Eine Distributed Denial-of-Service (DDoS) Attacke ist ein gezielter Angriff auf die Verfügbarkeit von IT-Infrastrukturen. Ziel ist es, einen Server, Dienst oder ein Netzwerk durch eine massive Überflutung mit künstlich generiertem Datenverkehr so zu überlasten, dass reguläre Nutzer (Kunden, Mitarbeiter) keinen Zugriff mehr erhalten.
Im Gegensatz zu klassischen Hacking-Angriffen, die auf Datendiebstahl oder Spionage abzielen, ist der primäre Zweck einer DDoS-Attacke die Sabotage des laufenden Geschäftsbetriebs. Für die Geschäftsführung ist dies ein kritisches Risiko für die Business Continuity, da jede Stunde Ausfallzeit direkt mit Umsatzverlusten und Reputationsschäden korreliert.
Funktionsweise: Das Botnetz
Der entscheidende Unterschied zu einer einfachen DoS-Attacke (Denial-of-Service) ist das Attribut „Distributed" (verteilt). Der Angriff erfolgt nicht von einem einzelnen Computer, sondern koordiniert von Tausenden bis Millionen von gekaperten Geräten weltweit.
Diese Geräte bilden ein sogenanntes Botnetz. Angreifer infizieren im Vorfeld fremde Computer, Server und zunehmend unsichere Internet-of-Things (IoT)-Geräte (wie Webcams, Router oder Smart-Home-Komponenten) mit Schadsoftware. Diese Geräte werden ferngesteuert (Zombies), um auf Befehl gleichzeitig Anfragen an das Zielsystem zu senden.
Da der Angriff von unzähligen legitimen IP-Adressen weltweit ausgeht, ist eine einfache Abwehr durch das Blockieren einzelner Absender technisch wirkungslos.
Angriffstypen und Vektoren
DDoS-Attacken werden in drei Hauptkategorien unterteilt, die unterschiedliche Ebenen der IT-Infrastruktur attackieren:
- Volumetrische Angriffe (Bandbreiten-Sättigung):
Das Ziel ist die vollständige Auslastung der Internetanbindung des Unternehmens. Der Angreifer sendet so viele Datenpakete, dass die Bandbreite (z. B. 10 Gbit/s) physikalisch verstopft ist. Kein legitimer Datenverkehr kommt mehr durch.
- Protokoll-Angriffe (State Exhaustion):
Diese Angriffe zielen auf Schwachstellen in Netzwerkprotokollen (Layer 3 und 4 des OSI-Modells). Sie überlasten nicht die Leitung, sondern die Infrastruktur-Komponenten wie Firewalls oder Load Balancer, indem sie deren Rechenkapazität oder Verbindungstabellen erschöpfen, bis die Geräte abstürzen.
- Applikations-Angriffe (Layer 7):
Die gefährlichste und am schwersten zu erkennende Form. Der Angriff zielt direkt auf die Webanwendung. Bots simulieren menschliches Verhalten und rufen rechenintensive Funktionen auf (z. B. ständiges Generieren von PDF-Rechnungen oder Nutzung der Suchfunktion). Dies bringt den Webserver oder die Datenbank zum Erliegen, ohne dass die Internetleitung überlastet ist. Da der Traffic wie normaler Kundenverkehr aussieht, greifen herkömmliche Schutzmechanismen oft nicht.
Strategische Risiken für Unternehmen
Neben dem offensichtlichen Systemausfall ergeben sich für das Management folgende Risikoszenarien:
- Ransom-DDoS (RDDoS): Eine Form der digitalen Erpressung. Cyberkriminelle drohen mit einer massiven DDoS-Attacke oder starten einen kurzen Warn-Angriff, um Schutzgeld (meist in Kryptowährungen) zu fordern.
- Ablenkungsmanöver (Smokescreening): DDoS-Attacken werden häufig als Ablenkung eingesetzt. Während das IT-Sicherheitsteam mit der Abwehr der Überlastung beschäftigt ist und Warnsysteme „rot" melden, führen Angreifer im Hintergrund unbemerkt einen präzisen Datendiebstahl (Data Exfiltration) oder eine Malware-Injektion durch.
- Kollateralschäden: Cloud-Dienste skalieren oft automatisch (Auto-Scaling), um Lastspitzen abzufangen. Ein DDoS-Angriff kann dazu führen, dass Cloud-Ressourcen extrem hochskalieren, was zu massiven, ungeplanten Kostenrechnungen beim Cloud-Provider führt (Economic Denial of Sustainability).
Abwehrstrategien und Mitigation
Herkömmliche Firewalls sind gegen moderne DDoS-Angriffe machtlos, da sie unter der Last selbst kollabieren. Effektiver Schutz erfordert spezialisierte Architektur:
- Content Delivery Networks (CDN): Verteilung der Inhalte auf ein weltweites Servernetzwerk. Angriffe werden dezentral abgefangen, bevor sie das Rechenzentrum des Unternehmens erreichen.
- Scrubbing Center: Spezialisierte Dienstleister leiten den gesamten Datenverkehr im Angriffsfall um. In deren Hochleistungs-Rechenzentren wird der Traffic „gewaschen": Bösartige Pakete werden ausgefiltert, nur legitime Anfragen werden an das Unternehmen weitergeleitet.
- Web Application Firewall (WAF): Spezifischer Schutz gegen Layer-7-Angriffe, der Anomalien im Nutzerverhalten erkennt und blockiert.
Fazit
DDoS-Attacken sind heute als „Crime-as-a-Service" im Darknet für wenige Dollar buchbar. Die Frage ist nicht, ob ein Unternehmen angegriffen wird, sondern wie resilient die Infrastruktur darauf reagiert. Ein Notfallplan (Incident Response Plan) und Verträge mit DDoS-Schutzanbietern müssen etabliert sein, bevor der Ernstfall eintritt. Im Angriffsmoment ist es für eine effektive Abwehr zu spät.