DDoS attacks

Was sind DDoS Angriffe und wie kannst du sie effektiv verhindern?

Mit der eigenen Website ins Visier von zwielichtigen Gestalten zu geraten – das ist eine Horrorvorstellung. Leider wird es heute immer leichter und günstiger, Dienste in Anspruch zu nehmen, um Websites für den normalen Traffic unzugänglich zu machen. Speziell DDoS Angriffe nehmen immer mehr zu.

Die Gefahr durch einen DDoS Angriff gilt für alle Websites, und auch du solltest dir dessen bewusst sein. Die Abkürzung steht für „Distributed Denial of Service“ und wird auch als „verteilter Netzwerkangriff“ bezeichnet. Hierbei werden der Server und andere Netzwerksysteme einer Website gezielt durch Anfragen vieler Geräte überlastet und in die Knie gezwungen.

Attacken dieser Art sind leider eine weit verbreitete Bedrohung. Je bekannter deine Website ist, desto größer ist die Wahrscheinlichkeit, dass jemand deinen Umsatz oder Ruf durch einen DDoS Angriff zu schädigen versucht. Das kann verheerend sein – vor allem, wenn du nicht weißt, was vor sich geht oder wie du damit umgehen sollst.

In der heutigen Zeit wird es auch immer einfacher und günstiger, DDoS Dienste zu kaufen. Deswegen sind Unternehmen und Websites stärker gefährdet denn je. Mit den richtigen Vorsichtsmaßnahmen können DDoS Angriffe verhindert oder auch im Verlauf gestoppt werden.

Was sind DDoS Angriffe?

Ein DDoS Angriff ist ein plötzlicher Zustrom von künstlichem Datenverkehr, der den Server einer Website lahmlegen soll. Wenn dein Server mehr Anfragen erhält, als er bewältigen kann, wird er langsamer oder stürzt ab – sodass niemand mehr deine Website laden kann.

Zum Vergleich: Ein normaler Denial of Service Angriff (DoS Angriff) kann von einer einzelnen Quelle ausgehen. Im Gegensatz dazu besteht ein DDoS Angriff aus einer großen Menge gezielter Anfragen dutzender, hunderter oder auch tausender Einzelgeräte. Dabei handelt es sich meistens um gekaperte Computer, die gehackt wurden und auf denen heimlich bösartige Software im Hintergrund läuft. Zusammen bilden diese Geräte ein Botnetz oder auch Zombie Netzwerk.

DDoS Attack Botnet Illustration
Wie ein Botnetz funktioniert

Botnetze beschränken sich aber nicht auf Computer und Telefone. Auch Tablets, Überwachungskameras oder sogar Haushaltsgeräte wie internetfähige Geschirrspüler, Fernseher oder Babyfone (die oft miserabel oder gar nicht gesichert sind) können ein Botnetz bilden.

Das macht einen DDoS Angriff auch so perfide. Da es sich dabei um echte Geräte an verschiedenen Standorten handelt, erscheinen sie als normale Zugriffe und können – selbst während eines aktiven Angriffs – nur schwer von echten Clients unterschieden werden.

DDoS Angriffe dauern meist höchstens ein paar Stunden. In schweren Fällen können sie aber auch tagelang anhalten. Der längste DDoS Angriff aller Zeiten erstreckte sich über 509 Stunden oder fast 21 Tage. Doch selbst die extremen Fälle lösen sich in der Regel innerhalb von ein oder zwei Tagen von selbst: Über 80 Prozent der Angriffe dauern weniger als vier Stunden. Mehr als 90 Prozent sind nach spätestens neun Stunden vorbei.

DDoS Attack Statistic Duration
Report über Verteilung der DDoS Angriffe nach Dauer (in Stunden) in Q3 und Q4 2019

Was passiert während einer DDoS Attacke?

Netzwerkressourcen wie Webserver können nur eine bestimmte Anzahl von Anfragen gleichzeitig verarbeiten. Auch die Bandbreite der Internetverbindung des Servers und anderer Ebenen des Netzwerks ist beschränkt.

