Was ist Denial-of-Service (DoS & DDoS)?

Dass ein Internetdienst aufgrund zu vieler Nutzeranfragen nicht mehr erreichbar war und in der Folge den Dienst verweigerte (Englisch: denial of service), war früher keine Seltenheit. Mit dem Fortschritt der Technik und dem stetigen Ausbau von Netzressourcen sind Fälle, in denen es zu einer ungewollten Überlastung eines Dienstes kommt, eher selten geworden.

Was jedoch zugenommen hat, ist die Anzahl der Cyber-Angriffe, die mutwillig versuchen, eine Überlastung herbeizuführen und dafür zu sorgen, dass Systeme oder Dienste für Endnutzer temporär nicht mehr zur Verfügung stehen. Angriffe, die einen Denial-of-Service (DoS) zum Ziel haben, stellen für Unternehmen, die zumindest einen Teil ihrer Umsätze über Online-Dienste generieren, eine reelle Bedrohung dar. 

Was sind die möglichen Folgen einer DoS-Attacke? Wie können Unternehmen sich dagegen schützen? Welche Abwehrmaßnahmen helfen im Falle eines Angriffs? Dieser Artikel beantwortet alle wichtigen Fragen zu Denial-of-Service-Angriffen.

Denial-of-Service (kurz: DoS) bedeutet übersetzt “Verweigerung des Dienstes” und bezeichnet eine Art von Cyber-Angriff, bei dem ein Webserver durch eine gezielt herbeigeführte Erhöhung des Datenverkehrs vorübergehend außer Betrieb gesetzt wird. Der Server wird dabei mit so vielen unechten Anfragen überlastet, dass er für reguläre Anfragen nicht mehr zur Verfügung steht.

Für Unternehmen können Denial-of-Service-Angriffe verheerende Folgen haben. Nehmen wir hierzu das Beispiel eines Online-Shops für Mode. Ein DoS-Angriff auf die Plattform hätte zur Folge, dass für die Dauer des Angriffs der Shop entweder gar nicht erreichbar ist oder keine Kundenbestellungen durchgehen, da der Server mit Fake-Anfragen komplett ausgelastet ist. Die Folge sind Betriebsausfälle und Umsatzeinbußen.

Was ist Distributed Denial-of-Service (DDoS)?

Distributed Denial-of-Service ist eine Art DoS-Attacke, bei der der Angriff nicht von einem einzigen System, sondern von einer Vielzahl verteilter System ausgeht. DDoS-Angriffe führen zu einem deutlich erhöhten Netzverkehr und sind deshalb besonders wirksam.

Technisch gesehen passiert bei einer DDoS-Attacke Folgendes: Ein Hacker installiert Malware auf einer möglichst großen Anzahl an Rechnern und verwendet das Schadprogramm, um die infizierten Rechner zu einem Botnetzwerk zusammenzuschließen und per Fernzugriff den Befehl zu übermitteln, einen bestimmten Server mit Anfragen zu bombardieren.

Was ist der Unterschied zwischen DDoS und DoS?

DoS- und DDoS-Angriffe verfolgen das gleiche Ziel: einen Server durch eine deutlich erhöhte Anzahl an Anfragen lahmzulegen. Die beiden Angriffsarten unterschieden sich jedoch hinsichtlich Vorgehensweise und Wirksamkeit.

Bei einem normalen DoS-Angriff geht die Attacke von einer einzelnen Quelle aus, wodurch es leichter ist, den Angriff zu erkennen und abzuwehren (z. B. durch das Blockieren der IP-Adresse, von der die Anfragen kommen). Bei einer DDoS-Attacke geht der Angriff jedoch von einem Botnetz, einer Vielzahl von mittels Malware kompromittierten Geräten, aus.

Die Verteilung des Angriffs auf viele verschiedene Ausgangsgeräte macht den Angriff deutlich wirksamer und erschwert das Erkennen des Ursprungs des Angriffs und damit auch das Abwehren der Attacke.

Ein Denial-of-Service-Angriff ist faktisch ein Überlastungsangriff auf einen Online-Dienst oder ein System, der durch eine massive Steigerung des Netzwerkverkehrs verursacht wird. 

