Was ist ein DoS-Angriff (Denial-of-Service)?

Ein Denial-of-Service (DoS)-Angriff ist ein böswilliger, gezielter Angriff, bei dem ein Netzwerk mit gefälschten Anfragen überhäuft wird, um den Geschäftsbetrieb lahmzulegen. Nach einem DoS-Angriff können die Benutzer nicht mehr ihren Routineaufgaben nachgehen, da sie keinen Zugriff auf E-Mails, Websites, Online-Konten oder andere Ressourcen haben, die normalerweise von dem (nunmehr kompromittierten) Computer oder Netzwerk betrieben werden. Die meisten DoS-Angriffe gehen zwar nicht mit einer Lösegeldforderung einher, doch für die Wiederherstellung kritischer Geschäftsabläufe sind erheblicher Zeit- und Personalaufwand sowie hohe Kosten erforderlich.

Wie laufen DoS-Angriffe ab?

Bei einem DoS-Angriff wird in der Regel ein Host oder ein Netzwerk mit falschen Service-Anfragen überflutet. Kennzeichnend für diese Angriffe ist die Nutzung gefälschter IP-Adressen, die den Server davon abhalten, die Benutzer zu authentifizieren. Durch die Verarbeitung der Flut falscher Anfragen wird der Server überlastet. Er wird dadurch ausgebremst und stürzt mitunter ab, wodurch der Zugang für legitime Benutzer unterbrochen wird. Um erfolgreich DoS-Angriffe durchführen zu können, benötigt der Bedrohungsakteur zumeist mehr Bandbreite als das anvisierte Ziel.

Arten von DoS-Angriffen

Es gibt im Prinzip zwei Arten von DoS-Angriffen – solche, die webbasierte Dienste zum Absturz bringen und solche, die sie überfluten. Innerhalb dieser Kategorien gibt es mehrere Untergruppen, die sich darin unterscheiden, welche Methoden der Angreifer nutzt, welche Geräte angegriffen werden und wie der Angriff gemessen wird.

Pufferüberlauf

Pufferüberläufe gehören zu den häufigsten Arten von DoS-Angriffen. Bei diesem Exploit schickt der Angreifer mehr Datenverkehr an eine Netzwerkadresse, als das System verarbeiten kann. Das führt dazu, dass der Rechner alle verfügbaren Puffer oder Zwischenspeicher verbraucht, in denen temporär Daten aufbewahrt werden, während diese im Netzwerk übertragen werden. Ein Pufferüberlauf tritt auf, wenn die Menge an Daten die verfügbare Bandbreite (z. B. des Festplattenspeichers, Arbeitsspeichers oder der CPU) überschreitet und zum Ausbremsen bzw. zum Absturz des Systems führt.

Flood-Angriffe

Flood-Angriffe treten auf, wenn das System mehr Datenverkehr empfängt, als der Server bewältigen kann, und dadurch ausgebremst wird bzw. abstürzt. Beispiele für weitverbreitete Flood-Angriffe:

Eine ICMP-Flood, auch bekannt als Smurf- oder Ping-Angriffe, nutzt falsch konfigurierte Netzwerkgeräte aus. Bei diesen Angriffen „pingen“ die Angreifer jedes Gerät auf dem betroffenen Netzwerk mit gefälschten Paketen – oder falschen IP-Adressen – an, ohne auf eine Antwort zu warten. Das System versucht, den gestiegenen Datenverkehr zu bewältigen und wird dadurch ausgebremst und kann abstürzen.

Eine SYN-Flood schickt eine Verbindungsanfrage an einen Server, schließt den metaphorischen „Handshake“ (engl. Händeschütteln) jedoch nie ab. Das System wird mit diesen Anfragen solange überflutet, bis kein offener Port mehr vorhanden ist und legitimen Nutzern somit keine Zugriffsmöglichkeit mehr zur Verfügung steht.

2024-gtr-exec-summary-cover-de

CrowdStrike Global Threat Report 2024: Kurzfassung

Der CrowdStrike Global Threat Report 2024 basiert auf den Beobachtungen des CrowdStrike Counter Adversary Operations Teams und hebt die wichtigsten Themen, Trends und Ereignisse in der Cyber-Bedrohungslandschaft hervor.

Jetzt herunterladen

Woran können Sie einen DoS-Angriff erkennen?

