Der Webshop lädt nicht mehr, das Kundenportal meldet Zeitüberschreitungen: DDoS-Angriffe zielen auf die Verfügbarkeit digitaler Dienste und treffen damit das Fundament vieler Geschäftsmodelle. Anders als bei einem Einbruch dringen die Angreifer in kein System ein. Sie überlasten es von außen, bis reguläre Anfragen keine Antwort mehr erhalten.
Die Einstiegshürden sind niedrig. Fertige Angriffsdienste lassen sich im Untergrund für wenig Geld mieten, die Ziele reichen vom Onlinehändler bis zur öffentlichen Verwaltung. Ein belastbarer Plan gegen DDoS gehört deshalb zur Grundausstattung der Betriebssicherheit, genau wie Backups oder Virenschutz.
Was ist ein DDoS-Angriff?
DDoS steht für „Distributed Denial of Service“, übersetzt etwa: verteilte Dienstverweigerung. Ziel ist es, einen Onlinedienst, einen Server oder eine Netzwerkanbindung so stark zu überlasten, dass legitime Anfragen nicht mehr beantwortet werden. Der Dienst ist dann für Kunden und Mitarbeitende unerreichbar, obwohl kein Einbruch in Systeme stattgefunden hat. Je nach Ziel richtet sich der Angriff gegen einzelne Webanwendungen, gegen die Internetanbindung eines Standorts oder gegen vorgelagerte Dienste wie DNS.
Das „Distributed“ beschreibt die Methode: Die Anfragen stammen von vielen verteilten Quellen gleichzeitig, häufig von einem Botnetz aus tausenden gekaperten Rechnern, Servern und IoT-Geräten. Diese Verteilung erschwert die Abwehr erheblich, weil sich der Angriffsverkehr kaum über einzelne Absenderadressen blockieren lässt. Die Stärke eines Angriffs wird je nach Typ in Gigabit pro Sekunde, Paketen pro Sekunde oder Anfragen pro Sekunde angegeben.
Häufige Motive sind Erpressung, Ablenkung von parallel laufenden Einbruchsversuchen und politisch motivierte Aktionen. Auch im Umfeld von Ransomware-Kampagnen setzen Täter DDoS-Attacken als zusätzliches Druckmittel ein.
So läuft ein Angriff ab
Grundlage ist fast immer ein Botnetz: ein Verbund kompromittierter Geräte, die der Angreifer zentral steuert. Die Geräte gehören ahnungslosen Besitzern, deren Router, Kameras oder Server im Hintergrund missbraucht werden. Auf Kommando senden alle gleichzeitig Anfragen an das Ziel. Nach der Technik lassen sich drei Kategorien unterscheiden:
- Volumetrische Angriffe: Sie fluten die Internetanbindung des Ziels mit enormen Datenmengen, bis die Leitung gesättigt ist. Verstärkungstechniken (Amplification) über offen erreichbare DNS- oder NTP-Server vervielfachen den erzeugten Verkehr, aus kleinen Anfragen werden riesige Antwortströme.
- Protokollangriffe: Sie nutzen Schwächen in Netzwerkprotokollen aus und erschöpfen die Ressourcen von Servern, Firewalls und Loadbalancern. Ein Beispiel ist die SYN-Flood, bei der massenhaft halboffene TCP-Verbindungen die Verbindungstabellen füllen, bis keine neuen Verbindungen mehr angenommen werden.
- Angriffe auf Anwendungsebene (Layer 7): Sie imitieren reguläre Nutzeranfragen, etwa aufwendige Suchanfragen oder Login-Versuche, und treiben die Last der Anwendung in die Höhe. Diese Angriffe benötigen vergleichsweise wenig Bandbreite und sind schwer von echtem Verkehr zu unterscheiden.
In der Praxis kombinieren Täter mehrere Techniken und wechseln während des Angriffs die Vektoren. Gefälschte Absenderadressen (IP-Spoofing) verschleiern zusätzlich die Herkunft. Kurze Testangriffe dienen als Machbarkeitsnachweis, anschließend folgt eine Erpressernachricht mit der Drohung, den Angriff auszuweiten.
