{"id":1500,"date":"2021-11-26T12:07:19","date_gmt":"2021-11-26T11:07:19","guid":{"rendered":"https:\/\/blog.init7.net\/?p=1500"},"modified":"2024-03-06T09:19:20","modified_gmt":"2024-03-06T08:19:20","slug":"cyber-kriminalitaet-so-funktionieren-ddos-attacken","status":"publish","type":"post","link":"https:\/\/blog.init7.net\/de\/cyber-kriminalitaet-so-funktionieren-ddos-attacken\/","title":{"rendered":"Cyber-Kriminalit\u00e4t: So funktionieren DDoS-Attacken"},"content":{"rendered":"<section id=\"res-cat-date-block_60227d0baa462\" class=\"res-block res-cat-date py-2\" style=\"background: transparent;\">&#13;\n\t<div class=\"inner-container container-off\" data-aos=\"res-fadeIn\">&#13;\n&#13;\n\t\t<div class=\"the_category_content\">&#13;\n\t\t\t<div class=\"the_category\"><ul class=\"post-categories\">\n\t<li><a href=\"https:\/\/blog.init7.net\/de\/story\/allgemein\/\" rel=\"category tag\">Allgemein<\/a><\/li>\n\t<li><a href=\"https:\/\/blog.init7.net\/de\/story\/technik\/\" rel=\"category tag\">Technik<\/a><\/li><\/ul><\/div> <span class=\"d-none d-sm-block\">|<\/span> <div class=\"the_date\">26.11.2021<\/div><div class=\"the_change_date ml-sm-auto\">zuletzt aktualisiert am 06.03.2024<\/div>&#13;\n&#13;\n\t<\/div>&#13;\n\t  &#13;\n\t<\/div>&#13;\n<\/section>\n\n\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-9d6595d7 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\">\n<h1 class=\"wp-block-heading\">Cyber-Kriminalit&#xE4;t: So funktionieren DDoS-Attacken <\/h1>\n<\/div>\n<\/div>\n\n\n\n<p><strong>Die Webseiten der St. Galler Beh&#xF6;rden waren im Oktober bereits zum dritten Mal in diesem Jahr Ziel einer Cyber-Attacke. Durch eine <strong>sogenannte &#xAB;<a class=\"glossaryLink\" title=\"Glossar: DDoS\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_1f5355c86bd5552f8e457e2a27325cb3\" href=\"https:\/\/blog.init7.net\/de\/glossar\/distributed-denial-of-service\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">Distributed Denial of Service<\/a>&#xBB;-Attacke (DDoS)<\/strong><\/strong> <strong>legten Hacker die Webseiten der Stadt und des Kantons lahm. Wer hinter dem Angriff steckte, ist nicht bekannt. Bereits im Juli forderten Cyber-Kriminelle nach einer DDoS-Attacke Zahlungen in Form von Bitcoins. Andernfalls drohten sie, mit einer gr&#xF6;sseren Attacke das gesamte  <a class=\"glossaryLink\" title=\"Glossar: Netzwerk\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_1ac6c4d3a01aa3dce957168b6900c4e1\" href=\"https:\/\/blog.init7.net\/de\/glossar\/netzwerk\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">Netzwerk<\/a> der St. Galler Beh&#xF6;rden zu sabotieren. Der Angriff konnte jedoch bew&#xE4;ltigt werden und es blieb bei der Drohung. Was DDoS-Attacken sind, wie sie funktionieren und wie sich Organisationen dagegen sch&#xFC;tzen k&#xF6;nnen, erkl&#xE4;ren wir in diesem Artikel.<\/strong><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Denial of Service (DoS)<\/h2>\n\n\n\n<p>&#xAB;<a class=\"glossaryLink\" title=\"Glossar: DoS\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_85b0a00a0a1bd05d0a3bdc170be9597a\" href=\"https:\/\/blog.init7.net\/de\/glossar\/denial-of-service\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">Denial of Service<\/a>&#xBB;-Attacken (DoS) legen einen Dienst oder einen <a class=\"glossaryLink\" title=\"Glossar: Server\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_6b485f7e344cffc6661ffb933e8993b8\" href=\"https:\/\/blog.init7.net\/de\/glossar\/server\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">Server<\/a> lahm, indem