie den Einsatz von Netzwerkfiltern und Firewalls wird schädlicher Datenverkehr frühzeitig erkannt und blockiert, während legitime Anfragen weiterhin durchgelassen werden. So bleibt Ihre Infrastruktur auch unter hoher Last stabil und verfügbar.
Weitere Informationen zu unserem DDoS-Schutz finden Sie hier.
Gerne unterstützen wir Sie bei Fragen oder beraten Sie individuell zu passenden Schutzmaßnahmen für Ihre Infrastruktur.
