DDoS Distributed Denial of Service.

DDoS is the attack that floods a service from many sources to exhaust capacity. Volumetric, protocol or application layer. Mitigation has commoditised (Cloudflare, Akamai, AWS Shield). The risk question is no longer "can we block it" but "are critical services routed through the protection, including the API ones we never see in dashboards".

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

Die Einschätzung der Cyber Academy

DDoS is the attack that floods a service from many sources to exhaust capacity. Volumetric, protocol or application layer. Mitigation has commoditised (Cloudflare, Akamai, AWS Shield). The risk question is no longer "can we block it" but "are critical services routed through the protection, including the API ones we never see in dashboards".

Was ein Distributed-Denial-of-Service-Angriff tatsächlich bewirkt

Ein Denial-of-Service-Angriff hat ein einziges Ziel: einen Dienst für diejenigen unerreichbar zu machen, die auf ihn angewiesen sind. Die verteilte Variante, DDoS, erreicht dies, indem der Datenverkehr gleichzeitig von vielen Maschinen ausgeht, oft einem Botnetz aus kompromittierten Geräten, gekaperten Servern oder gemieteter Angriffsinfrastruktur.

Da die Last von Tausenden unterschiedlicher Adressen eintrifft, lässt sich nicht einfach ein einzelner Verursacher blockieren, und es ist die schiere Zahl der Quellen, die es dem Angreifer erlaubt, eine Kapazität zu überlasten, die eine einzelne Maschine niemals erreichen könnte. Das Ziel muss weder kompromittiert werden noch einen Datendiebstahl erleiden. Es muss lediglich offline genommen werden, was DDoS zu einem Angriff auf die Verfügbarkeit macht und nicht auf die Vertraulichkeit oder Integrität.

Fachleute ordnen DDoS üblicherweise drei Schichten zu, denn die Schicht bestimmt die Abwehr. Volumetrische Angriffe versuchen, die Bandbreite der Verbindung selbst zu sättigen, häufig mittels Amplifikation, bei der eine kleine gefälschte Anfrage eine große, auf das Opfer gerichtete Antwort auslöst. Protokollangriffe erschöpfen den Zustand in Netzwerkgeräten und Servern, etwa indem sie halb offene Verbindungen hinterlassen, die nie abgeschlossen werden. Angriffe auf der Anwendungsschicht sind die leisesten: Sie senden Anfragen, die legitim aussehen, etwa wiederholte Aufrufe an einen Such-Endpunkt oder eine Anmeldeseite, und erschöpfen die Anwendung statt der Leitung. Die letzte Kategorie lässt sich am schwersten von echten Nutzern unterscheiden.

Warum die Abwehr nicht mehr der schwierige Teil ist

DDoS-Verkehr zu stoppen ist zur Standardware geworden. Große Anbieter wie Cloudflare, Akamai und AWS Shield absorbieren Angriffe am Rand riesiger Netze, fangen volumetrische Fluten weit oberhalb des Kunden ab und filtern Protokoll- und Anwendungsmissbrauch durch Scrubbing und Ratenbegrenzung. Für die meisten Organisationen erhält die technische Frage, ob ein Angriff blockiert werden kann, ein selbstbewusstes Ja, sofern der Datenverkehr über diesen Schutz geleitet wird. Die schwierigere Frage, und diejenige, die eine Risikofunktion stellen sollte, ist eine der Abdeckung statt der Fähigkeit.

Die Lücke, die schmerzt, ist das Asset, das niemand über den Schutzschild geleitet hat. Eine öffentliche Marketing-Website sitzt hinter dem CDN, doch die API, die die mobile App aufruft, die übernommene Ursprungs-IP, die nie außer Betrieb genommen wurde, der Partner-Integrations-Endpunkt oder der von einem anderen Team hochgefahrene regionale Dienst können direkt zum Ursprung auflösen und den Schutz vollständig umgehen. Angreifer finden diese direkten Pfade und zielen darauf. Eine wirksame DDoS-Abwehr ist daher zuerst ein Inventar- und Routing-Problem: jeden mit dem Internet verbundenen Dienst zu kennen, zu bestätigen, dass jeder tatsächlich hinter der Abwehr liegt, und nachzuweisen, dass der Ursprung nicht an ihr vorbei erreichbar ist.

Wo DDoS in Kontinuität und Standards einzuordnen ist

Da DDoS die Verfügbarkeit angreift, gehört es in dieselbe Diskussion wie das Business-Continuity-Management. Ein an ISO/IEC 27001 ausgerichtetes Informationssicherheits-Managementsystem behandelt die Verfügbarkeit als eine der drei Eigenschaften, die es schützt, und ein Denial-of-Service-Szenario ist eine lehrbuchmäßige Eingabe für eine Business-Impact-Analyse: Wie lange kann jeder Dienst ausfallen, was hängt von ihm ab und was ist die Rückfalllösung. Die Antwort ist selten eine einzelne Maßnahme. Sie kombiniert vorgelagerte Abwehr, ein Incident-Response-Runbook mit namentlich benannten Ansprechpartnern beim Abwehranbieter und Kontinuitätsvorkehrungen für den Zeitraum, in dem ein Angriff absorbiert wird.

Was Fachleute tatsächlich tun, über den Kauf von Abwehr hinaus, ist proben und verifizieren. Sie führen ein genaues Inventar der mit dem Internet verbundenen Dienste, bestätigen, dass jeder hinter dem Schutz liegt, und testen, dass der Ursprung nicht direkt erreichbar ist. Sie justieren Ratenbegrenzungen und Challenge-Seiten gegen Missbrauch auf der Anwendungsschicht, da diese Angriffe echten Datenverkehr nachahmen und nicht allein mit Bandbreite gelöst werden können.

Sie schreiben den Eskalationspfad vor einem Vorfall, damit während einer Flut niemand nach der richtigen Telefonnummer sucht. Und sie behandeln ein DDoS-Ereignis als Kontinuitätsübung, mit klaren Schwellenwerten, um den Plan auszulösen, mit Kunden zu kommunizieren und die Dienste wieder hochzufahren, sobald der Datenverkehr abebbt.

Frequently asked questions

01Was ist der Unterschied zwischen DoS und DDoS?

Ein Denial-of-Service-Angriff stammt von einer einzigen Quelle, während ein Distributed Denial of Service viele Quellen gleichzeitig nutzt, typischerweise ein Botnetz. Die Verteilung macht DDoS wirksam: Man kann nicht einen einzelnen Verursacher blockieren, und der gebündelte Datenverkehr kann eine Kapazität erschöpfen, die keine einzelne Maschine erreichen könnte.

02Was sind die drei Arten von DDoS-Angriffen?

Volumetrische Angriffe sättigen die Bandbreite der Verbindung, oft durch Amplifikation. Protokollangriffe erschöpfen den Zustand in Netzwerkgeräten und Servern, etwa halb offene Verbindungen. Angriffe auf der Anwendungsschicht senden Anfragen, die legitim aussehen, um die Anwendung selbst zu erschöpfen, was sie am schwersten filterbar macht.

03Lassen sich DDoS-Angriffe noch stoppen?

Für Datenverkehr, der über eine moderne Abwehr geleitet wird, fast immer. Anbieter wie Cloudflare, Akamai und AWS Shield absorbieren Fluten vorgelagert. Das eigentliche Risiko ist die Abdeckung: ein Asset wie eine direkte Ursprungs-IP oder eine ungeschützte API, die am Schutzschild vorbei auflöst und den Schutz nie erhält.

04Warum ist DDoS ein Anliegen der Geschäftskontinuität?

DDoS greift die Verfügbarkeit an, fließt also direkt in das Business-Continuity-Management und die Business-Impact-Analyse ein. Die Frage ist, wie lange jeder Dienst ausfallen kann und was die Rückfalllösung ist, weshalb die Abwehr mit einem Incident-Runbook und Kontinuitätsvorkehrungen kombiniert werden muss.

05Bedeutet ein DDoS, dass meine Daten kompromittiert wurden?

Nicht von sich aus. DDoS ist ein Angriff auf die Verfügbarkeit, dessen Ziel es ist, einen Dienst offline zu nehmen, nicht Daten zu stehlen oder zu verändern. Er wird manchmal als Ablenkung während eines anderen Eindringens genutzt, sodass eine Flut dennoch eine verschärfte Überwachung anderer Systeme auslösen sollte.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.