sie diesen mit Anfragen &#xFC;berh&#xE4;ufen. Der attackierte Dienst resp. Server ist mit den zahllosen Anfragen &#xFC;berfordert und entweder stark verlangsamt oder gar nicht mehr verf&#xFC;gbar. Von &#xAB;Distributed Denial of Service&#xBB; (<a class=\"glossaryLink\" title=\"Glossar: DDoS\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_1f5355c86bd5552f8e457e2a27325cb3\" href=\"https:\/\/blog.init7.net\/de\/glossar\/distributed-denial-of-service\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">DDoS<\/a>) spricht man, wenn die Anfragen koordiniert und von einer grossen Anzahl (oftmals gehackter) Rechner durchgef&#xFC;hrt werden. Grunds&#xE4;tzlich kann jede &#xF6;ffentliche <a class=\"glossaryLink\" title=\"Glossar: IP-Adresse\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_f73c12aaf4bdfdac241a9928e5d87ddc\" href=\"https:\/\/blog.init7.net\/de\/glossar\/ip-adresse\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">IP-Adresse<\/a> zum Opfer von DoS- bzw. DDoS-Attacken werden.<\/p>\n\n\n\n<p>Die nachfolgende Grafik zeigt den eingehenden (blau) und den ausgehenden (gr&#xFC;n) Datenverkehr w&#xE4;hrend einer DDoS-Attacke:<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"603\" height=\"269\" src=\"https:\/\/blog.init7.net\/wp-content\/uploads\/2021\/11\/ddos-traffic.png\" alt=\"\" class=\"wp-image-1631\" srcset=\"https:\/\/blog.init7.net\/wp-content\/uploads\/2021\/11\/ddos-traffic.png 603w, https:\/\/blog.init7.net\/wp-content\/uploads\/2021\/11\/ddos-traffic-300x134.png 300w\" sizes=\"auto, (max-width: 603px) 100vw, 603px\"\/><figcaption><span class=\"has-inline-color has-cyan-bluish-gray-color\">Datenverkehr w&#xE4;hrend einer DDoS-Attacke<\/span><\/figcaption><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Arten von DDoS-Angriffen<\/h2>\n\n\n\n<p>Es gibt verschiedene Typen von DDoS-Angriffen &#x2013; abh&#xE4;ngig davon, welcher Dienst lahmgelegt wird. Grunds&#xE4;tzlich lassen sich drei Arten unterscheiden:<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Volumenbasierte Angriffe<\/h3>\n\n\n\n<p>Volumenbasierte Angriffe generieren Unmengen von Datenverkehr, um die Internetbandbreite entweder innerhalb des Netzwerks des Opfers oder zwischen dem Netzwerk des Opfers und dem restlichen Internet zu &#xFC;berlasten. Als g&#xE4;ngigste Methode kommen die auf dem <a class=\"glossaryLink\" title=\"Glossar: UDP\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_ef090ddcb49677cf6741f3f28ab0ec59\" href=\"https:\/\/blog.init7.net\/de\/glossar\/user-datagram-protocol\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">User Datagram Protocol<\/a> (UDP) basierenden <a class=\"glossaryLink\" title=\"Glossar: UDP-Flood-Attacke\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_bfb8aa37e646f5caf1af465947ad72ba\" href=\"https:\/\/blog.init7.net\/de\/glossar\/udp-flood-attacke\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">UDP-Flood-Attacken<\/a> zum Einsatz. Das <a class=\"glossaryLink\" title=\"Glossar: UDP\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_ef090ddcb49677cf6741f3f28ab0ec59\" href=\"https:\/\/blog.init7.net\/de\/glossar\/user-datagram-protocol\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">UDP<\/a> ist ein verbindungsloses, ungesch&#xFC;tztes <a class=\"glossaryLink\" title=\"Glossar: Netzwerkprotokoll\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_2babdfcdedf5a04038010cab92d723f2\" href=\"https:\/\/blog.init7.net\/de\/glossar\/netzwerkprotokoll\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">Netzwerkprotokoll<\/a>. Das