Jedes zweite deutsche Unternehmen ist mindestens schon einmal Opfer einer DDoS-Attacke (Distributed Denial of Service) geworden - und das mit Sicherheit vor gar nicht allzu langer Zeit. Regelmäßig zeigen Studien die Anfälligkeit gegen diese vergleichsweise einfachen, gleichwohl immer ausgefeilteren Angriffsvektoren auf. Wessen Geschäft hauptsächlich im Betrieb eines Online-Shops und/oder -Services besteht, ist unmittelbar betroffen - Unternehmen, die teilweise auf Cloud-Infrastruktur zurückgreifen, stehen ebenfalls in der DDoS-Schusslinie. Es kann jeden erwischen - jederzeit, unvorbereitet und mit kaum abschätzbaren Konsequenzen.
Als Erinnerung und Warnung gleichermaßen zeigen wir Ihnen die größten bekanntgewordenen DDoS-Angriffe der vergangenen fünf Jahre:
Spektakuläre DDoS-Attacken 2012-2016
2016: HSBC
Die britische Bank HSBC fällt einem DDoS-Angriff zum Opfer - Kunden können ihren Online-Account geschlagene 48 Stunden nicht erreichen. Und das zwei Tage vor Abgabefrist der Steuererklärung.
Die britische Bank HSBC fällt einem DDoS-Angriff zum Opfer - Kunden können ihren Online-Account geschlagene 48 Stunden nicht erreichen. Und das zwei Tage vor Abgabefrist der Steuererklärung.
2015: Microsoft Xbox Live
Das kostenpflichtige Gaming-Network Xbox Live von Microsoft soll in der Weihnachtswoche mittels DDoS angegriffen werden - diese Drohung wird im Dezember 2015 bekannt. Die Angreifer wollen damit angeblich auf weiterhin bestehende Sicherheitslücken in Microsoft-Diensten hinweisen. Auch Sonys Konkurrenzangebot, das Playstation Network, solle attackiert werden.
Das kostenpflichtige Gaming-Network Xbox Live von Microsoft soll in der Weihnachtswoche mittels DDoS angegriffen werden - diese Drohung wird im Dezember 2015 bekannt. Die Angreifer wollen damit angeblich auf weiterhin bestehende Sicherheitslücken in Microsoft-Diensten hinweisen. Auch Sonys Konkurrenzangebot, das Playstation Network, solle attackiert werden.
2015: Carphone Warehouse
Der britische Telekommunikationsanbieter Carphone Warehouse fällt einer DDoS-Attacke zum Opfer. Und als wäre das nicht schon genug, werden zusätzlich auch noch Millionen Kundendaten von den Angreifern kopiert.
Der britische Telekommunikationsanbieter Carphone Warehouse fällt einer DDoS-Attacke zum Opfer. Und als wäre das nicht schon genug, werden zusätzlich auch noch Millionen Kundendaten von den Angreifern kopiert.
2014: 300 Gbps
300 Gigabit pro Sekunde: In diesem Ausmaß hat es noch nie einen DDoS-Angriff gegeben. Mithilfe von 100.000 ungepatchten Servern greift ein Botnet ein nicht näher bekanntes Rechenzentrum an.
300 Gigabit pro Sekunde: In diesem Ausmaß hat es noch nie einen DDoS-Angriff gegeben. Mithilfe von 100.000 ungepatchten Servern greift ein Botnet ein nicht näher bekanntes Rechenzentrum an.
2014: 400 Gbps
Nur ein halbes Jahr später geht es noch heftiger: Mit einem NTP-basierten (Network Time Protocol) DDoS-Angriff wird eine Internetanbieter attackiert.
Nur ein halbes Jahr später geht es noch heftiger: Mit einem NTP-basierten (Network Time Protocol) DDoS-Angriff wird eine Internetanbieter attackiert.
2013: chinesisches Internet
Teile des Chinesischen Internets sind von einer der größten DDoS-Attacken bisher lahmgelegt. Und das, obwohl die Regierung des Reichs der Mitte eines der weltbesten Security-Systeme samt entsprechend ausgebildetem Personal aufweisen kann.
