Was passiert bei einem DDoS-Angriff?

Seit über 20 Jahren setzen Cyberkriminelle auf DDoS-Angriffe, um Institutionen und Unternehmen gezielt zu schädigen. Diese Angriffsform stellt eine ernstzunehmende Gefahr dar -- nicht zuletzt wegen ihrer unkalkulierbaren Schlagkraft. Besonders seit 2013 hat die Zahl solcher Cyber-Attacken stark zugenommen, was den Schutz auf Unternehmensebene umso wichtiger macht.

Was ist DDoS?

DDoS-Attacken sind eine Form der Cyber-Kriminalität. Die Abkürzung steht für Distributed Denial of Service und bezeichnet einen Sonderfall des klassischen Denial-of-Service-Angriffs. Der wesentliche Unterschied: Der DDoS-Angriff erfolgt verteilt über viele Quellen gleichzeitig. Dadurch entsteht eine Blockade, die dazu führt, dass ein CDN oder andere Dienste gar nicht mehr oder nur noch eingeschränkt erreichbar sind. Das ermöglicht es den Kriminellen, Lösegeld zu erpressen oder andere kriminelle Handlungen durchzuführen. In manchen Varianten kommen statt klassischer Botnets reguläre Websites zum Einsatz. Mittels IP-Spoofing lässt sich ein hohes Anfragevolumen auf der Zielseite erzeugen, das zugleich die Attacke selbst verschleiert.

Was passiert bei einem DDoS-Angriff?

Wenn Cyberkriminelle einen DDoS-Angriff starten, überlasten sie gezielt die angegriffene IT-Infrastruktur. Das kann beispielsweise dazu führen, dass ein Content Delivery Network (CDN) die angeforderten Daten nicht mehr ausliefern kann. Eine klassische Methode besteht darin, mehrere Rechner mit Schadsoftware zu infizieren. In diesem Szenario übernehmen die Angreifer unbemerkt die Kontrolle über PCs oder andere elektronische Geräte und nutzen diese, um das Ziel im Netz mit zahllosen Anfragen zu bombardieren.

Wer sind die Angreifer?

Hinter einem DDoS-Angriff können unterschiedliche Motive stehen: Vor allem Erpressung, Neid oder die gezielte Schädigung der Konkurrenz sind häufige Gründe. Allerdings stehen nicht immer kriminelle Gruppierungen dahinter -- auch politische Aktivisten oder unzufriedene Nutzer kommen als Urheber infrage. Unabhängig vom Motiv verfolgen Man-in-the-Browser-Angriffe und andere Attacken stets dasselbe Ziel: dem Unternehmen größtmöglichen Schaden zuzufügen. Man-in-the-Browser-Angriffe kommen beispielsweise im Onlinebanking und auf Websites mit Transaktionen vor. Auch in sozialen Netzwerken tritt diese Angriffsform regelmäßig auf. Der Angreifer modifiziert dabei die hinter der Website oder Transaktion stehende Logik. Diese Manipulation bleibt meist unentdeckt, da die Webseite weiterhin normal funktioniert -- der Nutzer kann sich einloggen und alle Vorgänge wie gewohnt einsehen. Auch wenn dieses Vorgehen die Website oder das CDN nicht überlastet, richtet es dennoch erheblichen Schaden an.

Übrigens: Nach dem Strafgesetzbuch handelt es sich bei einem solchen Angriff um Cyber-Kriminalität. Eine Distributed-Denial-of-Service-Attacke wird strafrechtlich verfolgt -- sowohl die Vorbereitung als auch die Ausführung stehen unter Strafe.

Wie greifen sie an?

DDoS-Angriffe betreffen die Cyber-Sicherheit von Unternehmen auf vielfältige Weise, da verschiedene Angriffsformen zum Einsatz kommen. Die Attacke richtet sich gegen eine oder mehrere Schichten des OSI-Modells (Open Systems Interconnection), das bis zu sieben Layer umfasst. Zielt der Angriff auf die Netzwerkbandbreite oder die Systemressourcen im CDN ab, findet er auf Layer 3 und 4 statt -- diese Form gehört nach wie vor zu den häufigsten. In den letzten Jahren verlagern Cyberkriminelle ihre Angriffe jedoch zunehmend auf Layer 7. Deshalb ist es unerlässlich, die Sicherheit dieser drei Schichten regelmäßig zu überprüfen.

Wichtig: Bandbreite und Muster von DDoS-Attacken sind kaum vorhersagbar. Sie ändern sich täglich und variieren sowohl im Vorgehen als auch in ihren Auswirkungen. Daher empfiehlt es sich, beim Pentest oder bei der Auswertung des Common Vulnerability Scoring System (CVSS) alle Bereiche abzudecken.

