Freitagabend, 18:30 Uhr: Der Onlineshop eines mittelständischen Händlers wird plötzlich unerreichbar. Innerhalb von Minuten überfluten Millionen von Anfragen die Server. Der Kundenservice ist hilflos, die IT-Abteilung im Wochenende. Als der Shop am Montag wieder läuft, sind drei Tage Umsatz verloren — und das Vertrauen zahlreicher Stammkunden beschädigt.
Die Verhinderung von Diensten (Denial of Service) zählt zu den ältesten und zugleich hartnäckigsten Angriffsformen im Internet. Das BSI führt sie als elementare Gefährdung G 0.40. Angriffe dieser Art sind technisch simpel durchzuführen, aber für die Betroffenen extrem teuer.
Was steckt dahinter?
DoS-Angriffe zielen darauf ab, einen Dienst, eine Funktion oder ein ganzes System für legitime Benutzer unbrauchbar zu machen. Der Angreifer verbraucht dafür gezielt Ressourcen, die eigentlich den regulären Nutzern zur Verfügung stehen sollten: Bandbreite, CPU-Zeit, Arbeitsspeicher, Verbindungskontingente oder Festplattenkapazität.
Die Angriffsmotivation ist breit gefächert. Verärgerte Mitarbeiter, Wettbewerber, Erpresser und politisch motivierte Gruppen setzen DoS-Angriffe ein. Booter-Dienste im Darknet ermöglichen es selbst technisch unerfahrenen Tätern, massiven Traffic auf ein Ziel zu lenken.
Angriffsformen
- Volumetrische Angriffe — die Internetleitung des Ziels wird mit Datenmüll geflutet. UDP-Floods, DNS-Amplification und NTP-Reflection sind gängige Methoden. Angriffsvolumen von mehreren hundert Gbit/s sind dokumentiert.
- Protokollangriffe — SYN-Floods, Ping of Death oder Smurf-Attacken nutzen Schwächen in Netzwerkprotokollen, um Verbindungstabellen von Firewalls und Loadbalancern zu erschöpfen.
- Application-Layer-Angriffe — hier werden gezielt ressourcenintensive Operationen der Anwendungsschicht angesprochen (z. B. komplexe Datenbankabfragen, Login-Seiten). Diese Angriffe benötigen vergleichsweise wenig Bandbreite und sind schwer von legitimem Traffic zu unterscheiden.
- Physische DoS-Angriffe — auch ohne IT-Bezug kann Verfügbarkeit sabotiert werden: blockierte Gebäudeeingänge, unterbrochene Stromversorgung oder gestörte Telefonsysteme.
Schadensausmass
Die Kosten eines DoS-Angriffs übersteigen den reinen Umsatzverlust oft um ein Vielfaches. Neben dem direkten Geschäftsausfall entstehen Aufwände für Incident Response, Kommunikation mit Kunden und Partnern, mögliche SLA-Verletzungen und Reputationsschäden. Bei kritischen Infrastrukturen kann die Nichtverfügbarkeit von Diensten auch Gesundheit und Sicherheit von Menschen gefährden.
Praxisbeispiele
DDoS-Erpressung gegen einen Logistikdienstleister. Ein Kurierdienst erhält eine E-Mail, die einen Angriff ankündigt, sofern nicht innerhalb von 48 Stunden eine Zahlung in Kryptowährung erfolgt. Als das Unternehmen nicht reagiert, fällt das Sendungsverfolgungsportal aus — Kunden können ihre Lieferungen nicht mehr nachverfolgen, Disponenten verlieren die Übersicht. Der Dienstleister hat keinen DDoS-Mitigationsdienst unter Vertrag; die Wiederherstellung dauert zwei Tage.
Application-Layer-Angriff auf ein Bewerbungsportal. Ein Personaldienstleister stellt fest, dass sein Bewerbungsportal extrem langsam reagiert. Die Ursache: Tausende automatisierte Anfragen erzeugen gleichzeitig aufwendige PDF-Generierungen im Backend. Die CPU-Last auf den Applikationsservern liegt bei 100 %. Ein Rate-Limiting hätte den Angriff innerhalb von Sekunden eingedämmt.
Telefon-DoS gegen eine Arztpraxis. Die Telefonanlage einer großen Gemeinschaftspraxis wird mit automatisierten Anrufen überflutet. Patienten können keine Termine vereinbaren, Notfälle werden nicht durchgestellt. Der Angriff zeigt: DoS beschränkt sich keineswegs auf Internetdienste.
Relevante Kontrollen
Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 14 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)
Prävention:
- A.8.22 — Trennung von Netzwerken: Segmentierung begrenzt die Angriffsfläche und verhindert, dass ein DDoS-Angriff auf ein Segment alle Dienste lahmlegt.
- A.8.20 — Netzwerksicherheit: Grundlegende Netzwerkhärtung, Firewall-Regeln und Traffic-Filterung als erste Verteidigungslinie.
- A.8.23 — Webfilterung: Blockierung bekannter bösartiger Quellen und Muster auf Anwendungsebene.
- A.5.29 — Informationssicherheit bei Störungen: Continuity-Planung sichert die Verfügbarkeit kritischer Dienste auch unter Angriffsbedingungen.
Erkennung:
- A.8.16 — Überwachungsaktivitäten: Monitoring erkennt Traffic-Anomalien, die auf einen DDoS-Angriff hindeuten.
- A.8.15 — Protokollierung: Detaillierte Logs ermöglichen die nachträgliche Analyse von Angriffsmustern.
Reaktion:
- A.5.24 — Planung der Informationssicherheitsvorfallreaktion: Vordefinierte Playbooks für DDoS-Szenarien beschleunigen die Reaktion.
- A.5.25 — Bewertung und Entscheidung über Informationssicherheitsereignisse: Strukturierte Triage trennt echte Angriffe von Traffic-Spitzen durch legitime Nutzung.
BSI IT-Grundschutz
G 0.40 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:
- NET.1.1 (Netzarchitektur und -design) — Segmentierung und redundante Anbindungen reduzieren die Angriffsfläche.
- NET.3.1 (Router und Switches) — Härtung und Filterung auf Netzwerkebene.
- DER.1 (Detektion von sicherheitsrelevanten Ereignissen) — Erkennung ungewöhnlicher Traffic-Muster.
- SYS.1.6 (Containerisierung) — Ressourcenlimits und Isolation verhindern, dass ein überlasteter Container andere Dienste beeinträchtigt.
Quellen
- BSI: Die Lage der IT-Sicherheit in Deutschland — Jahreslagebericht mit aktuellen DDoS-Statistiken
- BSI IT-Grundschutz: Elementare Gefährdungen, G 0.40 — Originalbeschreibung der elementaren Gefährdung
- ISO/IEC 27002:2022 Abschnitt 8.22 — Umsetzungshinweise zur Netzwerksegmentierung