Alles Wichtige zu DDoS
Was passiert bei einem DDoS-Angriff und wie schützt man sich davor? Hier finden Sie alle wichtigen Antworten auf einen Blick.
DDoS in Kürze
Was heißt DDoS?
DDoS steht für Distributed Denial of Service, was soviel heißt wie „verteilter Dienstverweigerungs-Angriff”.
Was ist ein DDoS-Angriff?
Ein DDoS-Angriff ist ein Angriff aus dem Internet, der die Bandbreite oder die Ressourcen eines Servers derart überlastet, dass dieser schlimmstenfalls nicht mehr erreichbar ist. Dazu verschaffen sich Cyberkriminelle weltweit illegalen Zugang zu privaten Computern. Mittels sogenannter Botnets (engl. = Roboternetz) verschicken sie eine Vielzahl gleichzeitiger Anfragen an einen Server. Unter der Last dieser Anfragen bricht der angegriffene Server dann zusammen.
Welche Risiken hat fehlender DDoS-Schutz für ein Unternehmen?
Wird Ihr Unternehmen Opfer einer DDoS-Attacke und es gibt keinen wirksamen DDoS-Schutz, können die Folgen gravierend sein:
- Die Webseite bzw. der Onlineshop ist offline, sodass sich Ihre Kunden nicht einloggen oder einkaufen können
- Der Mail-Server ist down, sodass Sie weder E-Mails empfangen noch versenden können
- Die IP-Telefone funktionieren nicht, sodass Ihr Unternehmen von außen nicht erreichbar ist
- Cloud-Programme und -Dateien sind nicht verfügbar, sodass nicht gearbeitet werden kann
- Die Gefahr für Datendiebstahl steigt, da Ihre IT-/Security-Abteilung beschäftigt und abgelenkt ist
Der wirtschaftliche Schaden reicht von Arbeitsausfällen, Auftrags- und Umsatzeinbußen oder gar Kundenverlusten, bis hin zu Image- und Vertrauensschäden sowie Gutschriften und Schadensersatzzahlungen – im Einzelfall ist die Summe der Konsequenzen existenzbedrohend.
DDoS-Attacken im Detail
Das steckt hinter der Bedrohung durch einen DDoS-Angriff
Was passiert bei einem DDoS-Angriff?
Was passiert bei einem DDoS-Angriff?
Bei einer DDoS-Attacke handelt es sich um den systematischen und simultanen Angriff mehrerer Computer auf eine Webseite oder eine ganze Netz-Infrastruktur. Ziel des Angriffs ist es, die Erreichbarkeit oder Verfügbarkeit des Anbieters durch Überlastung der Netz-Infrastruktur temporär zu stören oder zu unterbrechen.
Während eines DDoS-Angriffs werden an die angegriffene Netz-Infrastruktur sehr viele, sinnlose, unvollständige Anfragen oder falsche Protokollelemente, etc. gesendet. Dadurch wird entweder die IT-Infrastruktur (z.B. Server) überlastet, oder die vorhandene Leitungskapazität bietet keine ausreichende Bandbreite mehr, um den echten Datenverkehr, beispielsweise den Ihrer Kunden, zu bewältigen.
Dadurch kann Ihre Webpräsenz für Ihre Kunden unerreichbar werden. Die attackierten Internet-Anschlüsse sowie die dahinter befindlichen LAN-Komponenten werden, auch bedingt durch den Start von Sicherheitsmaßnahmen (z.B. Firewalls), schnell überlastet und unerreichbar. Durch die eingeschränkte oder blockierte Erreichbarkeit entsteht Ihrem Unternehmen schnell ein erheblicher wirtschaftlicher Schaden.
Unter den gängigsten/verschiedenen Angriffsmethoden ist die Multi-Vector-Attacke der Angriff mit dem höchsten Gefahrenpotential. Hierbei werden mehrere Angriffsmethoden gleichzeitig eingesetzt, was das Risiko für Ihr Unternehmen deutlich erhöht. Da automatisierte Systeme nur bedingt Schutz gegen solch komplexe Angriffe bieten können, müssen oft spezialisierte Rettungsteams zur Bekämpfung gebildet werden, die die Bedrohung dann an mehreren Stellen aufspüren und bekämpfen.
Welche Arten von DDoS-Angriffen gibt es?
Welche Arten von DDoS-Angriffen gibt es?
Im Wesentlichen lassen sich drei Angriffs-Strategien unterscheiden:
Volumetrischer DDoS-Angriff
Diese Form der DDoS-Attacken zählt zu den meistverbreitesten und beliebtesten Angriffsformen. Auf der Carrier- Anschlussleitung wird eine Überlast erzeugt, bis die Kapazitätsgrenzen überschritten werden und das System lahm gelegt ist.
Service-LayerDDoS-Angriff
Attacken dieser Art richten sich gegen spezifische, von Ihrem System verwendete Applikationen (HTTP, SSL, DNS, SMTP, SIP, etc.) und überfluten diese mit einer Überzahl an Requests, sodass es zum Überschreiten von Sessions führen kann. Diese Überlast bewirkt dann den Stopp der Aufgaben-Abwicklung Ihrer Applikationen.
State-ExhaustingDDoS-Angriff
Dieser Angriffstyp zielt auf Stateful Security Appliances (Firewall, IPS, Loadbalancer-ADC) und soll, durch sehr viele Requests zum Überlauf der Session-Tabelle bzw. zum Überschreiten der maximalen Session-Setup-Rate führen. Durch diese Überlast können die System-Aufgaben nicht mehr wahrgenommen werden.
Was ist der Unterschied zwischen DoS und DDoS?
Was ist der Unterschied zwischen DoS und DDoS?
Kleine Besonderheit, große Wirkung: Im Gegensatz zu einer einfachen Denial-of-Service-Attacke (DoS) haben DDoS-Attacken eine immense Schlagkraft. Sie erzeugen sehr schnell einen Ausfall von Servern. Typische DDoS-Angriffe zielen dabei regelmäßig auf die Überlastung des Access-Link, der Ressourcen der Firewall, der Web- und der Datenbankserver.
Bei einem DoS-Angriff erfolgt die Netzwerk-Attacke von einem einzigen Rechner aus, der versucht, die IT-Infrastruktur zu überlasten und so eine Nicht-Verfügbarkeit oder Dienstblockade hervorzurufen. Weit häufiger als DoS-Angriffe sind mittlerweile aber DDoS-Attacken.
Bei einem DDoS-Angriff geht die Attacke nicht von einem einzelnen System, sondern einer Vielzahl von (gekaperten) Rechnern aus, die das Netzwerk mit Anfragen bombardieren. DDoS-Angriffe bzw. Botnetze für diesen Zweck können mittlerweile für ein paar Euro online gebucht werden. So ist es wenig verwunderlich, dass die Zahl der DDoS-Attacken allein zwischen 2014 und 2015 um fast 150 % zugenommen hat.
Das Ziel beider Angriffsformen ist gleich: die Nichtverfügbarkeit von Online-Diensten herbeizuführen, indem sie blockiert und folglich unbenutzbar werden. Häufig dienen DDoS-Angriffe aber auch dazu, gezielte Attacken von Hackern auf ein System zu verschleiern, indem die Zugriffsversuche in der riesigen Datenflut eines DDoS-Angriffs unbemerkt bleiben.
Unabhängig von Art und Ziel des DDoS-Angriffs kann der dabei entstandene Schaden existenzbedrohend für ein Unternehmen sein.
Auch bei der Motivation unterscheiden sich beide Angriffsformen nicht. Neben die finanziellen Interessen von Cyberkriminellen treten hier zunehmend auch die gesellschaftlichen oder politischen Ziele von sogenannten Hacktivists in den Vordergrund, die Unternehmen gezielt schädigen wollen.
Welcher Schaden entsteht durch einen DDoS-Angriff?
