Ziel eines DDoS-Angriffs ist es, Internet-Services, IT-Komponenten oder die IT-Infrastruktur eines attackierten Unternehmens lahmzulegen. Dazu werden Server oder andere Komponenten solange mit Anfragen, also Datenverkehr, überlastet, bis diese nicht mehr verfügbar sind. 2017 gab es in der DACH-Region knapp 197.000 derartiger Cyberattacken. Organisationen und Unternehmen mussten also 22 DDoS-Angriffe pro Stunde abwehren. Und einen DDoS-Angriff zu starten, ist für Cyberkriminelle heutzutage so einfach wie nie zuvor. Ein entsprechendes Know-How ist nicht mehr notwendig und Angriffe lassen sich bereits für fünf Euro im Darknet erwerben.

Angriffe verursachen nicht nur finanzielle Schäden

Doch welche konkreten Risiken birgt ein DDoS-Angriff auf die Webseite oder das Netzwerk eines Unternehmens? Unbestritten ist wohl das Risiko eines finanziellen Schadens durch Umsatzeinbußen als direkte Folge des Angriffs. Außerdem fallen Kosten für die Behebung und eine eventuelle Entschädigung betroffener Kunden an. Pro Ausfall müssen Unternehmen mit einem Schaden von durchschnittlich 8.000 bis 80.000 Euro rechnen. Zum anderen stehen juristische Fragen im Raum, wenn vertrauliche, personenbezogene Daten kompromittiert werden. Und schließlich kommt es zu einem immateriellen Schaden durch den Reputationsverlust des Unternehmens oder seiner Marke, der sich erst mit der Zeit bemerkbar macht.

Die Folgen eines Angriffs können also durchaus schwerwiegend sein und werden laut der aktuellen WISR-Studie (Worldwide Infrastructure Security Report) von Netscout Arbor zunehmend gravierender. Die Zahl der befragten Unternehmen und Service Provider, bei denen es infolge von DDoS-Angriffen zu Umsatzeinbußen kam, hat sich von 2016 auf 2017 nahezu verdoppelt. Und 57 Prozent bezeichnen den Imageschaden für ihre Marke oder ihr Unternehmen als die schwerwiegendste Folge von DDoS-Attacken. Für fast jeden Zweiten (48 Prozent) ist zudem die Abwanderung von Kunden nach einem erfolgreichen Cyberangriff eines der zentralen Probleme.

Bewusstsein für Cybersicherheit auf Führungsebene steigt

Darüber hinaus haben aufsehenerregende DDoS-Angriffe, wie durch das Mirai-Botnet oder durch offene Memcached-Server, und die zunehmend gravierenden Angriffsfolgen zu einem Umdenken auf der Führungsebene geführt und das Bewusstsein für die wachsende Bedrohungslage geschärft. 2017 berichteten drei Viertel der Unternehmen, dass DDoS-Angriffe eine feste Größe bei ihrer Analyse der Unternehmens- und IT-Risiken darstellen. Dies ist ein positiver und ermutigender Trend. Er zeigt: Führungskräfte erkennen, dass DDoS-Schutz ein wichtiger Faktor beim Risikomanagement ist.

Denn Unternehmen wenden beträchtliche finanzielle Mittel und viel Know-How für die Analyse und Verwaltung ihrer Finanz-, Regulierungs-, Unternehmens- und Marktrisiken auf. Das Risikomanagement für Cybersicherheit sollte mit einem ebenso hohen Stellenwert angegangenen werden – zumal immer mehr Geschäftsprozesse online abgewickelt werden oder auf Netzwerke angewiesen sind, die mit dem öffentlichen Internet verbunden sind. Unternehmen müssen daher die Verfügbarkeit ihrer Dienste auf Dauer sicherstellen und sich gegen Finanz-, Rechts- und Reputationsrisiken wappnen, die DDoS-Angriffe mit sich bringen.