Teile des Chinesischen Internets sind von einer der größten DDoS-Attacken bisher lahmgelegt. Und das, obwohl die Regierung des Reichs der Mitte eines der weltbesten Security-Systeme samt entsprechend ausgebildetem Personal aufweisen kann.
2013: Spamhaus
Sie kämpft gegen unerwünschte E-Mails, doch jetzt ist die Organisation Spamhaus selbst Ziel eines Angriffs mit massenhaften Abfragen geworden. Die Attacke beeinträchtigte sogar den regulären Datenverkehr im Netz.
Sie kämpft gegen unerwünschte E-Mails, doch jetzt ist die Organisation Spamhaus selbst Ziel eines Angriffs mit massenhaften Abfragen geworden. Die Attacke beeinträchtigte sogar den regulären Datenverkehr im Netz.
2013: Dispatch International
Die Website der Wochenzeitung "Dispatch International" wird massiv angegriffen. Aufgrund des Angriffs erscheint die Zeitung verspätet.
Die Website der Wochenzeitung "Dispatch International" wird massiv angegriffen. Aufgrund des Angriffs erscheint die Zeitung verspätet.
2012: 50Hertz
Die Internet-Infrastruktur des Stromnetzbetreibers 50Hertz wird von Unbekannten angegriffen. Aus einem Botnetz heraus werden Websites und Mail-Infrastruktur des Hochspannungsstromnetz-Betreibers per DDoS-Attacke unter Beschuss genommen. Alle extern erreichbaren Services fallen vorübergehend aus.
Die Internet-Infrastruktur des Stromnetzbetreibers 50Hertz wird von Unbekannten angegriffen. Aus einem Botnetz heraus werden Websites und Mail-Infrastruktur des Hochspannungsstromnetz-Betreibers per DDoS-Attacke unter Beschuss genommen. Alle extern erreichbaren Services fallen vorübergehend aus.
2012: Pizza.de / Lieferando
UDP-Flooding und DDoS-Attacken sorgen für den Zusammenbruch der Websites von pizza.de und lieferando.de. Nach der Uplink-Ausfilterung beginnt eine zweite Angriffswelle. Es folgt eine Razzia beim Konkurrenten lieferheld.de - ohne Ergenis. Die Betroffenen loben 100.000 für die Ergreifung der Verantwortlichen aus.
UDP-Flooding und DDoS-Attacken sorgen für den Zusammenbruch der Websites von pizza.de und lieferando.de. Nach der Uplink-Ausfilterung beginnt eine zweite Angriffswelle. Es folgt eine Razzia beim Konkurrenten lieferheld.de - ohne Ergenis. Die Betroffenen loben 100.000 für die Ergreifung der Verantwortlichen aus.
2012: UPC
Die Internet-Präsenz des österreichischen TK-Unternehmens UPC ist vermutlich aufgrund von DDoS-Attacken und SQL-Injection vorübergehend nicht erreichbar. Als Angreifer wurden Anonymous-Hacker aus Österreich vermutet, die auf diese Weise ihre Kritik an der geplanten Vorratsdatenspeicherung äußern wollen.
Die Internet-Präsenz des österreichischen TK-Unternehmens UPC ist vermutlich aufgrund von DDoS-Attacken und SQL-Injection vorübergehend nicht erreichbar. Als Angreifer wurden Anonymous-Hacker aus Österreich vermutet, die auf diese Weise ihre Kritik an der geplanten Vorratsdatenspeicherung äußern wollen.
Wie können Sie sich gegen derartige Attacken schützen? Auch darauf gibt es eine Antwort:
So bekämpfen Sie DDoS-Attacken wirksam
Schützen Sie Ihr Unternehmen gegen DDoS-Attacken
Die Frequenz und der Umfang von DDoS-Attacken nehmen täglich zu. Aufgrund der steigenden Popularität dieser Angriffe sollten Unternehmen frühzeitig Abwehrmaßnahmen in Stellung bringen. Denn schlechte Netzwerkperformance sowie Ausfälle der Website und der Applikationen verursachen nicht nur hohe Kosten, sondern auch einen nicht zu unterschätzenden Reputationsverlust. Die gute Nachricht: Es gibt Maßnahmen, um den negativen Effekt zu minimieren. Markus Härtner, Senior Director Sales bei <a href="https://f5.com/">F5 Networks</a> gibt Ihnen zehn Tipps zur Hand, wie Sie die Auswirkungen einer Attacke auf Ihr Unternehmen gering halten.
