DDoS-Attacken: Die wachsende Bedrohung

31.03.2023 | Mitte Februar, Flughafen Nürnberg: Familie Becker fiebert ihrem Urlaub im sonnigen Teneriffa entgegen. Für die fünfköpfige Familie ist es der erste gemeinsame Urlaub nach Corona und für die beiden Töchter Anna und Laura die erste Flugreise überhaupt. Sonne, frühlingshaften Temperaturen und einer angenehmen Reise sollte nun nichts mehr im Wege stehen.

Am Morgen sah das aber noch ganz anders aus: Als der Familienvater sich auf der Webseite des Flughafens über eventuelle Flugzeitänderungen informieren möchte, ist die Seite nicht erreichbar. Herr Becker wird nervös. Sind noch mehr Systeme betroffen? Ist ein Check-in überhaupt möglich?

Gezielte Angriffe legten im Februar über mehrere Stunden hinweg die Webseiten von insgesamt sechs deutschen Flughäfen lahm. Neben Nürnberg waren auch die Webauftritte der Airports Düsseldorf, Dortmund, Erfurt/Weimar, Hannover sowie Karlsruhe/Baden-Baden betroffen. Die Ursache war schnell gefunden: Massive DDoS-Attacken hatten die Ausfälle hervorgerufen.

Aus dem Englischen als Distributed Denial of Service (DDoS) Angriff bekannt, stehen diese Attacken für einen gezielten und großflächigen Angriff auf ein Zielsystem. Erhöhter Internet-Traffic bedeutet, dass von mehreren kompromittierten Computersystemen eine enorme Menge an Anfrage an die (ungeschützte) Infrastruktur des Ziels geschickt wird.

Mit der absichtlich herbeigeführten Überlastung durch erhöhten Internet-Traffic verfolgen Cyberkriminelle die Absicht, sich die Situation ihrer Opfer zunutze zu mache, beispielsweise um Lösegelder zu erpressen oder für einen Imageschaden des Unternehmens zu sorgen.

Denial of Service (DoS)-Angriffe zeichnen sich dadurch aus, dass eine große Menge an Datenverkehr an den Zielcomputer gesendet wird, dadurch soll dieser lahmgelegt werden. Die Angriffe in Online-Umgebungen machen diese für Benutzer unerreichbar, der Server wird entweder zum Absturz gebracht oder überlastet. Im Unterschied zu einem DoS-Angriff wird bei einem Distributed-Denial-of-Service-Angriff (DDoS) ein immenser Datenverkehr von vielen verschiedenen Quellen an eine Website gesendet.

Zu den beliebtesten Zielen der DDoS-Angreifer zählen Onlineshops, Kritische Infrastrukturen, öffentliche Einrichtungen und Regierungsseiten. Seit Beginn des Ukraine-Kriegs ist die Zahl der DDoS-Attacken deutlich angestiegen. Ziel dieser Angriffe ist es wohl, jeweils eine Seite zu unterstützen. Dafür stehen die Angreifer nicht nur im staatlichen Auftrag, sondern auch im eigenständigen Aktivismus. Nachdem Deutschland der Ukraine die Lieferung von Kampfpanzern zusagte, drohte etwa die pro-russische Hackergruppe Killnet mit Cyberangriffen, sowohl auf deutsche Unternehmen als auch Behörden.

DDos-Angriffe starten aus einem Netzwerk von Rechnern, weshalb Cyberkriminelle gerne Botnetze für ihre Angriffszwecke nutzen. Grundsätzlich können alle Netzwerke aus Geräten, die eine Verbindung mit dem Internet haben, einen DDoS-Angriff durchführen. Zu diesen Geräten zählen Computer, aber auch andere Geräte, welche aufgrund ihrer Infizierung mit Malware von Angreifern ferngesteuert werden. Diese betroffenen Geräte werden Bots genannt, eine Gruppe von Bots ergeben ein Botnetz. Nachdem das Botnetz ein Ziel gewählt hat, werden von jedem Bot aus Anfragen an die IP-Adresse des Servers oder Netzwerks gesendet. Dies hat eine Überlastung der Kapazitäten des Ziels und somit eine Unterbrechung des Traffics zur Folge.

