Angriffsszenarien in Kombination am gefährlichsten

Den Angreifern stehen eine Reihe von unterschiedlichen Ausführungsmöglichkeiten zur Auswahl. Beim hochvolumigen DDoS-Angriff sollen der Bandbreitenverbrauch erhöht und so Engpässe und Überlastungen erzeugt werden. Die zweite Möglichkeit ist die TCP-State-Exhaustion: der Angriff überlastet die State Tables (Zustandstabellen) und setzt dadurch Komponenten wie Firewalls, Loadbalancer und Server außer Betrieb. Als dritte Form gibt es den Applikationsangriff. Er hat das Ziel, die Applikation selbst zu überlasten und damit nur die Anwendungsschicht außer Betrieb zu setzen. Diese Methode lässt sich nur schwer erkennen und vom normalen Nutzerverhalten abgrenzen. Die Kombination verschiedener Angriffsszenarien versetzt die Angreifer in die Lage, ihr Ziel schnell und effizient zu treffen und zu schädigen.

Die Häufigkeit und Heftigkeit der Angriffe steigt seit Jahren rapide an. Laut State of the Internet Security Report [PDF] von Akamai haben sie sich allein im zweiten Quartal 2016 gegenüber dem Vorjahreszeitraum mit einem Anstieg von 129 Prozent mehr als verdoppelt. Arbor Networks hat in einer aktuellen Untersuchung herausgefunden, dass 70 Prozent der befragten Unternehmen im Monat einem bis zehn Angriffen ausgesetzt sind. Zwei Prozent der befragten Unternehmen sahen sich sogar mit mehr als 500 Angriffen pro Monat konfrontiert. Die Dauer der Angriffe beschränkt sich in 88 Prozent der Befragten auf weniger als 24 Stunden. In 60 Prozent aller Fälle waren die Angriffe bereits sogar nach weniger als sieben Stunden beendet. In Einzelfällen kann diese Bedrohung jedoch auch über Monate andauern.

Investitionen in einen umfassenden DDoS-Schutz sollten angesichts der Bedrohungslage und weitreichenden Folgen selbstverständlich sein. Ein Schutz unmittelbar vor der Unternehmens-Firewall kann schon vieles leisten. Allerdings ist der Angriffspunkt damit sehr nah am Unternehmensnetz. Wird der Angriff mit großer Vehemenz betrieben, kann er an dieser Stelle auch ein spezialisiertes System zum Versagen bringen. Besser ist ein System, das sehr frühzeitig, idealerweise schon im Providernetz, verdächtige Muster erkennt.