Die Frequenz und der Umfang von DDoS-Attacken nehmen täglich zu. Aufgrund der steigenden Popularität dieser Angriffe sollten Unternehmen frühzeitig Abwehrmaßnahmen in Stellung bringen. Denn schlechte Netzwerkperformance sowie Ausfälle der Website und der Applikationen verursachen nicht nur hohe Kosten, sondern auch einen nicht zu unterschätzenden Reputationsverlust. Die gute Nachricht: Es gibt Maßnahmen, um den negativen Effekt zu minimieren. Markus Härtner, Senior Director Sales bei <a href="https://f5.com/">F5 Networks</a> gibt Ihnen zehn Tipps zur Hand, wie Sie die Auswirkungen einer Attacke auf Ihr Unternehmen gering halten.
1. Angriff verifizieren
Zunächst gilt es, Gründe wie DNS-Fehlkonfiguration, Probleme beim Upstream-Routing oder menschliches Versagen definitiv auszuschließen.
Zunächst gilt es, Gründe wie DNS-Fehlkonfiguration, Probleme beim Upstream-Routing oder menschliches Versagen definitiv auszuschließen.
2. Teamleiter informieren
Die für Betriebsabläufe und Applikationen zuständigen Teamleiter müssen die angegriffenen Bereiche identifizieren und die Attacke "offiziell" bestätigen. Dabei ist es wichtig, dass sich alle Beteiligten einig sind und kein Bereich übersehen wird.
Die für Betriebsabläufe und Applikationen zuständigen Teamleiter müssen die angegriffenen Bereiche identifizieren und die Attacke "offiziell" bestätigen. Dabei ist es wichtig, dass sich alle Beteiligten einig sind und kein Bereich übersehen wird.
3. Ressourcen bündeln
Ist ein Unternehmen einer massiven DDoS-Attacke ausgesetzt, müssen zügig die wichtigsten Anwendungen bestimmt und am Laufen gehalten werden. Bei begrenzten Ressourcen sollten sich Unternehmen auf die Applikationen konzentrieren, die den meisten Umsatz generieren.
Ist ein Unternehmen einer massiven DDoS-Attacke ausgesetzt, müssen zügig die wichtigsten Anwendungen bestimmt und am Laufen gehalten werden. Bei begrenzten Ressourcen sollten sich Unternehmen auf die Applikationen konzentrieren, die den meisten Umsatz generieren.
4. Remote-User schützen
Durch Whitelisting der IP-Adressen von berechtigten Nutzern haben diese weiterhin Zugriff auf die Systeme, und die Geschäftskontinuität wird aufrechterhalten. Diese Liste sollte im Netzwerk und gegebenenfalls an den Service Provider weitergereicht werden.
Durch Whitelisting der IP-Adressen von berechtigten Nutzern haben diese weiterhin Zugriff auf die Systeme, und die Geschäftskontinuität wird aufrechterhalten. Diese Liste sollte im Netzwerk und gegebenenfalls an den Service Provider weitergereicht werden.
5. Attacke klassifizieren
Um welche Art von Angriff handelt es sich? Volumetrisch oder langsam und unauffällig? Ein Service Provider informiert seinen Kunden gewöhnlich, wenn es sich um eine volumetrische Attacke handelt, und hat dann bestenfalls schon Gegenmaßnahmen eingeleitet.
Um welche Art von Angriff handelt es sich? Volumetrisch oder langsam und unauffällig? Ein Service Provider informiert seinen Kunden gewöhnlich, wenn es sich um eine volumetrische Attacke handelt, und hat dann bestenfalls schon Gegenmaßnahmen eingeleitet.
