Zum Inhalt springen
NeoGuard

DDoS (Distributed Denial of Service)

Ein Angriff, der eine Website, einen Server oder ein Netzwerk gleichzeitig mit Datenverkehr aus Tausenden von Quellen überflutet, es überlastet und für legitime Nutzer unerreichbar macht.

Ein DDoS-Angriff (Distributed Denial of Service) überlastet ein Ziel mit Datenverkehr aus vielen Quellen gleichzeitig und macht es unerreichbar. Anders als andere Cyberangriffe, die auf Datendiebstahl abzielen, zielen DDoS-Angriffe auf Störung. Der «Distributed»-Teil bedeutet, dass der Datenverkehr von Tausenden kompromittierten Geräten (einem Botnet) kommt, was das Blockieren nach IP-Adresse allein erschwert.

Wie DDoS-Angriffe funktionieren

  1. Ein Angreifer baut oder mietet ein Botnet: ein Netzwerk aus mit Malware infizierten Geräten (Computer, IoT-Geräte, Server)
  2. Das Botnet wird angewiesen, das Ziel gleichzeitig mit Datenverkehr zu überfluten
  3. Die Server, Bandbreite oder Anwendungsschicht des Ziels wird gesättigt
  4. Legitime Nutzer können den Dienst nicht mehr erreichen

Moderne DDoS-Angriffe können Datenvolumen von über 1 Tbps erzeugen. Selbst kleinere Angriffe können unvorbereitete Ziele lahmlegen.

Arten von DDoS

  • Volumetrisch: Überflutet die Bandbreite mit massivem Datenverkehr (UDP-Floods, DNS-Amplification). Der häufigste Typ.
  • Protokoll: Nutzt Schwächen in Netzwerkprotokollen, um Serverressourcen zu erschöpfen (SYN-Floods, Ping of Death).
  • Application Layer: Zielt auf bestimmte Dienste (HTTP-Floods, die wie legitime Webanfragen aussehen). Schwerer zu erkennen, da jede Anfrage normal erscheint.

Auswirkungen auf Unternehmen

  • Umsatzverlust: Jede Minute Ausfallzeit kostet Geld, besonders für E-Commerce und SaaS
  • Reputationsschaden: Kunden verlieren Vertrauen, wenn Dienste wiederholt nicht erreichbar sind
  • Ablenkung: DDoS-Angriffe werden manchmal als Deckung genutzt, während Angreifer über andere Vektoren in Systeme eindringen
  • Erpressung: Ransom-DDoS (RDDoS) droht mit einem Angriff, falls keine Zahlung erfolgt

Schutz

  • Firewall und Rate Limiting: Eine erste Verteidigungslinie, die offensichtlichen Angriffsverkehr filtern und Anfragerate begrenzen kann.
  • CDN/DDoS-Schutzdienste: Cloudflare, AWS Shield oder Akamai absorbieren und filtern Angriffsverkehr, bevor er Ihre Server erreicht.
  • Traffic-Analyse: Verhaltensüberwachung zur Unterscheidung von Angriffsverkehr und legitimen Lastspitzen.
  • Anycast-Routing: Verteilt Datenverkehr über mehrere Rechenzentren und verhindert einzelne Überlastungspunkte.
  • Notfallplan: Ein dokumentierter Reaktionsplan mit Kontaktdaten Ihres Hosting-Anbieters und DDoS-Abwehrdienstes.

DDoS in der Schweiz

Schweizer Finanzinstitute, Behördendienste und E-Commerce-Plattformen sind regelmässige Ziele. Das BACS berichtet über zunehmende DDoS-Aktivität im Zusammenhang mit geopolitischen Ereignissen, wobei Angriffe oft mit politischen Entscheidungen oder in der Schweiz stattfindenden internationalen Gipfeln zusammenfallen.

Verwandte Begriffe

FirewallMalwareBACS (Bundesamt für Cybersicherheit)