Es können daher verschiedene Angriffspunkte attackiert werden – auch gleichzeitig. Je komplexer die Offensive, desto schwerer ist der Angriffsverkehr von normalen Anfragen zu unterscheiden. Als Konsequenz greifen Gegenmaßnahmen eventuell schlechter.

DDoS Attack OSI Layers
Das OSI Modell erklärt

Sobald die Anzahl von Anfragen auf die Netzwerkkomponenten die Kapazitätsgrenze überschreiten, gerät deine Website sofort ins Stocken. Die Ladezeiten nehmen zu, der Aufruf der Website dauert immer länger. Eventuell stürzt der Server sogar ganz ab und reagiert überhaupt nicht mehr auf Anfragen. Wenn deine WordPress Benutzeroberfläche oder Serververwaltung wie cPanel auch dort liegen, kannst du dich dann auch nicht mehr einloggen und auf sie zugreifen.

Schlimmer allerdings ist das Nachspiel eines DDoS Angriffs: Für betroffene Unternehmen und Organisationen kann er erhebliche wirtschaftliche Schäden bedeuten. Abhängig von der Verkaufszeit kann der Umstand, wenige Minuten nicht erreichbar zu sein, schnell zigtausend Euro an entgangenen Gewinnen kosten.

Auch der Imageverlust ist nicht zu unterschätzen. 88 Prozent kehren nach einer schlechten Erfahrung – etwa extrem langen Ladezeiten – seltener zu einer Website zurück. Dadurch entgeht dir nicht nur eventuelle neue Kundschaft (die vielleicht nie wiederkehrt), sondern auch deine reguläre Kundschaft ist wahrscheinlich verärgert und gibt dir die Schuld für die Ausfallzeit.

Gelingt es dir nicht, schnell mit deinem Hoster zu sprechen, damit dieser den Server abschaltet, könntest du am Ende auf Terabytes an teuren Bandbreitenüberschreitungen sitzenbleiben.

Die gute Nachricht: DDoS Angriffe können zwar enorme Folgen haben, doch sie stellen in der Regel kein direktes Sicherheitsrisiko dar. Deine Website kann zwar aus dem Netz genommen werden – die Anmeldeinformationen wie Usernames werden aber nicht automatisch kompromittiert.

*“ zeigt erforderliche Felder an

Ich möchte den Newsletter abonnieren, um über neue Blogbeiträge, E-Books, Features und News rund um WordPress informiert zu werden. Meine Einwilligung kann ich jederzeit widerrufen. Bitte beachte unsere Hinweise zum Datenschutz.
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Warum geraten Websites ins Visier eines DDoS Angriffs?

Es gibt viele Gründe, warum du angegriffen werden könntest. Ziel ist in jedem Fall aber, deine Website für andere unzugänglich zu machen. Dies kann aus verschiedenen Gründen passieren:

  • Als Reaktion auf eine kontroverse Aussage deinerseits oder auf eine Entscheidung eines Unternehmens, mit welcher jemand nicht einverstanden ist (Hacktivismus).
  • Deine wirtschaftliche Konkurrenz kann sich dazu entschließen, deine Website während einer wichtigen Verkaufszeit abzuschalten, sodass nur noch seine Website erreichbar ist.
  • Um deinen Ruf zu schädigen.
  • Um dein IT Personal abzulenken, während in deine Website eingebrochen wird. (Dies ist ein seltener Fall, in dem DDoS Angriffe tatsächlich gefährlich sein können).
  • Um Lösegeld zu fordern.
  • Oder einfach aus Langeweile.

Es ist überraschend einfach und günstig, ein Botnetz zu mieten und eine Website für kurze Zeit abzuschalten. Andere haben die Vorarbeit bereits geleistet und nun kann jeder ihre Dienste vorübergehend kaufen.

Als Folge hat die Häufigkeit und Stärke von DDoS Angriffen im Verlauf stark zugenommen. Was auch immer die Motivation dahinter sein mag: leichterer Zugang ist ein wichtiger Anreiz für kleinere DDoS Angriffe. Glücklicherweise sind diese am einfachsten zu stoppen.

