Server überlastet

DDoS: Wieso A1-Kunden stundenlang offline waren

DDoS-Angriffe sind eine simple, aber effektive Methode für Cyberangriffe. Kriminelle bieten sie "Kundschaft" ohne Hacking- oder Programmierkenntnisse gegen Bezahlung an.

(Bild: stock.adobe.com (Symbolbild))

Der zweistündige österreichweite Internetausfall im Festnetz von A1 am Donnerstag war nach Angaben des Unternehmens einer sogenannten DDoS-Attacke geschuldet. Dabei handelt es sich um einen simplen Cyberangriff, bei dem der Angreifer die Server mit so vielen Anfragen „bombardiert“, dass diese den Dienst quittieren. Die Hintergründe.

„DDoS-Attacken gibt es immer wieder, meist werden sie aber automatisch abgewehrt“, berichtet A1-Sprecherin Livia Dandrea-Böhm nach der Attacke vom Donnerstag gegenüber krone.at. Warum die Attacke diesmal nicht abgewehrt werden konnte? „Wir sind dazu noch in der Analyse.“ Man optimiere aber zum Schutz vor solchen Angriffen laufend das Netzwerk, um es nachhaltig abzusichern.

Angriffe kommen von gekaperten Geräten
DDoS steht für „Distributed Denial of Service“ und bedeutet, dass ein Server mit so vielen Anfragen überschwemmt wird, dass er unter der Last zusammenbricht. Die Angriffe gehen in der Regel von Netzwerken gekaperter PCs oder anderer mit dem Internet verbundener Geräte aus. Häufig handelt es sich etwa um vernetzte Überwachungskameras und andere schlecht gesicherte Smart-Home-Technik, die von Kriminellen übernommen und in ein sogenanntes Botnetz eingegliedert wird. Erhalten die Geräte vom Kommando-Server den Befehl, starten sie zu Tausenden den Angriff auf ihr Ziel. Ihr Besitzer merkt das in der Regel gar nicht.

DDoS-Attacken gehen von Botnetzen aus - Netzwerken Tausender gekaperter PCs oder anderer vernetzter Geräte, die auf Befehl den Server des Ziels mit Anfragen bombardieren.

(Bild: ©beebright - stock.adobe.com)

Hintermänner gehen arbeitsteilig vor
Botnetze werden neben DDoS-Attacken auch für den Spam-Versand, Banking- oder Werbebetrug genutzt, sind also vielfältig einsetzbar und eine lukrative Geldquelle für Cyberkriminelle. Bei der Erschaffung der Netzwerke gehen die Kriminellen arbeitsteilig vor: Im nur über Anonymisierungsdienste zugänglichen Darknet koordinieren sich Botnet-Betreiber, Virenspezialisten und die „Kunden“, von denen die Angriffsziele vorgegeben werden.

Virenspezialisten verlangen von den Botnetz-Betreibern Geld für jedes erfolgreich infizierte Gerät, die Betreiber von den Kunden wiederum für das Ausführen einer Attacke. Häufig seien Hunderte Kriminelle am Aufbau eines Botnetzes beteiligt, schätzen Forscher der Universität Twente in den Niederlanden. Die IT-Security-Industrie ihrerseits bekämpft die Netzwerke, indem sie nach den Kommando-Servern sucht und diese abschaltet. Hier werden immer wieder Erfolge vermeldet, gleichzeitig kapern Kriminelle neue Geräte. Ein Katz- und Mausspiel.

Oft gehen DDoS-Angriffe mit Erpressung einher: Die Hintermänner fordern vom Ziel Geld, damit die Attacke aufhört.

(Bild: stock.adobe.com)

Motive reichen von Sabotage bis Erpressung
Die Motive für eine DDoS-Attacke sind unterschiedlich. Oft gehen die Attacken mit Erpressungsversuchen einher: Die Hintermänner fordern Geld, damit der Angriff aufhört. In der Vergangenheit kam DDoS aber auch als digitale Waffe verfeindeter Unternehmen oder - dank frei zugänglicher Tools wie „LOIC“ - als Rachewerkzeug wütender Internetnutzer zum Einsatz.

So geschehen bereits 2010 bei der „Operation Payback“, bei der WikiLeaks-Unterstützer die Server der Zahlungsdienstleister Mastercard, Visa und PayPal angriffen, nachdem diese ihre Geschäftsbeziehung zur Whistleblower-Plattform eingestellt hatten.

Mirai, eines der mächtigsten Botnetze aller Zeiten, ging offenbar aus einem Krieg rivalisierender Unternehmen hervor, die DDoS-Schutz für "Minecraft"-Server anboten.

(Bild: Mojang)

„Mirai“, eines der mächtigsten Botnetze aller Zeiten, das vor einigen Jahren in Deutschland Hunderttausende Internetrouter lahmlegte, hatte seinen Ursprung laut dem IT-Security-Forscher Brian Krebs in einem Unternehmen, das sich ausgerechnet auf den Schutz vor DDoS-Attacken spezialisiert hatte. Es bot seine Tools Betreibern von Multiplayer-Servern des Spiele-Hits „Minecraft“ an - und führte selbst DDoS-Attacken auf die Kunden aus, damit diese die Schutzdienste auch in Anspruch nahmen.

Welche Motive der jüngste DDoS-Angriff auf A1 hatte, ist noch nicht bekannt. Einen Erpressungsversuch habe es nicht gegeben, so der Provider. Der erfolgreiche Angriff auf die an sich gut gegen solche Attacken geschützten Server des Netzbetreibers zeigt aber, dass DDoS-Überlastungsangriffe, obwohl gut erforscht und gegen Bezahlung vergleichsweise simpel ausführbar, auch 2021 noch eine ernst zu nehmende Bedrohung sind.