Ein – Denial-of-Service - Angriff, kurz DoS zielt darauf ab, die Verfügbarkeit eines Systems oder Dienstes zu beeinträchtigen. Dies kann eine Webpage sein, oder auch Datenbanken, die wieder von anderen Diensten genutzt werden. Ob und wie schlimm die Konsequenzen von DDoS-Angriffen sind, hängt davon ab, wer angreift und wie angegriffen wird. (Mehr dazu im kostenlosen openHPI Kurs: Tatort Internet)

Gelingt es beispielsweise, die Verfügbarkeit von einem großen Online-Kaufhaus für einige Stunden einzuschränken, sodass Nutzer dort nicht mehr einkaufen können, dann entsteht ein Verlust von tausenden Euros.

Durchgeführt werden solche Angriffe meist basierend auf dem Prinzip "Ich stelle mehr Anfragen an einen Server, als dieser beantworten kann".

Webserver, also Computer im Internet, haben, wie beispielsweise ein Desktop-Rechner oder Laptop, eine begrenzte Leistung. Wenn nun ein Server im Internet, der eine Webseite anbietet, gleichzeitig 1000 Kunden bedienen kann, ich aber 2000 Anfragen stelle, um diesen Server zu beschäftigen, so ist die Chance groß, dass die nächsten Kunden vom Server nicht "bedient" werden können, weil alle Ressourcen bereits ausgenutzt werden.

Die Beweggründe für solche Angriffe sind ganz unterschiedlich: Es gibt Angriffe aus finanziellen Motiven, wenn ein Angreifer davon ausgeht, dass der Ausfall des Dienstes ihm selbst einen Vorteil bringt. Auf der anderen Seite geht es auch um Imageverluste, wenn ein Dienst jeden zweiten Tag "offline" ist, würde ich mir als Nutzer wahrscheinlich auch einen alternativen Dienst suchen. 

Der DDoS-Angriff hat im Prinzip das gleiche Ziel wie der DoS-Angriff. Das extra „D“ steht hier für das englische Wort "Distributed". Dabei geht es also um die Art und Weise, wie der Angriff ausgeführt wird.

Klassische Server im Internet haben oft viel zu viel Rechenkraft, als dass ein Angreifer sie allein mit einem oder zwei Endgeräten in die Knie zwingen kann. Daher sucht sich der Angreifer für seine Attacke Mitstreiter und verteilt, also distribuiert diesen Angriff. Jedes der Geräte fragt einzeln bei den Diensten an und durch die Summe der Anfragen wird das Ziel des Angriffs überlastet.

Das Ziel von DDoS-Angriffen ist immer die Nichtverfügbarkeit eines Internetdienstes zu erreichen. Das ist allerdings heutzutage - grade bei Angriffen gegen große Cloud-Systeme und je nach Angriffstechnologie - relativ schwer zu erreichen. Da reicht dann eine Gruppe aus 10, 15 oder auch 100 Endgeräten oft nicht mehr aus. Angreifer sind deshalb auf die Idee gekommen, sich die Rechenpower von anderen zu stehlen.

Wenn beispielsweise eine Schadsoftware einen Computer befällt, dann kann die Schadsoftware den Computer zu einem "Bot" in einem Botnet machen. Bots in einem Botnet warten dann üblicherweise auf Befehle von ihrem "Command-Rechner", den der Angreifer steuert. Wenn der Angreifer dann also einen DDoS-Angriff ausführen möchte, gibt er an alle seine Bots den Befehl, gleichzeitig einen bestimmten Service, beispielsweise eine bestimmte Webseite, anzufragen. Dabei sprechen wir dann nicht mehr von 10, 15 oder 100 Computern, sondern von mehreren zehntausenden, je nachdem, wie gut der Angriff vorbereitet und wie groß das Botnet aufgebaut wurde.

Ein großes Problem, das uns bei IoT-Geräten begleitet, ist, dass diese oft nur unzureichend gesichert sind. Software wird hersteller- oder nutzerseitig oft nicht upgedatet, oder Nutzer verwenden leichtfertig Standard-Passwörter. Das macht es Angreifern besonders einfach, diese Geräte und Accounts mit Schadsoftware zu infiltrieren bzw. macht die Schadsoftware besonders erfolgreich.

Im Vergleich zu beispielsweise Windows-Rechnern, die uns ja immer wieder mit Updates behelligen, muss man sich als Nutzer von IoT-Geräten fragen, wann man das letzte Software-Update auf dem smarten Kühlschrank oder der smarten Glühbirne gemacht hat. Natürlich ist das jetzt leicht überspitzt dargestellt, aber im Grunde ist es genau das, was es den Entwicklern von Schadsoftware, den Cyberkriminellen so einfach macht. Ein sehr bekanntes Botnetz, das vor einigen Jahren aufgebaut wurde, ist  das sogenannte MiraiBotnet. Es enthielt 2016 / 2017 schon über 500.000 Endgeräte.

