WatchGuard Blog

Wie sich Unternehmen vor DDoS-Angriffen schützen können

Ein DDoS-Angriff (Distributed Denial of Service) ist darauf ausgelegt, ein System oder Netzwerk mit Online-Verkehr aus verschiedenster Richtung zu überfluten, um auf diese Weise die Erreichbarkeit des Opfers einzuschränken bzw. vollständig zum Erliegen zu bringen. Im Zuge dessen nutzen Cyberkriminelle gezielt Schwachstellen in Protokollen oder DNS-Servern aus. Bei groß angelegten Angriffen wird beispielsweise Malware eingesetzt, die tausende Hosts infiziert, um anschließend über unterschiedlichste IP-Adressen dafür zu sorgen, dass das auserkorene Ziel für reguläre Prozesse blockiert wird. Gerade in den letzten Jahren haben solche Botnets immer wieder für Unruhe gesorgt. Denn ist ein solcher Angriff erst einmal initiert, lässt er sich kaum stoppen. Da der Sturm aus vielen Ecken kommt, reicht es bei Weitem nicht aus, nur eine Quelle auszuschalten.  

Einige DDoS-Angriffe sind dabei als vorübergehende Form von Cyberaktivismus zu werten, da sie sich gegen Unternehmen richten, die im Verdacht stehen, illegale Handlungen auszuführen. Auch als Mittel im Cyberkrieg kommen sie zum Einsatz. Darüber hinaus erfreuen sich solche Attacken aber nicht zuletzt immer größerer Beliebheit im Rahmen ganz gewöhnlicher krimineller Handlungen mit betrügerischer Absicht. Klassische Erpressung ist keine Seltenheit. In dem Fall verlangen die Hacker – ähnlich wie bei Ransomware-Vorfällen – Kryptowährung als Gegenleistung, um den Online-Dienst wieder freizuschalten. Was viele vielleicht nicht wissen: Schon für etwa umgerechnet 150 Dollar kann eine DDoS-Kampagne, die einen Online-Dienst für eine Woche lahmlegt, auf dem Schwarzmarkt besorgt werden. 

Mehrere Terabits pro Sekunde 

Dank der einfachen Durchführung ist DDoS mittlerweile immer häufiger anzutreffen: Laut einer Studie von Meril Research lässt sich heutzutage schätzungsweise bis zu ein Drittel aller Ausfälle auf entsprechende Angriffe zurückführen.  

Wie umfangreich die Beeinträchtigung sein kann, zeigt unter anderem das Beispiel von Google aus dem Jahr 2017. Die entsprechende Serverattacke dauerte sechs Monate und erreichte einen Spitzenwert von 2,5 Terabits pro Sekunde an Datenverkehr. Es wird vermutet, dass es sich dabei um das Werk staatlich geförderter Hacker handelte.   

Auch Googles Cloud-Konkurrent Amazon Web Services (AWS) wurde zum Opfer. Dem Unternehmen gelang es jedoch, den Cyberangriff so zu entschärfen, dass es zu keiner Beeinträchtigung der Server kam, auf denen ein Drittel aller im Markt verfügbaren Cloud-Services und das Hosting tausender Unternehmen basiert. Doch bei Weitem nicht alle größeren DDoS-Angriffe liefen so glimpflich ab. 

Kritische Infrastrukturen nicht ausgenommen 

Vor einigen Wochen wurden die Netze mehrerer britischer Telekommunikationsunternehmen durch eine koordinierte DDoS-Kampagne heimgesucht. Die zuständigen Behörden werteten dies als Angriff auf die kritische Infrastruktur, da über die Netze nicht zuletzt Dienste für das nationale Gesundheitssystem (NHS) bereitgestellt werden.   

Noch schwerwiegendere Auswirkungen hatte im Mai 2021 ein DDoS-Vorfall in Belgien. Zum Ziel wurde ein öffentlicher Internetdienstleister, der die Bildungseinrichtungen, Universitäten und wissenschaftlichen Forschungszentren des Landes miteinander verbindet. Insgesamt wurden die Webseiten von mehr als 200 Organisationen zu Fall gebracht. 

Einige Cybersicherheitsanalysten äußerten zudem die Vermutung, dass sich der Zusammenbruch von Facebook und weiteren Unternehmensdiensten wie WhatsApp Anfang Oktober 2021 möglicherweise ebenso auf einen DDoS-Angriff zurückführen lässt – als Reaktion auf zwielichtige Geschäftspraktiken, die dem Unternehmen in jüngster Zeit vorgeworfen wurden. 

Abwehrkräfte stärken 

All diese Beispiele zeigen, wie heftig und gefährlich DDoS-Angriffe werden können – insbesondere, wenn Infrastrukturen mit besonderer Relevanz für die Öffentlichkeit betroffen sind, beispielsweise im Hinblick auf Bildung oder Gesundheit. Daher ist es entscheidend, dass entsprechende Vorkehrungen zum Umgang mit einer solchen Bedrohung getroffen werden. Gerade Managed Service Provider sollten in dem Zusammenhang über Lösungen verfügen, mit denen sich das Risiko, dass DDoS-Angriffe die Konnektivität ihrer Kunden beeinträchtigen oder gar blockieren, gezielt minimieren lässt. Folgende Aspekte gilt es dabei ins Kalkül zu ziehen: 

  • Einsatz von On-premises-Firewalls: Über die in die WatchGuard Firebox-Appliances integrierten Firewalls ist es möglich, spezifische IP-Adressen und Ports zu blockieren. Zudem können Schwellenwerte für den Datenverkehr festgelegt werden. 

  • Load Balancer: Bei ISP-Verbindungen sollte eine Load-Balancing-Lösung zum Tragen kommen, mit der sich die Gesamtlast des Datenverkehrs gezielt aufteilen lässt. Dies verhindert, dass einzelne Server unter erhöhtem Datenvolumen zusammenbrechen. 

  • Bewusste Auswahl von Internetdienstleistern und Drittanbietern: Im Hinblick auf groß angelegte DDoS-Kampagnen ist es wichtig, dass die vom Unternehmen ausgewählten Internetdienstleister und Cloud-Anbieter über Möglichkeiten verfügen, solche Angriffe zu entschärfen, und in der Lage sind, koordiniert mit der Gefahr umzugehen.