Die Anzahl der DDoS-Angriffe steigt ständig. Im zweiten Quartal 2019 war ihre Zahl gegenüber dem Vorjahr um 18 Prozent gestiegen, gegenüber dem gleichen Zeitraum im Jahr 2017 sogar um 25 Prozent. Während Großkonzerne inzwischen auf diese nicht mehr ganz so neue Bedrohung reagiert haben, fehlt es im Mittelstand noch häufig am Problembewusstsein. Das Thema DDoS erscheint erst auf dem Schirm, wenn man selbst Opfer geworden ist. Zu spät, denn dann ist bereits ein erheblicher Schaden eingetreten!
Was sind DDoS-Angriffe?
Im einfachsten Fall überhäufen die zahlreichen Rechner den Zielserver mit so vielen Anfragen, dass die zur Verfügung stehende Bandbreite der Internetverbindung nicht mehr ausreicht.
Die Abkürzung DDoS steht für Distributed Denial of Service. Es geht also darum, dass ein Service durch den Angriff nicht mehr zur Verfügung steht. Konkret kann das zum Beispiel bedeuten, dass eine Webseite oder ein Onlineshop überhaupt nicht mehr über das Internet erreichbar ist. Denkbar ist aber auch, dass spezielle Services nicht mehr zur Verfügung stehen. Das Wort „Distributed“ weist darauf hin, dass der Angriff von vielen Rechnern gleichzeitig durchgeführt wird. Die Angriffsmethode ist im Kern recht simpel: Im einfachsten Fall überhäufen die zahlreichen Rechner den Zielserver mit so vielen Anfragen, dass die zur Verfügung stehende Bandbreite der Internetverbindung nicht mehr ausreicht. Davor ist niemand sicher, sogar das Weiße Haus in Washington war deswegen einmal länger nicht online erreichbar. Das allerdings ist einige Jahre her, inzwischen dürfte man dort reagiert und einen DDoS Schutz implementiert haben.
Wo kommen all die Rechner her?
Die ahnungslosen Nutzer der betroffenen Rechner bemerken oft nicht einmal, dass ihre Rechner für einen solchen Angriff missbraucht werden
Ganz am Anfang standen wirklich koordinierte Protestaktionen, bei denen sich zahlreiche User über soziale Medien zu einer solchen Attacke verabredet haben. Aber das ist lange her. Heutige Systeme verfügen über derart große Ressourcen, dass sie mit der so erreichbaren Belastung fertig werden. Heute werden DDoS-Attacken mit einer Schadsoftware durchgeführt, die auf viele Rechner im Internet verteilt wird. Die infizierten Rechner bilden dann ein so genanntes Botnet. Diese Schadsoftware ist bis zum Zeitpunkt des Angriffs inaktiv. Später übernehmen die Hacker mit dieser Software die Kontrolle über die Rechner und starten auf diese Weise einen perfekt synchronisierten Angriff. Die ahnungslosen Nutzer der betroffenen Rechner bemerken oft nicht einmal, dass ihre Rechner für einen solchen Angriff missbraucht werden. Nicht immer werden übrigens Rechner von den Hackern für ihre Angriffe genutzt. In Betracht kommen auch Router, Webcams und weitere Geräte, die mit dem Netz verbunden sind.
Verschiedene Arten von DDos-Angriffen
Das Ziel der Angreifer besteht also darin, mit möglichst wenig gesendeten Daten einen maximalen Verbrauch von Ressourcen auf dem Zielsystem zu verursachen.
Im obigen Beispiel zielte der DDoS-Angriff darauf ab, die Internetverbindung zu überlasten. Alternativ können aber auch die Zielrechner selbst als Angriffsziel gewählt werden, indem spezielle Services auf dem Rechner mit Anfragen überlastet werden. Auch die gewöhnlich leistungsstarken Server im E-Commerce stoßen irgendwann an ihre Belastungsgrenze. Selbstverständlich kennen die Hacker die Zielsysteme genau und wissen, welche Art von Anfragen die Hardware besonders stark belasten. Das Ziel der Angreifer besteht also darin, mit möglichst wenig gesendeten Daten einen maximalen Verbrauch von Ressourcen auf dem Zielsystem zu verursachen.
Eine weitere Art von DDoS-Angriffen wurde als Reaktion auf erste Abwehrmaßnahmen entwickelt. Bei diesen Angriffen senden die infizierten Rechner ihre schädlichen Datenpakete nicht an das eigentliche Angriffsziel, sondern an Server, die technische Internetdienste zur Verfügung stellen. Dabei fälschen sie die Absender-IP-Adresse, sodass das Angriffsziel als Absender dieser Anfragen erscheint. Dieser Server bricht dann unter der Last der Antworten auf seine vermeintlichen Anfragen zusammen.
Keine Hinweise auf eine drohende Gefahr
Die Tücke eines DDoS-Angriffs besteht darin, dass der angegriffene Server selbst vorher keine Anzeichen eines drohenden Angriffs zeigt und sich die Opfer daher in Sicherheit wähnen. Insbesondere befindet sich auf dem Angriffsziel keine Schadsoftware. Einen DDoS-Angriff bemerkt das betroffene Unternehmen daher erst, wenn der Angriff schon läuft.
