DDoS-Angriffe: So Schutzen Sie die Website Ihres Unternehmens

Was Genau Ist ein DDoS-Angriff?

Ein Distributed Denial of Service (DDoS) Angriff uberflutet Ihre Website oder Ihren Server mit so viel Datenverkehr, dass legitime Besucher nicht mehr durchkommen. Stellen Sie sich vor, Tausende von Menschen versuchen gleichzeitig durch eine einzige Tur zu gelangen. Niemand kommt hinein.

Der "verteilte" Teil macht diese Angriffe besonders heimtuckisch. Der Datenverkehr kommt von Hunderten oder Tausenden verschiedener Quellen, typischerweise kompromittierte Computer und IoT-Gerate, die ein sogenanntes Botnet bilden. Da der Datenverkehr von so vielen Orten kommt, konnen Sie nicht einfach eine IP-Adresse blockieren und das Problem losen.

DDoS-Angriffe gibt es seit den spaten 1990er Jahren, aber sie sind sowohl in Haufigkeit als auch in Umfang dramatisch gewachsen. Im Jahr 2024 uberschritten mehrere Angriffe 1 Tbps (Terabit pro Sekunde). Zum Vergleich: Das entspricht in etwa dem gleichzeitigen Streaming von 200.000 HD-Videos, alle auf ein einziges Ziel gerichtet.

Die Drei Haupttypen von DDoS-Angriffen

Nicht alle DDoS-Angriffe funktionieren gleich. Das Verstandnis der Unterschiede ist wichtig, da jeder Typ eine andere Verteidigungsstrategie erfordert.

1. Volumetrische Angriffe

Volumetrische Angriffe sind der Brute-Force-Ansatz. Der Angreifer sendet einfach eine enorme Datenmenge, um Ihre Bandbreite zu sattigen. Gangige Techniken sind:

• UDP-Floods - Der Angreifer sendet massive Mengen von UDP-Paketen an zufallige Ports des Zielservers. Der Server muss jedes Paket prufen, feststellen, dass keine Anwendung auf diesem Port lauscht, und eine ICMP-Antwort "Ziel nicht erreichbar" senden. Multiplizieren Sie das mit Millionen von Paketen pro Sekunde.
• DNS-Amplification - Der Angreifer sendet kleine DNS-Anfragen mit einer gefalschten Quell-IP (Ihrer IP) an offene DNS-Resolver. Die Resolver senden ihre viel grosseren Antworten an Ihren Server. Eine 60-Byte-Anfrage kann eine 4.000-Byte-Antwort erzeugen - ein Verstarkungsfaktor von etwa 70x.
• NTP-Amplification - Ahnlich wie DNS-Amplification, aber unter Verwendung von Network Time Protocol-Servern. Der monlist-Befehl auf alteren NTP-Servern kann Verstarkungsfaktoren von 500x oder mehr erzeugen.
• Memcached-Reflexion - Ausnutzung falsch konfigurierter Memcached-Server, die dem Internet ausgesetzt sind. Diese Technik erreichte in einigen Fallen Verstarkungsfaktoren uber 50.000x.

2. Protokoll-Angriffe

Protokoll-Angriffe nutzen Schwachen in Netzwerkprotokollen (Schichten 3 und 4 des OSI-Modells) aus, um Serverressourcen oder die Ressourcen von Zwischengeraten wie Firewalls und Load Balancern zu verbrauchen.

• SYN-Floods - Der Angreifer sendet eine schnelle Abfolge von TCP-SYN-Anfragen, ohne den Drei-Wege-Handshake abzuschliessen. Jede halboffene Verbindung verbraucht Ressourcen auf dem Server.
• Ping of Death - Senden von fehlerhaften oder ubergrossen ICMP-Paketen.
• Smurf-Angriffe - Broadcast von ICMP-Echo-Anfragen an die Broadcast-Adresse eines Netzwerks mit der gefalschten Quell-IP des Opfers.
• Fragmentierte Paketangriffe - Senden fragmentierter Pakete, die der Server nicht korrekt zusammensetzen kann.

3. Anwendungsschicht-Angriffe

Diese sind die raffiniertesten und oft am schwersten zu erkennen, da sie wie normaler Datenverkehr aussehen.

• HTTP-Floods - Senden scheinbar legitimer HTTP-GET- oder POST-Anfragen in hohem Volumen.
• Slowloris - Offnen von Verbindungen zum Webserver und so lange wie moglich offenhalten durch Senden unvollstandiger HTTP-Anfragen.
• R-U-Dead-Yet (RUDY) - Ahnlich wie Slowloris, aber auf HTTP-POST-Felder abzielend.
• WordPress XML-RPC Angriffe - Ausnutzung der Pingback-Funktion in WordPress zur Anfragenverstarkung.

