25. November 2021 DDoS-Attacken: Schutzgelderpressung im digitalen Zeitalter

DDoS-Attacken (Distributed Denial of Service) zielen darauf ab, IT-Systeme durch Überlastung außer Betrieb zu setzen. Oft werden dabei gekaperte Rechner ahnungsloser Userinnen und User verwendet. Wir erklären Ihnen, was es mit diesen Attacken auf sich hat und wie Sie sich vor ihnen schützen können.

Fast jede Organisation ist heute auf die eine oder andere Weise im Internet präsent. Bei vielen Unternehmen basiert sogar ihr gesamtes Geschäftsmodell auf ihrem Web-Auftritt. Dazu zählen beispielsweise Internet Service Provider (ISP, Internetanbieter), Online-Handelsplätze, soziale Netzwerke oder Streaming-Anbieter. Hinter all diesen Online-Diensten steht eine Infrastruktur aus spezialisierten Servern, die den jeweiligen Dienst bereitstellen. Fällt der Server aus, ist auch der Zugang zum Dienst nicht möglich und dem Unternehmen die Verdienstgrundlage entzogen. Auf diese Form der Betriebsstörung zielen sogenannte DDoS (Distributed Denial of Service)-Angriffe ab.

So funktioniert eine DDoS-Attacke

Obwohl es zahlreiche Varianten der DDoS-Angriffsmethode gibt, ist ihr Grundprinzip sehr simpel: Ein Angreifer stellt wiederholt eine hohe Anzahl von Anfragen an eine IT-Infrastruktur, zum Beispiel einen Web- oder E-Mail-Server. Weil der Server nur eine begrenzte Kapazität zu ihrer Beantwortung zur Verfügung hat, wird er irgendwann überfordert, verlangsamt seinen Dienst oder stellt ihn sogar gänzlich ein. Ausgefeiltere Versionen dieser Angriffe machen sich die Eigenheiten verschiedener Kommunikations-Protokolle des Internets zunutze. Bei der sogenannten „Land-Attacke“ beispielsweise, vertauscht der Angreifer seine Sendeadresse mit der Zieladresse des angegriffenen Systems. Dieses sendet die Antwort damit an sich selbst, interpretiert sie aber zugleich als erneute Anfrage. Die Folge ist ein Frage-Antwort-Loop bis das System abstürzt. Grundsätzlich gilt jedoch für alle DDoS-Angriffe: Je mehr zeitgleiche Anfragen den Server beschäftigen beziehungsweise je größer die Bandbreite an Anfragen ist, desto verheerender ist die Attacke. Den bisherigen Bandbreiten-Rekord hat im Frühjahr 2020 Amazon gemessen. Damals sah sich der Onlinehändler mit Anfrage-Volumina von bis zu 2,3 Terabit pro Sekunde konfrontiert. Durchschnittliche DDoS-Angriffe hingegen bewegen sich in einem Bereich von etwa 50 bis maximal 100 Gigabit pro Sekunde.

Besondere Gefahrenquellen für DDoS-Attacken:

• Bot-Netze („Zombie-Rechner“): Um eine möglichst große Anzahl an Anfragen zu koordinieren, setzen Hackerinnen und Hacker gerne sogenannte Bot-Netze ein. Darunter versteht man weltweilt verteilte (deshalb „distributed“) Rechner von zumeist ahnungslosen Userinnen und Usern, die mit Malware infiziert sind und dadurch unter der Kontrolle von Cyberkriminellen stehen. Die gekaperten Rechner können dabei schon monatelang unbemerkt verseucht sein. Man spricht deshalb auch von „Zombie-Rechnern“. Wenn die mutmaßliche Täterin oder der mutmaßliche Täter den DDoS-Angriff startet, wird eine Art „Armee“ an Rechnern aktiviert, die das Ziel der Attacke mit Anfragen bombardiert.
• Internet of Things (IoT): Eine Verschärfung der Gefahrenlage könnte das Internet of Things (IoT) mit sich bringen. Denn im Internet of Things können auch vermeintlich harmlose Netzwerkteilnehmer wie Router, Überwachungskameras oder sogar autonome Fahrzeuge für DDoS-Angriffe missbraucht werden, falls sie nicht ausreichend geschützt sind. Ob ein Gerät unter der Kontrolle von Hackerinnen oder Häckern ist, erkennt man oft erst, wenn es zu spät ist.

