Was ist ein DDoS-Angriff – und wie kannst du ihn effektiv verhindern?

10 Min.
DDoS-Angriff

Ins Visier von Hackern und anderen zwielichtigen Gestalten zu geraten, ist eine Horrorvorstellung für jeden Webseitenbetreiber. Leider wird es heute immer leichter und günstiger, Dienste in Anspruch zu nehmen, um Webseiten für den normalen Besucherverkehr unzugänglich zu machen. Speziell DDoS-Angriffe nehmen immer mehr zu. Hier lernst du, welche Gefahren für deine Seite bestehen und wie du dich dagegen wappnen kannst.

Jeder Besitzer einer Webseite muss sich der Gefahr durch einen DDoS-Angriff bewusst sein. Die Abkürzung steht für „Distributed Denial of Service” und wird auch als „verteilter Netzwerkangriff” bezeichnet. Hierbei werden der Server und andere Netzwerksysteme einer Webseite gezielt durch Anfragen vieler Geräte überlastet und in die Knie gezwungen.

Attacken dieser Art sind leider eine weit verbreitete Bedrohung. Je bekannter deine Webseite ist, desto größer ist die Wahrscheinlichkeit, dass jemand deinen Umsatz oder Ruf durch einen DDoS-Angriff zu schädigen versucht. Das kann verheerend sein – vor allem wenn du nicht weißt, was vor sich geht oder wie du damit umgehen sollst.

In der heutigen Zeit wird es auch immer einfacher und günstiger, DDoS-Dienste zu kaufen. Aus diesem Grund sind Unternehmen und Webseiten stärker gefährdet denn je. Mit den richtigen Vorsichtsmaßnahmen können DDoS-Angriffe verhindert oder auch im Verlauf gestoppt werden.

Was ist ein DDoS-Angriff?

DDoS-Angriffe kurz erklärt

Ein DDoS-Angriff ist ein plötzlicher Zustrom von künstlichem Datenverkehr, der den Server einer Webseite lahmlegen und ihn für echte Besucher unzugänglich machen soll. Wenn dein Server mehr Anfragen erhält, als er bewältigen kann, wird er langsamer oder stürzt ab – sodass niemand mehr deine Seite laden kann.

Zum Vergleich: Ein normaler Denial-of-Service-Angriff (DoS-Angriff) kann von einer einzelnen Quelle ausgehen. Im Gegensatz dazu besteht ein DDoS-Angriff aus einer großen Menge gezielter Anfragen dutzender, hunderter oder auch tausender Einzelgeräte. Dabei handelt es sich meistens um gekaperte Computer, die gehackt wurden und auf denen heimlich bösartige Software im Hintergrund läuft. Zusammen bilden diese Geräte ein Botnetz oder auch Zombie-Netzwerk.

botnetz-illustration
Wie ein Botnetz funktioniert

Botnetze beschränken sich aber nicht auf Computer und Telefone. Auch Tablets, Sicherheitskameras oder sogar Haushaltsgeräte wie internetfähige Geschirrspüler, Fernseher, Überwachungskameras oder Babyfone (die oft sehr schlecht oder gar nicht gesichert sind) können ein Botnetz bilden.

Das macht einen DDoS-Angriff auch so perfide. Da es sich dabei um echte Geräte an verschiedenen Standorten handelt, erscheinen sie als normale Zugriffe und können – selbst während eines aktiven Angriffs – nur schwer von echten Besuchern unterschieden werden.

DDoS-Angriffe dauern meist höchstens ein paar Stunden. In schweren Fällen können sie aber auch tagelang anhalten. Der längste DDoS-Angriff aller Zeiten erstreckte sich über 509 Stunden oder fast 21 Tage. Doch selbst die extremsten Fälle lösen sich in der Regel innerhalb von ein oder zwei Tagen von selbst: Über 80 Prozent der Angriffe dauern weniger als vier Stunden. Mehr als 90 Prozent sind nach spätestens neun Stunden vorbei.

statistik-dauer-ddos-angriff
Report über Verteilung der DDoS-Angriffe nach Dauer (in Stunden) in Q3 und Q4 2019

Was passiert während einer DDoS-Attacke?

Netzwerkressourcen wie Webserver können nur eine bestimmte Anzahl von Anfragen gleichzeitig verarbeiten. Auch die Bandbreite der Server-Internetverbindung und anderer Ebenen des Netzwerks sind beschränkt.

Angreifer können daher verschiedene Angriffspunkte attackieren – auch gleichzeitig. Je komplexer die Offensive, desto schwerer ist der Angriffsverkehr von normalen Anfragen zu unterscheiden. Als Konsequenz greifen Gegenmaßnahmen eventuell schlechter.

Was ist ein DDoS-Angriff – und wie kannst du ihn effektiv verhindern?
Das OSI-Modell erklärt

Sobald die Anzahl von Anfragen auf die Netzwerkkomponenten die Kapazitätsgrenze überschreiten, gerät deine Webseite sofort ins Stocken. Die Ladezeiten nehmen zu, Benutzer müssen immer länger warten. Eventuell stürzt der Server sogar ganz ab und reagiert überhaupt nicht mehr auf Anfragen. Wenn deine WordPress-Benutzeroberfläche oder Serververwaltung wie cPanel auch dort liegen, kannst du dich dann auch nicht mehr einloggen und auf sie zugreifen.

Schlimmer allerdings ist das Nachspiel eines DDoS-Angriffs: Für betroffene Unternehmen und Organisationen kann er erhebliche wirtschaftliche Schäden bedeuten. Abhängig von der Verkaufszeit kann der Umstand, wenige Minuten nicht erreichbar zu sein, schnell zigtausend Euro an entgangenen Gewinnen kosten.

Auch der Imageverlust ist nicht zu unterschätzen. 88 Prozent der Benutzer kehren nach einer schlechten Erfahrung – zum Beispiel extrem langen Ladezeiten – seltener zu einer Webseite zurück. Dadurch entgehen dir eventuell nicht nur neue Besucher, die vielleicht nie wiederkehren, sondern auch deine regulären Kunden sind wahrscheinlich verärgert und geben dir die Schuld für die Ausfallzeit.

Gelingt es dir nicht, schnell mit deinem Hoster zu sprechen, damit dieser den Server abschaltet, könntest du am Ende auf Terabytes an teuren Bandbreitenüberschreitungen sitzenbleiben.

Die gute Nachricht: DDoS-Angriffe können zwar enorme Folgen haben, doch sie stellen in der Regel kein direktes Sicherheitsrisiko dar. Deine Webseite kann zwar aus dem Netz genommen werden – die Anmeldeinformationen und Benutzernamen werden aber nicht automatisch kompromittiert.

Warum geraten Webseiten ins Visier eines DDoS-Angriffs?

Es gibt viele Gründe, warum du angegriffen werden könntest. Ziel ist in jedem Fall aber, deine Seite für andere unzugänglich zu machen. Dies kann aus verschiedenen Gründen passieren:

  • Als Reaktion auf eine kontroverse Aussage deinerseits oder auf eine Entscheidung eines Unternehmens, mit welcher der Angreifer nicht einverstanden ist (Hacktivismus).
  • Ein Mitbewerber kann sich dazu entschließen, deine Webseite während einer wichtigen Verkaufszeit abzuschalten, sodass nur noch seine Website erreichbar ist.
  • Um deinen Ruf zu schädigen.
  • Um dein IT-Personal abzulenken, während Hacker in deine Seite einbrechen. (Dies ist ein seltener Fall, in dem DDoS-Angriffe tatsächlich gefährlich sein können).
  • Um Lösegeld zu fordern.
  • Oder einfach aus Langeweile.

Es ist überraschend einfach und günstig, ein Botnetz zu mieten und eine Webseite für kurze Zeit abzuschalten. Andere Hacker haben die Vorarbeit bereits geleistet und nun kann jeder ihre Dienste vorübergehend kaufen.

Als Folge hat die Häufigkeit und Stärke von DDoS-Angriffen im Verlauf stark zugenommen. Allein in 2019 wurde ein Anstieg um 180 Prozent im Vergleich zum Vorjahr festgestellt. Was auch immer die Motivation dahinter sein mag: leichterer Zugang ist ein wichtiger Anreiz für kleinere DDoS-Angriffe. Glücklicherweise sind diese am einfachsten zu stoppen.

Wie du dich auf einen DDoS-Angriff vorbereitest

Vorbereitet sein, ist das beste Mittel gegen Attacken dieser Art. Entwickle einen Plan für den Worst Case, bevor etwas passiert. Die Frage ist nicht unbedingt ob, sondern wann ein Angriff auf deine Webseite stattfindet. Daher ist Vorsicht besser als Nachsicht. Hier sind ein paar Tipps, wie du DDoS-Angriffe vermeiden kannst.

Formuliere einen Notfallplan

Wie bereits erwähnt, ist der beste Weg, dieser Bedrohung entgegenzuwirken, vorbereitet zu sein. Setz dich mit deinem IT-Team und den Entwicklern zusammen, damit alle genau wissen, was im Fall der Fälle zu tun ist.

Notfallplan zur DDoS-Abwehr

Erstelle einen Notfallplan, der genau darlegt, was jeder im Falle eines DDoS-Angriffs zu tun hat: Wer ist für die IP-Sperrung zuständig? Wer kontaktiert den Web-Host und die Sicherheitsanbieter? Wer überwacht, wie und wo der Angriff stattfindet?

Stell dich auch auf einen Zustrom von Kundenbeschwerden über Telefon, E-Mail und soziale Medien ein. Deine Besucher werden wissen wollen, was vor sich geht und warum sie nicht auf deine Website zugreifen können. Überlege, wie möglichst viele dieser Interaktionen automatisiert werden können, da für die Dauer des Angriffs alle Augen anderswo benötigt sein werden.

Wähle Managed Hosting

Wenn du kein Team von erfahrenen IT-Fachleuten hast, das sich mit diesem Thema befassen kann, ist Managed Hosting die nächstbeste Möglichkeit. Wähle einen Host, der DDoS-Schutzmaßnahmen anbietet. Auf diese Weise wird er sich um alles Technische kümmern, um deine Webseite zu schützen und so schnell wie möglich wieder ans Laufen zu bringen.

Dabei ist es wichtig, gründlich zu recherchieren. Frag deiner Hoster, ob er DDoS-Schutz anbietet, was genau er während eines Angriffs tut und wie er mit Gebühren für Bandbreitenüberschreitungen umgeht.

Richte eine Uptime-Überwachung ein

Die automatische Überwachung der Erreichbarkeit deiner Seite ist eine entscheidende Früherkennungsmethode. Ein Uptime-Überwachungsservice benachrichtigt dich per E-Mail und Push-Nachrichten innerhalb von Minuten, wenn deine Website abstürzt oder sich stark verlangsamt.

Dein Webhoster bietet diesen Service möglicherweise von Haus aus an. Wenn nicht, gibt es mit Pingdom eine kostenpflichtige, professionelle Lösung oder mit Uptime Robot eine kostenlose, die alle fünf Minuten deine Webseite anpingt. Eine weitere, deutschsprachige Lösung ist Uptrends. Weitere Lösungen findest du hier.

Verwende eine Firewall und ein Content Delivery Network (CDN)

Eine Web-Application-Firewall (WAF) ist eine der besten Abwehrmaßnahmen gegen einen DDoS-Angriff. Sie sitzt zwischen deiner Webseite und Nutzeranfragen und filtert den Netzverkehr, um bösartige Zugriffe auszuschließen. Hierdurch hilft sie nicht nur beim Schutz vor Hackerangriffen, sondern kann auch DDoS-Attacken durch die Eingrenzung von Anfragen eindämmen.

web-application-firewall-schaubild
Wie eine Web-Application-Firewall funktioniert

Wenn ein Angreifer keine ausgeklügelte Technologie verwendet, kommt der DDoS-Angriff möglicherweise gar nicht auf deiner Seite an. Selbst bei teilweisem Erfolg wird ein großer Teil des Datenverkehrs eliminiert.

Um eine Firewall einzurichten, kannst du einen Dienst wie Cloudflare (auf Deutsch erhältlich) oder Sucuri (nur Englisch) probieren. Cloudflare hat im Gegensatz zu Sucuri einen kostenlosen Plan mit DDoS-Schutzmaßnahmen, der aber keine Web-Application-Firewall enthält. Wenn du den besten Schutz willst, musst du leider bezahlen. Weitere Anbieter findest du hier.

