Projekt Hibiskus

StartBedrohungenDDoS-Angriffe

Bedrohungsszenario

DDoS-Angriffe

Verfügbarkeit Gezielter Angriff auf die Erreichbarkeit von Diensten
Was ist ein DDoS-Angriff?
Bei einem Distributed-Denial-of-Service-Angriff (DDoS) überfluten Angreifer eine Website, einen Server oder ein Netzwerk mit so vielen Anfragen, dass das System zusammenbricht und für legitime Nutzer nicht mehr erreichbar ist. Die Anfragen stammen dabei von tausenden gekaperten Geräten – einem sogenannten Botnetz.

Angriffsformen im Überblick

Volumetrische Angriffe

Die häufigste Form: Angreifer fluten die Netzwerkverbindung mit schierem Datenvolumen. Ziel ist es, die verfügbare Bandbreite vollständig zu belegen. Selbst einfache Angriffe können heute Hunderte Gigabit pro Sekunde erreichen.

Protokollangriffe (Layer 3/4)

Angriffe auf Netzwerkprotokollebene erschöpfen die Verarbeitungskapazität von Firewalls und Load-Balancern. Typische Beispiele: SYN-Flood, Ping of Death, Smurf-Angriff.

Anwendungsschicht-Angriffe (Layer 7)

Besonders tückisch: HTTP-Floods simulieren echte Nutzeranfragen und sind schwer von legitimem Traffic zu unterscheiden. Selbst kleinvolumige Angriffe können Web-Applikationen zum Absturz bringen, wenn rechenintensive Abfragen gezielt ausgelöst werden.

Ransom-DDoS (RDDoS)

Kriminelle drohen mit einem DDoS-Angriff und fordern Lösegeld, bevor der Angriff beginnt – oder starten einen kurzen „Demonstrationsangriff" als Beweis ihrer Ernsthaftigkeit.

Wer ist besonders gefährdet?

Online-Shops

Umsatzausfälle während Angriffsphasen – besonders kritisch an Spitzentagen wie Black Friday oder dem Saisonstart.

Dienstleister mit Web-Portalen

Buchungsportale, Online-Banking-Partner oder SaaS-Anbieter, deren Kerngeschäft von der ständigen Erreichbarkeit abhängt.

Kritische Infrastruktur

Energieversorger, Logistik und Gesundheitseinrichtungen – hier können Ausfälle unmittelbare Folgen für die Versorgung haben.

Gaming & Medien

Online-Plattformen werden häufig aus Wettbewerbsgründen oder von frustrierten Nutzern angegriffen.

Schutzmaßnahmen

Technisch

  • DDoS-Schutzservice eines Anbieters nutzen (Cloudflare, Akamai, AWS Shield) – diese filtern Angriffstraffic bereits vor dem eigenen Netz
  • Content Delivery Network (CDN) einsetzen: Verteilt Last auf viele Server weltweit und absorbiert volumetrische Angriffe
  • Rate Limiting auf Webservern konfigurieren: Begrenzt Anfragen pro IP-Adresse in einem definierten Zeitraum
  • Web Application Firewall (WAF) für Layer-7-Schutz einsetzen
  • Anycast-Netzwerke nutzen: Verteilen eingehenden Traffic auf viele Knoten
  • Separate Infrastruktur für kritische Dienste – Angriffe auf die Website sollten nicht das interne ERP-System gefährden

Organisatorisch

  • DDoS-Reaktionsplan erstellen: Wer informiert wen? Wann wird der Schutzanbieter aktiviert? Wann werden Kunden informiert?
  • Kontaktdaten des Internet-Providers und des DDoS-Schutzanbieters griffbereit halten
  • Monitoring einrichten: Automatische Alarme bei ungewöhnlichem Traffic-Anstieg
  • Backup-Kommunikationskanal definieren (falls die Firmen-Website ausfällt)

Was tun während eines Angriffs?

Sofortmaßnahmen
Ruhig bleiben – ein DDoS-Angriff ist in der Regel kein Datenverlust-Ereignis. Ziel ist Wiederherstellung der Verfügbarkeit, nicht Spurensuche unter Zeitdruck.
  1. Internet-Provider kontaktieren – viele bieten Upstream-Filterung an
  2. DDoS-Schutzanbieter aktivieren (falls vorhanden)
  3. Nicht auf Lösegeldforderungen eingehen – zahlen stoppt den Angriff selten dauerhaft
  4. Angriffsmuster dokumentieren (Logs, Quell-IPs, Zeitstempel) für spätere Analyse
  5. Kunden und interne Stakeholder über Ausfall informieren
  6. Angriff bei der Bundesnetzagentur oder dem BSI melden (bei kritischer Infrastruktur Pflicht)

Checkliste: DDoS-Resilienz

Weiterführende Ressourcen
BSI-Empfehlung zu DDoS: bsi.bund.de
Cloudflare DDoS-Schutz (kostenlose Basisfunktionen verfügbar): cloudflare.com
ENISA-Bericht zu DDoS-Bedrohungen: enisa.europa.eu