Wie ein DDoS-Angriff Tatsachlich Ablauft

1. Aufklarung - Der Angreifer identifiziert die IP-Adresse Ihres Servers, den Hosting-Anbieter und moglicherweise Ihre Verkehrsmuster.
2. Botnet-Aktivierung - Der Angreifer befiehlt seinem Botnet, Datenverkehr an Ihren Server zu senden. Botnets sind auf Dark-Web-Marktplatzen fur nur 10-50 Dollar pro Stunde mietbar.
3. Verkehrsanstieg - Der Angriff beginnt oft langsam und steigert sich uber Minuten oder Stunden.
4. Serviceverschlechterung - Ihre Website ladt langsam. Datenbankverbindungen laufen ab. SSL-Handshakes schlagen fehl.
5. Vollstandiger Ausfall - Bei Uberlastung Ihrer Abwehr geht die Site komplett offline.
6. Kollateralschaden - Bei Shared Hosting konnen auch andere Sites auf demselben Server ausfallen.

Die Geschaftlichen Auswirkungen von DDoS-Angriffen

Direkte Finanzielle Verluste

Unternehmenstyp	Geschatzte Kosten pro Stunde Ausfallzeit
Kleiner E-Commerce	1.000 $ - 10.000 $
Mittlerer E-Commerce	10.000 $ - 100.000 $
Grossunternehmen	100.000 $ - 1.000.000 $+
Finanzdienstleistungen	1.000.000 $+

Reputationsschaden

Kunden, die Ihre Website nicht erreichen konnen, warten nicht. Sie gehen zur Konkurrenz. Studien zeigen konsistent, dass Nutzer, die einen Ausfall erleben, deutlich weniger wahrscheinlich zuruckkehren.

SEO-Auswirkungen

Langere Ausfallzeiten beeinflussen Suchmaschinenrankings. Googles Crawler werden irgendwann bemerken, dass Ihre Website nicht erreichbar ist, und Ihre Seiten moglicherweise temporar aus den Suchergebnissen entfernen.

DDoS als Ablenkungsmanover

Eine der beunruhigendsten Trends ist die Verwendung von DDoS-Angriffen als Ablenkung. Wahrend das Sicherheitsteam den Dienst wiederherstellt, findet der eigentliche Angriff woanders statt: Datenexfiltration, Malware-Installation oder Kontokomprimitierung.

Schutzstrategie: CloudFlare und CDN-basierte Verteidigung

Der effektivste einzelne Schritt, den die meisten Unternehmen unternehmen konnen, ist ihre Website hinter ein CDN mit integriertem DDoS-Schutz zu stellen. Wir haben ausfuhrlich uber CDN-Vorteile geschrieben, aber hier der DDoS-spezifische Blickwinkel.

Wie CloudFlare-Schutz Funktioniert

1. Ihre echte Server-IP wird hinter dem CloudFlare-Netzwerk verborgen.
2. Der Datenverkehr wird uber CloudFlares globales Netzwerk von Rechenzentren verteilt.
3. Bosartiger Datenverkehr wird am Edge gefiltert, nahe an seiner Quelle, bevor er Ihren Server erreicht.
4. Legitimer Datenverkehr passiert normal mit minimaler zusatzlicher Latenz.

Anycast-Netzwerke Erklart

Anycast ist die Routing-Technik, die CDN-basierten DDoS-Schutz ermoglicht. Bei einer normalen (Unicast-)Konfiguration hat Ihr Server eine IP-Adresse an einem Standort. Mit Anycast wird dieselbe IP-Adresse von mehreren Standorten weltweit angakundigt. Ein 100-Gbps-Angriff wird handhabbar, wenn er auf 200+ Rechenzentren verteilt wird.

Rate Limiting: Ihre Zweite Verteidigungslinie

Rate Limiting beschrankt, wie viele Anfragen eine einzelne IP-Adresse innerhalb eines bestimmten Zeitfensters stellen kann. Es ist besonders wirksam gegen Anwendungsschicht-Angriffe.

• Identifizieren Sie Ihre normalen Verkehrsmuster - Bevor Sie Grenzen setzen, mussen Sie wissen, was normal ist.
• Setzen Sie Grenzen pro Endpunkt - Verschiedene Seiten benotigen verschiedene Grenzen.
• Verwenden Sie progressive Antworten - Nicht sofort blockieren. Zuerst ein CAPTCHA, dann temporar blockieren.
• Rate Limiting nach mehr als IP - Betrachten Sie Session-Token, User-Agent-Muster oder Verhaltensfingerabdrucke.