Jeder kann DDoS-Angiffe durchführen lassen
Im E-Commerce können beispielsweise Mitbewerber ein Interesse daran haben, einem Konkurrenten mit einer DDoS-Attacke zu schaden. In diesem Zusammenhang ist es besorgniserregend, dass DDoS-Angriffe zu einem relativ kleinen Preis gekauft werden können. Im Internet bieten Hacker diese Dienstleistung an. Jeder kann also einen solchen Angriff kaufen, er muss lediglich den Zeitpunkt und das Zielsystem angeben. Den Rest erledigen die Hacker für ihn.
Folgen eines DDoS-Angriffs
Die wirtschaftlichen Schäden sind meist erheblich. Der nicht erreichbare Onlineshop muss schließlich nicht nur ein paar Tage lang auf Umsätze verzichten, sondern auch damit leben, dass die Kunden zur Konkurrenz wechseln.
Auf den ersten Blick mögen die Folgen eines solche Angriffs vergleichsweise harmlos erscheinen. Dauerhafte technische Schäden richtet der Angriff nicht an, das Zielsystem ist lediglich während der Dauer der Attacke nicht erreichbar. Diese kann allerdings mehrere Tage andauern. Die wirtschaftlichen Schäden sind meist erheblich. Der nicht erreichbare Onlineshop muss schließlich nicht nur ein paar Tage lang auf Umsätze verzichten, sondern auch damit leben, dass die Kunden zur Konkurrenz wechseln – und vielleicht nie mehr zurückkehren. Noch schlimmer kann es Anbieter in anderen Bereichen des E-Commerce treffen. Wer zum Beispiel kostenpflichtige Dienste über das Netz anbietet, für deren Nutzung User monatlich bezahlen, muss mit vielen Kündigungen rechnen. Zwar schließen die AGB meist Rückerstattungsansprüche bei technischen Ausfällen aus, aber der Imageschaden ist deutlich schwerwiegender. Wer persönliche Daten seiner Kunden speichert und dementsprechend einen Zugriff der Kunden auf ihre Daten sicherstellen muss, kann auch noch mit ganz anderen Problemen konfrontiert werden. Die Nichterreichbarkeit des Systems stellt dann unter Umständen ein meldepflichtiges Ereignis im Sinne der Datenschutzgrundverordnung dar. Es ist also dringend zu empfehlen, sich rechtzeitig gegen DDoS-Attacken zu wappnen.
Ein zuverlässiger DDoS Schutz ist möglich
Ein wirksamer DDoS Schutz ist möglich
Fassen wir noch einmal zusammen: Im Kern besteht eine DDoS-Attacke darin, das Zielsystem mit Datenpaketen zu fluten, von denen jedes für sich genommen harmlos und unschädlich ist. Nur die große Anzahl ist das Problem. In gewissem Sinne stellt diese Feststellung zugleich die gute und die schlechte Nachricht dar. Die schlechte Nachricht lautet, dass es keinen simplen Schutz über eine Firewall gibt, indem die schädlichen Pakete einfach geblockt werden. Damit würde auch der Zugang für die echten Kundenverbindungen gesperrt. (Ausgenommen sind natürlich die Fälle, in denen gar keine Firewall vorhanden ist oder nicht benötigte externe Verbindungen zugelassen werden. Aber das ist ein anderes Thema.) Die gute Nachricht lautet, dass es nicht tragisch ist, wenn ein paar der Datenpakte eines DDoS-Angriffs das Zielsystem erreichen. Solange es nicht zu viele sind, richten sie keinen Schaden an. Darauf beruht unsere Verteidigungsstrategie. Wir schauen uns den Netzwerkverkehr genau an und blocken schädlichen Datenverkehr, bevor er die Zielsysteme erreicht. Ein simples Beispiel besteht zum Beispiel darin, in einem festen Zeitintervall nur eine begrenzte Zahl von Verbindungsaufbauten von einer IP-Adresse aus zu erlauben. Wenn also gekaperte Rechner eines Botnets den Server mit Anfragen fluten, schaffen sie das einige Male – danach werden sie geblockt. Die wenigen erfolgreichen Versuche richten keinen nennenswerten Schaden an. Andere Erkennungsmechanismen sind ein wenig komplizierter und beruhen darauf, dass wir die Angriffsmuster früherer DDoS-Angriffe analysiert haben und sie daher im Datenstrom wiedererkennen können. Auf diese Weise entsteht ein selbstlernendes System, das sich ständig den Strategien der Angreifer anpasst. Anders als viele andere DDoS Schutzpakte erfordert unsere Lösungen dabei keine Änderungen der Inhalte oder der Netzwerkkonfiguration der zu schützenden Systeme.
Unsere DDoS Lösung für den Mittelstand
Wenn Unternehmen Opfer eines DDoS-Angriffs geworden sind, weisen sie gelegentlich entschuldigend darauf hin, dass es gegen diese Art von Angriff leider keinen absolut sicheren Schutz gebe. Abstrakt gesprochen ist diese Feststellung nicht falsch. Wenn dem Angreifer praktisch unbegrenzte Ressourcen für seine Attacke zur Verfügung stehen, wird er auch einen DDoS Schutz überlasten können. Im Cyberkrieg der Großmächte mag dies ein reales Problem sein. Mittelständische Unternehmen haben es jedoch mit Gegnern zu tun, deren Ressourcen alles andere als unbeschränkt sind. Sicherheit vor DDoS-Angriffen ist sehr wohl möglich. Genau darauf haben wir bei cloudshift® uns als Unternehmen spezialisiert: Schutz für den Mittelstand.
