So funktioniert ein DDoS-Angriff

Foto: Frame Stock Footage – shutterstock.com

DDoS (Distributed Denial of Service) ist eine Angriffstechnik, bei der Server, Online-Dienste oder ganze Netzwerke mit Datenverkehr beziehungsweise mit einer großen Anzahl von Anfragen überflutet werden, was zum kompletten Ausfall führen kann. Im Gegensatz zu einem einfachen DoS-Angriff, der von einem einzelnen Computer ausgeht, wird bei einem DDoS-Angriff eine große Anzahl von Computern oder Geräten, die Teil eines Botnetzes sind, verwendet, um die Anfragen zu senden. Diese Überlastungsangriffe können teilweise über mehrere Tage andauern. In der Vergangenheit haben Security-Anbieter gar Angriffe registriert, die bis zu 29 Tage andauerten.

Demgegenüber sind sogenannte “Turboangriffe” deutlich kürzer. Diese schnell einsetzenden Attacken erreichen rasch ihren Höhepunkt, anstatt kontinuierlich anzusteigen. Dadurch sind sie in der Lage, Netzwerksysteme von Banken, Unternehmen oder auch Energieversorgern und medizinischen Einrichtungen außer Gefecht zu setzen, noch bevor die Abwehrmaßnahmen ihre volle Wirkung entfalten können. Laut DDoS-Report für das Jahr 2022 von Link11 sind die DDoS-Angriffe nicht nur deutlich kürzer, sondern auch adaptiver, komplexer und anspruchsvoller geworden. Unternehmen werden so vor Herausforderungen gestellt, die in dieser Form komplett neuartig sind. Derartigen Bedrohungen können Unternehmen nur mit einer effektiven IT-Sicherheitsstrategie begegnen.

Jetzt kostenlos für den CSO-Newsletter anmelden

Was Hacker mit DDoS-Attacken bezwecken

Welche Ziele verfolgen Cyberkriminelle mit DDoS-Angriffen? In vielen Fällen verfolgen Angreifer monetäre Ziele. Dabei geht es zumeist um Erpressung. Es werden Lösegelder eingefordert, damit der Angriff schlussendlich doch unterlassen wird oder es nicht zu weiteren Angriffen kommt. Darüber hinaus werden DDoS-Angriffe auch als Ablenkungsmanöver platziert. Dadurch werden IT-Ressourcen im Unternehmen gebunden, während sich die Hacker im Hintergrund unbemerkt Zugriff auf das Firmennetzwerk verschaffen, Malware einschleusen oder Daten abgreifen können.

Seit Kriegsbeginn in der Ukraine haben jedoch die politisch motivierten DDoS-Angriffe durch den dazugehörigen Cyberkrieg deutlich zugenommen. Dabei geht es in erster Linie um die Beschädigung von kritischer Infrastruktur, aber auch der Infrastruktur von Unternehmen, Banken und staatlichen Institutionen. So unterschiedlich die Motive sind, so einheitlich ist das Ziel eines DDoS-Angriffs: Größtmöglichen Schaden anrichten. Um dieses Ziel zu erreichen, werden die Methoden solcher Angriffe immer weiter professionalisiert. Unter anderem sind es die dezentralen IT-Strukturen, die den Cyberkriminellen dabei “entgegenkommen”.

Lesetipp: Versicherungsdaten helfen Hackern bei Erpressung

DDoS-Attacken werden komplexer

Im DDoS-Report 2022 von Link11 stellten die Experten fest, dass die Anzahl der DDoS-Angriffe im Jahr 2022 um 79 Prozent gegenüber dem Vorjahr zurückging. Doch bereits in den ersten Wochen in 2023 stieg die Zahl wieder an. Gründe für den Rückgang im vergangenen Jahr waren neben der Überführung des bis dato größten Darknet-Marktplatzes Hydra durch Bundeskriminalamt (BKA) und US-Justizministerium im April auch das Abschalten von 48 “Booter Services” dank der Kooperationen zwischen FBI und Europol im Dezember. Hinzu kommt, dass während der Corona-Pandemie die Anzahl der DDoS-Angriffe weltweit anstieg, da Cyberkriminelle die digitale Verwundbarkeit der Unternehmen ausnutzten. Inzwischen haben Web-Services wie Impfplattformen, Lernportale und IT-Systeme für das Homeoffice sowie Hosting-Provider verstärkt in puncto Cybersecurity nachgerüstet.

