So übersteht Ihre Website einen DDoS-Angriff

ddos-attacks-banner

Die digitale Welt hat mit vielen Bedrohungen zu kämpfen. Doch nur wenige sind so zerstörerisch oder schwierig abzuwehren wie ein DDoS-Angriff (Distributed Denial of Service).

Ziel eines DDoS ist es, den anvisierten Server zum Abstürzen zu bringen, indem er mit Anfragen überlastet wird. Klug eingesetzt kann diese Angriffsform schnell Websites unbrauchbar machen. Dadurch wird sie in unserer digitalisierten Welt zur idealen Waffe für nahezu jeden Angreifer – sei es aus politischen, wirtschaftlichen oder persönlichen Motiven. Doch damit nicht genug: DDoS-Angriffe werden nicht nur immer wirkungsvoller, sondern auch zahlreicher. Laut Studien gibt es bereits jetzt 17.700 jeden Tag.

Auch Emsisoft ist nur allzu vertraut mit dieser wachsenden Bedrohung. Mit unserem täglichen Kampf gegen Malware ziehen wir des Öfteren die Wut von Cyberkriminellen auf uns. Dazu gehören eben auch Versuche, unsere Systeme durch übermäßigen Datenverkehr zusammenbrechen zu lassen. Nach der Veröffentlichung eines Decrypters für die MRCR-Ransomware im Januar 2017 wurde beispielsweise unser Portal für Ransomware-Decrypter angegriffen.


Zum Glück haben unsere Abwehrmaßnahmen standgehalten und wir sind unbeschadet davongekommen. Anderen geht es leider nicht so gut.

Vielleicht kennen Sie die Behauptung, dass es nicht möglich ist, DDoS-Angriffe zu vermeiden. Das mag in gewissem Maße stimmen, aber Sie können immer Vorkehrungen treffen, um das Risiko zu minimieren.

In diesem Artikel möchten wir Ihnen DDoS-Angriffe näher erläutern und auch, wie Sie den Schaden im Falle des Falles möglichst gering halten können.

Was ist ein DDoS-Angriff?

Bei einem herkömmlichen DoS-Angriff (vom Englischen „Denial of Service“, also Dienstverweigerung) wird ein mit dem Internet verbundenes Gerät eingesetzt, um die Bandbreite eines bestimmten Servers auszulasten und damit eine Website funktionsunfähig zu machen.

Bei einem DDoS-Angriff wird ähnlich vorgegangen wie bei dem DoS-Angriff. Wie das „Distributed“ (verteilt) jedoch schon andeutet, werden nicht nur ein Gerät, sondern Hunderte bis Tausende Geräte aus aller Welt genutzt. Dabei handelt es sich meistens um ein sogenanntes Botnetz. Diese „Zombie-Armee“ ist eine Gruppe von Computern, die mit einer Malware infiziert wurden, damit Hacker sie per Fernzugriff steuern können. Da bei einem DDoS-Angriff einfach zu viele Quellen blockiert werden müssen, ist er nur sehr schwierig zu stoppen.

Wie funktioniert ein DDoS-Angriff?

Es gibt verschiedene Arten von DDoS-Angriffen (mehr dazu später), die jedoch alle ein Ziel verfolgen: den Betrieb einer bestimmten Website stören und sie für ihre Benutzer unzugänglich oder unbrauchbar machen.

Ein typischer DDoS-Angriff könnte wie folgt aussehen:

  • Verbreiten der Malware: Cyberkriminelle veröffentlichen Malware, die über das Internet verbreitet wird und unbemerkt Computer infiltriert. Das geschieht meistens über E-Mail-Anhänge, Drive-by-Downloads oder über soziale Netzwerke geteilte Links.
  • Aufbauen des Botnetzes: Die Malware bleibt inaktiv, bis sie benötigt wird. Hacker können den betroffenen Computern also Befehle geben, ohne dass es die Benutzer merken. Vereinzelt stellen Anwender ihre Geräte aber auch freiwillig für ein Botnetz zur Verfügung, weil sie beispielsweise ein gemeinsames Ziel verfolgen. Die Hacktivisten-Gruppe Anonymus ist dafür bekannt, für ihre Kampagnen mit Botnetzen von Freiwilligen zu arbeiten. In einem bereits veröffentlichten Blogartikel beschreiben wir, wie Botnetze funktionieren.
  • Ausführen des Angriffs: Verfügt das Botnetz über genügend Geräte, geben die Kriminellen an jedes Gerät den Befehl, gleichzeitig Daten an die anvisierte Website zu schicken.
  • Überlastung der anvisierten Website mit Datenverkehr: Die Website wird von dem Botnetz mit Anfragen regelrecht bombardiert. Die von DDoS-Angriffen erzeugten Datenmengen haben mit den Jahren stark zugenommen. Im ersten Quartal von 2017 überstiegen beinahe 6 von 10 Angriffen die 1-Gbit/s-Marke – der Punkt, an dem die meisten Websites vom Netz gehen müssen.
  • Deaktivierung der anvisierten Website: Sollte der Angriff erfolgreich verlaufen, wird die Website offline geschaltet und es entstehen erhebliche Störungen für die eigentlichen Website-Besucher.

Leider können viele Cyberkriminelle die ersten Schritte überspringen und direkt einen Angriff durchführen. Sogenannte Booter (die sich häufig als Anbieter für Belastungstests ausgeben) führen nämlich für den zahlungswilligen Kunden bei Bedarf DDoS-Angriffe durch. Damit kann nahezu jeder beim Ziel seiner Wahl für Chaos sorgen. Unerfreulicherweise sind diese Booter auch noch überraschend günstig: Ein 24-stündiger Angriff auf eine nichtstaatliche Website kostet lediglich 400 USD, also unter 17 USD pro Stunde.

Ein groß angelegter Angriff kann sich natürlich verheerend auf die Finanzsituation eines Unternehmens auswirken. Eine aktuelle Studie mit 1.010 Unternehmen ergab, dass DDoS-Störungen während der Hauptgeschäftszeiten zu Umsatzverlusten in Höhe von über 100.000 USD pro Stunde führen können.

Die verschiedenen Arten von DDoS-Angriffen

Es gibt verschiedene Wege, um DDoS-Angriffe durchzuführen. Unterschieden wird dabei nach Art und Umfang des eingesetzten Datenverkehrs sowie nach der ausgenutzten Sicherheitslücke.

1. Volumenangriffe

Diese am häufigsten verwendete Art von DDoS-Angriffen nutzt ein Botnetz, um enorme Datenmengen auf die anvisierte Seite loszulassen. Durch diese Überlastung der Bandbreite wird der Netzwerkverkehr des Ziels extrem verlangsamt oder bricht komplett zusammen. Zu den zahlreichen Formen von Volumenangriffen gehören beispielsweise UDP-, ICMP- oder TCP-Flood sowie DNS-Verstärkung.

2. Protokollangriffe

Bei dieser Form des Angriffs werden die Ressourcen des Servers missbraucht. Dazu wird eine Schwachstelle im Protokollstapel der Kommunikationsschichten Layer 3 und 4 genutzt. Zu dieser Kategorie gehören SYN-Flood und der berühmt-berüchtigte Ping of Death (Ping des Todes).

3. Angriffe auf Anwendungsebene

DDoS-Angriffe auf Anwendungsebene kommen am seltensten vor, was daran liegen könnte, dass sie technisch sehr aufwendig sind. Allerdings sind sie dadurch auch am schwierigsten abzuwehren. Sie überlasten die Server-Ressourcen, indem sie die Datenübertragung von webbasierten Anwendungen stören

Warum werden DDoS-Angriffe durchgeführt?

ddos-infection-image

Einige Ausprägungen der Cyberkriminalität haben sehr offensichtliche Ziele. Für Ransomware ist beispielsweise meistens Geld die Motivation. Bei DDoS-Angriffen sind die Beweggründe nicht immer ganz so klar. Sieht man sich jedoch die bisherigen Vorfälle an, werden einige Muster deutlich, weshalb Kriminelle derartige Maßnahmen ergreifen.