Welcher Schaden entsteht durch einen DDoS-Angriff?
DDoS-Attacken sorgen für lange Ausfallzeiten. Das Schadensausmaß einer DDoS-Attacke wird gemessen an der Zeit, die ein Unternehmen benötigt, um sich von dem Angriff zu erholen. Im Schnitt benötigen Firmen nach besonders heftigen Angriffen 12 Stunden, um sich vollständig wiederherzustellen – also wesentlich länger als einen ganzen Arbeitstag. In Deutschland hat mehr als die Hälfte der befragten IT-Entscheider (52 %) DDoS-Attacken erlebt, die ihre Systeme für mehr als sechs Stunden – also fast einen ganzen Arbeitstag – außer Kraft gesetzt haben.
Umsatzeinbußen und Imageschäden sind die teuersten Folgen eines DDoS-Angriffs. Das Ponemon Institute hat im März 2015 eine Studie zu den von DDoS-Angriffen verursachten Kosten veröffentlicht. Die beteiligten Unternehmen berichteten von Ausgaben in Höhe von durchschnittlich 1,5 Millionen $, die in den letzten 12 Monaten von durchschnittlich vier DoS-Angriffen verursacht wurden.
Dazu kommt schwindendes Kundenvertrauen, das ein Unternehmen in eine Krise stürzen kann. Wie Umfragen zeigen, erhöhte sich die Zahl der Reklamationen und Rückfragen um durchschnittlich 36 % bei jedem DDoS-Angriff.
Wieso werden DDoS-Angriffe auf Unternehmen verübt?
Wieso werden DDoS-Angriffe auf Unternehmen verübt?
DDoS-Attacken im Business-Umfeld lassen meist folgende kriminelle Motivation erkennen:
Politische Gegenansichten/Hacktivismus
Die Aussagen oder politischen Ziele der angegriffenen Seite gehen nicht konform mit der Meinung und Motivation des Angreifers. Die Webseite wird zum Schweigen gebracht.
Erpressungsversuche
Opfer sind hier häufig Webshop-Betreiber, die erpresst werden. Sofern die Forderungen der Erpresser nicht beglichen werden, drohen die Angreifer damit, die Seite zu überlasten, so dass diese für die Nutzer nicht mehr verfügbar ist.
Konkurrenz zu Ihrem Unternehmen
Wettbewerber geben Angriffe in Auftrag, um Konkurrenzseiten zu blockieren. Neben Imageschäden sind immense finanzielle Einbußen die Folge.
Datendiebstahl/Verschleierung
Durch eine DDoS-Attacke wird die IT/Security Abteilung des Unternehmens beschäftigt und abgelenkt. In der Zwischenzeit wird unbemerkt eine andere Schwachstelle ausgenutzt, um sensible Daten zu stehlen.
Wie erkenne ich einen DDoS-Angriff auf mein Unternehmen?
Wie erkenne ich einen DDoS-Angriff auf mein Unternehmen?
Vereinfacht gesagt: der Server lahmt. Tatsächlich ist dieser einfache Ansatz für den Anwender oftmals der erste Hinweis eines Angriffs auf den Server, mit dem Nachteil, dass die Attacke zu diesem Zeitpunkt offensichtlich bereits erfolgreich läuft.
Vor allem bei Finanzdienstleistern, E-Commerce-Anbietern und Händlern zeigen sich schnell negative Auswirkungen, wenn ihre Webseite oder andere Systeme zur Zielscheibe solcher Angriffe werden. Falls Sie selbst Unregelmäßigkeiten feststellen und befürchten angegriffen zu werden, können Sie gerne eine Analyse Ihres Netzwerks von uns anfordern.
Wie hoch ist die Wahrscheinlichkeit, dass auch mein Unternehmen Ziel von Angriffen wird?
Wie hoch ist die Wahrscheinlichkeit, dass auch mein Unternehmen Ziel von Angriffen wird?
