Was tun gegen DDoS-Angriffe?

Wie werden Kriege im 21. Jahrhundert aussehen? Einen Vorgeschmack darauf hat die Welt in jüngster Zeit immer wieder beobachtet. Wenn ein mysteriöses Computervirus Zentrifugen im Iran lahmlegt oder plötzlich Trojaner Daten von Computern der Regierung absaugen, fällt häufig der Begriff “Cyber-Krieg“. Tatsächlich kann ein Hacker mit schlechten Absichten von seiner Tastatur aus immense Schäden verursachen.

Von digitalen Angriffen sind längst nicht nur Regierungen betroffen. Auch Unternehmen sind schnell zur Zielscheibe erklärt. Dabei müssen sich Angreifer nicht einmal mit den tiefen technischen Aspekten der Programmierung auseinandersetzen. Ein Ziel im Internet unter Beschuss zu nehmen ist viel einfacher  als ein Virus oder einen Trojaner zu schreiben. Viel einfacher geht es mit einem sogenannten DDoS-Angriff.

Wie läuft ein DDoS-Angriff ab?

Stellen Sie sich vor, Sie rufen eines Morgens die Website Ihres Unternehmens auf und sehen stattdessen eine Fehlermeldung. Seite nicht gefunden. Zeitüberschreitung. Server nicht erreichbar. Ihre Visitenkarte im Internet – abgeraucht und unterdrückt. Was ist passiert?

Möglicherweise sind Sie Opfer eines DDoS-Angriffs geworden, dem Englischen Kürzel für “Distributed Denial of Service”. Das Prinzip dahinter ist simpel: Der Angreifer schickt eine Flut von Datenpaketen an den Server, bis dieser der Last nicht mehr standhalten kann und das Handtuch wirft. Konkret bedeutet es einfach, dass der Server abstürzt. Die auf ihm liegende Website ist dann natürlich offline. Neben dem Reputationsverlust kann eine Attacke dieser Art den Betriebsalltag empfindlich stören. Nicht selten versuchen die Hintermänner ihr Opfer dann auch noch zu erpressen.

Natürlich braucht es für einen Angriff dieser Art mehr als nur einen Computer. Die Überflutung mit Daten entwickelt ihr zerstörerisches Potenzial erst dann, wenn möglichst viele Geräte mitmachen. Manchmal passiert das ganz unbeabsichtigt. Wenn etwa ein Portal wie Heise Online oder Der Spiegel auf eine externe Website verlinkt, werden diese Artikel so häufig gelesen und die Links so schnell angeklickt, dass der Webserver am anderen Ende überwältigt wird und die weiße Fahne weht.

So entstehen Botnetze

Von einem DDoS-Angriff spricht man allerdings erst dann, wenn die Aktion gezielt und bewusst mit schlechten Absichten durchgeführt wird. Die Hacker gehen dabei in der Regel in mehreren Schritten vor. Zunächst schreiben sie eine Schadsoftware, die sich im Internet möglichst weit verbreiten soll und so unbemerkt Tausende bis Millionen Computer infiziert. Das entsprechende Virus kann dann die Kontrolle über den PC übernehmen; das infizierte Gerät nennt man auch “Zombie”.  Solche Software lauscht meist auf Befehle eines zentralen Kommando-Servers und läuft still im Hintergrund, bis ein Signal ankommt. Will der Hacker nun ein Ziel angreifen, lässt er den entsprechenden Befehl an das Virus weiterleiten und alle infizierten Rechner schicken Datenpakete an den Server des Opfers. Weil die infizierten Computer als hörige Roboter in einem großen Netzwerk agieren, spricht man hier auch von einem “Botnet“.

Im Laufe der Jahre gab es einige Fälle, in denen Kriminelle auf diese Art Millionen von Geräten infizieren und für ihre Zwecke nutzen konnten. Weil die Computer weltweit verteilt und in Privatbesitz sind, kann der Hacker so für sich fast kostenlos Angriffe in einem Ausmaß durchführen, für die er sonst ein ganzes Rechenzentrum bräuchte. Dabei spielt Zeit für diese Kriminellen eine große Rolle, denn falls das Virus entdeckt wird, arbeiten Sicherheitsforscher fieberhaft an einem Gegenmittel und zerschlagen das Botnet.

Eine eher ungewöhnliche Art von DDoS gibt es außerdem dann, wenn sich viele Nutzer etwa als Protestaktion zusammenfinden und das Ziel mit Software für Stresstets anvisieren. Attacken dieser Art sind allerdings schwer zu organisieren und daher eine Seltenheit.

Schadsoftware im Internet of Things

Seit ein paar Jahren ist die Arbeit gegen Botnetze ungleich schwerer geworden. Ein wichtiger Grund liegt darin, dass heute nicht mehr nur Computer mit dem Internet verbunden sind. Im “Internet of Things” (IoT) ist so ziemlich alles vom Herzschrittmacher bis zum Toaster an das WWW gekoppelt. Die Software solcher Geräte wird oft für die Funktionalität geschrieben. Aspekte der Sicherheit stehen dann im Hintergrund oder werden komplett ignoriert.

Welche Gefahren das birgt, wird am Beispiel von Sicherheitsforscher Brian Krebs deutlich. Im Jahr 2016 wurden Krebs und sein Blog “Krebs on Security” Zielscheibe eines DDoS-Angriffs in historischen Ausmaßen. Die Hacker hatten über einen langen Zeitraum Sicherheitslücken in IoT-Geräten infiziert und sich dabei völlig bedeckt gehalten. So konnte das Netzwerk im Geheimen wachsen und dann wie aus dem Nichts Krebs Website aus dem Netz feuern. Gegen einen Traffic von 665 Gigabits pro Sekunde hat auch der stärkste Server keine Chance.

Oder hat er?

So können Sie sich vor DDoS-Angriffen schützen

Falls Sie Opfer einer DDoS-Attacke sind oder waren, sollten Sie in jedem Fall Ihren Hosting-Service darauf ansprechen. Dieser kann direkt feststellen, ob es sich bei dem Problem Ihrer Seite eindeutig um DDoS handelt. Anschließend kann er entsprechende Maßnahmen an die jeweilige Situation anpassen und beispielsweise den Datenverkehr aus bestimmten Ländern oder Regionen blockieren. Alternativ dazu blockiert der Provider bestimmte IPs oder greifen auf sogenanntes “Blackholing” zurück. Dabei wird eingehender Traffic auf eine nicht genutzte IP umgeleitet und verschwindet damit quasi in einem “schwarzen Loch”, ohne das Netzwerk zu belasten. Blackholing ist effizient, bringt Ihnen aber letztendlich wenig, denn neben dem DDoS-Datenspam landen auch legitime Besucher Ihrer Seite im Nichts.

Die Schutzmaßnahmen unterscheiden sich oft von Provider zu Provider. Teilweise liegt das einfach daran, dass große Provider über eine entsprechend robuste Infrastruktur und mehr Personal verfügen als kleine und insbesondere günstige Hosting-Dienstleister. Egal ob günstig oder Premium – Sie müssen sich bei Ihrem Schutz nicht allein auf Ihren Provider verlassen. Weil die Anzahl an DDoS-Angriffen seit Jahren stetig ansteigt hat sich eine ganze Branche um deren Abwehr gebildet. Konkret gemeint sind hier sogenannte Content Delivery Networks, kurz CDN.

Was ist ein Content Delivery Network?

Das ursprüngliche Konzept von CDN ist, dass sie Inhalte auf ein großes Netz von Servern verteilen. Diese sind regional oder gar international verteilt und können damit weltweit Inhalte sehr schnell ausliefern – auch bei hoher Auslastung. Im Laufe der Zeit haben solche Anbieter erkannt, dass die Lastenverteilung im Netzwerk ein ausgezeichneter Schutzschild gegen DDoS-Attacken sind. Immerhin sind die Netzwerke großzügig skaliert und je nach Anbieter über den ganzen Globus verteilt – um ein solches Netzwerk ernsthaft zu beeinträchtigen, braucht es Datenmengen titanischer Ausmaße. Im Fall eines DDoS-Angriffs greifen dann sofort Schutzmaßnahmen. Beispielsweise wird dann vor die Seite eine leichte Rechenaufgabe geschaltet, die Besucher lösen müssen. Blinder Traffic aus Botnetzen bleibt an dieser Stelle stecken; die Anfragen gehen ins Leere. Anbieter wie etwa Cloudflare ermöglichen darüber hinaus den Einsatz einer Firewall und sehr schneller DNS-Server als zusätzliche Boni.

Fazit

Ein perfekt sicheres Netz ist in der IT leider unmöglich. Trotzdem sollten Sie sich von DDoS-Angriffen nicht einschüchtern lassen und erst recht nicht aufgeben. Als digitale Waffe nehmen solche Angriffe immer stärker zu und werden bevorzugt von Erpressern oder Unternehmern genutzt, die sich unliebsame Konkurrenz vom Hals schaffen wollen. Neben einem fähigen Provider können Sie sich außerdem für ein CDN wie Cloudflare, Akamai, Cloudfront oder dergleichen entscheiden.

Möchten Sie eine sichere Website für Ihr Unternehmen und wissen nicht weiter? Kontaktieren Sie uns! Wir stehen Ihnen gerne bei allen Fragen rund um Webdesign, Hosting, Social Media und vielem mehr zur Seite.

Wurden Sie schon einmal Opfer einer DDoS-Attacke? Teilen Sie uns Ihre Erfahrungen in den Kommentaren mit!

Sagen Sie etwas...