Warum das IoT DDoS-Attacken verschlimmert

Das Internet of Things (IoT) ist ein Sammelbegriff für die unterschiedlichsten vernetzten Geräte. Sie bereichern den Alltag ihrer Anwender sowohl im privaten als auch im industriellen Umfeld. Selbst die öffentliche Infrastruktur profitiert von intelligenten Steuerelementen und neuen Technologien. Dennoch verschärft genau dieses IoT die Auswirkungen von DDoS-Angriffen erheblich. Vernetzte Geräte sind ein attraktives Ziel für Cyberkriminelle und eignen sich hervorragend als Ausgangspunkt für verschiedenste Attacken, einschließlich DDoS. Wird ein einziges Gerät mit Schadsoftware infiziert, kann sich diese selbstständig im Netzwerk ausbreiten und innerhalb kurzer Zeit zahlreiche Systeme kompromittieren. Statt jedes Gerät einzeln anzugreifen, genügt es also, ein einziges Schlupfloch zu finden.

Aufgrund der hohen Komplexität moderner Systeme fällt es besonders kleineren Unternehmen schwer, ein hohes IT-Sicherheitsniveau aufrechtzuerhalten. Diese Schwachstelle nutzen Angreifer gezielt aus. Neben dem Mangel an IT-Sicherheitsexperten spielt auch die Fehlerkultur in der IT-Abteilung eine zentrale Rolle: Nicht immer ist es erwünscht, aktiv nach Schwachstellen zu suchen. Bleiben diese jedoch bestehen, haben Cyberkriminelle deutlich leichteres Spiel. Nicht nur mit Blick auf DDoS-Angriffe empfiehlt es sich daher, regelmäßige Tests gemäß dem Penetration Testing Execution Standard (PTES) durchzuführen. Pentests nach diesem Standard sind eine hervorragende Methode, um potenzielle Schwachstellen aufzudecken.

Wie der JavaScript-DDoS funktioniert

Der Großteil der Interaktivität moderner Websites basiert auf JavaScript. Interaktive Elemente werden entweder direkt in HTML eingebettet oder über ein HTML-Element von einem entfernten Server nachgeladen. Der Browser ruft den im src-Attribut referenzierten Code ab und führt ihn im Kontext der Website aus.

Das grundlegende Konzept hinter dem Web-2.0-Boom Mitte der 2000er Jahre war die Möglichkeit, Inhalte asynchron per JavaScript nachzuladen. Webseiten wurden deutlich interaktiver, da neue Inhalte geladen werden konnten, ohne dass der Nutzer Links anklicken oder neue Seiten laden musste. Die Fähigkeit, HTTP(S)-Anfragen aus JavaScript heraus zu stellen, verbessert zwar die Nutzererfahrung -- sie lässt sich jedoch auch missbrauchen, um den Browser als Angriffswaffe einzusetzen.

So lässt sich ein DDoS-Angriff abwehren

Ein durchdachtes Sicherheitskonzept und eine offene Fehlerkultur in der IT-Abteilung sind entscheidend, um DDoS-Angriffe abwehren zu können. Das Sicherheitskonzept sollte sich an modernen Standards der Cyber-Sicherheit orientieren. Spezielle Schutztechnologien lassen sich sowohl On-Premises als auch als SFCaaS-Dienstleistung einsetzen.

Für eine wirksame Abwehr muss auch die individuelle Web-Entwicklung berücksichtigt werden: Welche Angriffspunkte bietet die Anwendung oder Website? Wie ist die dahinterliegende IT-Infrastruktur aufgebaut? Diese und weitere Fragen geben Aufschluss darüber, welche Bereiche besonderen Schutz erfordern. Insbesondere Unternehmen, die verstärkt Cloud-Anwendungen nutzen, benötigen einen umfassenden Schutz vor Cyber-Kriminalität. Solche Schutzmechanismen helfen nicht nur gegen DDoS-Angriffe, sondern auch gegen andere Bedrohungen.

Das Wissen um potenzielle Risiken ist ebenso wichtig wie die regelmäßige Überprüfung der internen Sicherheit. Ein turnusmäßiger Pentest gemäß dem Penetration Testing Execution Standard (PTES) kann dazu beitragen, die eigenen Sicherheitsvorkehrungen zu verbessern. Gleiches gilt für die Analyse des CVSS auf Basis der individuellen Gegebenheiten Ihres Unternehmens. So wird es einfacher, ein fundiertes Sicherheitskonzept aufzustellen und konsequent einzuhalten -- und zugleich schwieriger für Angreifer, Schaden anzurichten.