Ein CDN oder Content Delivery Network kann dir dabei auch helfen – denn eine Webseite, die ein solches Netzwerk benutzt, ist etwas schwieriger auszuschalten. Bei einem CDN liegen Kopien der Seite auf verschiedenen Servern an unterschiedlichen Orten.

content-delivery-network-schaubild
Lokaler Server vs. Content Delivery Network

Auf diese Weise ist ein Comeback nach starker Belastung einfacher. Es ist jedoch keine ausfallsichere Lösung. Wenn dein Hauptserver direkt angegriffen wird, kann ein CDN die Auswirkungen nur verringern, nicht aber aufhalten. Trotzdem ist es eine gute Investition, zumal viele Dienste in ihren Paketen sowohl ein CDN als auch DDoS-Schutz bündeln.

Was tun während eines DDoS-Angriffs?

Egal, ob du das hier liest, wenn das Kind schon in den Brunnen gefallen ist, oder nur um dich auf den schlimmsten Fall vorzubereiten: Hier sind ein paar Tipps, was zu tun ist, wenn deine Webseite angegriffen wird. Du kannst nicht immer etwas machen, um einen Angreifer zu stoppen, wenn er dich einmal im Visier hat, aber du bist auch nicht komplett machtlos.

1. Keine Panik

Es kann beängstigend sein, eine E-Mail zu erhalten, die sagt, dass deine Webseite nicht mehr erreichbar ist. Ein Postkasten voll mit Nutzerbeschwerden ist ebenso unangenehm. Du versuchst deine Webseite zu besuchen oder dich einzuloggen – und sie weigert sich einfach zu laden. Panik setzt ein.

Aber auch wenn es eine unschöne Situation ist, sind DDoS-Angriffe nicht per se gefährlich. Deine Daten sind immer noch sicher, dein Login wurde nicht gehackt. Du solltest natürlich wachsam sein und sicherstellen, dass in der ganzen Aufregung niemand versucht dein Administratorkonto mit roher Gewalt zu knacken. Aber ein DDoS-Angriff alleine ist nur eine Gefahr für deinen Ruf und sonst nichts.

Unabhängig davon, ob du vorbereitet bist oder du dich jetzt zum ersten Mal damit befasst: Ab einem bestimmten Punkt gibt es nichts weiter zu tun, als abzuwarten. Ein DDoS-Angriff kostet den Anstifter Geld und Ressourcen – es wird also nicht ewig so weitergehen.

Nur sehr große und prominente Unternehmen werden wahrscheinlich langwierigen Angriffen ausgesetzt. Die Chancen stehen gut, dass in wenigen Stunden alles vorbei sein wird. Befolge die folgenden Schritte und mache dir sonst keinen Stress.

2. Sage deinem Webhoster Bescheid

Im Falle eines DDoS-Angriffs solltest du dich – so schnell wie möglich – mit deinem Hosting-Anbieter in Verbindung setzen, um ihn über die Situation zu informieren. Falls du es noch nicht getan hast, frage ihn nach Überziehungsgebühren und DDoS-Schutzmaßnahmen. Wenn er so etwas anbietet, wird er sich schnell an die Arbeit machen, um den Angriff zu stoppen.

Selbst wenn dies nicht der Fall ist, wirst du erfahren, was (wenn überhaupt) der Angriff dich kosten wird. Noch dazu kann der Provider deinen Server abschalten, falls die Situation zu lange andauert.

Bandbreitenüberschreitungen können teuer sein und Datenverkehr von gekaperten Computern fließt schnell. Sprich so bald wie möglich mit deinem Host und – wenn du es noch nicht getan hast – suche nach einem, der DDoS-Prävention und Notfalldienste im Paket anbietet.

3. Richte ein CDN und eine Firewall ein

Falls auf deinem Server noch kein CDN und keine Firewall eingerichtet ist, ist jetzt ein guter Zeitpunkt dafür. Anbieter von Sicherheitsdiensten werden dir gerne weiterhelfen und arbeiten oft direkt mit dir zusammen, um den schadhaften Datenverkehr sofort zu blockieren.

Sucuri und Cloudflare sind die beiden beliebtesten DDoS-Präventionsdienste. Sobald du sie in Betrieb genommen hast, sollten ihre automatischen Maßnahmen sofort in Kraft treten und die Auswirkungen des Angriffs verringern. Im deutschsprachigen Raum gibt es auch noch Akamai.

Falls du keine Ergebnisse siehst, aktiviere den „Under Attack Modus” von Cloudflare oder kontaktiere deinen Anbieter und bitte um zusätzliche Unterstützung.

4. Nutze Geo-Blocking und IP-Blockierung

Du kannst die Situation auch manuell verbessern, indem du IP-Adressen blockierst, die nicht zu echten Besuchern gehören. IP-Adressen sind die individuelle Kennzeichnung, die jedes Gerät im Internet erhält.

Wenn eine bestimmte IP während eines aktiven Angriffs deine Webseite dutzende, hunderte oder tausende Male besucht, blockiere sie einfach. Dann kann das Gerät keinen weiteren Schaden anrichten und wird einfach abgewiesen. So kannst du einen Teil des Problems selbst beheben.

Dein Hosting-Anbieter bietet eventuell einen IP-Blocker für solche Zwecke. Alternativ kannst du auch einfach die IP-Blocking-Funktion von RAIDBOXES nutzen. Du findest sie über deine BOX-Einstellungen:

rb_ip_blocking
IP-Blocking-Funktion im RAIDBOXES Dashboard

Geo-Blocking ist auch eine gute Lösung. Hierbei werden IP-Adressen aus ganzen Teilen der Welt flächendeckend gesperrt. Dies eignet sich sehr gut, wenn ein Großteil des Datenverkehrs hauptsächlich aus bestimmten Ländern kommt. Diese Funktion ist Teil vieler WordPress-Sicherheits-Plugins. Es gibt auch Erweiterungen wie IP2Location Country Blocker, die gezielt hierfür eingesetzt werden können.

IP-Blockierung ist nicht immer effektiv – oder nicht sehr lange wirksam – da der Angreifer eventuell einfach nur seine Adresse ändert und deine Webseite wieder mit Anfragen überschwemmt. Aber einen Versuch ist es wert.

Web-Application-Firewalls erfüllen viele dieser Funktionen automatisch. Du kannst aber auch hier schauen, ob es möglich ist, Proxies zu blockieren, Zugriffsbeschränkungen anzuschalten oder vorhandene IP-Zugriffskontrolllisten zu aktivieren.

Fazit: DDoS-Angriffe effektiv verhindern

Wenn jemand entschlossen genug ist und die nötigen Ressourcen besitzt, ist es leider unmöglich, diese Person davon abzuhalten, einen DDoS-Angriff gegen deine Webseite zu starten. Das bedeutet aber nicht, dass du einfach die Hände in den Schoß legen solltest. Du kannst verschiedene Maßnahmen ergreifen, um die Mehrzahl kleinerer Angriffe zu verhindern und die Folgen zu minimieren.

Selbst wenn sich jemand wirklich an deinem Unternehmen rächen will, werden sie es nicht lange durchhalten können, ohne exorbitante Geldbeträge zu zahlen. Im Vergleich zum erzielten Schaden lohnt sich das meistens nicht. Letztendlich muss jeder DDoS-Angriff ein Ende haben – und sei es nur, wenn es dem Angreifer zu langweilig wird.

Eine Firewall, ein CDN und ein hochwertiger Hosting-Anbieter sind deine beste Methode, um DDoS-Angriffe zu verhindern. Treffe Vorkehrungen, bevor der schlimmste Fall eintritt. Und habe einen Plan in der Hinterhand, damit du und deine Mitarbeiter alles so schnell wie möglich in den Griff bekommen.

Welche Fragen an Nick zu DDoS-Angriffen hast du?

Nutze gerne die Kommentarfunktion. Du willst über neue Beiträge und Tipps für mehr Sicherheit informiert werden? Dann folge uns auf TwitterFacebook oder über unseren Newsletter.

Nick Schäferhoff ist Online-Unternehmer, Marketingexperte und professioneller Blogger. Er hat sich das erste Mal mit WordPress befasst, als er eine Webseite für sein Startup brauchte. Seitdem kommt er nicht mehr los. Wenn er nicht gerade Webseiten baut, Blogartikel schreibt oder seinen Kunden hilft, findet man ihn meistens beim Sport oder auf Reisen mit seiner Frau.

Ähnliche Artikel

Kommentare zu diesem Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.