Wie du dich auf DDoS Angriffe vorbereitest

Vorbereitet sein ist das beste Mittel gegen Attacken dieser Art. Entwickle einen Plan für den Worst Case, bevor etwas passiert. Die Frage ist nicht unbedingt ob, sondern wann ein Angriff auf deine Website stattfindet. Daher ist Vorsicht besser als Nachsicht. Hier sind ein paar Tipps, wie du DDoS Angriffe vermeiden kannst.

Formuliere einen Notfallplan

Wie bereits erwähnt, ist der beste Weg, dieser Bedrohung entgegenzuwirken, vorbereitet zu sein. Setz dich mit deinem IT Team zusammen, damit alle genau wissen, was im Fall der Fälle zu tun ist.

Notfallplan zur DDoS Abwehr

Erstelle einen Notfallplan, der genau darlegt, was jeder im Falle eines DDoS Angriffs zu tun hat: Wer ist für die IP Sperrung zuständig? Wer kontaktiert den Webhoster und die Sicherheitsanbieter? Wer überwacht, wie und wo der Angriff stattfindet?

Stell dich auch auf einen Zustrom von Beschwerden über Telefon, E-Mail und soziale Medien ein. Die Leute werden wissen wollen, was vor sich geht und warum sie nicht auf deine Website zugreifen können. Überlege, wie möglichst viele dieser Interaktionen automatisiert werden können, da für die Dauer des Angriffs alle Augen anderswo benötigt sein werden.

Wähle Managed Hosting

Wenn du kein Team von erfahrenen IT Fachleuten hast, das sich mit diesem Thema befassen kann, ist Managed Hosting die nächstbeste Möglichkeit. Wähle einen Hoster, der DDoS Schutzmaßnahmen anbietet. Auf diese Weise wird er sich um alles Technische kümmern, um deine Website zu schützen und so schnell wie möglich wieder ans Laufen zu bringen.

Dabei ist es wichtig, gründlich zu recherchieren. Frag deinen Webhoster, ob er DDoS Schutz anbietet, was genau er während eines Angriffs tut und wie er mit Gebühren für Bandbreitenüberschreitungen umgeht.

Richte eine Uptime Überwachung ein

Die automatische Überwachung der Erreichbarkeit deiner Website ist eine entscheidende Früherkennungsmethode. Ein Uptime Überwachungsservice benachrichtigt dich per E-Mail und Pushnachrichten innerhalb von Minuten, wenn deine Website abstürzt oder sich stark verlangsamt.

Dein Webhoster bietet diesen Service möglicherweise von Haus aus an. Wenn nicht, gibt es mit Pingdom eine kostenpflichtige, professionelle Lösung oder mit Uptime Robot eine kostenlose, die alle fünf Minuten deine Website anpingt. Eine weitere Lösung ist Uptrends.

Verwende eine Firewall und ein Content Delivery Network (CDN)

Eine Web Application Firewall (WAF) ist eine der besten Abwehrmaßnahmen gegen einen DDoS Angriff. Sie sitzt zwischen deiner Website und den Anfragen und filtert den Netzverkehr, um bösartige Zugriffe auszuschließen. Hierdurch hilft sie nicht nur beim Schutz vor Angriffen, sondern kann auch DDoS Attacken durch die Eingrenzung von Anfragen eindämmen.

DDoS Attack Web Application Firewall
Wie eine Web Application Firewall funktioniert

Wenn beim Angriff keine ausgeklügelte Technologie verwendet wird, kommt der DDoS Angriff möglicherweise gar nicht auf deiner Website an. Selbst bei teilweisem Erfolg wird ein großer Teil dieses Datenverkehrs eliminiert.

Um eine Firewall einzurichten, kannst du einen Dienst wie Cloudflare oder Sucuri probieren. Weitere Anbieter findest du hier.

