„Na toll. Da habe ich mir extra den Wecker gestellt, um Punkt 8:00 Uhr die Konzertkarten kaufen zu können und jetzt lädt die Website nicht“. Jeder, der schon mal in einer ähnlichen Situation war, war hierbei tatsächlich Teil einer sogenannten DDoS-Attacke. Da die Konzertkarten so begehrt sind, versuchen tausende Menschen gleichzeitig sich über die Website Karten zu bestellen. Diese kann mit der hohen Last an Anfragen nicht umgehen und stellt ihren Dienst ein. Ob man in einem solchen Fall von einer Attacke sprechen möchte, sei mal dahingestellt, das Ergebnis ist jedoch das gleiche: Die Website lädt nicht und ist somit für Besucher nicht mehr erreichbar. Was es damit auf sich hat und wie Cyberkriminelle das Phänomen für sich nutzen, erfahren Sie in diesem Cyberwiki Beitrag D – wie DDoS.
Eine DDoS (Distributed-Denial-of-Service)-Attacke, zu Deutsch verteilter Dienstverweigerungs-Angriff, nennt man auch einen Überlastungsangriff. Hierbei wird ein Server durch sehr viele Anfragen so sehr unter Last gesetzt, dass er „zusammenbricht“ und nicht mehr verfügbar ist. Metaphorisch gesprochen, können Sie sich ein Gebäude vorstellen, welches einen Haupteingang hat. Wenn jemand das Gebäude (Website) besuchen möchte, dann muss er zunächst durch den Haupteingang (Server). Der Haupteingang reicht im Alltag vollkommen aus. Kommt es nun jedoch zu dem Fall, dass auf einmal über 100 Besucher gleichzeitig durch den Haupteingang wollen, dann verstopft dieser und keiner kann mehr raus oder rein. Das Gebäude bzw. die Website ist für Besucher nicht mehr erreichbar. Wenn ein Cyberkrimineller ganz bewusst das Gebäude verstopft, dann spricht man von einer DDoS-Attacke.
Dieses Phänomen der Überlastung nutzen Cyberkriminelle bewusst aus, um bestimme Websites lahmzulegen. Eine mögliche Option mit DDoS-Angriffen Geld zu verdienen, ist die Erpressung. Es wird z.B. ein Webshop mit sehr vielen Aufrufen unter Last gesetzt, sodass dieser nicht mehr für Kunden erreichbar ist. Erst, wenn der Betreiber dem Hacker eine gewisse Summe Geld zahlt, wird die DDoS-Attacke gestoppt und Kunden können die Website wieder besuchen. Gerade bei einem Webshop bedeutet jede Minute, die der Shop nicht erreichbar ist, Umsatzverlust.
Eine andere Möglichkeit aus einem DDoS-Angriff Geld zu schlagen, ist „DDoS as a Service“. Ein böswilliger Hacker kann z.B. tausende Computer mit Malware infizieren. Dadurch bietet sich dem Angreifer die Möglichkeit diese untereinander zu verbinden, um sich dadurch ein sogenanntes Botnet aufzubauen (siehe den Blogeintrag B wie Botnet). Jetzt kann der Cyberkriminelle mit nur einem Mausklick alle Computer gleichzeitig auf eine Website zugreifen lassen und sie zum Absturz bringen. Diesen „Service“ der DDoS-Attacke bietet der Cyberkriminelle im Darknet an und vermietet das Botnet an Interessierte. Die Preise hierfür sind geschwinden gering. Unsere cysmo IT-Security-Experten haben durch verschiedene Recherchen festgestellt, dass die günstigsten „DDoS as a Service“ Angebote ab $3 starten.
Wie kann ich mich als Unternehmen gegen einen DDoS-Angriff schützen? Wichtig ist, dass die Infrastruktur möglichst diversifiziert aufgestellt ist. In unserem Metapher Beispiel wäre das der Fall, wenn das Gebäude neben dem Haupteingang bei Bedarf weitere Nebeneingänge öffnen könnte, um so die erhöhte Last bzw. viele Menschen gleichzeitig zu verteilen. Technisch wird dies durch z.B. eine auf DDoS-Schutz ausgelegte Cloudinfrastruktur sichergestellt. Die Cloud erkennt, wenn es zu einer DDoS-Attacke kommt und kann beispielweise die Anzahl der Zugänge bzw. Türen auf einen Schlag erhöhen oder den bösartigen Traffic von den echten Kunden unterscheiden und nur die echten Kunden auf die Website lassen. Eine solche Infrastruktur hilft in jedem Fall, egal ob die DDoS-Attacke mutwillig durch Cyberkriminelle verursacht wurde oder wie in der Einleitung des Artikels durch zu viele interessierte Kunden.
Autor: Linus Töbke
