DDoS-Angriffe machen Web­sei­ten und Internetdienstleistungen unerreichbar

Fiona Egli
16. Februar 2021
DDoS-Angriffe bilden eine wachsende Bedrohung für Unternehmen: Cyberkriminelle stören die Verfügbarkeit von Internetdiensten und machen diese für andere Nutzerinnen und Nutzer unerreichbar. Vor allem Onlineshops und Unternehmen, die Online-Services anbieten, sind beliebte DDoS-Ziele. Oft fordern Angreifer letztlich Lösegeld vom betroffenen Unternehmen, damit ein Angriff gestoppt wird.

Wie funktionieren DDoS-Angriffe?

DDoS steht für «Distributed Denial of Service» und meint die Funktionsunfähigkeit eines Internetdienstes, welche kriminelle Akteure mutwillig herbeiführen. Zu solchen Internetdiensten gehören Unternehmenswebseiten, Onlineshops oder die Infrastruktur für den Fernzugriff auf ein Unternehmensnetzwerk. Letzteres Beispiel ist aufgrund von aktuell vermehrtem Homeoffice besonders hervorzuheben. Konkret beabsichtigen Cyberkriminelle mit DDoS-Attacken, den Betrieb eines Internetdienstes zu stören, indem sie den Server – über den der Internetdienst betrieben wird – mit einer Flut von Anfragen und Aufrufen überhäufen. Dies führt zu einer Überlastung des Servers, der die Anfragemenge nicht mehr verarbeiten kann. Der Internetdienst wird für Webseitenbesucherinnen und -besucher schliesslich unerreichbar. Ihre Wirksamkeit erzielen DDoS-Attacken vor allem dadurch, dass Cyberkriminelle viele verteilte Rechner und internetfähige Geräte (IoT) als Angriffsquelle nutzen – man spricht von einem sogenannten Botnetz. Meist handelt es sich dabei um Rechner und Geräte, die zuvor mit Malware infiziert wurden und nun von Hackern zu Angriffszwecken ferngesteuert werden.

Was macht DDoS-Angriffe gefährlich?

Mit DDoS-Attacken wollen Cyberkriminelle einen Internetdienst durch Überlastung mit Daten extrem verlangsamen oder komplett lahmlegen. Ist ein Service – wie beispielsweise ein Onlineshop – über längere Zeit nicht verfügbar, kann dies für den Betreiber einen erheblichen Gewinnausfall bedeuten. Können Kundinnen und Kunden nicht auf gewohnte Dienstleistungen zugreifen, droht dem Unternehmen nebst einem Umsatzverlust auch ein Reputationsschaden. Diese Situation nutzen Cyberkriminelle oft weiter aus und fordern vom betroffenen Unternehmen Lösegeld, damit sie einen Angriff stoppen oder keinen nächsten starten. In diesen Fällen spricht man konkret von RDoS-Attacken (Ransom Denial of Service). Gerade in den vergangenen Wochen kam es vermehrt zu RDoS-Attacken auf Schweizer Banken, Zahlungsdienstleister und andere Organisationen. Die Angreifer, welche sich als russische Hackergruppe Fancy Bear (APT28) ausgeben, forderten von den betroffenen Unternehmen Lösegeld in Bitcoins von bis zu 20'000 Schweizer Franken. Wird einer Zahlungsaufforderungen nicht fristgerecht nachgekommen, folgen weitere DDoS-Attacken.

Was, wen ein DDoS-Angriff erfolgreich ist?

Bemerkt ein Unternehmen einen DDoS-Angriff – zum Beispiel aufgrund einer ungewöhnlich hohen Anfragemenge an den eigenen Internetdienst – sollte es sich schnellstmöglich mit seinem Internet-Provider in Verbindung setzen, damit entsprechende und spezifische Abwehrmassnahmen eingeleitet werden. Primäres Ziel muss es sein, den von der DDoS-Attacke betroffenen Netzwerkbereich zu isolieren.

Welche Schutzmöglichkeiten gegen DDoS-Angriffe gibt es?

«DDoS-Attacken können die Online-Präsenz eines Unternehmens stören, dessen Produktivität beeinträchtigen und sich auf das Geschäftsergebnis auswirken. In Anbetracht dieses Risikos ist es wichtig, präventive Schutzmassnahmen zu definieren, um die IT-Sicherheit innerhalb eines Unternehmens zu stärken», erklärt Andreas Crisante, Senior Information Security Officer bei der Baloise. Mit einem proaktiven Ansatz, der eine Abstimmung von Mitarbeitenden, Prozessen und Automatisierungen umfasst, können Unternehmen Cyberrisiken reduzieren und Serviceunterbrechungen minimieren. In Bezug auf die Abwehr von DDoS-Attacken besonders hervorzuheben, sind dabei die folgenden Massnahmen:

  • Datenverkehr überwachen: Ein Unternehmen sollte den eigenen Datenverkehr aktiv überwachen. Damit können Trends und Tendenzen im Datenverkehr erkannt werden. Kennt ein Unternehmen seine typischen Datenverkehrsmuster und -merkmale, kann es eine Referenzlinie erstellen. Diese ermöglicht es, ungewöhnliche Aktivitäten festzustellen, die auf einen DDoS-Angriff hindeuten können, und entsprechende Massnahmen zu ergreifen.
  • Risikobewertung: Ein Unternehmen sollte das Risiko eines DDoS-Angriffs analysieren und bewerten, um optimale Bereitschafts- und Wiederherstellungspläne entwickeln zu können. Je nach Risikobewertung ist es ratsam, die eigene Netzwerk-Sicherheitsaufstellung gegen DDoS-Attacken konfigurieren zu lassen. Dazu sollten Unternehmen ihren Internet-Provider einbeziehen, um sich auf Risiken vorzubereiten und diese zu adressieren. Gute Internet-Provider bieten Schutzpakete gegen DDoS-Attacken an. 
  • Cyber-Hygiene: Einer erfolgreichen DDoS-Abwehrstrategie zugrunde liegen immer auch solide Cyber-Hygiene-Praktiken – also Sicherheitsprinzipien, die jede IT-Organisation kennen und umsetzen muss. Basis dafür bildet eine sicherheitsorientierte Unternehmenskultur. Konkret beinhaltet dies die Förderung von Sicherheitsexperten innerhalb eines Unternehmens und die kontinuierliche Schärfung des Bewusstseins der Mitarbeitenden.
  • Wiederherstellungsplan: Ein Unternehmen sollte immer einen Plan B bereithalten, um im Falle eines DDoS-Angriffs oder anderen Cyberangriffs Kernbereiche und geschäftskritische Dienste schnell wiederherstellen zu können.

Cyber-Versicherung für KMU

Wir begleiten Unternehmen in der digitalen Welt.