Durch Digitalisierung und IoT wächst auch die Anfälligkeit für Angriffe

Zudem investieren Unternehmen zunehmend in Technologien, mit denen Geschäftsanwendungen durch Automatisierung, Virtualisierung, Integration und Auslagerung in die Cloud effizienter werden. So entstehen vielerorts neue, digital geprägte Geschäftsmodelle, die ohne die Konvergenz dieser Technologien nicht möglich wären. Allerdings hält die IT-Sicherheitstechnologie, die im Unternehmen vorhanden ist, mit dieser Transformation oft nicht Schritt. Die Entwicklungsdynamik des Internets der Dinge (IoT) und der über das IoT vernetzten Anwendungen, Netzwerke und Geräte ist so hoch, dass alle Anstrengungen zu ihrem Schutz hinterherhinken. IoT-Geräte und ihre Komponenten werden so zu leichten Zielen für Angreifer wie das Mirai-Botnet und IoT-Reaper gezeigt haben. Die Kriminellen konnten nicht ausreichend gesicherte IoT-Geräte mit geringem Aufwand als Botnetze zusammenschließen. Doch je mehr Geräte Angreifer miteinander verbinden, um ein Ziel zu attackieren, desto höher ist auch das erreichte Angriffsvolumen und damit der Datenverkehr, der Unternehmen oder Service Provider überschwemmt. Somit erhöht das IoT die Anfälligkeit für Angriffe wesentlich und diese sind schwieriger zurückzuverfolgen.

Multivektor-Angriffe erhöhen Chancen der Cyberangreifer

DDoS-Attacken nehmen aber auch in ihrer Komplexität zu. Sie bestehen also längst nicht mehr aus einfachen SYN-Flood-Angriffen, die den Verbindungsaufbau zwischen Client und Server stören, sondern sind Multivektor-Attacken. Angreifer können verschiedene Angriffsmethoden kombinieren und sich unterschiedliche Angriffsvektoren zunutze machen. Diese hochkomplexen Attacken richten sich gleichzeitig gegen die Verbindungsbandbreite, Applikationen, Infrastrukturen und Dienste. In diesen mehrstufigen Angriffen lässt sich beispielsweise ein volumetrischer Angriff, der durch die bloße Datenflut zur Überlastung der Bandbreite führt, mit einer getarnten Attacke gegen einen bestimmten Aspekt einer Anwendung oder eines Diensts auf Layer-7 kombinieren. Dies ist die gefährlichste Art von Angriffen, da mit nur einem attackierten Gerät, das eine niedrige Datenrate generiert, ein sehr effizienter Angriff ausgeführt werden kann – wobei die niedrige Datenrate die proaktive Erkennung und Abwehr eines solchen Angriffs zusätzlich erschwert. Auch 2018 ist mit einer weiteren Zunahme der Anzahl und der Komplexität von DDoS-Angriffen zu rechnen, die sich gegen öffentliche und private Infrastrukturen richten.

Mehrstufige Angriffe erfordern eine mehrstufige Abwehr

Damit sich Unternehmen und Service Provider effektiv vor hochvolumigen und mehrstufigen Angriffen schützen können, muss die eingesetzte DDoS-Lösung Abwehrfunktionen für jegliche Art von Bedrohungen umfassen. Eine hybride DDoS-Lösung bei der On-Premise-Schutzkomponenten mit Cloud-basierten Abwehrmechanismen kombiniert werden, gilt allgemein als Best Practice. Die Vor-Ort-Komponente bietet Funktionen, mit denen ein Großteil der Angriffe erkannt und abgewehrt werden können, seien es Angriffe auf Applikationsebene oder Überlastungsangriffe (State-Exhaustion) gegen Firewalls, IPS-Geräte und andere Infrastruktur-Komponenten. Die Cloud-Komponente wird wiederum für die Abwehr gegen volumetrische Angriffe benötigt, die mittlerweile eine Größe von bis zu 1,7 Terabit pro Sekunde erreichen. Dieser Wert misst den Umfang einer Attacke, die versucht, die Linkkapazität auszulasten. Bei einer hybriden Lösung sind die beiden Komponenten über einen intelligenten Mechanismus so integriert, dass die Abwehr in der Cloud automatisch aktiviert wird, wenn die Größe eines Angriffs den vorgegebenen Schwellwert überschreitet. Mehr als ein Drittel der Unternehmen und Service Provider (36 Prozent) nutzt bisher Technologien für die automatisierte DDoS-Abwehr.

DDoS-Abwehrlösungen sind ein Muss für Unternehmen

Die Folgen von DDoS-Angriffen in Form von Umsatz-, Kunden- und Reputationsverlusten werden gravierender. Denn sind IT- und Web-Dienste nicht verfügbar, steigen Kosten für den Betriebsausfall und können hohe Folgeschäden nach sich ziehen. Die Investition in eine dedizierte Lösung für den DDoS-Schutz ist daher eine wirksame Absicherung gegen diese zentralen Unternehmensrisiken.