6. Bestimmte IP-Adressenbereiche blockieren
Bei komplexen Angriffen kann es sein, dass der Service Provider die Quellenanzahl nicht bestimmen und die Attacke nicht abwehren kann. Dann empfiehlt es sich, identifizierte IP-Adressen von Angreifern direkt an der Firewall zu blockieren. Größere Angriffe lassen sich per Geolocation – dem Verbot des Zugriffs auf die Unternehmensserver aus bestimmten Regionen – bekämpfen.
Bei komplexen Angriffen kann es sein, dass der Service Provider die Quellenanzahl nicht bestimmen und die Attacke nicht abwehren kann. Dann empfiehlt es sich, identifizierte IP-Adressen von Angreifern direkt an der Firewall zu blockieren. Größere Angriffe lassen sich per Geolocation – dem Verbot des Zugriffs auf die Unternehmensserver aus bestimmten Regionen – bekämpfen.
7. Angriffe auf Applikationslayer abwehren
Zunächst gilt es, den bösartigen Traffic zu identifizieren und festzustellen, ob dieser von einem bekannten Angriffstool stammt. Spezifische Attacken auf Applikationsebene lassen sich auf Fall-zu-Fall-Basis mit gezielten Gegenmaßnahmen abwehren – dazu sind möglicherweise die schon vorhandenen Security-Lösungen in der Lage.
Zunächst gilt es, den bösartigen Traffic zu identifizieren und festzustellen, ob dieser von einem bekannten Angriffstool stammt. Spezifische Attacken auf Applikationsebene lassen sich auf Fall-zu-Fall-Basis mit gezielten Gegenmaßnahmen abwehren – dazu sind möglicherweise die schon vorhandenen Security-Lösungen in der Lage.
8. Sicherheitsperimeter richtig einsetzen
Sollte es immer noch Probleme geben, liegt das potenziell an einer asymmetrischen Layer-7-DDoS-Flut. In diesem Fall ist es sinnvoll, sich auf die Verteidigung der Applikationen zu konzentrieren, und zwar mittels Login-Walls, Human Detection und Real Browser Enforcement.
Sollte es immer noch Probleme geben, liegt das potenziell an einer asymmetrischen Layer-7-DDoS-Flut. In diesem Fall ist es sinnvoll, sich auf die Verteidigung der Applikationen zu konzentrieren, und zwar mittels Login-Walls, Human Detection und Real Browser Enforcement.
9. Ressourcen einschränken
Sollten sich alle vorherigen Schritte als unwirksam herausstellen, ist die Begrenzung von Ressourcen, wie die Übertragungsrate und die Verbindungskapazitäten, eine letzte – radikale – Möglichkeit. Eine solche Maßnahme hält den schlechten, aber auch den guten Traffic ab. Stattdessen können Applikationen auch deaktiviert oder in den Blackhole-Modus geschaltet werden – dann läuft der Angriff ins Leere.
Sollten sich alle vorherigen Schritte als unwirksam herausstellen, ist die Begrenzung von Ressourcen, wie die Übertragungsrate und die Verbindungskapazitäten, eine letzte – radikale – Möglichkeit. Eine solche Maßnahme hält den schlechten, aber auch den guten Traffic ab. Stattdessen können Applikationen auch deaktiviert oder in den Blackhole-Modus geschaltet werden – dann läuft der Angriff ins Leere.
10. Kommunikation planen
Gelangen Informationen über den Angriff an die Öffentlichkeit, sollten die Mitarbeiter informiert und eine offizielle Stellungnahme vorbereitet werden. Sofern es die Unternehmensrichtlinien erlauben, empfiehlt es sich, die Attacke zuzugeben. Andernfalls können „technische Probleme“ kommuniziert werden. Mitarbeiter sollten auf jeden Fall die Anweisung bekommen, sämtliche Anfragen an die PR-Abteilung weiterzuleiten.
Gelangen Informationen über den Angriff an die Öffentlichkeit, sollten die Mitarbeiter informiert und eine offizielle Stellungnahme vorbereitet werden. Sofern es die Unternehmensrichtlinien erlauben, empfiehlt es sich, die Attacke zuzugeben. Andernfalls können „technische Probleme“ kommuniziert werden. Mitarbeiter sollten auf jeden Fall die Anweisung bekommen, sämtliche Anfragen an die PR-Abteilung weiterzuleiten.