Die Zahl aller von DDoS-Attacken betroffenen Unternehmen in Deutschland nimmt stetig zu. Täglich werden mehr als 130 Angriffe auf deutsche Unternehmen sämtlicher Branchen verzeichnet. Sowohl Kleinunternehmen als auch Großkonzerne sind Ziele der Angreifer. Die Mehrzahl der attackierten Unternehmen wird sogar mehrfach attackiert, da bei den Angreifern meist eine hohe kriminelle Motivation erkennbar ist. Die Wahrscheinlichkeit, dass Ihr Unternehmen auch zum Ziel von DDoS-Attacken wird oder bereits wurde, ist demnach sehr groß.
Ist Ihr Unternehmen ausreichend geschützt?
Um den verschiedenen Bedrohungen und ihren Folgen adäquat zu begegnen und um die Verfügbarkeit Ihrer IT-Systeme zu gewährleisten, ist eine individuelle Schutzbedarfsanalyse nötig.
DDoS-Angriffe erkennen und abwehren
Die Bekämpfung von DDoS-Angriffen kann „On-Premise“ mit Hardware vor Ort oder „In the Cloud“ erfolgen. Nicht geeignet für die Abwehr eines DDoS-Angriffs sind herkömmliche Lösungen wie Firewalls, WAF (Web Application Firewall) und IPS (Intrusion Prevention System).
Bei der „On-Premise“-Bekämpfung wird eine spezielle Hardware im Internetzugang eines Ihres Unternehmens installiert. Die Vorrichtung erkennt ungewollte Anfragen bzw. missbräuchlichen Traffic und filtert diese heraus. Eine volumetrische DDoS-Attacke lässt sich mit dieser Lösung jedoch nicht abwehren. Der Schutz vor diesen auch „Flood Attacks“ genannten volumetrischen Angriffen muss bereits vor dem Internetzugang des Unternehmens ansetzen – anderenfalls wird dieser überlastet und es kommt trotz Schutzeinrichtung zur Blockade von Diensten.
Die gängige Abwehrlösung liegt deshalb „In the Cloud“. Noch besser ist aber die Bekämpfung direkt beim Carrier. Sie bietet die gleichen Vorteile wie die „On-Premise“-Lösung, kann aber auch Volumenangriffe erkennen und abwehren.
Schutzmaßnahmen beim Carrier prüfen den eintreffenden Traffic zunächst in einem sogenannten „Scrubbing Center“ auf verdächtige Muster. Dabei werden missbräuchliche Anfragen vom System geblockt, während saubere Anfragen durch eine „Clean Pipe“ an die IT-Infrastruktur des Kunden weitergeleitet werden.
Die DDoS-Prüfung erfolgt kontinuierlich („always on“) statt „on request“. Dadurch können DDoS-Angriffe deutlich schneller erkannt und bekämpft werden, so dass die geschützte Infrastruktur gar nicht erst erreicht wird. Auch größere Re-Routing bzw. IP-Routing-Maßnahmen sind nicht erforderlich. Ihre lokalen Netzwerk- und Internetverbindungen bleiben verfügbar und Ihre Geschäftsprozesse können ungestört weiterlaufen.
Fünf verbreitete Fehleinschätzungen zum DDoS-Schutz
Anders als Einzel-PCs müssen Firmen-Rechner und -Netzwerke rund um die Uhr verfügbar sein. Deshalb ist ein umfassender Schutz vor DDoS-Angriffen elementar. Doch trotz seiner Wichtigkeit kursieren viele Mythen zum Thema DDoS-Schutz:
Fehleinschätzung 1: Firewalls, IPS und CDN sind die Lösung
Fehleinschätzung 1: Firewalls, IPS und CDN sind die Lösung
Die Erweiterung von IT-Infrastrukturen und die Abhängigkeit von Cloud-Lösungen anderer Anbieter haben zur Bildung einer komplexen Umgebung geführt, die praktisch keinen Perimeter mehr hat. Traditionelle „perimeterorientierte“ Sicherheitslösungen wie Firewalls und IDS/IPS sind zwar nach wie vor ein wichtiger Teil einer umfassenden Sicherheitsstrategie, doch da diese Geräte bei Netzwerkverbindungen mit Stateful-Inspection arbeiten und eine dynamische Paketfilterung anhand des Verbindungsstatus durchführen, sind sie für bestimmte Arten von DDoS-Angriffen anfällig und manipulierbar und tragen so unter Umständen noch zur Verschärfung der Lage bei.
Viele Unternehmen halten irrtümlicherweise auch CDNs (Content Delivery Networks) für ein probates Mittel zur Abwehr von DDoS-Angriffen. Tatsächlich aber reagieren CDNs nur auf die Symptome eines DDoS-Angriffs. Durch das Absorbieren der riesigen Datenmengen eines DDoS-Angriffs trägt ein CDN sogar dazu bei, dass alle Daten in das Netzwerk gelangen, darin verteilt werden und Angreifern „Tür und Tor öffnen“. Außerdem sind die meisten CDN-basierten Lösungen für den DDoS-Schutz nur für Angriffe über HTTP/HTTPS ausgelegt. Andere häufige Angriffsarten wie Verstärkungsangriffe über NTP/DNS werden vollständig ignoriert.
Fehleinschätzung 2: DDoS-Schutz auf einer Ebene reicht völlig aus
Fehleinschätzung 2: DDoS-Schutz auf einer Ebene reicht völlig aus
Heutige DDoS-Angriffe setzen sich aus mehreren, dynamisch kombinierten Vektoren zusammen: volumetrische Angriffe, TCP-Überlastungsangriffe (State Exhaustion) und Angriffe auf Applikationsebene. Vor diesem Hintergrund wird von der Industrie der Einsatz eines mehrstufigen Verfahrens für den DDoS-Schutz als „Best Practice“ empfohlen.
Massive Flooding-Angriffe lassen sich am besten abwehren, wenn der Schutzmechanismus „upstream“ in der Cloud des Service-Providers implementiert ist, sodass die lokale Internetkonnektivität und lokal installierte DDoS-Schutzsysteme erst gar nicht in Mitleidenschaft gezogen werden. Umgekehrt lassen sich verdeckte Angriffe auf Applikationsebene am besten abwehren, wenn sich die Schutzmechanismen auf den Kundensystemen vor Ort und damit in räumlicher Nähe zu den Schlüsselapplikationen und Diensten befinden. Entscheidend ist dabei, dass diese beiden Ebenen auf intelligente Weise miteinander kommunizieren und fortlaufend mit Informationen über neue böswillige Aktivitäten versorgt werden, da sich nur so DDoS-Angriffe mit dynamisch kombinierten Vektoren wirksam abwehren lassen.
Leider beschränken sich viele Organisationen beim DDoS-Schutz aber auf eine Ebene, sodass das Abwehrsystem lückenhaft bleibt.
Fehleinschätzung 3: Wir sind als Angriffsziel uninteressant. Das Risiko ist überschaubar
Fehleinschätzung 3: Wir sind als Angriffsziel uninteressant. Das Risiko ist überschaubar
Die dramatische Zunahme der Zahl der DDoS-Angriffe lässt sich im Wesentlichen auf die beiden folgenden Faktoren zurückführen:
Es wird immer einfacher, Angriffe zu starten, und die Motive hinter solchen Angriffen werden immer vielfältiger. Nie zuvor war es so einfach, einen DDoS-Angriff zu starten. Gegen eine geringe Gebühr oder sogar kostenlos kann jeder aus dem Internet die Tools laden, die nötig sind, um selbstständig einen DDoS-Angriff in Form eines Dienstes zu starten. Doch während sich die Kosten für das Initiieren eines Angriffs nur auf ein paar Euro belaufen, kann der Schaden, der Unternehmen daraus entsteht, in die Millionen gehen. Auch die Motive für DDoS-Angriffe sind breit gestreut. Längst schon werden DDoS-Angriffe nicht mehr nur aus finanziellen Interessen heraus oder durch staatlich unterstützte Organisationen inszeniert.
