Was ist eine DDoS Attacke?

Von einem Angriff der Dienstverweigerung spricht man, wenn die Web-Infrastruktur – zumeist ein oder mehrere Server – mit einer solchen Menge sinnloser Daten überhäuft wird, dass alle Ressourcen ausgelastet sind, sodass eine Beantwortung legitimer Anfragen von Webnutzern nicht mehr möglich ist. Bei einem Angriff des Typs der verteilten Dienstverweigerung wird diese Situation dadurch verstärkt, dass die Attacke von einer Vielzahl von Computern aus erfolgt, die auf verschiedene Standorte verteilt sind.

Die meisten großen DDoS-Angriffe werden von Botnets aus gestartet; diese bestehen aus Computern, deren Sicherheit kompromittiert wurde, und die nun von den Urhebern des Angriffs kontrolliert und manipuliert werden. Dabei werden die Computer im Botnet dazu gebracht, die Webserver der betroffenen Organisation mit gefälschten oder schädlichen Daten derart zu überschütten, dass sie durch das hohe Aufkommen in die Knie gehen und legitime Nutzer nicht mehr bedient werden können.

DDoS - “Das kann uns nicht passieren”

DDoS-Angriffe und Hacking-Attacken nehmen ständig zu, fast täglich liest man etwas dazu in den Medien, und dass es sich dabei nicht nur um Effekthascherei handelt, belegen seriöse Untersuchungen. Wir untersuchen seit Jahren die Anzahl und das Ausmaß von Angriffen und haben im Frühjahr 2017 eine Umfrage unter IT-Sicherheitsverantwortlichen rund um den Umgang mit dem steigenden Risiko durchgeführt.

Vier von fünf Unternehmen gehen davon aus, dass sie sehr wahrscheinlich oder sicher Ziel eines DDoS-Angriffs werden würden. Dabei glauben 83% aller Befragten, dass Sie ausreichend auf eine Attacke vorbereitet sind. Dennoch wurden 54% Opfer von mindestens einer erfolgreichen DDoS-Attacke in den letzten 12 Monaten, durchschnittlich waren es drei Angriffe pro Jahr pro Unternehmen. Das ist insgesamt ein beunruhigendes Ergebnis, denn erfolgreiche Attacken haben nachweislich einen negativen Effekt auf den Geschäftserfolg (81%), verursachen Kosten und eine zusätzliche Belastung für die IT-Abteilung (beides 16%).

Wissen Sie, wie es um die Schutzmaßnahmen gegen Cyber-Angriffe auf Ihre Web-Präsenz bestellt ist?

Lesen Sie den Bericht

Hard Facts
%
größere Angriffe
%
vertrauen ihrem DDoS-Schutz
%
wurden trotzdem Opfer einer erfolgreichen Attacke

Es ist nicht zuletzt Angriffen auf Unternehmen wie Dyn, Twitter und CNN geschuldet, dass DDoS heutzutage fast schon omnipräsent ist, allgemein als ein ernst zu nehmendes Risiko eingestuft wird und allenthalben entsprechende Schutzschilde aufgefahren werden. Nicht zuletzt deswegen wachsen Zahl und Größe der DDoS-Attacken weiter, eine Art Rüstungswettlauf entsteht. Wer DDoS-Schutz als eine einmalige Investition abtut und sich nicht kontinuierlich schützt, kann dabei schnell Opfer einer Attacke werden. Ohne umfassende, abteilungsübergreifende Maßnahmen, tiefgehende Veränderungen im Umgang mit Angriffen und den gezielten Einsatz von Abwehrtechnologie werden Cyberkriminelle den Wettlauf gewinnen.

Ein DDoS-Test kann Ihnen dabei helfen, Ihre Widerstandsfähigkeit gegen DDoS-Angriffe zu bewerten. Interesse? Füllen Sie das nachstehende Formular aus, um einen kostenlosen DDoS-Test zu gewinnen.

Gewinnen Sie einen DDoS-Test

Nehmen Sie an unserem Gewinnspiel teil und gewinnen Sie einen von drei kostenlosen DDoS-Tests. DDoS-Tests simulieren einen DDoS-Angriff, um Schwachstellen zu erkennen und festzustellen, wie es um den DDoS-Schutz bestellt ist.

Teilnahmebedingungen

Vielen Dank

Vielen Dank für Ihre Teilnahme an unserem Gewinnspiel.

Was ist eine DDoS Attacke?

Von einem Angriff der Dienstverweigerung spricht man, wenn die Web-Infrastruktur – zumeist ein oder mehrere Server – mit einer solchen Menge sinnloser Daten überhäuft wird, dass alle Ressourcen ausgelastet sind, sodass eine Beantwortung legitimer Anfragen von Webnutzern nicht mehr möglich ist. Bei einem Angriff des Typs der verteilten Dienstverweigerung wird diese Situation dadurch verstärkt, dass die Attacke von einer Vielzahl von Computern aus erfolgt, die auf verschiedene Standorte verteilt sind.

Die meisten großen DDoS-Angriffe werden von Botnets aus gestartet; diese bestehen aus Computern, deren Sicherheit kompromittiert wurde, und die nun von den Urhebern des Angriffs kontrolliert und manipuliert werden. Dabei werden die Computer im Botnet dazu gebracht, die Webserver der betroffenen Organisation mit gefälschten oder schädlichen Daten derart zu überschütten, dass sie durch das hohe Aufkommen in die Knie gehen und legitime Nutzer nicht mehr bedient werden können.

Fünf Empfehlungen für den Umgang mit DDoS-Angriffen

In einem ersten Schritt ist die Sicherheitsanfälligkeit zu prüfen, um zu ermitteln, an welchen Stellen Ihrer System- und Netzwerkabwehr Lücken bestehen und wie einfach diese ausgenutzt werden könnten (Vulnerabilitätstest, DDoS-Test). Dies erfordert eine umfassende Prüfung der Stärken und Schwächen Ihres Netzwerks. Daneben muss geprüft werden, ob Ihre Lösungen zur DDoS-Minimierung angemessen sind.

Darüberhinaus bietet sich ein Penetrationstest an (auch als IT-Gesundheitscheck bzw. Pentest bekannt). Dieser Sicherheitstest simuliert einen Angriff von innerhalb und außerhalb des Netzwerks auf die Schwachstellen, um festzustellen, ob ein unberechtigter Zugriff auf die Daten möglich ist. Dies mag zwar für DDoS-Angriffe nicht von Relevanz sein, die Ergebnisse unserer Untersuchung haben jedoch gezeigt, dass 13 % der Befragten die Auffassung vertraten, dass es sich bei den DDoS-Angriffen, deren Opfer sie wurden, um vorsätzliche Manöver handelte, die von anderen böswilligen Angriffen, z.B. direkten Hackingangriffen auf ihr Netzwerk, ablenken sollten. Sollte sich herausstellen, dass Ihr Netzwerk für traditionelle Hacking-Attacken, bei denen Daten gestohlen werden können, anfällig ist und Sie gleichzeitig für einen ablenkenden DDoS-Angriff anfällig sind, sind Sie als eine besondere Zielscheibe anzusehen.

Die Testphase zeigt Ihnen, wo Ihre Schwachpunkte liegen. Zudem erfahren Sie den Bedarf an entsprechend erforderlichen Dienstleistungen sowie Technologien und wie Sie deren Einsatz individuell fein-tunen können.
 
Das Prinzip ‚Do-it-yourself‘ bot in den frühen 2000er Jahren, als DDoS-Angriffe noch unkompliziert waren und nur selten auftraten, geeigneten Schutz. Wie auch in vielen anderen Bereichen der Unternehmens-IT gilt, dass alles, was noch vor einem Jahrzehnt ausreichte, heute nicht mehr zeitgemäß und zweckmäßig ist. Die Konzeption von DDoS-Angriffen entwickelt sich heute zu schnell und gleichzeitig sind die einzelnen Attacken zu groß geworden, so dass Do-it-yourself-Techniken nicht mehr ausreichen.
 
Organisationen, die auf spezielle zusätzliche Ausrüstung vor Ort angewiesen sind, schalten in ihren Rechenzentren häufig zusätzliche Hardware vor die Server und Router für ihr Tagesgeschäft. Diese Hardware ist jedoch kostspielig, erfordert eine präzise Konfiguration und muss regelmäßig aktualisiert werden, um den zunehmend komplexeren DDoS-Angriffen gerecht zu werden. Und auch nach diesen Maßnahmen sind sie nach wie vor anfällig für eine (gezielte) Überlastung der Netzwerkkapazitäten.
 
Eine praxistaugliche Lösung besteht im Rückgriff auf einen Cloud-Security-Provider. Fast alle Vulnerabilitätstests zeigen, dass einer der deutlichsten Schwachpunkte in der eigenen Kapazitätsgrenze des Netzwerks liegt. Sobald diese Grenze überschritten wird - sei es aufgrund harmloser Ursachen oder durch böswillige DDoS-Angriffe - kommt es zu einem Ausfall des Netzwerks. Die Kapazität, die cloudbasierte Anbieter im Bereich DDoS-Abwehr für Organisationen nutzen können, überschreitet jedoch die eines einzelnen Rechenzentrums bei weitem und bietet daher verlässlichen Schutz selbst gegen die umfangreichsten Angriffe. Diese Anbieter verfügen darüber hinaus in einer sich wandelnden DDoS-Landschaft über Mitarbeiter und die entsprechende Expertise zur Überwachung der Netzwerke und Aktualisierung der Abwehrsysteme von Kunden. Gleichzeitig können sie alle Daten bereinigen, um zu gewährleisten, dass nur „echter“ Datenverkehr durchkommt.
 
Auch Ressourcen wie das Open Web Application Securitiy Project (OWASP) können bei der DDoS-Abwehrplanung helfen. Das OWASP listet die Top 10 der kritischen Sicherheitslücken im Bereich Web Application nach den Kriterien Ausnutzung, Feststellbarkeit und Auswirkungen der Schwachstellen auf. Es enthält zudem einen Abschnitt, der beschreibt, wie Sie erkennen können, ob sie anfällig sind und wie ein Angriff verhindert werden kann. Wenn Sie dieses Wissen mit den Empfehlungen Ihres Sicherheitspartners verknüpfen, können Sie rasch Ihre Abwehr stärken.

Die erhobenen Daten zeigen, dass all diejenigen, die noch nicht Ziel eines erfolgreichen Angriffs geworden sind, die Schwere von Angriffen unterschätzen. Ungeachtet der tatsächlichen Abwehrfähigkeit sollte die Geschäftskontinuität daher ein wichtiges Element jeder DDoS-Planung sein. Die Daten zeigen wiederum überdeutlich die sehr reale Möglichkeit negativer Auswirkungen finanzieller, rechtlicher, regulatorischer und/oder auf das Markenimage bezogener Natur.
 
Neben den rein technischen Anforderungen, also der Duplizierung von Informationen und der Gewähr, dass Zielvorgaben im Zusammenhang mit den Recovery Time Objectives und den Recovery Point Objectives (RTOs und RPOs) mit ihren Geschäftsanforderungen vereinbar sind, darf man auch die vielfältigen prozessbezogenen Anforderungen nicht außer Acht lassen. Ganz oben auf Ihrer Checkliste steht für den Eintritt eines Notfalls die Identifizierung Ihres Krisenteams. Dabei ist festzuhalten, wer bei Ihrem (Ihren) Sicherheitspartner(-n) jederzeit erreichbar ist, wie er/sie kontaktiert werden kann/können, wer wofür verantwortlich ist und wer intern und extern informiert werden muss.
 
Hierbei ist oft zu berücksichtigen, dass zwar viele Unternehmen einen Kommunikationsplan erstellen, dabei aber nicht berücksichtigen, dass einige ihrer gewohnten Systeme zur Kontaktaufnahme mit Mitarbeitern im Fall eines ernsthaften DDoS-Angriff ausfallen (können). Blogs und E-Mails funktionieren möglicherweise nicht. Bereiten Sie sich also darauf vor, alternative Kanäle, z.B. soziale Medien, zu nutzen, um Partner, Mitarbeiter, Kunden und die Medien auf dem Laufenden zu halten.

Zuweilen werden DDoS-Angriffe von Cyberkriminellen ausgelöst, die eine Art Lösegeld fordern, um den Angriff zu beenden und die Ressourcen wieder freizugeben.
 
In diesen Fällen wird empfohlen, nicht zu zahlen. Zum einen gibt es keine Garantie, dass der Angreifer seine Verpflichtung nach der Zahlung des Lösegeld einlöst. Außerdem besteht, nachdem einmal eine Zahlung erfolgt ist, die große Wahrscheinlichkeit, dass derselbe Angreifer erneut Forderungen stellt - wie bei der organisierten Kriminalität und bei „Schutzgeldzahlungen“.
 
Sie sollten statt dessen Ihre Rechtsabteilung über den Angriff informieren und ihr die Lösegeldforderung übermitteln. Vergessen Sie nicht, dass in einigen Fällen Lösegeldforderungen noch vor Beginn einer Attacke versendet werden und somit unklar ist, ob ein Angriff überhaupt wahrscheinlich oder möglich ist.
 
Sollte es letztlich zu einer Attacke kommen, sollten einige Organisationen - je nach Dauer und Auswirkungen - den Angriff so schnell wie möglich bekannt geben, so wie dies bei der Infektion durch die Ransomware Wannacry  im Mai 2017 der Fall war.

Der Kampf zwischen Unternehmen und Cyberkriminellen ist schon fast zu einem Wettrüsten geworden, und einige dieser Kämpfe werden die Cyberkriminellen gewinnen. Um dieser Tatsache Rechnung zu tragen, haben einige Organisationen Versicherungen gegen Datenmissbrauch und andere Auswirkungen von Cyber-Angriffen abgeschlossen. Wenn Sie eine solche Versicherung ins Auge fassen sollten Sie beachten, dass die Police nicht nur die unmittelbaren, konkreten Auswirkungen abdeckt, sondern auch mögliche Geldstrafen.