Gleichzeitig verändert sich die Art der Angriffe. Sie sind mittlerweile adaptiver, komplexer und gefährlicher als je zuvor für die IT-Infrastrukturen von Unternehmen weltweit. Bei den Turboangriffen wurde 2022 im Durchschnitt die kritische Nutzlast, die Systeme vollständig zum Kollabieren bringen kann, bereits nach 55 Sekunden erreicht. 2021 waren es durchschnittlich noch 184 Sekunden. 71 Prozent der im Link11-Netzwerk registrierten Angriffe dauerten dabei im Jahr 2022 weniger als fünf Minuten. Vor allem im dritten Quartal 2022 entfalteten die Turboangriffe eine enorme Kraft: Ihr kritisches Volumen erzielten sie um 272 Prozent schneller als noch 2021. Unternehmen bleibt so immer weniger Zeit, um auf die professionalisierten Attacken zu reagieren.

Zudem nahmen die DDoS-Attacken 2022 in ihrer Intensität zu. Diese Entwicklung kann anhand von zwei wichtigen Faktoren nachvollzogen werden. Zum einen durch die gestiegene, durchschnittliche Anzahl der Paketrate von 3,3 Millionen Paketen pro Sekunde gegenüber dem Vorjahr mit 990.000 Paketen pro Sekunde. Zum anderen ist die durchschnittliche Gesamtbandbreite der Attacken angestiegen: Betrug dieser Wert 2021 noch 1,4 Gbit/s, stieg er 2022 auf 2,6 Gbit/s an.

Lesetipp: Mächtiger HTTPS-DDoS-Angriff auf Cloudflare-Kunden

Wie kann man einen DDoS-Angriff erkennen?

Ein DDoS-Angriff kann verschiedene Auswirkungen auf ein Netzwerk oder eine Webseite haben. Werden Unternehmen von einer DDoS-Attacke getroffen, weisen unterschiedliche Anzeichen darauf hin. Dazu können fehlgeschlagene Anmeldungen, Fehlermeldungen sowie Leistungs- und Verbindungsprobleme der Webseite oder des Netzwerks gehören. Um einen DDoS-Angriff zu erkennen, können Unternehmen spezielle Überwachungstools oder Schutzdienste einsetzen, die das Netzwerkverhalten überwachen und ungewöhnliche Aktivitäten erkennen können.

Lesetipp: Google wehrt Rekord-DDoS-Angriff ab

Wie können sich Unternehmen vor DDoS-Angriffen schützen?

Der DDoS-Schutz steht aktuell vor mehreren Herausforderungen: Einerseits werden die Angriffsstrukturen immer dynamischer und komplexer. Andererseits ist die Menge an Traffic-Informationen zu groß geworden, um sie schnell von Menschen sichten zu lassen. Diese Fähigkeit haben aber moderne Technologien wie Künstliche Intelligenz (KI) und Maschinelles Lernen. Sie können selbst riesige Datenmengen in Echtzeit strukturieren, analysieren und Anomalien erkennen.

CISOs und andere IT-Sicherheitsverantwortliche in Unternehmen können mit dem passenden Schutz, DDoS-Angriffe abwehren und ihre Infrastrukturen effizient schützen. Cloud-basierte, KI-gestützte DDoS-Schutzlösungen filtern den Datenverkehr in Echtzeit, analysieren und blockieren bösartigen Traffic, bevor dieser auch nur in die Nähe der IT-Systeme eines Unternehmens gelangt. (ms)

Lesetipp: Entrust-Hacker per DDoS-Attacke lahmgelegt