Kurz gesagt: bei DDoS-Angriffen werden die Kapazitätsbeschränkungen von Netzwerkressourcen so weit ausgereizt, bis die Netzwerke zusammenbrechen. Es kommt zu einem Denial-of-Service.

Eine weitere Methode, welche bei Cyberkriminellen immer beliebter wird, sind RDoS-Angriffe. Das "R" steht hierbei für "Ransom", da diese Angriffsart ein DoS mit der Forderung von Lösegeld kombiniert. Betroffene Unternehmen sollten solchen Forderungen jedoch nicht nachgeben, da ein Ende des Angriffs nach der Bezahlung nicht garantiert ist. Des Weiteren würde das Bezahlen der Lösegeldsumme weitere Angreifer auf den Plan rufen, ebenfalls ihr Glück zu versuchen. Denn: Wer einmal zahlt, tut dies vermutlich auch ein weiteres Mal.

Wer auf eine DDoS-Attacke vorbereitet ist und für einen ausreichenden Schutz vorgesorgt hat, liegt klar im Vorteil. Üblicherweise lassen die Hacker schnell von ihrem Ziel ab, wenn ihnen bewusstwird, dass der Angriff zwecklos ist.

Den normalen Datenverkehr vom Traffic eines Angriffs zu unterscheiden, ist nicht so einfach. Zu den markantesten Indizien zählen die verlangsamte Arbeitsgeschwindigkeit, beziehungsweise die Nicht-Verfügbarkeit einer Webseite oder eines Dienstes.

Auch Merkmale wie vermehrter und unerklärlicher Traffic, der von nur einer IP-Adresse oder einem IP-Bereich ausgeht, können auf einen DDoS-Angriff hinweisen. Zudem steigt der Traffic bei DoS-Attacken verdächtig massiv und sprunghaft an.

Unabhängig von seiner Größe ist ein DDoS-Angriff für jedes Unternehmen eine Bedrohung. Die schwierige Unterscheidung von normalem Traffic und Angriffs-Traffic verkompliziert den Schutz vor DDoS-Angriffen, denn um Daten analysieren zu können, muss der Zielrechner diese zunächst erhalten.

Für den Schutz vor DDoS-Angriffen empfehlen sich verschiedene Maßnahmen, wie z.B. der Einsatz von Firewalls oder speziellen Anti-DDoS-Lösungen. Auch ein regelmäßiges Update der Systeme und das Vermeiden von bekannten Schwachstellen kann dazu beitragen, das Risiko eines erfolgreichen Angriffs zu verringern.

Die schlechte Nachricht lautet: DDoS-Attacken sind unvorhersehbar. Auch ihre Auswirkungen lassen sich nur schwer vorhersagen – es kommt immer darauf an, welches System die Angreifer ins Visier nehmen und wie massiv der Angriff durchgeführt wird.

Dass uns diese Bedrohung auch weiterhin begleitet, verdeutlichen Zahlen, die Kaspersky vergangenes Jahr veröffentlichte. So betrug die durchschnittliche Angriffsdauer der Attacken zwei Tage; der längste Angriff hielt sogar 29 Tage an. Auch nehmen smarte DDoS-Angriffe zu – um bis zu 50 Prozent – was für ein gezielteres Vorgehen der Angreifer spricht.

Doch die Situation ist nicht gänzlich hoffnungslos: Der beste Schutz vor DDoS-Angriffen ist eine gute Vorbereitung. Durch die Suche nach potenziellen Schwachstellen in Systemen und dem Netzwerk können solche identifiziert werden, sodass entsprechend reagiert werden kann. Der Einsatz von angemessenen Tools und Services für den Schutz vor DDoS unterstützt die Angriffsverteidigung.

Um Probleme mit DDoS-Angriffen intern regeln zu können, sollten Unternehmen auf ihre Mitarbeiter und Tools zurückgreifen. Im Notfall ist die Absicherung durch Drittanbieter allerdings ein unerlässliches Muss. Denn der DDoS-Schutz ist keine einmalige Sache, sondern ein fortlaufender Prozess, welcher auch die Umsetzung aktueller Best Practices berücksichtigen muss.

Für Familie Becker ging der Morgen übrigens gut aus, denn von den Folgen der DDoS-Attacke waren sie als Passagiere nicht betroffen. Nun freuen sich auf ein paar unbeschwerte Tage unter der kanarischen Sonne.