Die Anzeichen von DoS-Angriffen können von jedem Netzwerknutzer erkannt werden. Typische Anzeichen sind:

  • Träge Netzwerkleistung für gängige Aufgaben wie Download/Upload von Dateien, Anmeldungen bei Konten, Zugriff auf Webseiten oder Video- bzw. Audioinhalte
  • Auf Online-Ressourcen kann nicht mehr zugegriffen werden, zum Beispiel auf Webseiten oder webbasierte Konten wie Bankkonten, Anlageportfolios, Schulungsmaterialien oder Patientenakten
  • Unterbrechung oder Abriss der Verbindung mehrerer Geräte im selben Netzwerk

Leider ähneln die Symptome für einen DoS-Angriff für die meisten Benutzer einfachen Netzwerkverbindungsproblemen, normalen Wartungsarbeiten oder nur einem starken Anstieg von Webdatenverkehr, weshalb viele das Problem ignorieren.

Was ist der Unterschied zwischen einem DoS- und DDoS-Angriff?

Der Hauptunterschied zwischen einem DDoS-Angriff (Distributed Denial-of-Service) und einem DoS-Angriff liegt im Ursprung des Angriffs. Ein DDoS-Angriff ist ein organisierte Offensive, die von mehreren Standorten mit mehreren Systemen gleichzeitig gestartet wird, wohingegen ein DoS-Angriff nur von einem System stammt.

In der Regel gilt ein DDoS-Angriff als raffinierter und ist für Unternehmen bedrohlicher, weil dazu mehrere Geräte aus verschiedenen Ländern verwendet werden. Dies erschwert die Identifizierung, Nachverfolgung und Abwehr dieser Angriffe. Meistens verwenden DDoS-Angreifer für diese konzertierten Angriffe ein Botnet – ein Netzwerk kompromittierter Rechner oder Geräte, die durch einen Command-and-Control-Kanal gesteuert werden.

Viele Standard-Sicherheitstools bieten ausreichenden Schutz vor DoS-Angriffen. Da jedoch DDoS-Angriffe von vielen Stellen gleichzeitig kommen, ist eine umfassendere Sicherheitslösung nötig, die verbesserte Überwachungs- und Erkennungsfunktionen sowie ein dediziertes Team zur Bedrohungsanalyse und -behebung bietet.

DDoS-Angriffe haben in den letzten Jahren zugenommen, da es durch das Internet der Dinge immer mehr vernetzte Geräte gibt. Sowohl für Unternehmen als auch für Privatpersonen ist es äußerst wichtig, grundlegende Sicherheitsmaßnahmen wie die Einrichtung sicherer Kennwörter für alle vernetzten Geräte am Arbeitsplatz oder zu Hause zu ergreifen. Diese Geräte müssen unbedingt geschützt werden, da sie keine Anzeichen einer Kompromittierung zeigen und Angreifern daher die Möglichkeit geben, sie unbemerkt für ihre Angriffe im Rahmen eines Botnets zu missbrauchen.

So können Sie das Risiko eines DoS-Angriffs minimieren

In einem aktuellen Blog-Artikel bietet Robin Jackson, Principal Consultant für CrowdStrike, Unternehmen die nachfolgenden Tipps zur Verhinderung, Erkennung und Behebung von Cyberangriffen wie DoS-Attacken:

  • Etablieren Sie konsequente und umfassende Schulungen für Ihre Mitarbeiter, damit sie häufige Angriffsindikatoren erkennen können und sich online verantwortungsvoll verhalten.
  • Verifizieren Sie Erpressungsversuche, wenn Angreifer Ihnen massive DoS-Angriffe androhen. Ein Cybersicherheitspartner kann Ihrem Unternehmen helfen, die Bedrohung schnell zu untersuchen und einzuschätzen, ob die Angreifer in der Lage sind, ihre Drohung wahrzumachen. Falls die Bedrohung nicht real ist, kann das Unternehmen viel Geld sparen.
  • Führen Sie regelmäßig Tabletop-Übungen und Penetrationstests durch, um Präventionsfunktionen durch die Identifizierung von Schwachstellen in der Netzwerkarchitektur zu verbessern.
  • Bewahren Sie Backups getrennt voneinander auf, um eine Auflistung zu verhindern, falls eine Ransomware ihre Daten verschlüsselt.
  • Verschlüsseln Sie vertrauliche Daten während der Übertragung und am Speicherort, um das Risiko für Datenverlust oder Datendiebstahl zu minimieren.
  • Implementieren Sie die besten Tools, um die Netzwerktransparenz zu verbessern.
  • Erstellen Sie einen Kommunikationsplan, damit Ihr Unternehmen Anfragen von Medien, Kunden sowie Verantwortlichen schnell und klar beantworten kann.
  • Benachrichtigen Sie die Strafverfolgungsbehörden, damit diese umfassender über Cyberkriminelle und deren Taktiken informiert sind.