1. Sozialer Aktivismus

Kriminalität ist niemals gut, doch wird sie mitunter in guter Absicht eingesetzt. Bestimmte Gruppierungen der Hackergemeinschaft nutzen DDoS-Angriffe beispielsweise, um Unternehmen zu stören, die ihrer Meinung nach gegen Ethik und Moral verstoßen. Auch wenn derartige Aktionen von den Medien gern glorifiziert werden, sind sie dennoch illegal und in den seltensten Fällen langfristig wirksam. Und auch die Rechtfertigungen dafür sind meistens eher fragwürdig.

Ein bekanntes Beispiel hierfür dürfte eine Aktion der Hacktivisten-Gruppe Anonymous sein. Sie hatte 2008 einen DDoS-Angriff auf Scientology gestartet, weil die Kirche angeblich das Urheberrecht missbraucht hatte.

2. Erpressung

Mit DDoS-Angriffen lässt sich auch Geld verdienen – durch Erpressung, um genau zu sein. Dazu starten die Hacker zunächst einen kleinen Angriff als Beweis ihrer Stärke und senden dem Opfer (meistens Unternehmen) eine Lösegeldforderung über einen bestimmten Bitcoin-Betrag. Sollte das Opfer zahlen, lenken die Kriminellen ein … wenn nicht, wird der Angriff intensiviert.

Die meisten Lösegeldforderungen für DDoS-Erpressung liegen im vier- bis fünfstelligen Bereich. Mitunter werden jedoch auch wesentlich höhere Zahlen aufgerufen. Im Juni 2017 erpresste beispielsweise das Armada Collective sieben südkoreanische Banken. Sie sollten insgesamt 315.000 USD zahlen, um einem Systemausfall aufgrund von DDoS zu entgehen.

3. Politische Gründe

Da sie die Funktionsweise von wichtigen Diensten beeinträchtigen können, eignen sich DDoS-Angriffe auch, um politische Entscheidungen zu beeinflussen. Gruppen, die derartige Angriffe durchführen, sind meistens staatlich finanziert und verfügen über erhebliche Ressourcen.

Während der Demokratiebewegung „Occupy Central“ 2014 in Hongkong wurden DDoS-Angriffe zum Beispiel sehr intensiv genutzt, um Unterstützer zum Verstummen zu bringen. Die Websites „Apple Daily“ und „Pop Vote“ wurden mit bis zu 500 Gbit/s attackiert. Sie zählen zu den bis dahin stärksten Angriffen überhaupt.

4. Ruhm

Einige Kriminelle suchen schlicht das aufregende Erfolgsgefühl, wenn sie es schaffen, eine Website stillzulegen. Viele wollen sich einen Namen machen und hoffen auf die Anerkennung in der Hacker-Gemeinschaft. Die Erfahreneren der Szene haben allerdings wenig Respekt für jene übrig, die lediglich DDoS-Scripts kopieren und/oder Booter nutzen.

5. Konkurrenzkampf

Der Onlinehandel ist aus der heutigen Konsumgesellschaft nicht mehr wegzudenken und der Konkurrenzkampf so ausgeprägt wie nie. Manche Shops lassen sich dann auch schon einmal zu Cyberkriminalität hinreißen. Ein gut geplanter DDoS-Angriff kann zum Verkaufsstart eines neuen Produkts schließlich sehr hilfreich sein, um im jeweiligen Marktsegment die Oberhand zu behalten.

Wie können Sie sich schützen?

Derzeit ist es leider in der Tat nicht wirklich möglich, sich vollständig vor einem DDoS-Angriff zu schützen. Indem Sie jedoch Vorkehrungen treffen und einige wichtige Regeln zur IT-Sicherheit beachten, können Sie das Risiko weitestgehend minimieren.