heisst, Datenpakete werden gesendet, ohne dass im Vorfeld eine Verbindung zum Empf&#xE4;nger hergestellt wird. Das Betriebssystem des Empf&#xE4;ngers pr&#xFC;ft dann, ob eine Anwendung die UDP-Datenpakete verwendet. Falls nicht, sendet das Betriebssystem ein ICMP-&#xAB;Destination Unreachable&#xBB;-Paket (=&#xAB;Unzustellbar&#xBB;-Fehlermeldung) an den Absender. Eine &#xDC;berflutung mit unzustellbaren UDP-Paketen f&#xFC;hrt zur &#xDC;berlastung der Internetbandbreite und folglich dazu, dass die Webseite nicht mehr erreichbar ist. Und da die Internetbandbreite beim <a class=\"glossaryLink\" title=\"Glossar: Webhosting\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_117f649d53da1b4c5ff1a0e2796fa959\" href=\"https:\/\/blog.init7.net\/de\/glossar\/webhosting\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">Webhosting<\/a> oft von mehreren Webseiten geteilt wird, sind auch die anderen an der gleichen Bandbreite angeschlossenen Webseiten nicht mehr erreichbar. Es entsteht Kollateralschaden.<\/p>\n\n\n\n<p>Man kann sich das Ganze etwa so vorstellen: Ein Rezeptionist leitet eingehende Anrufe weiter. Ruft nun jemand an und verlangt Person X, ruft der Rezeptionist bei Person X an. Diese geht jedoch nicht ans Telefon. Der Rezeptionist muss dem Anrufer sagen, dass er ihn nicht weiterverbinden kann. Bei UDP-Floods klingelt eine Vielzahl Telefone gleichzeitig und keiner der Anrufe kann weitergeleitet werden. Der Rezeptionist kann nicht alle Arbeit bew&#xE4;ltigen und bricht unter der Last zusammen. <\/p>\n\n\n\n<p>UDP-Floods k&#xF6;nnen ein Volumen von mehreren <a class=\"glossaryLink\" title=\"Glossar: Tbit\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_6c9a082001cbba4a57c49e1277e66956\" href=\"https:\/\/blog.init7.net\/de\/glossar\/terabit\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">Terabit<\/a> pro Sekunde umfassen, doch auch kleinere Angriffe k&#xF6;nnen zur Folge haben, dass ein Dienst &#xFC;ber einen gewissen Zeitraum nicht verf&#xFC;gbar ist.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Protokollbasierte Angriffe<\/h3>\n\n\n\n<p>Protokollbasierte Angriffe zielen darauf ab, die Netzwerkinfrastruktur (z.B. Server, <a class=\"glossaryLink\" title=\"Glossar: Firewall\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_55951f244f976fe48a5c4cce35454b0e\" href=\"https:\/\/blog.init7.net\/de\/glossar\/firewall\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">Firewalls<\/a>) mit einer grossen Menge an gef&#xE4;lschtem Datenverkehr zu &#xFC;berfluten. Ein Beispiel daf&#xFC;r sind <a class=\"glossaryLink\" title=\"Glossar: SYN-Flood-Attacke\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_435a20481263263a229ef172680e34da\" href=\"https:\/\/blog.init7.net\/de\/glossar\/syn-flood-attacke\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">SYN-Flood-Attacken<\/a>. Diese nutzen den Verbindungsaufbau des <a class=\"glossaryLink\" title=\"Glossar: TCP\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_e52df0fd1f74ac63eadf0352818eec90\" href=\"https:\/\/blog.init7.net\/de\/glossar\/tcp\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">Transmission Control Protocols<\/a> (TCP), um einen <a class=\"glossaryLink\" title=\"Glossar: Server\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_6b485f7e344cffc6661ffb933e8993b8\" href=\"https:\/\/blog.init7.net\/de\/glossar\/server\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">Server<\/a> zu &#xFC;berlasten. TCP ist ein Netzwerkprotokoll, das im Unterschied zum verbindungslosen User Datagram Protocol (UDP) eine Verbindung zwischen den zwei Endpunkten herstellt. Um die Verbindung herzustellen, f&#xFC;hren das Endger&#xE4;t (<a class=\"glossaryLink\" title=\"Glossar: Client\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_2bf14ae594f9c3f1173e6fdee77a0f75\" href=\"https:\/\/blog.init7.net\/de\/glossar\/client\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">Client<\/a>) und der Server einen sogenannten Threeway-Handshake durch: <\/p>\n\n\n\n<p>1. Der Client schickt ein SYN-Paket (&#xAB;SYN&#xBB; steht f&#xFC;r <em>synchronize<\/em>) an den Server.<br>2. Der <a class=\"glossaryLink\" title=\"Glossar: Server\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_6b485f7e344cffc6661ffb933e8993b8\" href=\"https:\/\/blog.init7.net\/de\/glossar\/server\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">Server<\/a> best&#xE4;tigt dies mit SYN, ACK (&#xAB;ACK&#xBB; steht f&#xFC;r <em>acknowledge<\/em>).<br>3. Der Client best&#xE4;tigt wiederum mit ACK.<\/p>\n\n\n\n<p>Danach ist die Verbindung hergestellt. SYN-Flood-Attacken senden Unmengen an SYN-Paketen, jedoch keine letzte ACK-Best&#xE4;tigung. Der Server speichert die Adressen der <a class=\"glossaryLink\" title=\"Glossar: Client\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_2bf14ae594f9c3f1173e6fdee77a0f75\" href=\"https:\/\/blog.init7.net\/de\/glossar\/client\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">Clients<\/a> und die halboffenen Verbindungen, damit diese bei Empfang der letzten ACK-Best&#xE4;tigung hergestellt werden k&#xF6;nnen. Wird ein Server nun mit Anfragen &#xFC;berflutet und bleiben die ACK-Best&#xE4;tigungen aus, sind die Ressourcen des <a class=\"glossaryLink\" title=\"Glossar: Server\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_6b485f7e344cffc6661ffb933e8993b8\" href=\"https:\/\/blog.init7.net\/de\/glossar\/server\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">Servers<\/a> irgendwann ersch&#xF6;pft und es k&#xF6;nnen keine neuen Verbindungen mehr hergestellt werden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Anwendungsbasierte Angriffe<\/h3>\n\n\n\n<p>Anwendungsbasierte Angriffe sind komplexer als volumenbasierte, da die Angreifer ein spezifisches Problem einer Anwendung ausnutzen, um diese zu &#xFC;berlasten. Im Vergleich zu volumenbasierten Angriffen braucht es eine geringere Datenmenge, weshalb anwendungsbasierte Angriffe schwerer zu erkennen sind, da der erzeugte Datenverkehr normal scheint. Ein Beispiel daf&#xFC;r sind <a class=\"glossaryLink\" title=\"Glossar: HTTP-GET-Flood-Attacke\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_4be8b26c9fcc680d9f6d51774074f5c9\" href=\"https:\/\/blog.init7.net\/de\/glossar\/http-get-flood-attacke\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">HTTP-GET-Flood-Attacken<\/a>. Dabei werden Webserver mit Anfragen &#xFC;berflutet, um gezielt Webseiten mit grossem Ladevolumen (z.B. Videos) aufzurufen. Die Anfragen erfolgen &#xFC;ber das <a class=\"glossaryLink\" title=\"Glossar: HTTP\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_9c1e701d6f1508a993d222cad57c7bb2\" href=\"https:\/\/blog.init7.net\/de\/glossar\/http\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">Hypertext Transfer Protocol<\/a> (HTTP). Die &#xDC;berflutung f&#xFC;hrt zu einer &#xDC;berlastung des Servers und &#xAB;normale&#xBB; Anfragen k&#xF6;nnen nicht mehr bearbeitet werden. Die Webseite ist folglich nicht mehr verf&#xFC;gbar.