Webserver und andere Netzwerkressourcen können nur eine bestimmte Anzahl an Anfragen verarbeiten. Wird diese Anzahl überschritten oder nähert sich der Auslastungsgrenze der Netzwerkressource an, werden Anfragen entweder deutlich langsamer bearbeitet oder der Service wird komplett verweigert und es werden keine Anfragen mehr beantwortet.

Technisch gesehen kann die Überlastung durch verschiedene Angriffsmethoden herbeigeführt werden. Dazu gehören:

• SYN-Flood-Angriffe: SYN-Flood-Angriffe nutzen eine Schwachstelle im TCP/IP-Handshake eines Online-Dienstes aus, um diesen zu stören. Konkret bedeutet das, dass das Angriffssystem unter gefälschten IP-Adressen ein hohes Volumen an SYN-Paketen an den Zielserver sendet. Da die Antwort des Servers aufgrund der gefälschten IP-Adresse nicht zugestellt werden kann, hält der Server die Verbindung vorübergehend offen. Durch das konstante Verschicken neuer Anfragepakete, werden die Kapazitäten des Servers schließlich überlastet.
• Ping-Flood-Angriff: Ein Ping-Flood-Angriff, auch bekannt als ICMP-Flood, ist eine Art DDoS-Angriff, bei dem das Zielsystem mit ICMP-Echoanforderungspaketen überflutet wird. Jede ICMP-Anfrage muss von den Serverressourcen verarbeitet und beantwortet werden. Das angegriffene System ist in der Folge nur noch damit beschäftigt, die ICMP-Anfragen zu beantworten, und steht für reguläre Anfragen von Nutzern nicht mehr zur Verfügung.
• E-Mail-Bombing: Bei dieser DoS-Angriffsart wird eine große Anzahl an E-Mails an die Zieladresse eines Servers geschickt, um diesen zu überlasten. Legitime E-Mail-Anfragen an den Dienst können dann nicht mehr verarbeitet werden.

Hier sind ein paar Beispiele für erfolgreiche DDoS-Angriffe auf Unternehmen und Institutionen, die in den Medien bekannt wurden.

• Im September 2023 war die Website der Bundesanstalt für Finanzdienstleistungsaufsicht (kurz: BaFin) infolge eines DDoS-Angriffs für mehrere Tage nur eingeschränkt erreichbar. Die Finanzaufsicht ergriff daraufhin verschiedene Sicherheitsvorkehrungen und Abwehrmaßnahmen, um den Angriff einzudämmen.
• Ende August 2023 verzeichneten Google, Amazon und Cloudflare den bis dato größten DDoS-Angriff auf ihre Systeme. Medienberichten zufolge wurden die Server der Internetriesen teils mit bis zu 398 Millionen Anfragen pro Sekunde überlastet und mehrere Minuten lang außer Betrieb gesetzt.
• Im Jahr 2015 wurde der Online-Code-Management-Dienst GitHub Opfer eines politisch motivierten DDoS-Angriffs. Mehrere Tage lang wurden zwei GitHub-Projekte mit DDoS-Traffic aus China außer Gefecht gesetzt. Der Clou des Angriffs: Der Überlastungstraffic passte sich kontinuierlich an die eingesetzten DDoS-Abwehrstrategien an, weshalb diese keine dauerhafte Wirkung zeigten.

Unternehmen können verschiedene Präventionsmaßnahmen ergreifen, um sich gegen Denial-of-Service-Angriffe zu schützen. Dazu gehören sowohl organisatorische Maßnahmen als auch technische Maßnahmen.

Organisatorische Maßnahmen zum Schutz gegen DDoS-Angriffe

Organisatorische Schutzmaßnahmen zielen darauf ab, interne Strukturen zu schaffen, die im Falle eines tatsächlichen Angriffs ein schnelles Handeln ermöglichen. Hauptsächlich geht es hierbei um das Erstellen von Notfallplänen, das Klären interner Verantwortlichkeiten und das regelmäßige Durchführen von Mitarbeiterschulungen.

