DDoS - Reizüberflutung aus dem Netz

Datenschutz

von Levin Rühmann

Bei sogenannten Distributed-Denial-of-Service (DDoS) Attacken handelt es sich um eine der populärsten Cyber-Angriffsformen der letzten Jahre. Ob Service-Anbieter, IT-Unternehmen oder privater Nutzer – die Liste der Betroffenen ist lang. Grundsätzlich kommt es im Rahmen einer derartigen Attacke zur gezielten Überlastung eines Computersystems oder Netzwerks und damit einhergehend zu einer Blockade bzw. unzureichenden Verfügbarkeit eines Dienstes für den Nutzer (Denial of Service).

Ausprägungen

Allgemein können DDoS-Angriffe von den Tätern auf verschiedene Weise initiiert werden. Eine Möglichkeit besteht darin, durch das Versenden von einem oder mehreren, auf individuelle Sicherheitslücken ausgerichteten Paketen ein System zum Absturz zu bringen. In diesem Zusammenhang können dann z.B. Betriebssysteme abstürzen, einfrieren oder neustarten und somit vorübergehend nicht erreichbar sein. Eine andere, deutlich häufiger vorkommende und bekanntere Form eines DDoS-Angriffs zielt hingegen auf die Überlastung und den daraus resultierenden Zusammenbruch eines Zielsystems ab. Um dies zu erreichen, strapazieren die Täter unter anderem mittels eines übermäßig hohen Ausmaßes an Datenverkehr die Ressourcen des Opfers, wie z.B. die Netzwerkbandbreite oder Rechenleistung.

Botnetze als Voraussetzung

Voraussetzung für die erfolgreiche Durchführung eines DDoS-Angriffs ist vor allem der Aufbau eines Computernetzwerks, das in der Literatur meist als „Botnetz“ oder „Armee“ bezeichnet wird. Für die Erreichung einer möglichst großen Anzahl parallel ablaufender, ressourcenbeanspruchender Datenanforderungen, welche das Zielsystem überlasten und blockieren sollen, werden dazu viele Client-Systeme in den Angriffsprozess miteinbezogen. Für die Organisation eines Botnetzes suchen sich die Angreifer verwundbare Host-Systeme im Internet, die als „Bots“ bezeichnet werden.  Die Kombination mehrerer tausend dieser Bots versetzt die Angreifer schließlich in die Lage, eine enorme Leistung und Bandbreite zu nutzen. Den  Mittelpunkt eines Botnetzes stellt dabei ein sogenannter „Command and Control“ (C&C) Server dar, der mit den Bots kommuniziert, um bspw. die Aktualisierung der Angriffstools zu veranlassen oder den Angriffsbefehl zu geben.

Folgen

Die Folge für das betroffene Unternehmen ist zumeist eine erhebliche  Beeinträchtigungen in  Bezug  auf  die  Erreichbarkeit der für den Kunden angebotenen Services, sodass reguläre Anfragen nur sehr langsam oder im schlechtesten Fall gar nicht beantwortet werden können. Je nach Zeitpunkt des Angriffs ergeben sich für das Opfer wiederum weitreichende, sogar existenzgefährdende Konsequenzen, wie Produktionsausfälle, Lieferengpässe und somit ggf. auch Umsatz- und Reputationsschäden.

Maßnahmen

Um sicherzustellen, dass Sie ausreichend vor DDoS-Angriffen abgesichert sind, sollten Sie in der Lage sein, Angriffe so schnell wie möglich zu identifizieren. Nur dann können Abwehrmaßnahmen schnell ergriffen werden. Vor allem bei „Überflutungsangriffen“ ist dieser Schritt herausfordernd, da sich bösartiger Traffic kaum bis gar nicht von legitimen Anfragen unterscheiden lässt. Zum Austausch von identifizierten Absenderadressen oder sonstigen Auffälligkeiten können „DDoS Information Sharing Systems“ dienen. Diese Systeme machen es möglich, bekannte Angreifer oder Angriffstechniken einfacher zu erkennen und abzuwehren, ähnlich wie man es von Antiviren-Programmen für die Erkennung und Abwehr von Schadsoftware kennt.

Nachdem eine erfolgreiche Identifizierung eines Angriffs stattgefunden hat, geht es im nächsten Schritt darum, Gegenmaßnahmen einzuleiten, um die Auswirkungen des Angriffs einzudämmen und Störungen der geschäftlichen Abläufe möglichst gering zu halten oder ganz zu verhindern. Die direkteste Lösung ist es, IP-Sperrlisten anzufertigen und entsprechende Pakete zu verwerfen. Diese Sicherheitsmaßnahme lässt sich manuell umsetzen oder durch dynamisch erzeugte Sperrlisten über die Firewall automatisieren.

Alternativ zu der relativ zeitaufwendigen, ressourcenbeanspruchenden und meist nur reaktiv umsetzbaren Option, Fehler in den eigenen Anwendung und Infrastrukturen selbst zu erkennen und zu beheben, ist es möglich, Cloud-basierten DDoS-Schutz von Dienstleistern wie z.B. Akamai oder Cloudflare einzukaufen. Bei Inanspruchnahme dieser Services erfolgt eine Kanalisierung des gesamten Traffics durch sogenannte „Scrubbing Center“. Auf diese Weise werden auffällige Datenpakete herausgefiltert und Traffic-Spitzen kompensiert.

Letztes Mittel kann es sein, den entsprechenden Service vollständig aus dem Netz zu nehmen. In diesem Falle steht der Dienst jedoch auch für herkömmliche Anfragen nicht zur Verfügung, sodass diese Maßnahme nur in äußersten Notfällen angewendet werden sollte.

Zurück