Web Application Firewall (WAF)

Eine WAF inspiziert eingehenden HTTP-Datenverkehr und blockiert Anfragen, die bekannten Angriffsmustern entsprechen.

• SQL-Injection-Versuche in URL-Parametern und Formularfeldern
• Cross-site Scripting (XSS) Payloads
• Bekannte bosartige Bot-Signaturen
• Anfragen von TOR-Exit-Knoten oder bekannten Proxy-Diensten
• Anfragen mit verdachtigen Headern oder fehlerhaftem HTTP
• Geografische Einschrankungen

Aufbau einer Mehrschichtigen Verteidigung

Schicht 1: Netzwerk

• Verwenden Sie einen CDN/DDoS-Schutzdienst
• Halten Sie Ihre Origin-Server-IP verborgen
• Verwenden Sie wenn moglich Anycast fur Ihre eigene Infrastruktur
• Stellen Sie sicher, dass Ihr Hosting-Anbieter Upstream-DDoS-Filterung hat

Schicht 2: Server

• Konfigurieren Sie Ihre Firewall zum Verwerfen offensichtlich bosartigen Datenverkehrs
• Aktivieren Sie SYN-Cookies zur Handhabung von SYN-Floods
• Optimieren Sie Kernel-Parameter fur hohe Verbindungslasten

Schicht 3: Anwendung

• Setzen Sie eine WAF mit verwalteten und benutzerdefinierten Regeln ein
• Implementieren Sie Rate Limiting pro Endpunkt
• Cachen Sie aggressiv, um die Backend-Last zu reduzieren
• Implementieren Sie Circuit Breaker

Schicht 4: Uberwachung und Reaktion

• Richten Sie Alarme fur Verkehrsanomalien ein
• Halten Sie ein DDoS-Reaktions-Runbook bereit
• Uben Sie Ihren Reaktionsplan mindestens einmal jahrlich

Reale Angriffsbeispiele

GitHub (2018) - 1,35-Tbps-Memcached-Angriff

Im Februar 2018 wurde GitHub vom grossten damals registrierten DDoS-Angriff getroffen: 1,35 Tbps mittels Memcached-Amplification. GitHubs Datenverkehr stieg in weniger als 10 Minuten von normal auf 1,35 Tbps. Ihr DDoS-Mitigationsanbieter (Akamai Prolexic) absorbierte den Angriff und der Dienst wurde in etwa 20 Minuten wiederhergestellt.

Dyn DNS (2016) - Das Mirai-Botnet

Das Mirai-Botnet, aufgebaut aus kompromittierten IoT-Geraten, griff die DNS-Infrastruktur von Dyn an und legte einen erheblichen Teil des Internets an der US-Ostkuste lahm. Seiten wie Twitter, Reddit, Netflix und CNN wurden unerreichbar.

Angriffe auf Kleine Unternehmen

Fur jeden Schlagzeilen machenden Angriff auf ein grosses Unternehmen werden Tausende von KMUs ohne Medienberichterstattung getroffen. Wir haben mit Unternehmen in der Schweiz zusammengearbeitet, die genau dieses Szenario erlebt haben. In den meisten Fallen reichte es aus, die Website hinter CloudFlare zu stellen und einfaches Rate Limiting zu implementieren.

Praktische Schritte, die Sie Jetzt Unternehmen Konnen

1. Richten Sie CloudFlare ein (oder einen ahnlichen Dienst). Selbst die kostenlose Stufe ist dramatisch besser als kein Schutz.
2. Verbergen Sie Ihre Origin-IP.
3. Aktivieren Sie Rate Limiting an Ihren sensibelsten Endpunkten.
4. Richten Sie Monitoring ein.
5. Erstellen Sie einen Reaktionsplan.
6. Testen Sie Ihre Belastbarkeit.
7. Uberprufen Sie die DDoS-Richtlinie Ihres Hosting-Anbieters.

Wann Sie Professionelle Hilfe Rufen Sollten

Wenn Ihr Geschaft von der Web-Verfugbarkeit abhangt und Sie sensible Daten oder erhebliche Transaktionsvolumen verarbeiten, hat der Selbstschutz seine Grenzen. Eine professionelle Sicherheitsbewertung kann Lucken in Ihrer Verteidigung identifizieren, die Sie moglicherweise nicht sehen.

Bei Envestis helfen wir Unternehmen in der Schweiz, mehrschichtige DDoS-Schutzstrategien aufzubauen, die auf ihr spezifisches Risikoprofil und Budget zugeschnitten sind. Kontaktieren Sie unser Team, wenn Sie ein klares Bild davon haben mochten, wo Ihre Abwehr steht und was getan werden muss.