Motive für DDoS-Attacken

Der Angriffstypus DDoS ist darauf ausgerichtet, Schaden anzurichten, indem der Betrieb eines Online-Unternehmens lahmgelegt wird. Einer solchen Attacke können unterschiedliche Motive zugrundeliegen. Häufig wird er von Aktivistinnen und Aktivisten eingesetzt, die politischen Gegnerinnen oder Gegnern oder feindlich wahrgenommenen Organisationen einen Denkzettel verpassen wollen. Auch unzufriedene Kundinnen und Kunden, ehemalige Angestellte oder Konkurrenzunternehmen wurden bereits als Urheber von DDoS-Angriffen identifiziert.

Daneben tritt immer öfter die Schutzgelderpressung als primäres Motiv in den Vordergrund. Typischerweise geben die Erpresserinnen und Erpresser mit einer DDoS-Attacke geringen oder mittleren Ausmaßes eine Art „Warnschuss“ ab. In einem zeitnah versendeten Erpresserschreiben drohen sie den Opfern mit einer deutlich größeren Attacke, falls diese nicht die geforderte Summe (in Kryptowährung) bezahlen.

Der vermehrte Einsatz von DDoS-Angriffen zur Erpressung lässt erahnen, dass diese Form der Cyberkriminalität auch künftig verstärkt auftreten wird. Untersuchungen von Sicherheitsanalysten bestätigen diesen Trend. So zählte zum Beispiel der Threat Intelligence Report von Netscout im ersten Halbjahr 2021 insgesamt 5,4 Millionen DDoS-Angriffe. Das entspricht einem Plus von elf Prozent im Vergleich zur Vorjahresperiode.

Der aktuelle Cybersicherheit-Bericht des Bundeskanzleramts vermerkt außerdem eine Angriffs-Konzentration auf den Banken- und Finanzsektor beziehungsweise auf Internet Service Provider. Dem Bericht zufolge stellten DDoS-Angriffe neben Datenleaks und Internetbetrug im vergangenen Jahr eine der drei großen Herausforderungen im Bereich Cyberkriminalität dar.

Die Folgen eines DDoS-Angriffs

Opfer von erfolgreich durchgeführten DDoS-Attacken erleiden in erster Linie wirtschaftlichen Schaden. Bei großen Webdiensten kann der Verlust rasch in die Millionenhöhe steigen, wenn ihr Dienst für Kundinnen und Kunden nicht erreichbar ist. Diese könnten außerdem zu Mitbewerbern wechseln.

Daneben darf auch der Imageschaden nicht unterschätzt werden. Wer seine IT-Landschaft nicht ausreichend schützen kann, muss mit einem Vertrauensverlust rechnen, der einen Abgang der Kundschaft zur Folge haben kann.

Eine oft unterschätzte Gefahr sind außerdem „indirekte Effekte“. Lahmgelegte oder überlastete Systeme können unter Umständen für andere Attacken angreifbar werden. In diesem Fall könnte ein DDoS-Angriff Cyberkriminellen als Ablenkung dienen, um daraus resultierende Sicherheitslücken auszunützen, beispielsweise um Datendiebstahl zu betreiben oder Spionagesoftware zu installieren.

So schützen Sie sich gegen DDoS-Angriffe

• Wer nicht zum Werkzeug eines DDoS-Angriffs werden möchte, sollte seine Rechner und sonstige internetfähige Geräte (z.B. Smartphone, Router, Überwachungskameras, Smart-TVs) schützen. Dazu gehören regelmäßige Updates, die Installation von Sicherheitspatches und Firewalls sowie das Einrichten sicherer Passwörter.
• Redundante Systeme erlauben es, eine ausgefallene IT-Infrastruktur kurzfristig zu ersetzen.
• Technische Lösungen implementieren: Es gibt auf dem Markt zahlreiche Lösungen zur Abwehr von DDoS-Angriffen. Diese analysieren den Datenverkehr und leiten ihn gegebenenfalls um. Der Funktionsumfang, die Komplexität und der Wartungsaufwand dieser Lösungen sollten an die tatsächlichen Bedürfnisse, zum Beispiel an die Größe des eigenen Netzwerkes, angepasst werden.
• Kommen Angriffe immer von derselben Absenderadresse, kann man die verdächtige IP-Adresse sperren und somit jegliche Angriffe bereits im Ansatz unterbinden.
• Wenn es möglich ist, empfiehlt es sich, eine Liste zugelassener Geräte zu definieren. Alle anderen Anfragen werden dann automatisch abgelehnt.
• Nicht jeder Internet Service Provider (ISP) bietet standardmäßig das gleiche Maß an Sicherheit gegen DDoS-Angriffe. Es lohnt sich, die Dienstleister zu vergleichen.
• Schutzgeldforderungen nicht bezahlen! In Hackerkreisen kursieren Listen mit Unternehmen, die bereitwillig Schutzgeld bezahlt haben. Wer auf so einer Liste steht, wird mit Sicherheit erneut zum Ziel eines Angriffs.