Ein CDN oder Content Delivery Network kann dir dabei auch helfen – denn eine Website, die ein solches Netzwerk benutzt, ist etwas schwieriger auszuschalten. Bei einem CDN liegen Kopien der Website auf verschiedenen Servern an unterschiedlichen Orten.

DDoS Attack Content Delivery Network
Lokaler Server vs. Content Delivery Network

Auf diese Weise ist ein Comeback nach starker Belastung einfacher. Es ist jedoch keine ausfallsichere Lösung. Wenn dein Hauptserver direkt angegriffen wird, kann ein CDN die Auswirkungen nur verringern, nicht aber aufhalten. Trotzdem ist es eine gute Investition, zumal viele Dienste in ihren Paketen sowohl ein CDN als auch DDoS Schutz bündeln.

Was tun während eines DDoS Angriffs?

Egal, ob du das hier liest, wenn das Kind schon in den Brunnen gefallen ist, oder nur um dich auf den schlimmsten Fall vorzubereiten: Hier sind ein paar Tipps, was zu tun ist, wenn deine Website angegriffen wird. Du kannst nicht immer etwas machen, um einen DDoS Angriff zu stoppen, aber du bist auch nicht komplett machtlos.

1. Keine Panik

Es kann beängstigend sein, eine E-Mail zu erhalten, die sagt, dass deine Website nicht mehr erreichbar ist. Ein Postkasten voll mit Beschwerden ist ebenso unangenehm. Du versuchst deine Website zu besuchen oder dich einzuloggen – und sie weigert sich einfach zu laden. Panik setzt ein.

Aber auch wenn es eine unschöne Situation ist, sind DDoS Angriffe nicht per se gefährlich. Deine Daten sind immer noch sicher, dein Login wurde nicht gehackt. Du solltest natürlich wachsam sein und sicherstellen, dass in der ganzen Aufregung niemand versucht dein Administratorkonto mit roher Gewalt zu knacken. Aber ein DDoS Angriff alleine ist nur eine Gefahr für deinen Ruf und sonst nichts.

Unabhängig davon, ob du vorbereitet bist oder du dich jetzt zum ersten Mal damit befasst: Ab einem bestimmten Punkt gibt es nichts weiter zu tun, als abzuwarten. Ein DDoS Angriff kostet Angreifer:innen Geld und Ressourcen – es wird also nicht ewig so weitergehen.

Nur sehr große und prominente Unternehmen werden wahrscheinlich langwierigen Angriffen ausgesetzt. Die Chancen stehen gut, dass in wenigen Stunden alles vorbei sein wird. Befolge die folgenden Schritte und mache dir sonst keinen Stress.

2. Sage deinem Webhoster Bescheid

Im Falle eines DDoS Angriffs solltest du dich – so schnell wie möglich – mit deinem Webhoster in Verbindung setzen, um ihn über die Situation zu informieren. Falls du es noch nicht getan hast, frage ihn nach Überziehungsgebühren und DDoS Schutzmaßnahmen. Wenn er so etwas anbietet, wird er sich schnell an die Arbeit machen, um den Angriff zu stoppen.

Selbst wenn dies nicht der Fall ist, wirst du erfahren, was (wenn überhaupt) der Angriff dich kosten wird. Noch dazu kann der Provider deinen Server abschalten, falls die Situation zu lange andauert.

Bandbreitenüberschreitungen können teuer sein und Datenverkehr von gekaperten Computern fließt schnell. Sprich so bald wie möglich mit deinem Hoster und – wenn du es noch nicht getan hast – suche nach einem, der DDoS Prävention und Notfalldienste im Paket anbietet.

3. Richte ein CDN und eine Firewall ein

Falls auf deinem Server noch kein CDN und keine Firewall eingerichtet ist, ist jetzt ein guter Zeitpunkt dafür. Anbieter von Sicherheitsdiensten werden dir gerne weiterhelfen und arbeiten oft direkt mit dir zusammen, um den schadhaften Datenverkehr sofort zu blockieren.