Warum das Thema wichtig ist
Auf den ersten Blick wirkt DDoS wie ein rein technisches Problem. Tatsächlich betrifft es Umsatz, Reputation und Compliance gleichermaßen:
- Direkte Umsatzausfälle: Jede Minute Nichterreichbarkeit kostet Geld, besonders in Onlinehandel, Buchungssystemen und Kundenportalen.
- Geringe Einstiegshürde für Täter: Mietbare Angriffsdienste machen DDoS zu einer Massenerscheinung, die jedes erreichbare Ziel treffen kann.
- Ablenkungsmanöver: Während die IT mit der Abwehr beschäftigt ist, laufen im Hintergrund teils Einbruchsversuche oder Datendiebstahl.
- Vertrauensverlust: Wiederholte Ausfälle sprechen sich schnell herum, bei Kunden ebenso wie bei Partnern, und belasten Geschäftsbeziehungen dauerhaft.
- Regulatorische Anforderungen: Vorgaben wie NIS-2 verlangen von vielen Unternehmen nachweisbare Maßnahmen zur Aufrechterhaltung des Betriebs.
- Abhängigkeit von Dritten: Auch Angriffe auf Hoster, DNS-Provider oder andere Dienstleister können die eigenen Dienste in den Ausfall ziehen.
Typische Szenarien
So unterschiedlich die Ziele sind, die Muster ähneln sich:
- Erpressung im Onlinehandel: Kurz vor einem umsatzstarken Zeitraum erhält ein Händler eine Lösegeldforderung, begleitet von einem kurzen Demonstrationsangriff auf den Shop.
- Layer-7-Angriff auf das Kundenportal: Ein Botnetz stellt massenhaft Login-Anfragen. Die Datenbank bricht unter der Last zusammen, obwohl die Internetanbindung unauffällig bleibt.
- Angriff als Nebelwand: Parallel zur DDoS-Welle versuchen Täter, über eine Schwachstelle ins Netzwerk einzudringen. Das Sicherheitsteam bemerkt den Einbruch erst mit Verzögerung.
- Überlastete Standortanbindung: Der Angriff zielt auf die öffentliche IP-Adresse der Firmenzentrale. VPN-Zugänge, Cloud-Anbindung und Telefonie fallen gleichzeitig aus.
- Dauerbelastung einer API: Über Wochen treffen immer neue Anfragewellen die Schnittstellen eines Softwareanbieters. Ohne automatisierte Filterung bindet die Abwehr das Betriebsteam rund um die Uhr.
DDoS und DoS: der Unterschied
Ein DoS-Angriff (Denial of Service) geht von einer einzelnen Quelle aus, etwa einem einzigen Server. Solche Angriffe lassen sich vergleichsweise einfach stoppen, indem die Quelle identifiziert und blockiert wird. Der Begriff DoS beschreibt zudem allgemein den Zustand der Nichtverfügbarkeit, unabhängig von der Zahl der beteiligten Quellen.
Beim DDoS-Angriff verteilt sich der Verkehr auf tausende Quellen weltweit. Die Blockade einzelner Adressen läuft ins Leere, und die schiere Menge übersteigt die Kapazität lokaler Schutzsysteme. Lokale Appliances sind gegen große volumetrische Angriffe strukturell im Nachteil, denn ihre Wirkung endet an der Bandbreite der eigenen Anbindung. Wirksame Abwehr filtert den Verkehr deshalb vorgelagert in global verteilten Cloud-Infrastrukturen, bevor er die eigene Leitung erreicht. Für die Planung bedeutet das: Bandbreite lässt sich vor Ort kaum sinnvoll überdimensionieren, Filterkapazität in der Cloud dagegen schon.
Schutz mit KAEMI
Verfügbarkeit lässt sich planen. KAEMI schützt Webanwendungen, APIs und Netzwerke mit Application Security auf Basis der global verteilten Cloudflare-Plattform, inklusive DDoS-Abwehr, Web Application Firewall und Bot-Management. Ergänzend analysieren unsere Experten im Rahmen der Professional Services Ihre Architektur auf Engpässe und erstellen mit Ihnen einen Reaktionsplan für den Ernstfall. So bleibt Ihre Organisation handlungsfähig, während automatische Filter den Großteil des Angriffsverkehrs abfangen. Über die Kontaktseite erreichen Sie unser Team für eine erste Einschätzung.