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">So k&#xF6;nnen DDoS-Attacken abgewehrt werden<\/h2>\n\n\n\n<p>Eine Erste-Hilfe-Massnahme besteht im sogenannten <a class=\"glossaryLink\" title=\"Glossar: Blackholing\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_6d729959c37505d5daf8c3069b88c024\" href=\"https:\/\/blog.init7.net\/de\/glossar\/blackholing\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">Blackholing<\/a>. Dabei wird der gesamte Datenverkehr zur attackierten IP-Adresse identifiziert und vernichtet, bevor er den entsprechenden Server erreicht. Dadurch werden die Internetanbindung entlastet und Kollateralsch&#xE4;den an weiteren IP-Adressen resp. Webseiten vermieden. Die attackierte <a class=\"glossaryLink\" title=\"Glossar: IP-Adresse\" aria-describedby=\"tt\" data-cmtooltip=\"cmtt_f73c12aaf4bdfdac241a9928e5d87ddc\" href=\"https:\/\/blog.init7.net\/de\/glossar\/ip-adresse\/\" data-mobile-support=\"0\" data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex=\"0\" role=\"link\">IP-Adresse<\/a> ist offline und demnach weiterhin nicht verf&#xFC;gbar. Die DDoS-Attacke war aus Sicht des Angreifers somit erfolgreich. Wird kein &#xFC;berm&#xE4;ssiger Datenverkehr mehr registriert, kann das Blackholing eingestellt werden. Dies f&#xFC;hrt jedoch h&#xE4;ufig dazu, dass die Angreifer eine erneute DDoS-Attacke starten. Es entsteht ein Katz-und-Maus-Spiel.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Pr&#xE4;vention gegen DDoS-Attacken<\/h2>\n\n\n\n<p>Es gibt spezielle DoS-Filter f&#xFC;r Firewalls, die den ankommenden Traffic analysieren, doch bei einer DDoS-Attacke kann die Kapazit&#xE4;t der Firewall oder die Internetbandbreite schnell zu klein sein, um den gesamten Datenverkehr zu filtern. In diesem Fall ist es schwierig bis unm&#xF6;glich, die Anfragen des Angriffs von gew&#xF6;hnlichen Anfragen zu trennen und zu blockieren. Und wenn eine DDoS-Attacke einmal l&#xE4;uft, bleibt im Grunde nichts anderes als Blackholing &#xFC;brig. Gewisse Internetprovider sowie auf Cyber-Angriffe spezialisierte Dienstleister bieten daher Pr&#xE4;ventionsmassnahmen gegen DDoS-Attacken an. Diese funktionieren &#xE4;hnlich wie eine Waschmaschine: Sie analysieren den gesamten Datenverkehr und trennen den &#xAB;guten&#xBB; vom &#xAB;schlechten&#xBB; Traffic. Findet eine DDoS-Attacke statt, erkennt die &#xAB;Waschmaschine&#xBB; dies und blockiert und vernichtet den &#xAB;schlechten&#xBB; Datenverkehr. Der Vorteil dabei ist, dass es zu keinen Einschr&#xE4;nkungen kommt. Die betroffene IP-Adresse bleibt online und der Dienst verf&#xFC;gbar. Solche Dienstleistungen kosten jedoch schnell einmal mehrere tausend Franken pro Monat.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">DDoS-Angriffe protokollieren und anzeigen<\/h2>\n\n\n\n<p>Das Nationale Zentrum f&#xFC;r Cybersicherheit (NCSC) nennt auf seiner <a rel=\"noreferrer noopener\" href=\"https:\/\/www.ncsc.admin.ch\/ncsc\/de\/home\/infos-fuer\/infos-unternehmen\/vorfall-was-nun\/ddos-angriff.html\" target=\"_blank\">Webseite<\/a> Handlungsempfehlungen f&#xFC;r den Fall einer DDoS-Attacke. Unter anderem sollte der Angriff f&#xFC;r eine sp&#xE4;tere Analyse und allf&#xE4;llige Strafanzeige protokolliert werden. Auf keinen Fall sollte L&#xF6;segeld bezahlt werden. Leider ist es jedoch nicht einfach, Cyber-Kriminelle ausfindig zu machen und vor Gericht zu bringen. Im Jahr 2017 reichte Init7 Anzeige gegen einen Twitter-User ein, der mutmasslich hinter einer DDoS-Attacke steckte. Das Verfahren musste jedoch eingestellt werden, weil das eingeleitete Rechtshilfeverahren mit den US-Beh&#xF6;rden nicht zum gew&#xFC;nschten Resultat f&#xFC;hrte.