Heute kann schon eine konträre Meinung, eine unterschiedliche politische Einstellung oder eine bestimmte Haltung zu einem gesellschaftlichen Thema Anlass für DDoS-Angriffe sein, für die den Angreifern ein wachsendes Arsenal an Tools und Diensten zur Verfügung steht. Noch prekärer wird die Situation im Falle von Diensten in einer gemeinsamen Cloud-Umgebung. Bei dieser Konstellation kann Ihr Unternehmen in Mitleidenschaft gezogen werden, ohne dass es selbst Ziel des Angriffs ist. Sie müssen sich also fragen: „Habe ich bisher nur Glück gehabt?“
Fehleinschätzung 4: Der Schaden durch einen DDoS-Angriff ist nicht so groß, dass er die Kosten für die Sicherheitslösung rechtfertigt
Fehleinschätzung 4: Der Schaden durch einen DDoS-Angriff ist nicht so groß, dass er die Kosten für die Sicherheitslösung rechtfertigt
Ein DDoS-Angriff kann unmittelbaren und schweren Schaden verursachen. Leider gibt es in vielen Unternehmen kein effizientes Risikomanagement und es findet keine Analyse potenzieller Abwehrmaßnahmen statt, die den Kauf einer umfassenden DDoS-Sicherheitslösung rechtfertigen würde. Auch wenn der zeitweilige Ausfall eines kostenpflichtigen Dienstes als verkraftbar eingeschätzt wird, dürfen all die anderen Folgekosten eines DDoS-Angriffs nicht vergessen werden.
Viele indirekt entstehende Kosten werden fast schon routinemäßig außer Acht gelassen:
Gutschriften im Rahmen von Service-Level-Agreements (SLAs), Honorare für Rechtsbeistände/Gebühren, PR-Kosten zur Behebung von Imageschäden, verstärkte Kundenabwanderung usw. Es sind sogar Fälle dokumentiert, in denen Mitglieder des Vorstands oder Aufsichtsrats mit der Begründung entlassen wurden, dass das Unternehmen nicht adäquat auf die Abwehr von DDoS- und anderen Angriffen vorbereitet war.
Fehleinschätzung 5: DDoS-Angriffe sind keine komplexen Bedrohungen
Fehleinschätzung 5: DDoS-Angriffe sind keine komplexen Bedrohungen
Im rein technischen Sinne sind DDoS-Angriffe tatsächlich nicht sehr komplex. Jüngste Studien über Botnets und DDoS-Angriffe zeigen aber, dass DDoS-Angriffe eng mit komplexen Bedrohungsszenarien verzahnt sind, die sich Malware, RATs usw. zunutze machen.
DDoS-Angriffe wurden nachweislich schon in den folgenden Situationen eingesetzt:
Während der Auskundschaftungsphase, um das Abwehrverhalten von Unternehmen bei einer Bedrohung auszuspähen. In der „Aufrüstungphase“ bzw. während des Einschleusens der Malware, um forensisch verwertbare Produktprotokolle und Datendateien mit Informationen zu überschwemmen und so die Suche nach der eingeschleusten Malware zu erschweren. In der Phase des Datendiebstahls, um vom eigentlichen Angriffsziel abzulenken.
Es muss sich also jeder fragen: „War der letzte DDoS-Angriff ein isoliertes Ereignis oder Teil der Strategie eines komplexen Angriffs auf meine Organisation?“ Für den maximalen Schutz der eigenen Daten und Informationen empfiehlt es sich, weltweit gewonnene Informationen über Bedrohungsaktivitäten zu nutzen und gezielt nach Anzeichen für einen möglichen Datendiebstahl oder einen anderen Sicherheitsvorfall zu suchen – bevor das Unternehmen tatsächlich angegriffen und geschädigt wird.
