Distributed-Denial-of-Service-Angriffe können hohe direkte und indirekte Kosten verursachen und Unternehmen nachhaltig schädigen. Firmen und Behörden sollten sich deshalb schützen und mit einem DDoS-Mitigation-Dienstleister zusammenarbeiten.
Es war laut Google der größte DDoS-Angriff (Distributed Denial of Service) aller Zeiten: Im Oktober 2023 wurde das Netzwerk des Unternehmens mit fast 400 Millionen Anfragen pro Sekunde (requests per second, rps) geflutet. Auch andere Netzbetreiber und Cloud-Provider waren betroffen. Diese Attacke übertraf den im August 2022 aufgestellten Rekord um mehr als das Achtfache.
Netzbetreiber, Internetanbieter und Cloud-Provider konnten diesen Rekordangriff zwar weitgehend abwehren, aber das gelingt nicht ständig. Immer wieder kommt es zu erfolgreichen DDoS-Attacken, die Webseiten, Applikationen oder sogar ganze Organisationen lahmlegen. So waren im Frühjahr 2023 die Webseiten mehrerer deutscher Bundesländer nach DDoS-Angriffen nicht mehr erreichbar. Im Januar 2024 waren Schweizer Regierungsseiten betroffen. Beim Rüstungs- und Technologiekonzern Rheinmetall legte im März 2023 eine Flut von Datenanfragen die Konzern-Webseite lahm. Ebenfalls im März traf es die Energieversorgung Filstal, im Januar 2023 den Hamburger Flughafen.
Dabei sind die bekannten DDoS-Vorfälle nur die Spitze des Eisbergs. Besonders öffentliche Institutionen und Betreiber kritischer Infrastrukturen haben kontinuierlich mit DDoS-Attacken zu kämpfen. Nicht umsonst warnte das Bundeskriminalamt bereits 2021 vor einer steigenden Zahl an DDoS-Angriffen.
Die Angriffsszenarien haben sich dabei in den vergangenen Jahren von der Paketebene (Layer 3 und 4) auf die Applikationsebene (Layer 7) verlagert. Statt Webserver mit Paketen zu fluten, gehen die Angreifer jetzt anders vor: Webserver werden mit HTTP(S)-Anfragen überlastet, unzureichend gesicherte Admin-Zugänge zu Content-Management-Systemen wie Typo3 ausgenutzt, Portale mit unsinnigen Suchanfragen lahmgelegt oder per SQL-Injection mit Schadcode infiziert.
Hohe direkte und indirekte Kosten
Im Vergleich zu Datendiebstahl oder Ransomware scheinen DDoS-Attacken relativ harmlos zu sein, da sie nur die Kommunikation über das Internet kappen und die Angreifer nicht tief in die IT-Systeme des betroffenen Unternehmens eindringen. Sie können dennoch erhebliche Schäden verursachen. Laut dem „Distributed Denial of Service (DDoS) Insights Report“ kostete ein durch DDoS verursachter Ausfall im Jahr 2023 im Durchschnitt 6.000 US-Dollar pro Minute (zirka 5.500 €) und dauerte 68 Minuten. Der durchschnittliche Gesamtschaden eines einzelnen DDoS-Vorfalls belief sich demnach auf 408.000 US-Dollar (rund 373.000 €). Zu den finanziellen Einbußen kommen Reputations- und Vertrauensschäden, die zur Abwanderung von Kunden und Geschäftspartnern führen können. Sind staatliche Organisationen oder kritische Infrastrukturen wie die Energieversorgung oder das Gesundheitswesen betroffen, können DDoS-Angriffe Verunsicherung in der Bevölkerung auslösen, demokratische Prozesse behindern und die Zivilgesellschaft schädigen.
Was das BSI empfiehlt
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Reihe von Publikationen zum Thema DDoS herausgegeben, die sich mit der Prävention und Abwehr von Denial-of-Service-Attacken befassen. Hier eine kurze Zusammenfassung der wichtigsten Maßnahmen:
Organisatorische Maßnahmen: Das BSI empfiehlt, potenzielle Ziele zu identifizieren und hinsichtlich ihrer Verwundbarkeit und des möglichen Schadensausmaßes zu bewerten. Dabei sind nicht nur Webseiten, Online-Shops, Mail-Dienste und DNS-Server zu berücksichtigen. Auch VPN-Zugänge und IT-Sicherheitskomponenten können Ziel einer DDoS-Attacke werden. Nutzt ein Unternehmen Cloud-Services oder bietet selbst Dienste über das Internet an, müsse diese ebenfalls in die Risikobetrachtung einbezogen werden.
Für den Fall eines Angriffs ist ein Notfallplan zu erstellen und zu klären, wer welche Aufgaben übernimmt und wie die Kommunikation intern und mit dem Internet-Provider ablaufen soll. Als Basis für eine Checkliste kann das Dokument „Abwehr von DDoS-Angriffen“ des BSI dienen. Schließlich sind die verantwortlichen Mitarbeiter regelmäßig zu schulen, damit sie im Fall des Falles richtig reagieren.
Technische Maßnahmen: Betriebe und Behörden sollten bereits im Vorfeld auf den potenziell angreifbaren Systemen Anwendungen installieren, die ein kontinuierliches Monitoring des Internetverkehrs und der Verfügbarkeit von Maschinen und Diensten ermöglichen. Online-Shops und andere Dienste, die externen Nutzern angeboten werden, sollten von außerhalb des Firmennetzes aus Anwendersicht überwacht werden.
Um das Übergreifen eines Angriffs auf ganze Netzsegmente zu verhindern, empfiehlt das BSI die Einrichtung mehrerer „demilitarisierter Zonen“ (DMZ). So sollten beispielsweise Webserver, die ausschließlich Dienste für externe Nutzer anbieten, Webproxies und Mailserver für Mitarbeiter in voneinander separierten Segmenten betrieben werden. Auf Netzebene hilft der Einsatz von Proxies und Loadbalancern, durch DDoS verursachte Lastspitzen abzufangen. Die Begrenzung des Internetverkehrs (Traffic Shaping) oder die Beschränkung der Anfragenzahl durch Rate Limits kann die Auswirkungen von Angriffen abmildern.
Das BSI empfiehlt darüber hinaus, die Leistungsgrenzen der Systeme bereits im Vorfeld zu identifizieren, um im Falle eines Angriffs schnell potenzielle Auswirkungen abschätzen und angepasste Gegenmaßnahmen einleiten zu können. Schließlich sollten alle Dienste und Server korrekt konfiguriert, immer auf dem aktuellen Stand gehalten und nach Möglichkeit gegen DDoS-Angriffe gehärtet werden.
Den richtigen DDoS-Schutz finden
Interne Maßnahmen reichen heute aber oft nicht mehr aus, um die steigende Anzahl an DDoS-Attacken abzuwehren. Unternehmen sollten deshalb mit einem nach §3 des BSI-Gesetzes (BSIG) zertifizierten DDoS-Mitigation-Dienstleister zusammenarbeiten. Besonders wichtig ist dies für Unternehmen, die als Betreiber kritischer Infrastrukturen (KRITIS) unter die verschärften Anforderungen der Network and Information Directive 2 (NIS 2) fallen.
Der Dienstleister sollte sowohl Attacken auf Layer 3 und 4 als auch auf Layer 7 abwehren können. Zum Angebot sollte eine Web Application Firewall (WAF) gehören, die SQL Injection und andere Angriffe auf Applikationsebene verhindert. Entscheidend ist außerdem eine Beratung auf Augenhöhe, denn ein DDoS-Schutz lässt sich nicht einfach in zehn Minuten installieren. Viele Unternehmen haben spezielle Anforderungen, die mit Produkten von der Stange nicht abgedeckt werden können. In solchen Fällen ist die persönliche Beratung und Betreuung ein wichtiges Auswahlkriterium.
DDoS-Mitigation-Dienstleister betreiben in der Regel ein eigenes Content Delivery Network (CDN), über das die SSL-Anfragen an die Server der Kunden terminiert werden. Damit sind sie prinzipiell in der Lage, den Datenverkehr mitzulesen. Vertraulichkeit und Datenschutz sind deshalb entscheidende Kriterien bei der Auswahl eines Dienstleisters. US-Provider können durch Gesetze wie den CLOUD-Act (Clarifying Lawful Overseas Use of Data) oder FISA 702 (Foreign Intelligence Surveillance Act, Section 702) gezwungen werden, Kundendaten an US-Behörden herauszugeben, auch wenn diese Daten außerhalb der USA gespeichert werden. Wer dieses Risiko nicht eingehen will, sollte einen Dienstleister wie die Plus.line AG mit Sitz in der Europäischen Union wählen, der eigene Rechenzentren betreibt und eine hundertprozentige Transparenz über seine Datenstandorte bietet.
Dabei darf die Performance natürlich nicht außer Acht gelassen werden. Der DDoS Mitigation Provider der Wahl sollte nachweisen können, dass er auch komplexe Strukturen absichern und eine 24×7 erreichbare ausfallsichere Infrastruktur bieten kann. Bei Fragen, Problemen oder im Fall einer Attacke sollten feste Ansprechpartner mit technischer Expertise zur Verfügung stehen, die schnell und unkompliziert helfen.
Fazit: DDoS-Attacken nicht auf die leichte Schulter nehmen
Auch wenn DDoS-Angriffe derzeit nicht auf Platz 1 der IT-Sicherheitsbedrohungen stehen, können sie erheblichen Schaden anrichten. Langfristige Folgen wie der Verlust von Kunden und Vertrauen wiegen dabei oft schwerer als kurzfristige finanzielle Einbußen. Das Risiko erfolgreicher DDoS-Attacken sollte deshalb von jedem Unternehmen adressiert und minimiert werden.
Dabei darf der DDoS-Schutz nicht isoliert betrachtet werden, sondern muss in den Gesamtkontext der IT-Infrastruktur eingebettet sein. Es empfiehlt sich deshalb mit einem DDoS-Mitigation-Dienstleister wie Plus.line zusammenzuarbeiten, der vom IT-Outsourcing über Managed Services bis zum Internetzugang alles aus einer Hand anbietet.
kommentar field