DDoS-Angriffe – Allgemeine Informationen
Eine mutwillig herbeigeführte, andauernde Überlastung von Computersystemen, ein sogenannter DDoS-Angriff, kann zu schweren finanziellen Einbußen führen.
Ausgangspunkt dieses Artikels ist die Frage, wie man mit Angriffen auf vernetzte Computer-Systeme, welche Ressourcen blockieren oder deren Auslastung an die Grenzen treiben, umgehen kann. Dazu werden im Folgenden Basisinformationen zu DDoS-Attacken sowie Präventionsmaßnahmen präsentiert.
Merkmale von DDoS-Attacken
Denial-of-Service (DoS)-Angriffe können die Verfügbarkeit von Computersystemen und Netzwerken bereits mit geringen Mitteln beeinträchtigen. Dabei werden große Mengen an bösartigem Netzwerkverkehr erzeugt, um die Netzwerkverbindung oder die Rechenleistung vernetzter Geräte zu erschöpfen. Ziel ist beispielsweise die Störung eines Servers und der damit veröffentlichten Webseiten, um deren Erreichbarkeit einzuschränken und dadurch Benutzerinnen und Benutzer an der Nutzung zu hindern.
Bei Distributed-Denial-of-Service (DDoS)-Attacken erfolgt ein Angriff im Vergleich zu DoS-Attacken parallel durch mehrere Geräte. Dadurch kann die Stärke des Angriffs enorm erhöht werden. In der Regel werden dazu Botnetze, also Zusammenschlüsse infizierter Computer und sonstiger internetfähiger Geräte, verwendet. In diesem Zusammenhang steigt vor allem der Anteil an infizierten IoT-Geräten, wie zum Beispiel IP-Kameras, Smart-TVs, vernetzte Fahrzeuge und dergleichen. Hauptgründe dafür sind deren unsicheren Grundeinstellungen und die immer größere Verbreitung derartiger Geräte. Weiters sind diese Geräte meist im Dauerbetrieb und somit ständig für Angriffe verfügbar. Daher sollte man sich auch Gedanken machen, ob die eigenen Geräte ausreichend abgesichert sind, um Kriminellen nicht selbst noch zusätzliche Kapazität für Attacken zur Verfügung zu stellen.
DDoS-Kategorien & Erkennung
DDoS-Angriffe lassen sich in vier wesentliche Segmente unterteilen:
- Physische Manipulation: Zerstörung von Übertragungsleitungen oder Computer-Systemen
- Schwachstellen bei Programmen: Ausnützen von Implementierungsfehlern
- Mängel bei Übertragungsprotokollen: Ausnützen konzeptionsbedingter Schwachstellen
- Ressourcenmangel durch Überlastung: Massive Störung von Netzwerkanbindungen und Systemen.
Laufen DDoS-Angriffe erfolgreich ab, ist das Kernresultat, dass die betroffene Infrastruktur wegen der Belastungen weder arbeitsfähig noch für Berechtigte erreichbar ist. Die dabei betroffenen Ressourcen umfassen die Netzwerk-Bandbreite, die Kapazität von Routern, um Pakete weiterzuleiten, und Schwachstellen der Datenstrukturen von Betriebssystemen. Während einer DDoS-Attacke erzeugen die angreifenden Geräte (Zombies) große Mengen sinnloser Daten. Diese umfassen unvollständige TCP-Verbindungen, bösartige IP-Pakete sowie ungewöhnlich große Mengen von Website-Anfragen. Manche Angriffe nützen Eigenschaften oder Schwachstellen der befallenen Computer aus, um Algorithmen aufzurufen, die die Systeme in Endlosschleifen versetzen.
Die DDoS-Auswirkungen beschäftigen wegen der wachsenden Vernetzung (z. B.: IoT-Geräte, Webservices) sowohl Behörden als auch Unternehmen und vermehrt sogar Privatpersonen. Die Erkennung von DDoS-Angriffen ist herausfordernd, da die Überlastungseffekte auch bei zu schwacher Auslegung der Infrastruktur oder bei ungewöhnlichen Ereignissen mit großem öffentlichen Interesse auftreten und die Ressourcen der Systeme verbrauchen können. Darüber hinaus sind die Angriffsquellen oft weltweit verteilte Systeme, die mit Schadsoftware befallen, und somit nicht oder nur schwer identifizierbar sind.
Empfehlungen
Bei Beachtung der folgenden Kernpunkte, kann ein eventueller Angriff aber erkannt und entschärft werden:
- Awareness und Prävention: Am Wichtigsten ist es, sich schon im Vorhinein Gedanken über mögliche Auswirkungen eines Angriffs zu machen, und entsprechende Vorbereitungen zu treffen. In Organisationen sollten die im Ernstfall benötigten Mitarbeiterinnen und Mitarbeiter ausreichend sensibilisiert und geschult werden. Weiters ist es von Vorteil, Leitfäden zu erstellen, was im Ernstfall von wem zu tun ist. Dadurch kann die Reaktionszeit verringert werden. Überlegen Sie sich auch, ob auch wirklich alle Geräte eine Verbindung mit dem Internet benötigen.
- Erkennung und Management: Wenn Sie eine ungewöhnlich hohe Auslastung Ihrer Netzwerk-Bandbreite erkennen oder Dienste nicht mehr erreichbar sind, kann dies ein Indiz für einen Angriff sein. Hier ist es unter Umständen sinnvoll, professionelle Hilfe in Anspruch zu nehmen.
- Entschärfung und Verteidigung: Die Aktivierung von Sicherheitsfeatures und große Ressourcen erlauben es, Angriffe früher zu erkennen und die Effektivität eines Angriffs zu senken. Eine durchdachte Systemtrennung und die zügige Abkopplung oder Abschaltung betroffener Geräte verschaffen Zeit, um auf die Attacke zu reagieren.
- Informationen und Kooperation: Durch das Informieren des Internet Service Providers kann zusätzliche Unterstützung eingeholt werden. Erkenntnisse aus Angriffen sollten eingeholt und auch geteilt werden. Weiters kann von der Zusammenarbeit mit zum Beispiel Sachkundigen profitiert werden.
Eine ausführliche Liste von Empfehlungen finden Sie im Artikel DDoS-Angriffe – Gegenmaßnahmen.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria