Was passiert bei einem DDoS-Angriff?

Seit 20 Jahren setzen Cyberkriminelle auf DDoS-Angriffe: Mit ihnen können sie Institutionen oder Unternehmen gezielt Schaden zufügen. Sie stellen eine ernstzunehmende Gefahr dar, nicht zuletzt, da ihnen eine unkalkulierbare Schlagkraft innewohnt. Insbesondere seit 2013 hat diese Form der Cyber-Attacke stark zugenommen. Das macht den Schutz auf Unternehmensebene umso wichtiger.

Was ist DDoS?

DDoS-Attacken sind eine Form der Cyber-Kriminalität. Die Abkürzung selbst steht für Distributed-Denial-of-Service und ist grundsätzlich ein Sonderfall vom Denial of Service Angriff. Der Unterschied besteht darin, dass der DDoS-Angriff verteilt erfolgt. Dadurch entsteht eine Art Blockade, wodurch das CDN oder andere Services gar nicht mehr oder nur noch eingeschränkt verfügbar sind. Das erlaubt es den Kriminellen, Lösegelder zu erpressen oder verschiedenste kriminelle Handlungen vorzunehmen. Ein weiterer Unterschied besteht darin, wie Angreifer den Präzedenzfall verursachen: Anstelle der sogenannten Botnets kommen reguläre Internetseiten zum Einsatz. Mittels IP-Spoofing ist es möglich, einen hohen Traffic auf der Zielseite zu generieren. Dieser hohe Traffic hilft auch dabei, die Attacke selbst zu verschleiern.

Was passiert bei einem DDoS-Angriff?

Wenn Cyber-Kriminelle einen DDoS-Angriff starten, sorgen sie mutwillig für eine Überlastung in der angegriffenen IT-Infrastruktur. Das bedeutet beispielsweise, dass ein betroffenes Content Delivery Network (CDN) die angeforderten Daten nicht mehr ausliefern kann. Eine klassische Methode beim Distributed-Denial-of-Service ist es, mehrere Rechner direkt mit der Schadsoftware zu infizieren. Angreifer können in diesem Szenario unbemerkt die Kontrolle über die PCs oder andere elektronische Geräte übernehmen. Das hilft ihnen wiederum dabei, ihren DDoS-Angriff zu starten und das Ziel im Netz mit zahllosen Anfragen zu beschießen.

Wer sind die Angreifer?

Der DDoS-Angriff kann unterschiedlichen Motiven folgen: Vor allem die Erpressung, Neid oder die Schädigung der Konkurrenz sind gängige Gründe für diese Form der Cyber-Kriminalität. Allerdings müssen nicht immer kriminelle Gruppierungen hinter einen DDoS-Angriff stehen - es können auch politische Aktivisten oder unzufriedene Nutzer sein. Dennoch verfolgen Man-in-the-Browser-Angriffe und andere Attacken stets dasselbe Ziel: Sie wollen dem Unternehmen größtmöglichen Schaden zufügen. Solche Man-in-the-Browser-Angriffe kommen beispielsweise im Onlinebanking auf andere Websites für Transaktionen vor. Auch in Sozialen Netzwerken ist diese Form des Angriffs immer wieder zu beobachten. Dabei modifiziert der Angreifer die hinter der Website oder Transaktion stehende Logik. Diese Modifikationen bleiben meist unentdeckt, da die Webseite die üblichen Funktionsweisen vorweist. Das bedeutet, der User kann sich einloggen und sämtliche Vorgänge normal anzeigen lassen. Dieses Vorgehen überlastet zwar nicht die Website oder das CDN, fügt dem Unternehmen aber dennoch Schaden zu.

Übrigens: Gemäß dem Strafgesetzbuch handelt es sich bei einem solchen Angriff um Cyber-Kriminalität. Das bedeutet, dass die Distributed-Denial-of-Service Attacke strafrechtlich verfolgt wird. Sowohl die Vorbereitung als auch die Ausführung steht unter Strafe.

Wie greifen sie an?

DDoS-Angriffe betreffen die Cyber-Sicherheit im Unternehmen auf ganz unterschiedliche Art und Weise. Das liegt daran, dass verschiedene Formen von Attacken zum Einsatz kommen. Der Angriff an sich zielt auf eine oder mehrere Schichten ab. Diese Schichten sind im OSI-Modell (Open Systems Interconnection Modell für Netzwerkprotokoll) definiert und bestehen aus bis zu sieben Layern. Geht es den Angreifern darum, die Netzwerkbandbreite oder die Systemressourcen im CDN zu überlasten, findet die Attacke auf Layer 3 und 4 statt. Diese Form des Angriffs gehört nach wie vor zu den Gängigsten. In den letzten Jahren ist jedoch zu beobachten, dass Cyber-Kriminelle die Angriffe auf Layer 7 verlagern. Deshalb ist es unbedingt notwendig, die Sicherheit dieser drei Schichten regelmäßig zu prüfen.

Wichtig: Bandbreite und Muster von DDoS-Attacken lassen sich kaum vorhersagen. Sie ändern sich täglich und können stets in ihrem Vorgehen und den Auswirkungen variieren. Es ist deshalb sinnvoll, beim Pentest oder der Auswertung des Common Vulnerability Scoring System (CVSS) alle Bereiche abzudecken.