Sucuri und Cloudflare sind die beiden beliebtesten DDoS Präventionsdienste. Sobald du sie in Betrieb genommen hast, sollten ihre automatischen Maßnahmen sofort in Kraft treten und die Auswirkungen des Angriffs verringern. Im deutschsprachigen Raum gibt es auch noch Akamai.

Falls du keine Ergebnisse siehst, aktiviere den „Under Attack Modus“ von Cloudflare oder kontaktiere deinen Anbieter und bitte um zusätzliche Unterstützung.

4. Nutze Geoblocking und IP Blockierung

Du kannst die Situation auch manuell verbessern, indem du IP Adressen blockierst, die nicht zu echten Clients gehören. IP Adressen sind die individuelle Kennzeichnung, die jedes Gerät im Internet erhält.

Wenn eine bestimmte IP während eines aktiven Angriffs deine Website dutzende, hunderte oder tausende Male besucht, blockiere sie einfach. Dann kann das Gerät keinen weiteren Schaden anrichten und wird einfach abgewiesen. So kannst du einen Teil des Problems selbst beheben. Dein Webhoster bietet eventuell auch einen IP Blocker für solche Zwecke.

IP Blocking Funktion bei Raidboxes

Alternativ kannst du auch einfach die IP Blocking Funktion von Raidboxes nutzen. Du findest sie über deine Boxeinstellungen.

Geoblocking ist auch eine gute Lösung. Hierbei werden IP Adressen aus ganzen Teilen der Welt flächendeckend gesperrt. Dies eignet sich sehr gut, wenn ein Großteil des Datenverkehrs hauptsächlich aus bestimmten Ländern kommt. Diese Funktion ist Teil vieler WordPress Sicherheitsplugins. Es gibt auch Erweiterungen wie IP2Location Country Blocker, die gezielt hierfür eingesetzt werden können.

IP Blockierung ist nicht immer effektiv – oder nicht sehr lange wirksam – da eventuell einfach nur die IP Adresse geändert und deine Website wieder mit Anfragen überschwemmt wird. Aber einen Versuch ist es wert.

Web Application Firewalls erfüllen viele dieser Funktionen automatisch. Du kannst aber auch hier schauen, ob es möglich ist, Proxies zu blockieren, Zugriffsbeschränkungen anzuschalten oder vorhandene IP Zugriffskontrolllisten zu aktivieren.

Fazit: DDoS Angriffe effektiv verhindern

Wenn jemand entschlossen genug ist und die nötigen Ressourcen besitzt, ist es leider unmöglich, diese Person davon abzuhalten, einen DDoS Angriff gegen deine Website zu starten. Das bedeutet aber nicht, dass du einfach die Hände in den Schoß legen solltest. Du kannst verschiedene Maßnahmen ergreifen, um die Mehrzahl kleinerer Angriffe zu verhindern und die Folgen zu minimieren.

Selbst wenn sich eine Person wirklich an deinem Unternehmen rächen will, wird sie es nicht lange durchhalten können, ohne exorbitante Geldbeträge zu zahlen. Im Vergleich zum erzielten Schaden lohnt sich das meistens nicht. Letztendlich muss jeder DDoS Angriff ein Ende haben – und sei es nur, wenn es der Person zu langweilig wird.

Eine Firewall, ein CDN und ein hochwertiger Webhoster sind deine beste Methode, um DDoS Angriffe zu verhindern. Treffe Vorkehrungen, bevor der schlimmste Fall eintritt. Und habe einen Plan in der Hinterhand, damit du und dein Team alles so schnell wie möglich in den Griff bekommen.

Wenn du dich für weitere Themen im Bereich IT Security interessierst, lies gerne unsere Artikel über Brute Force, Cross Site Scripting und Cross Site Request Forgery.

Welche Fragen zu DDoS Angriffen hast du?

Nutze gerne die Kommentarfunktion. Du willst über neue Beiträge und Tipps für mehr Sicherheit informiert werden? Dann folge uns auf TwitterFacebook oder über unseren Newsletter.

Hat dir der Artikel gefallen?

Mit deiner Bewertung hilfst du uns, unsere Inhalte noch weiter zu verbessern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert