Der DDoS-Wahnsinn: Altes Problem in neuer Qualität

Im Oktober wurden sieben E-Mail-Anbieter Opfer eines breit angelegten DDoS-Angriffs. Die Angriffe liefen über mehrere Tage und legten Posteo, Fastmail oder Mailbox.org teilweise lahm. Den Unternehmen wurde gedroht, ihre Netzwerke bei Nichtzahlung der Lösegeldforderung vom Netz zu nehmen. Es war nur eine kleine Meldung, die in der breiten Öffentlichkeit kaum für Aufsehen sorgte, aber sie steht stellvertretend für die Gefahr von DDoS-Attacken und die Vorgehensweise der Angreifer.

Für Kriminelle ist es so leicht wie nie zuvor, derartige Angriffe zu planen und gerade wenn es dabei um vermeintlich niedrige Lösegeldforderungen geht, dann sind die bevorzugten Ziele nicht unbedingt Milliardenunternehmen wie Amazon oder PayPal, sondern gerade die, bei denen eine DDoS-Attacke zu substantiellen Verlusten abseits schlechter Publicity führt – Dienstleister, Software-Anbieter oder Online-Händler.

Neue Rekorde beim Black Friday

Die Zahl der DDoS-Angriffe ist in den vergangenen Jahren stark gestiegen, einen beispiellosen Aufschwung erlebten sie mit Beginn der Corona-Pandemie. Kein Wunder, wenn man bedenkt, dass viele Unternehmen mit zunehmenden Homeoffice-Möglichkeiten ihre IT-Infrastruktur aufbauen mussten. Eine neue Qualität haben die Angriffe dem IT-Sicherheitsanbieter Link11 zufolge aber im Rahmen der Cyber Week im November erreicht. Mit einem Anstieg um den Black Friday und den Cyber Monday war zu rechnen, „Jedoch fiel die Anzahl der Angriffe dieses Jahr noch höher als erwartet aus und auch die überraschende Wucht der Angriffe sorgte für besorgniserregende Rekorde“, so Link11.

Allein am Black Friday und am Cyber Monday habe die Zunahme bei der Anzahl der Angriffe gegenüber dem Vorjahr mehr als 200 Prozent betragen. Die beliebtesten Ziele der Angreifer waren E-Commerce-Anbieter, Zahlungsdienstleister und Logistikunternehmen, aber auch Hosting- und Cloud-Provider – also alle Säulen des Online-Handels. Link11 verzeichnete am Cyber-Wochenende einen Bandbreitenrekord der Angriffe von 1,1 Terabyte pro Sekunde. „Die Zahlen aus unserem Netzwerk sprechen eine eindeutige Sprache: „Statt Cyber Weekend müsste es Cybercrime Weekend heißen. DDoS-Angriffe zu saisonalen Shopping-Events sind bereits bittere Normalität. Daher können wir für die kommenden Wochen mit digitalem Advents-Shopping keine Entwarnung geben“, resümiert Rolf Gierhard, Vice President Marketing bei Link11.

Sogar das Bundesamt für Sicherheit in der Informationstechnik hatte im November eine Cyber-Sicherheitswarnung wegen drohender DDoS-Angriffe im Online-Handel veröffentlicht. Zudem bestehe für die bevorstehenden Weihnachtsfeiertage eine erhöhte Bedrohungslage für Ransomware-Angriffe. Cyberangriffe sind also längst nicht mehr die Ausnahme, sondern werden in immer kürzeren Abständen für immer mehr Unternehmen zum Problem.

Was ist ein DDoS-Angriff?

Was genau muss man sich unter einer DDoS-Attacke vorstellen? Was ist anders als bei anderen Cyber-Angriffen? Dabei wird schließlich nicht nur ein Server oder ein Rechner mit einem Virus infiziert und lahmgelegt. DDoS steht für „Distributed Denial of Service“. Das Ziel wird dabei durch einen Angriff von vielen Stellen gleichzeitig überlastet. Man stelle sich eine Tür vor, durch die bequem auch 10 Personen nebeneinander laufen können. Wenn nun aber 100 Menschen gleichzeitig hindurch wollen, bleiben sie stecken und verstopfen den Zugang. Man kennt das vom Ticketverkauf beliebter Bands, bei denen nach Minuten die Server zusammenbrechen, weil Tausende Fans unbedingt eine Konzertkarte ergattern wollen, das System für so viele gleichzeitige Zugriffe aber nicht ausgelegt ist. Nur, dass bei einer DDoS-Attacke eben gezielt eine große Menge gleichzeitiger Anfragen abgesetzt wird, um genau diese Überlastung zu erzwingen.

Die Hacker nutzen ungeschützte Geräte – das können Rechner sein, immer öfter aber auch IoT-Geräte, also der berühmte vernetzte Wasserkocher – die sie mit einer Schadsoftware infizieren. Dieses Botnetzwerk kann dann gezielt zum Beispiel gegen eine Webseite benutzt werden, die unter der Last zusammenbricht. Man spricht bei klassischen DDoS-Attacken nicht umsonst von „Flooding“, also dem Überfluten des Zielsystems. Besonders perfide ist dabei das sogenannte HTTP-Flooding. Die Angriffe gehen dabei wie ganz normale Anfragen von normalen Anwendern aus. Herkömmliche Firewalls können diese Angriffe nicht vom regulären Datenverkehr unterschieden und lassen sie durch. Unter der Last von teilweise Millionen Anfragen werden dann häufig nicht nur die Server, sondern auch die Infrastruktur überlastet.

Schutz vor DDoS-Attacken

Klar ist: Ohne DDoS-Schutz geht es nicht mehr, doch wie soll man sich effektiv absichern? Grundsätzlich sollten Systeme immer physisch voneinander getrennt sein, das gilt sowohl für die Hardware als auch die Domains. Man sollte auch erst einen Schutz vor das System schalten und danach auf eine neue IP umziehen, sodass diese IP-Adresse im Internet noch nicht bekannt ist. Im Gespräch mit IT-Experten wird aber auch schnell deutlich: Ohne externe Hilfe geht es nicht. Eine potente Absicherung vor DDoS-Angriffen ist ohne Spezialisten, die sich mit derlei Attacken auskennen, für den Laien nicht realisierbar.

Und hier kann es teuer werden: Ein Online-Händler, der als Einzelunternehmer agiert und keine große IT-Abteilung im Rücken hat, muss die Mechanismen bei Dienstleistern einkaufen. Kostenlose Angebote kann man dabei gleich ganz ignorieren. Grundsätzlich gilt: Setzen Sie sich mit Ihrem Hosting-Anbieter in Verbindung und klären Sie, welche Schutzmechanismen dieser bereithält bzw. anbietet und kümmern Sie sich anschließend darum, einen eigenen Dienstleister zu finden, sofern nötig. Das Motto „Mich wird’s schon nicht treffen“ ist in jedem Fall nicht der beste Berater.

Ausgabe für das Kundenvertrauen

Dass sich die Ausgaben lohnen, zeigen genug Beispiele und gerade Online-Shops können sich Ausfallzeiten eigentlich nicht leisten, wenn sie ihre Conversion Rate nicht zerschießen möchten. Laut Kaspersky dauerte die längste DDoS-Attacke 509 Stunden – also 21 Tage! Was würde es für Händler bedeuten, wenn ihr Online-Shop drei Wochen lang nicht erreichbar wäre? Das ist ein Extrembeispiel, aber es reichen schon ein paar Stunden und das Kundenvertrauen ist hin. Im Schnitt dauern DDoS-Attacken knapp drei Stunden, aber auch im dritten Quartal 2021 kam der längste Angriff auf 339 Stunden.

Nicht immer liegt es natürlich in der eigenen Händler-Hand. Wenn der Shopsoftware-Anbieter getroffen wird, dann können gleichzeitig tausende Online-Shops betroffen sein. Ein Lied davon singen kann etwa der Shopsoftware-Anbieter Shopware. 2017 wurde dessen Website samt einiger weiterer Shopware-Dienste aufgrund von mehreren aufeinanderfolgenden DDoS-Attacken für mehrere Stunden lahmgelegt. Erst unvorbereitet, reagierte man schnell und sicherte die gesamte Server-Infrastruktur mithilfe des Dienstleisters Link11. „Dieser Schutz fängt ungewöhnlich hohe Anfragezahlen von Bot-Netzen rechtzeitig ab und lernt mittels künstlicher Intelligenz automatisch dazu, um Attacken in Zukunft möglichst früh zu erkennen und zu verhindern. Eine solche Cloud ist eine von wenigen wirklich wirksamen Maßnahmen gegen DDoS-Attacken. Denn der Erfolg solcher Angriffe ist völlig unabhängig von Hosting-Dienstleister oder Hardware der verwendeten Server“, erklärte Wiljo Krechting, Manager Public Relations bei Shopware, damals gegenüber OHN. Als gebranntes Kind ist Shopware mittlerweile auf die Angriffe vorbereitet und mit einem blauen Auge davongekommen. Die optimale Lösung ist freilich trotzdem, den Schutz in Position zu haben, bevor er benötigt wird.

Doch angegriffen, was nun?

DDoS-Attacken werden gern mit Lösegeldforderungen in Verbindung gebracht. Die Hacker fordern Beträge in der Kryptowährung Bitcoin, da diese schwer nachzuverfolgen ist. Es ist grundsätzlich davon abzuraten, das Lösegeld, so es denn gefordert wird, zu zahlen, denn damit ist das Problem in den seltensten Fällen behoben. Der Hacker hat bekommen, was er wollte und was sollte ihn daran hindern, noch einmal anzugreifen, sofern er die Seite überhaupt wieder „freigibt“? Von einem Ehrenkodex unter DDoS-Angreifern ist bislang nichts bekannt. Nicht selten handeln die Hacker im Auftrag Dritter. Entsprechende Angriffe können vergleichsweise einfach im Darknet gekauft werden.

Wichtig ist für die Opfer die Zusammenarbeit mit den Behörden. Auch wenn diese oft für ihr fehlendes Digitalverständnis gescholten werden: In der Ermittlungsarbeit hat sich einiges getan und viele der Angreifer werden derzeit tatsächlich gefasst. Strafbar sind die Angriffe natürlich auf jeden Fall! In den häufigsten Fällen handelt es sich um Erpressung nach § 253 StGB und bereits für die versuchte Erpressung drohen bis zu fünf Jahre Haft. Auch ohne Erpressung kann der Tatbestand der Computersabotage (§ 3b StGB) erfüllt sein, für die bis zu drei Jahre Haft möglich sind. Zivilrechtliche Schadensersatzansprüche können ebenfalls geltend gemacht werden, natürlich immer abhängig davon, ob der Täter gefasst wird.

Im besten Fall kommt es aber gar nicht dazu, wenn man sich bereits proaktiv absichert. DDoS-Attacken mögen gerade medial gehypt werden, aber sie sind kein Trend, sondern leidiger Alltag im Online-Geschäft. Sie gehören zu den am weitesten verbreiteten Cyber-Bedrohungen und sie treffen längst nicht nur große Unternehmen.

Dieser Artikel erschien ursprünglich im Onlinehändler Magazin in der Ausgabe 07/2017. Für diese Neuveröffentlichung wurde er umfangreich überarbeitet und aktualisiert.