• Interne Verantwortlichkeiten klären: Um eine effektive Gegenwehr bei einem DDoS-Angriff zu gewährleisten, muss vorab geklärt werden, wer im Falle eines Angriffs welche Kompetenzen und Verantwortlichkeiten hat.
• Mitarbeiterschulungen durchführen: Die verantwortlichen Mitarbeitenden sollten regelmäßig darin geschult werden, welche Maßnahmen bei einem Denial-of-Service-Angriff ergriffen und welche Einstellungen an den Systemen vorgenommen werden müssen.
• Notfallplan und Handlungsprotokolle ausarbeiten: Um Unsicherheiten im Angriffsfall zu vermeiden, empfiehlt es sich, detaillierte Checklisten und Protokolle auszuarbeiten, die beschreiben, was im Ernstfall zu tun ist.
• Mögliche Ziele identifizieren: Eine weitere Präventionsmaßnahme ist das Identifizieren von Diensten und Systemen, die potenzielle Ziele für DDoS-Angriffe darstellen. Diese können dann priorisiert auf frühe Anzeichen eines Angriffs überwacht werden.

Technische Maßnahmen zum Schutz gegen DDoS-Angriffe

Neben organisatorischen Präventionsmaßnahmen können Unternehmen verschiedene technische Schutzmaßnahmen ergreifen, die die Anfälligkeit ihrer Systeme für DDoS-Angriffe verringern. In erster Linie geht es hierbei um die Härtung der IT-Systeme, das vorsorgliche Bereitstellen notwendiger Analyse-Tools für den Ernstfall und das Einrichten einer effektiven Netzwerksegmentierung.

• Netzwerksegmentierung einrichten: Durch die Aufteilung der bereitgestellten Dienste auf mehrere Netzwerksegmente lässt sich verhindern, dass bei einem DDoS-Angriff das gesamte IT-System überlastet wird.
• Lastverteilung gezielt verwalten: Durch den Einsatz eines Load Balancers kann die Last des Netzwerkverkehrs auf mehrere Server verteilt werden.
• Traffic-Analyse-Tools bereitstellen: Im Falle eines Angriffs ist es hilfreich, den Angriffsverkehr näher analysieren zu können, um gezielte Gegenmaßnahmen zu ergreifen. Die dafür benötigten Tools sollten präventiv bereitgestellt werden, damit sie im Ernstfall sofort verfügbar sind.
• Intrusion Detection System einführen: Das Einrichten eines Intrusion Detection Systems (IDS) ist eine weitere technische Präventionsmaßnahme. Ein IDS dient der frühzeitigen Erkennung eines Angriffs und stellt alternative Kommunikationskanäle bereit, um im Falle eines Angriffs Alarm zu schlagen.
• Risikosysteme an externe Dienstleister auslagern: Systeme wie Webserver, die häufig das Ziel von DDoS-Angriffen sind, können vorsorglich an Drittanbieter ausgelagert werden, die über entsprechende Abwehrsysteme und -maßnahmen verfügen, um einen bestmöglichen Schutz gegen Angriffe zu gewährleisten.

Unternehmen, die keine Maßnahmen zur Prävention von DDoS-Angriffen ergriffen haben, können im Angriffsfall auf verschiedene akute Abwehrmaßnahmen zurückgreifen. Dazu gehören:

• Systemhärtung: Das Härten des Servers trägt dazu bei, eine bessere Erreichbarkeit des Servers während des Angriffs zu gewährleisten. Dabei werden die Konfigurationen so geändert, dass der Server eine möglichst geringe Angriffsfläche bietet. Funktionen, die zur Serverhärtung beitragen, sind zum Beispiel die Beschränkung der Anzahl der IP-Verbindungen pro IP-Adresse.
• Blackholing: Blackholing ist eine akute Abwehrmaßnahme gegen DDoS-Angriffe, bei der der Datenverkehr zu einer bestimmten IP-Adresse oder sogar aller Quelladresse im Bereich der angreifenden IP-Adresse abgefangen und verworfen wird.
• Sinkholing: Sinkholing verfolgt eine ähnliche Logik wie Blackholing. Aber anstatt nach dem Ursprung des DDoS-Traffics zu filtern und diesen zu verwerfen, werden beim Sinkholing Anfragen zu einer bestimmten Zieladresse verworfen. So kann verhindert werden, dass der Server überlastet wird und der Online-Dienst nicht erreichbar ist.
• Analyse des Netzwerkverkehrs: Den Netzwerkverkehr zu analysieren, ist eine unterstützende Maßnahme, die dabei hilft, wirksame Gegenmaßnahmen zu ergreifen. Je mehr über den Angriffsverkehr bekannt ist, desto besser können unerwünschte Anfragen herausgefiltert und abgefangen werden.
• Filterfunktionen am Router oder an der Firewall: Basierend auf der Analyse des Angriffsverkehrs können am Router oder an der Firewall bestimmte Filterfunktionen aktiviert werden, die nicht legitimen Traffic abfangen.
• DDoS-Mitigation-Dienstleister: Verschiedene Dienstleister bieten mittlerweile gezielt DDoS-Mitigation-Appliances an. Werden die Funktionen rechtzeitig aktiviert (d. h. bevor die Anwendung durch den Überlastungsangriff komplett ausgelastet ist), können sie einen DDoS-Angriff in der Regel abwehren.

Was ist ein Denial-of-Service-Angriff einfach erklärt?

Ein DoS-Angriff ist ein gezielter Cyber-Angriff auf ein System beziehungsweise einen Online-Dienst mit dem Ziel, durch eine Steigerung des ankommenden Netzwerkverkehrs eine Überlastung zu erreichen und dadurch Systeme bzw. Dienste außer Kraft zu setzen.

Um eine größere Wirksamkeit zu erreichen, wird zur Durchführung des Angriffs in der Regel ein Botnetz verwendet. Darunter versteht man ein Netzwerk aus kompromittierten Geräten oder Servern, die von den Angreifern per Fernzugriff dazu gebracht werden, den Online-Dienst oder das System mit Anfragen zu bombardieren. Angriffe, die von mehreren Quellen ausgehen, werden als verteilte DoS-Angriffe bezeichnet.

Wie kann ich mein Unternehmen vor DoS-Angriffen schützen?

Unternehmen können verschiedene organisatorische und technische Präventionsmaßnahmen ergreifen, um sich vor DoS-Angriffen zu schützen. Zu den organisatorischen Maßnahmen gehören unter anderem das Klären von internen Rollen und Verantwortlichkeiten im Falle eines Angriffs und das Ausarbeiten von konkreten Handlungsprotokollen und Notfallplänen. 

Auf technischer Seite können Maßnahmen wie Systemhärtung und Netzwerksegmentierung und das Einrichten von Traffic-Analyse-Tools und Intrusion Detection Systemen hilfreich sein.

Welche Anzeichen deuten auf einen DoS-Angriff hin?

Unternehmen, die Opfer eines laufenden DoS-Angriffes sind, können dies unter anderem durch eine deutlich herabgesetzte Performance des betroffenen Dienstes oder Systems beziehungsweise des gesamten Netzwerks erkennen. 

Konkret bedeutet das, dass Funktionen nur sehr langsam oder überhaupt nicht ausgeführt werden und die Ladezeiten für Websites deutlich verlängert sind. Gewissheit über einen akuten Angriff bieten Intrusion Detection Systeme (IDS) und Tools zur Analyse des ankommenden Netzwerkverkehrs.

Was sind die finanziellen Folgen eines DoS-Angriffs?

Denial-of-Service-Angriffe können für Unternehmen ernsthafte finanzielle Konsequenzen haben. In der Zeit, in der ein Internetdienst nicht für legitime Nutzeranfragen zur Verfügung steht, können über den Dienst keine Umsätze generiert werden. Darüber hinaus drohen nicht quantifizierbare finanzielle Nachteile durch Reputationsschäden und Abwanderung von Kunden zur Konkurrenz.

Was ist das primäre Ziel einer DoS-Attacke?

Eine DoS-Attacke hat die Überlastung eines Servers zum Ziel, um dadurch zu erreichen, dass ein System für Kunden und andere Anwender vorübergehend nicht erreichbar ist. Im Visier der Angreifer stehen dabei in der Regel Online-Dienste, die eine hohe Sichtbarkeit und Wichtigkeit für Kunden oder die allgemeine Öffentlichkeit aufweisen.