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Weiterf&#xFC;hrende Links<\/h2>\n\n\n\n<ul class=\"wp-block-list\"><li><a rel=\"noreferrer noopener\" href=\"https:\/\/www.sg.ch\/news\/sgch_allgemein\/2021\/10\/website-www-sg-ch-ziel-von-externem-angriff.html\" target=\"_blank\">Medienmitteilung Kanton St. Gallen 18.10.21<\/a><\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/www.sg.ch\/news\/sgch_allgemein\/2021\/07\/website-des-kantons-wieder-online.html\" target=\"_blank\">Medienmitteilung Kanton St. Gallen 16.07.21<\/a><\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/www.tagblatt.ch\/ostschweiz\/cyberangriff-websites-der-stgaller-behoerden-waren-am-freitagmorgen-offline-grund-war-eine-boeswillige-attacke-gegen-mehrere-firmen-aus-der-schweiz-ld.2164296\" target=\"_blank\">Tagblatt 16.07.21<\/a> <\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/www.tagblatt.ch\/ostschweiz\/attacke-cyberangriff-legt-websites-des-kantons-und-der-stadt-stgallen-lahm-ld.2128187\" target=\"_blank\">Tagblatt 22.04.21<\/a> <\/li><li><a href=\"https:\/\/www.itmagazine.ch\/artikel\/63963\/Init7_reicht_Strafanzeige_wegen_DDOS-Angriff_ein.html\" target=\"_blank\" rel=\"noreferrer noopener\">Swiss IT Magazine 06.02.2017<\/a><\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/www.ncsc.admin.ch\/ncsc\/de\/home\/infos-fuer\/infos-unternehmen\/vorfall-was-nun\/ddos-angriff.html\" target=\"_blank\">Nationales Zentrum f&#xFC;r Cybersicherheit NCSC<\/a><\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Mit \u00abDistributed Denial of Service\u00bb-Attacken (DDoS) legen Cyber-Kriminelle immer wieder Dienste lahm. Wir erkl\u00e4ren, welche Arten von DDoS-Attacken es gibt, wie sie funktionieren und wie sich Organisationen dagegen sch\u00fctzen k\u00f6nnen.<\/p>\n","protected":false},"author":2,"featured_media":1573,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1,6],"tags":[30,31,32,28,29,35,34,33],"class_list":["post-1500","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein","category-technik","tag-blackholing","tag-cyber-angriff","tag-cyber-attacke","tag-ddos","tag-hacker","tag-http-flood","tag-syn-flood","tag-udp-flood"],"acf":[],"_links":{"self":[{"href":"https:\/\/blog.init7.net\/de\/wp-json\/wp\/v2\/posts\/1500","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.init7.net\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.init7.net\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.init7.net\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.init7.net\/de\/wp-json\/wp\/v2\/comments?post=1500"}],"version-history":[{"count":117,"href":"https:\/\/blog.init7.net\/de\/wp-json\/wp\/v2\/posts\/1500\/revisions"}],"predecessor-version":[{"id":3166,"href":"https:\/\/blog.init7.net\/de\/wp-json\/wp\/v2\/posts\/1500\/revisions\/3166"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.init7.net\/de\/wp-json\/wp\/v2\/media\/1573"}],"wp:attachment":[{"href":"https:\/\/blog.init7.net\/de\/wp-json\/wp\/v2\/media?parent=1500"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.init7.net\/de\/wp-json\/wp\/v2\/categories?post=1500"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.init7.net\/de\/wp-json\/wp\/v2\/tags?post=1500"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}