Die Website des Europäischen Parlaments war am Mittwoch für mehrere Stunden offline. Dies geschah nur wenige Stunden nachdem das EU-Parlament eine scharf formulierte Resolution zu Russland verabschiedet hatte, in der Wladimir Putins Reich zum Unterstützer von Terrorismus erklärt wurde.

Doch wie kann man eine Website von außen vom Netz nehmen? Vermutlich handelt es sich bei dem Angriff um eine sogenannte "Distributed Denial of Service"-Attacke. Vereinfacht gesagt wird dabei eine Website mit einer Vielzahl von Anfragen geflutet, sodass die Server zusammenbrechen. Im Prinzip wird dabei die Infrastruktur so lange mit Besuchen von außen "beschossen", bis diese überlastet und der Dienst nicht mehr verfügbar ist.

Nichts für Heimanwender

Doch um eine erfolgreiche DDoS-Attacke durchzuführen, reicht es nicht, mit einigen Geräten wie dem Smartphone oder dem Laptop von zu Hause aus einige Male auf die F5-Taste zu drücken und damit die Zielwebsite immer wieder neu aufzurufen. Damit kann man zwar vielleicht dutzende oder hunderte Anfragen produzieren, aber das würde den Server der Seite des Europaparlaments nicht an die Kapazitätsgrenzen bringen.

Die Angreifer benutzten eine Vielzahl an Geräten, über die sie aber nicht selbst verfügen, sondern sie übernehmen andere Computer per Schadsoftware und weisen diese per Fernsteuerung an, das Ziel des Angriffes mit Anfragen zu fluten. Diesen Zusammenschluss von infizierten Geräten nennt man Botnetz. Je größer dieses Bot- oder Zombienetz ist, umso durchschlagskräftiger werden die Attacken.

Eine durchschnittliche DDoS-Attacke im Jahr 2022 wird mit einem Volumen von 5,17 Gigabit pro Sekunde (Gbps) ausgeführt, was oft schon ausreicht, um die Websites kleinerer und mittlerer Organisationen in die Knie zu zwingen. Aber Großangriffe mit einem Volumen im Terabit-Bereich sind jüngst immer häufiger geworden. Es gibt aber auch andere Varianten als den rein auf Datenvolumen gerichteten DDos-Angriff. So ist es auch möglich, Protokolle oder Anwendungen anzugreifen – oder mehrere Varianten zu kombinieren.

Wie sie sehen die Schutzmaßnahmen aus?

Wie aber sich davor schützen? Die einfachste Antwort lautet: die Bandbreite erhöhen. Das kann man sich ganz profan wie ein Kanalrohr vorstellen: Je dicker das Rohr ist, umso mehr Abwasser kann abfließen, und die Gefahr einer Flutung sinkt. Nur ist es oft leider aufgrund der bestehenden Netzwerkinfrastruktur nicht oder nur mit großem Aufwand möglich, die Bandbreite zu erhöhen. Außerdem hilft bei Angriffen im Terabit-Bereich auch das größte sprichwörtliche Kanalrohr nichts.

Eine andere Möglichkeit sind Cloud-Lösungen, die die Last auf möglichst viele redundante Server verteilen und so die Attacke abfedern. Natürlich ist auch die Sperre gewisser IP-Adressen, quasi der Kennzeichentafel eines Geräts im Internet, möglich. Aber wie im schlechten Krimi sind die Angreifer oft mit gefälschten Nummerntafeln unterwegs – Spoofing nennt man das im IT-Sprech.

Eine weitere Möglichkeit ist es, Anfragen aus bestimmten geografischen Regionen zu sperren. So könnte man etwa Nutzer aus der Russischen Förderation von vornherein aussperren – was natürlich auf Kosten der legitimen Besucher einer Website geht. Ein weiterer Schutzmechanismus wird von der Providerseite angeboten. Manche Internetanbieter leiten im Fall einer DDoS-Attacke den Traffic zu einem anderen Provider um, damit Dienste online bleiben.

Ist ein russischer Hintergrund erwiesen?

Mittlerweile hat sich eine kremlnahe Hackergrupper zu dem Angriff bekannt. Das Vorgehen passt ins Muster vergangener russischer Angriffe. Im Jahr 2009 übte Russland Druck auf den Präsidenten von Kirgisistan aus, einen Stützpunkt der US-Luftwaffe zu sperren. Um das Land weiter unter Druck zu setzen, kam es zu großangelegten DDoS-Angriffen.

Als Rumänien der angegriffenen Ukraine Hilfe in Form vom Militärmaterial zusagte, griff das Kreml-freundliche Netzwerk "Killnet" Militäreinrichtungen, Banken und Medien in Rumänien mit einer Serie von DDoS-Attacken an. Zu ähnlichen Attacken kam es beim russischen Angriff auf die Ukraine, als Angreifer versuchten, ukrainische Banken lahmzulegen. Der deutsche Bundestag, das US State Department und die Netzinfrastruktur Litauens waren zuletzt immer wieder Ziel russischer DDoS-Attacken.

Wie lange die Seite des EU-Parlaments noch unerreichbar sein wird, lässt sich nicht mit Sicherheit sagen. Laut einer Analyse der Kaspersky Labs dauerten DDoS-Attacken im Jahr 2022 aber rund 50 Stunden. (Peter Zellinger, 23.11.2022)