Was ist ein DDoS-Angriff?

Bei einem Distributed-Denial-of-Service-Angriff (DDoS) überfluten Angreifer Ihre IT-Systeme mit einer Masse an Anfragen, bis diese unter der Last zusammenbrechen. Das Ziel: Ihre Dienste für legitime Nutzer unerreichbar zu machen. Die Angriffe werden über Botnetze – tausende kompromittierte Geräte weltweit – koordiniert und sind damit schwer zu blockieren.

Für Unternehmen bedeutet ein DDoS-Angriff: Webshop offline, Kundenportal nicht erreichbar, E-Mail-Systeme gestört. Je nach Branche kann bereits eine Stunde Ausfallzeit fünf- bis sechsstellige Schäden verursachen.

Arten von DDoS-Angriffen

🚨

Cyberangriff? Jetzt Soforthilfe erhalten.

24/7 erreichbar. In 20 Minuten handlungsfähig. TÜV-zertifiziert.

Kontaktformular

Nicht jeder DDoS-Angriff funktioniert gleich. Die drei Hauptkategorien erfordern unterschiedliche Abwehrstrategien:

Volumetrische Angriffe

Die häufigste Form: Angreifer erzeugen enormen Datenverkehr (oft mehrere hundert Gbit/s), um die Internetanbindung zu überlasten. Typische Methoden sind UDP-Floods, DNS-Amplification oder Memcached-Reflection. Gegen diese Angriffe hilft nur Kapazität – Ihr eigener Server kann das nicht abfangen.

Protokoll-Angriffe

Diese zielen auf Schwachstellen in Netzwerkprotokollen. SYN-Floods, Ping of Death oder fragmentierte Pakete überlasten Firewalls, Load Balancer oder Server-Ressourcen. Die Bandbreite ist oft gering, der Effekt aber verheerend.

Application-Layer-Angriffe

Die raffinierteste Variante: Angreifer senden scheinbar legitime HTTP-Anfragen, die ressourcenintensive Operationen auslösen – etwa komplexe Datenbankabfragen oder große Downloads. Diese Angriffe sind schwer von normalem Traffic zu unterscheiden und erfordern intelligente Erkennung.

Wie erkennen Sie einen DDoS-Angriff?

Ein DDoS-Angriff kündigt sich oft durch klare Symptome an:

Plötzlicher Performance-Einbruch: Webseiten laden extrem langsam oder gar nicht mehr
Monitoring-Alarme: Bandbreiten-Auslastung, CPU-Last oder Verbindungszahlen schießen in die Höhe
Ungewöhnliche Traffic-Muster: Anfragen aus untypischen Regionen, gleichförmige Request-Muster, auffällige User-Agent-Strings
ISP-Benachrichtigung: Ihr Internet-Provider meldet ungewöhnlich hohen eingehenden Traffic
Ausfall einzelner Dienste: DNS, E-Mail oder VPN sind nicht mehr erreichbar, obwohl die Infrastruktur läuft

Wichtig: Nicht jeder Ausfall ist ein DDoS-Angriff. Fehlkonfigurationen, Hardware-Defekte oder Traffic-Spitzen nach Marketingaktionen können ähnliche Symptome zeigen. Eine sorgfältige Analyse ist entscheidend.

Sofortmaßnahmen bei einem DDoS-Angriff

Wenn Sie einen aktiven DDoS-Angriff vermuten, handeln Sie in dieser Reihenfolge:

Internet-Provider kontaktieren: Ihr ISP kann auf Netzwerkebene filtern und hat die nötige Bandbreite, um volumetrische Angriffe abzufangen. Viele Provider bieten Notfall-Scrubbing-Dienste an.
DDoS-Schutz aktivieren: Wenn Sie einen DDoS-Mitigation-Dienst haben, aktivieren Sie den Notfallmodus. Wenn nicht, kontaktieren Sie umgehend einen Anbieter – viele bieten Emergency Onboarding an.
Traffic analysieren und filtern: Identifizieren Sie Angriffsmuster und setzen Sie gezielte Filterregeln. Geo-Blocking kann helfen, wenn der Angriff aus bestimmten Regionen kommt.
Kritische Systeme priorisieren: Wenn nicht alle Dienste geschützt werden können, priorisieren Sie geschäftskritische Anwendungen.
Dokumentation starten: Protokollieren Sie Zeitpunkte, Symptome, Traffic-Daten und ergriffene Maßnahmen für die spätere Analyse und eine eventuelle Strafanzeige.

DDoS oder Hack? Der entscheidende Unterschied

Ein reiner DDoS-Angriff zielt auf Verfügbarkeit – Ihre Daten werden nicht gestohlen oder verschlüsselt. Allerdings nutzen Angreifer DDoS-Attacken zunehmend als Ablenkungsmanöver: Während Ihr IT-Team mit der Abwehr beschäftigt ist, läuft im Hintergrund der eigentliche Angriff – etwa eine Ransomware-Infektion oder Datenexfiltration.

Prüfen Sie deshalb immer parallel: Gibt es verdächtige Login-Versuche? Wurden Daten übertragen? Gibt es Veränderungen im Active Directory? Wenn ein DDoS-Angriff mit anderen Auffälligkeiten einhergeht, ist ein Incident-Response-Team gefragt.

Wann brauchen Sie Incident Response?

Holen Sie sich professionelle Unterstützung, wenn:

Der Angriff länger als 30 Minuten andauert und Ihre Maßnahmen nicht greifen
Gleichzeitig andere Sicherheitsvorfälle auftreten (Ransomware, ungewöhnliche Logins)
Erpresserische Forderungen eingehen (Ransom-DDoS)
Ihre geschäftskritischen Systeme dauerhaft betroffen sind
Sie nicht sicher unterscheiden können, ob es ein DDoS-Angriff oder ein komplexerer Angriff ist

Langfristiger Schutz gegen DDoS

Nach dem Vorfall sollten Sie Ihre DDoS-Resilienz systematisch aufbauen:

CDN und DDoS-Mitigation: Content Delivery Networks verteilen die Last und filtern bösartigen Traffic, bevor er Ihre Infrastruktur erreicht
Web Application Firewall (WAF): Schützt vor Application-Layer-Angriffen und erkennt bösartige Anfragemuster
Rate Limiting: Begrenzt die Anzahl der Anfragen pro IP-Adresse und Zeiteinheit
Redundante Infrastruktur: Georedundante Systeme und Failover-Mechanismen erhöhen die Widerstandsfähigkeit
DDoS-Response-Plan: Definieren Sie im Voraus Zuständigkeiten, Eskalationswege und Maßnahmen
Regelmäßige Stresstests: Simulieren Sie DDoS-Szenarien, um Schwachstellen in Ihrer Abwehr zu identifizieren

Rechtliche Schritte

DDoS-Angriffe sind nach § 303b StGB (Computersabotage) strafbar und können mit Freiheitsstrafe bis zu drei Jahren geahndet werden. Erstatten Sie Strafanzeige bei der Zentralen Ansprechstelle Cybercrime (ZAC) Ihres Landeskriminalamts. Die gesicherten Traffic-Daten und Logfiles sind dabei wichtige Beweismittel.

Weiterführende Informationen

Vorbereitung ist alles

Die beste Verteidigung gegen DDoS beginnt lange vor dem Angriff. Unternehmen, die ihre Infrastruktur resilient aufstellen und einen klaren Response-Plan haben, überstehen Attacken mit minimalen Auswirkungen. Wer erst im Ernstfall reagiert, verliert wertvolle Zeit und damit bares Geld.

DDoS-Angriff auf Ihr Unternehmen – Erkennung, Abwehr und Soforthilfe

Was ist ein DDoS-Angriff?