Wegen DDoS-Angriffen (Distributed Denial of Service) war die Webseite der Finanzaufsicht BaFin Anfang September nicht zu erreichen. Damit ist sie nicht allein: Zu den prominenten Zielen zählten im Jahr 2023 bereits mehrere deutsche Flughäfen, die dänische Zentralbank sowie viele weitere Banken und Regierungsorganisationen in den letzten Jahren.
Obwohl DDoS-Angriffe technisch einfach sind, können sie zu erheblichen Störungen führen. Das hat der Angriffstechnik besonders während des Kriegs in der Ukraine zu großer Beliebtheit unter Hackern verholfen. In folgendem Kommentar erklärt Jens Monrad, Head of Mandiant Intelligence, EMEA bei Google Cloud, die Hintergründe zu DDoS-Angriffen, wie sie die Narrative von Hackern stärken und Organisationen sich dagegen schützen können:
„Seit Russlands Angriff auf die Ukraine sind DDoS-Angriffe eine gängige Methode zur vorübergehenden Unterbrechung von Webseiten und digitalen Diensten, die von Bürgern in ganz Europa genutzt werden. DDoS-Angriffe sind zwar relativ simpel, können jedoch erhebliche Störungen verursachen.
In den meisten Fällen fallen nach einem DDoS-Angriff lediglich Webseiten für ein paar Stunden aus. Jedoch reicht das unter Umständen bereits aus, weil dadurch die Öffentlichkeit den Eindruck bekommt, dass ein Angreifer erfolgreich einen ganzen Dienst oder eine Organisation gestört hat. Die Angreifer geben im Anschluss an ihre DDoS-Kampagnen oft bekannt, dass sie die Infrastruktur ihres Ziels erfolgreich kompromittiert oder vom Netz genommen haben. Alternativ verwenden sie verschiedene politische Narrative, um die Unterstützung anderer Personen oder Gruppen zu gewinnen, die sich an einer Kampagne gegen ein bestimmtes Ziel, eine Branche oder eine Region beteiligen wollen.
Im Krieg in der Ukraine werden DDoS-Angriffe und -kampagnen von verschiedenen Narrativen angetrieben, die eine der beiden Parteien unterstützen. In pro-russischen Telegram-Kanälen wurden europäische Länder und Organisationen, die auf der Seite der Ukraine stehen, als Ziele für Störungsangriffe identifiziert. Umgekehrt benennen westliche Einzelpersonen und Gruppen Ziele für DDoS-Angriffe, Leaks und andere Arten der Kompromittierung wie westliche Unternehmen, die immer noch in Russland tätig sind.
DDoS-Angriffe sind nicht neu. Aber es ist für Unternehmen wichtig, einen Plan zu erstellen, wie sie mit einer Überlastung des Datenverkehrs im Falle eines Angriffs umgehen können. Unternehmen können DDoS-Angriffe nicht ignorieren, weil die digitale Verfügbarkeit geschäftskritisch sein kann. Außerdem geht es um ihre Reputation, wenn die Öffentlichkeit den Eindruck gewinnt, dass sie nicht auf komplexere Cyber-Bedrohungen reagieren können.
Es ist sehr wahrscheinlich, dass DDoS-Kampagnen und die Störung öffentlich zugänglicher Ressourcen wie Webseiten auch in Zukunft ein Ziel von Angreifern sind. Deshalb sollten Unternehmen darüber nachdenken, ob und wie sie darauf reagieren können. Ein Schritt dafür ist, DDoS-Angriffe zu verstehen.
Was ist ein DDoS-Angriff?
DDoS-Angriffe sind eine Art von Cyberangriff, bei dem versucht wird, eine Webseite oder einen Dienst mit Datenverkehr aus mehreren Quellen zu überlasten. Durch die Überlastung sind diese für legitime Benutzer nicht mehr verfügbar.
Um das Ziel zu erreichen, gibt es verschiedene Methoden wie Botnets, Reflection Attacks und Amplification Attacks. Bei Botnets nutzen die Angreifer ein Netzwerk aus kompromittierten Geräten, um einen umfangreichen Datenverkehr an eine Webseite oder einen Dienst zu schicken. Reflection Attacks und Amplification Attacks nutzen hingegen Schwachstellen in Internetprotokollen aus. Dabei steigt bei einer Reflection Attack der an ein Ziel gesendete Datenverkehr stark an, während bei einer Amplification Attacks die Größe der an ein Ziel gesendeten Datenpakete erhöht wird.
Unternehmen können sich schützen
Um DDoS-Angriffe abzuwehren, gibt es verschiedene Maßnahmen. Mit drei Schritten können sich Unternehmen vor den störenden Auswirkungen von DDoS-Angriffen schützen:
Ein Content Delivery Network (CDN) verwenden: Bei einem CDN handelt es sich um ein Netzwerk von Servern, die über die ganze Welt verteilt sind. Dieses Netzwerk stellt den Nutzern die angefragten Inhalte jeweils vom nächstgelegenen Server aus zu. Die Aufteilung des Datenverkehrs auf mehrere Server kann die Auswirkungen eines DDoS-Angriffs abschwächen.
Eine Begrenzung der Durchsatzrate implementieren: Bei der Begrenzung der Durchsatzrate wird die Menge des Datenverkehrs, die ein Server von einer einzigen Quelle empfangen kann, begrenzt. Dadurch kann verhindert werden, dass ein DDoS-Angriff den Server überwältigt.
Die Reaktion auf einen Angriff planen: Unternehmen sollten über einen Plan für die Reaktion auf DDoS-Angriffe verfügen. Dieser Plan sollte Schritte zur Identifizierung und Entschärfung des Angriffs, aber auch für die Kommunikation mit Kunden und Partnern im Fall einer Störung enthalten.“