1. Datenverkehrsaufkommen überwachen

Um den Schaden durch einen DDoS-Angriff so gering wie möglich zu halten, ist es wichtig, schnellstmöglich zu erkennen, wann einer stattfindet. Ein gutes Mittel hierzu ist es, das Datenverkehrsaufkommen Ihrer Website zu überwachen. Finden Sie heraus, wie hoch es durchschnittlich ausfällt und wie stark es zu Stoßzeiten schwankt, um Grenzwerte festlegen zu können. Werden die für Ihre Website typischen Zahlen dann überschritten, erhalten Sie und/oder Ihr IT-Team automatisch eine Warnung.

2. Mit Internetdienstanbieter absprechen

Achten Sie bei der Wahl eines Internetdienstanbieters am besten auch auf DDoS-Schutz. Sollte Ihr Anbieter keine entsprechenden Schutzvorkehrungen bieten, nehmen Sie im Falle eines Angriffs dennoch Kontakt mit ihm auf. Vielleicht ist auch er betroffen oder kann zumindest den Datenverkehr umleiten, um Ihre Seite zu entlasten.

3. In zusätzliche Bandbreite investieren

Mit zusätzlicher Bandbreite lässt sich ein Angriff zwar nicht vermeiden, aber Sie gewinnen wertvolle Zeit, um sich mit ihm befassen zu können.

Wie das funktionieren soll?

DDoS-Angriffe überfluten Ihre Website bekanntlich mit großen Datenmengen. Indem Sie über mehr Bandbreite verfügen, als Sie normalerweise benötigen, können Sie den Angriff zumindest teilweise abfangen. Auf diese Weise erhalten Sie einen Vorlauf, um den Schaden möglichst gering zu halten.

4. Eventuell cloudbasierten DDoS-Schutz kaufen

Professionelle Anbieter von cloudbasierter DDoS-Abwehr können teuer sein, bieten aber einen wirksamen zusätzlichen Schutz. Die Dienste verfügen über sehr große Bandbreiten, wodurch sie selbst große DDoS-Angriffe blockieren können. Darüber hinaus können sie simulierte Anfragen herausfiltern, damit wirklich nur „saubere“ Daten zum Server gelangen.

Mit dem Projekt „Shield“ bietet Google eine eigene Form von DDoS-Schutz an. Websites für Nachrichten, Menschenrechte und Wahlbeobachtung können den Dienst kostenlos nutzen. Er filtert schädlichen Datenverkehr heraus und absorbiert ihn mithilfe eines Caching-Systems. Wenn Sie wissen möchten, ob Ihre Seite für das Shield-Projekt infrage kommt und wie Sie sich bewerben können, klicken Sie hier.

5. Software regelmäßig aktualisieren

Sicherheitslücken wie die in den WordPress Versionen 3.5 bis 3.9 machen Ihr Unternehmen extrem anfällig für DDoS-Angriffe. Daher ist es im Kampf gegen jede Form von Cyberkriminalität unerlässlich, Ihre Software immer auf dem neuesten Stand zu halten. Je länger Sie keine Updates durchführen, umso mehr wächst das Risiko.

Sicher möchten Sie auch nicht zu einem Mithelfer bei der DDoS-Plage werden und ihre Systemressourcen für Angriffe auf unschuldige Unternehmen zur Verfügung stellen. Sorgen Sie also dafür, dass Ihr Computer nicht unwissentlich Teil eines Botnetzes wird. Emsisoft Anti-Malware kann Ihnen dabei helfen. Sein Anti-Malware- und Antivirus-Schutz ist auf die Erkennung und Beseitigung aller Arten von Malware ausgelegt – damit Ihr System sich keine Infektion einfängt oder einem Hacker ins Botnetz geht.

DDoS-Angriffe werden immer leichter möglich und gleichzeitig immer zerstörerischer. Große wie kleine Unternehmen müssen daher unbedingt wissen, wie die Angriffe ablaufen und wie sie sich bestmöglich davor schützen können.

Wurden Sie schon einmal Opfer eines DDoS-Angriffs oder anderer Cyberkriminalität? Erzählen Sie uns davon in den Kommentaren.

Wir wünschen eine schöne (Malware-freie) Zeit!

  • IoT-S3curITy

    Interessant wäre, so einen Dienst selbst aufzubauen.
    Wer also darüber Infos hat…