Warum das IoT DDoS Attacken verschlimmert

Das Internet of Things (IoT) ist ein Sammelbegriff für die unterschiedlichsten vernetzten Geräte. Sie alle bereichern den Alltag ihrer Anwender sowohl im privaten Bereich als auch in der Industrie. Selbst die öffentliche Infrastruktur profitiert von intelligenten Steuerelementen und den neuen Technologien. Trotzdem verschlimmert eben dieses IoT die Auswirkungen von DDoS-Angriffen. Der Grund dafür ist, dass verbundene Geräte ein durchaus attraktives Ziel für Cyber-Krimielle darstellen. Sie eignen sich hervorragend für eine Vielzahl an Attacken, einschließlich DDoS. Wird eines der Geräte mit der Schadsoftware infiziert, kann sie sich selbstständig im Netzwerk ausbreiten. Das Ergebnis ist, dass die schädigende Software innerhalb kurzer Zeit viele Systeme korrumpiert. Anstatt jedes Gerät einzeln anzugreifen, ist es also lediglich notwendig, ein einziges Schlupfloch zu finden. Wegen der hohen Komplexität der modernen Systeme ist es vor allem für kleinere Unternehmen schwierig, eine hohe IT-Sicherheit aufrechtzuerhalten. Diese Schwachstelle machen sich die Angreifer zu nutze. Neben einem Mangel an IT-Sicherheitsexperten in den meisten Unternehmen spielt auch die Fehler-Kultur in der IT-Abteilung eine zentrale Rolle. Es ist nicht immer erwünscht, aktiv nach Fehler oder Schwachstellen zu suchen. Bleiben diese jedoch bestehen, haben es die Cyber-Kriminellen deutlich einfacher, in das System einzudringen. Nicht nur mit Hinblick auf DDoS-Angriffe ist es deshalb sinnvoll, regelmäßige Tests gemäß dem Penetration Testing Execution Standard (PTES) durchzuführen. Pentests, die diesen Standards folgen, sind eine hervorragende Möglichkeit, die potenziellen Schwachstellen aufzudecken.

Wie der JavaScript-DDoS funktioniert

Der größte Teil der Interaktivität in modernen Websites kommt von JavaScript. Websites enthalten interaktive Elemente, indem sie JavaScript direkt in HTML einfügen oder indem sie JavaScript über ein HTML-Elementvon einem entfernten Server laden. Die Browser rufen den Code ab, auf den src verweist, und führen ihn im Kontext der Website aus.

Das grundlegende Konzept, das den Web 2.0-Boom Mitte der 2000er Jahre befeuerte, war die Möglichkeit für Websites, Inhalte asynchron aus JavaScript zu laden. Webseiten wurden interaktiver, sobald neue Inhalte geladen werden konnten, ohne dass Links verfolgt oder neue Seiten geladen werden mussten. Die Möglichkeit, HTTP(S)-Anfragen von JavaScript aus zu stellen, kann zwar dazu dienen, die Nutzung von Websites zu verbessern, sie kann aber auch dazu verwendet werden, den Browser in eine Waffe zu verwandeln.

So kann man einen DDoS-Angriff abwehren

Ein durchdachtes Sicherheitskonzept und eine positive Fehler-Kultur in der IT-Abteilung helfen Unternehmen dabei, einen DDoS-Angriff abwehren zu können. Das Sicherheitskonzept sollte sich dabei an modernen Standards der Cyber-Sicherheit ausrichten. Spezielle Schutztechnologien lassen sich sowohl on premises einsetzen als auch via SFCaaS-Dienstleistung. Um einen DDoS-Angriff abwehren zu können, muss zudem die individuelle Web-Entwicklung berücksichtigt werden. Welche Angriffspunkte bietet die Anwendung oder Website den Angreifern? Wie sieht die dahinter befindliche IT-Infrastruktur aus? Diese und weitere Fragen rund um die interne Web-Entwicklung geben Aufschluss darüber, welche Bereiche besonderen Schutz erfordern. Vor allem Unternehmen, die verstärkt Anwendungen in der Cloud nutzen, benötigen einen ausreichenden Schutz vor Cyber-Kriminalität. Diese Schutzmechanismen helfen nicht nur beim DDoS-Angriff abwehren, sondern auch bei anderen Angriffen. Das Wissen um die potenziellen Bedrohungen ist dabei ebenso wichtig wie eine regelmäßige Überprüfung der internen Sicherheit. Ein turnusmäßiger Pentest gemäß dem Penetration Testing Execution Standard (PTES) kann dabei helfen, die eigenen Sicherheitsvorrichtungen zu verbessern. Dasselbe gilt für die Analyse des CVSS, basierend auf den vorliegenden und hochindividuellen Gegebenheiten der Firma. Dadurch wird es einfacher, ein durchdachtes Sicherheitskonzept aufzustellen und einzuhalten. Gleichzeitig wird es für zukünftige Angreifer schwieriger, dem Unternehmen zu schaden.