Mit Jochen Reinwand und Max Wankerl, Mitarbeiter der Gruppe Netzinfrastruktur und des Webteams, haben wir über DDoS-Attacken gesprochen. Im Gespräch erklären sie, welche Gefahr von DDoS-Attacken ausgeht, welche Auswirkungen sie auf Hochschulen haben und welche Gegenmaßnahmen am RRZE ergriffen werden.
Vielen Dank, dass Ihr euch die Zeit für dieses Interview genommen habt. Lasst uns direkt einsteigen. Was genau ist eine DDoS-Attacke, und wie unterscheidet sie sich von einer DoS-Attacke?
Jochen Reinwand: Eine DoS-Attacke (Denial of Service, also Dienstverweigerung) zielt darauf ab, einen Service zu unterbrechen, indem er mit Anfragen überflutet wird. Früher brauchte man dafür nicht viele Quellen. Eine DDoS-Attacke, also Distributed Denial of Service, verwendet hingegen eine große Anzahl infizierter Rechner, um den Angriff zu verteilen. Diese Rechner bilden ein Botnetz (ein Netzwerk aus Computern, die mit Schadsoftware infiziert sind und ferngesteuert werden können) und können durch gleichzeitige Angriffe leichter eine Überlastungssituation herbeiführen.
Was sind die häufigsten Ziele von DDoS-Attacken, und warum werden diese Ziele gewählt?
Jochen Reinwand: Häufige Ziele sind kritische Infrastrukturen und Webseiten. Bei uns an der FAU ist insbesondere der IRC-Server (Internet Relay Chat, ein Protokoll für Echtzeitkommunikation) oft betroffen. Angreifer wählen dieses Ziel, weil sie öffentlich zugänglich und leicht angreifbar sind. Außerdem können Angriffe auf diese Server großen Schaden anrichten, da dieser Dienst ausfällt. Es kann zu Datenverlust, finanziellen Verlusten und Unterbrechungen wichtiger Kommunikation kommen.
Oft stehen solche Angriffe im Zusammenhang mit politischen Motiven oder als Protestaktionen.
Sind Hochschulen häufig Ziel von DDoS-Angriffen?
Jochen Reinwand: Hochschulen werden nicht so häufig angegriffen wie Wirtschaftsunternehmen, aber es kommt vor. Oft stehen solche Angriffe im Zusammenhang mit politischen Motiven oder als Protestaktionen. In den vergangenen Jahren hat die Häufigkeit solcher Angriffe auf Hochschulen jedoch abgenommen.
Welche Techniken und Methoden verwenden Angreifer typischerweise, um DDoS-Attacken durchzuführen?
Max Wankerl: Angreifer nutzen Botnetze aus infizierten Rechnern, um eine große Anzahl an Anfragen gleichzeitig zu senden. Eine gängige Methode ist die Reflection-Attacke, bei der kleine Anfragen mit gefälschter Absenderadresse an viele Server gesendet werden. Diese Anfragen haben meist große Antworten zur Folge, die dann an die gefälschte Absenderadresse, also das eigentliche Ziel, geschickt werden, und dieses überfluten.
Welche Schwachstellen in Netzwerken und Webanwendungen machen diese anfällig für DDoS-Attacken?
Max Wankerl: Schwachstellen können veraltete Software oder nicht gepatchte Sicherheitslücken sein. Außerdem sind Dienste, die große Antworten auf kleine Anfragen zurücksenden, besonders anfällig. Die Motivation der Angreifer spielt auch eine Rolle – oft werden Ziele gewählt, die leicht zugänglich sind und großen Einfluss haben.
Wie erkennt ihr in eurem Netzwerk eine DDoS-Attacke, und welche Indikatoren sind typisch?
Max Wankerl: Typische Indikatoren sind eine ungewöhnlich hohe Anzahl an Anfragen von verschiedenen IP-Adressen und eine Überlastung der Server. Nutzer bemerken oft, dass ihre Verbindungen langsamer werden oder gar nicht mehr funktionieren.
Welche Maßnahmen können Unternehmen ergreifen, um sich vor DDoS-Attacken zu schützen?
Max Wankerl: Unternehmen können Rate Limiting und Timeout-Einstellungen verwenden, um verdächtige Aktivitäten zu bremsen.
Und wie macht ihr das an der FAU?
Max Wankerl: An der FAU nutzen wir Access Control Lists (ACLs) und arbeiten mit dem DFN-Verein zusammen, um den Traffic zu filtern und zu blockieren. Diese Maßnahmen helfen, die Auswirkungen von DDoS-Attacken zu minimieren.
Womit rechnet ihr in den nächsten Jahren?
Max Wankerl: Die Attacken werden zunehmend raffinierter. Angreifer wenden sich oft gezielteren Angriffen wie Ransomware (eine Schadsoftware, die Daten verschlüsselt und Lösegeld fordert) zu, da diese lukrativer sind. Dennoch bleibt es wichtig, wachsam zu sein und sich gegen alle Arten von Cyberangriffen zu schützen.
Vielen Dank für eure Zeit und die wertvollen Einblicke!
Das Gespräch führte Max Rezlaw