Eine hundertprozentige Sicherheit gibt es im Netz nicht. Dazu müsste ich alle Geräte vom Internet trennen. Wie für alle anderen elektronischen Geräte wie Computer oder Smartphone gilt auch hier: Updates machen!

Wenn Hersteller-Updates verfügbar sind, sollte man diese so schnell wie möglich einspielen. Es ist natürlich anstrengend, für alle Geräte in unterschiedlichen Intervallen, zu anderen Zeitpunkten Updates einzuplanen und durchzuführen, aber nur das hilft, bekannt gewordene Schwachstellen zu schließen. Diese können sonst leicht von Angreifern ausgenutzt werden.

Voraussetzung dafür ist allerdings, dass ein Hersteller Updates zur Verfügung stellt. Das ist leider bei vielen Herstellern noch nicht selbstverständlich. Ich empfehle daher, potenziellen Käufern, sich vor dem Kauf mit der Dauer und der Qualität des Produktsupports auseinanderzusetzten.

Neben dem Thema Updates gilt für IoT-Geräte genauso wie für jedes andere Gerät: Sichere Passwörter! Einer der Hauptverbreitungswege von dem vorher erwähnten Mirai Botnet waren Standard-Accounts und Standard-Passwörter, die die Nutzer nie geändert haben. Standard-Accounts sind etwa der „Admin“ oder „Administrator“. Folglich auch hier die Empfehlung: Sichere Passwörter nutzen! Was sind sichere Passwörter? Idealerweise bestehen sie aus einer Kombination von mindestens 12-14 Buchstaben, Zahlen und Sonderzeichen und sie sind einzigartig für jedes Gerät beziehungsweise jeden Account.

Mehr zum Thema sichere Passwörter erfahren sie im kostenlosen openHPI Kurs: Tatort Internet

Das lässt sich pauschal nicht beantworten. Bei dem angesprochenen Angriff in 2018 wertete GitHub im Nachhinein selbst die Logs - also quasi die Ereignis- und Zugriffsspeicher der ganzen Geräte -aus und konnte so die Größenordnung in etwa schätzen. Im Jahr 2020 hat beispielsweise Amazon einen größeren DDoS-Angriff abgewehrt. Hier wurde wohl in einer Größenordnung von 2,3 Terrabit pro Sekunde gearbeitet.

2021 gab es von Cloudflare eine Meldung, dass bei einem Kunden ein DDoS-Angriff in einer Größenordnung von mehr als 17 Millionen HTTP-Requests pro Sekunde abgewehrt wurde. Auch wenn das eine leicht andere Metrik ist, weil es jetzt nicht um Datenmengen, sondern nur um die Anzahl der Zugriffe geht, entspricht das trotzdem einem knapp dreimal so großen Angriff, im Vergleich zu den größten Events vorher. Auch hier stammten die Angriffe von einem modifizierten Mirai Botnetz. Die wachsende Zahl an ungesicherten IoT-Geräten ist sehr problematisch.

Das Abwehren von DDoS-Angriffen ist schwierig. Viele Systeme befinden sich mittlerweile allerdings in Cloud-Umgebungen. Hier werden bei Attacken einfach solange Ressourcen hinzugebucht, bis genug Kapazität vorhanden ist, um einem Angriff zu widerstehen. Aber jede Ressource kostet und das geht schnell richtig tief ins Geld.

Ein anderer Ansatz ist, Angriffe basierend auf Internetprotokoll-Adressen (IP-Adressen) - also den Adressen unserer Geräte im Internet - zu blockieren. Dabei ist allerdings problematisch, dass heute nicht mehr jedes Gerät im Internet eine eindeutige Adresse hat. Beispielsweise sprechen alle Geräte aus einem Haushalt, die über einen Hausanschluss ans Internet angeschlossen sind, mit der einen Adresse des Routers.

Nehmen wir mal an, meine Waschmaschine, die zu dem weiter oben angesprochenen Mirai Botnetz gehört, greift Amazon an. Amazon erkennt dann den Angriff und blockiert die IP-Adresse meines Geräts. Da meine anderen Geräte (Computer, Smartphone, Fernseher) jedoch die gleiche Adresse nutzen, werden auch sie blockiert. Der Angriff hat also über Umwege genau das erzielt, was er sollte: Ich als Kunde erhalte keinen Service mehr.