mac it Illustration

DoS- und DDoS-Angriffe – Schutz für Unternehmen

Wenn Webseiten, Kundenportale, VPN-Zugänge, APIs oder Mailserver plötzlich nicht mehr erreichbar sind, ist nicht immer eine technische Störung die Ursache. Häufig steckt ein gezielter DoS- oder DDoS-Angriff dahinter.

 

Definition und Begrifflichkeiten - DoS und DDoS

Im Folgenden werden die Unterschiede zwischen Denial-of-Service (DoS) und Distributed Denial-of-Service (DDoS) erläutert.

DoS

Denial of Service, kurz DoS, bedeutet sinngemäß „Dienstverweigerung“ bzw. „Außer Betrieb setzen“. Ein DoS-Angriff zielt darauf ab, einen Online-Dienst durch eine große Menge an Datenverkehr aus einem einzelnen System zu überlasten, bis der Dienst nicht mehr zuverlässig erreichbar ist oder vollständig ausfällt.

 

DDoS

Bei einem DDoS-Angriff, wird ein Ziel nicht nur von einem einzelnen System attackiert. Stattdessen greifen viele unterschiedliche Systeme gleichzeitig an, um zu erreichen, dass die Dienste nicht mehr erreichbar sind. Durch die hohe Anzahl der gleichzeitig angreifenden Systeme sind die DDoS-Angriffe besonders wirksam.

 

Ablauf eines DDoS-Angriffs

Ein DDoS-Angriff zielt darauf ab, Netzwerke, Server oder Dienste durch massenhafte Requests aus vielen verteilten Quellen zu überlasten. Dabei erzeugen zahlreiche eingebundene Systeme so viel Traffic, dass legitime Anfragen nur verzögert oder gar nicht mehr verarbeitet werden. Im Unterschied zu einem DoS-Angriff erfolgt der Cyberangriff nicht von einer einzelnen Quelle, sondern über ein verteiltes Botnet, wodurch Erkennung, Zuordnung und Abwehr deutlich erschwert werden. 
Für Administratoren wird es dadurch schwieriger, den Angriff schnell zu erkennen, einzelne Angriffsquellen zu blockieren und den legitimen Datenverkehr vom schädlichen Traffic zu unterscheiden. 

 

DDoS- und DoS-Angriff

Schaubild: Unterschied zwischen DoS-Angriff und DDoS-Angriff (eigene Darstellung)

DDoS-Angriffe sind weitaus komplexer auszuführen als DoS-Angriffe. Gerade in Bezug auf ihre Komplexität sind DDoS-Angriffe oft besonders gefährlich:
Sie belasten Bandbreite, Server, Firewalls und andere Netzwerkkomponenten massiv und können im schlimmsten Fall ganze Webseiten, Anwendungen oder Netzwerke lahmlegen. Sowohl firmeneigene Systeme aber auch private Geräte können zur Zielscheibe solcher Cyberattacken werden.

Ein DDoS-Angriff kann Stunden aber auch Tage dauern. Manchmal werden auch mehrere Unterbrechungen während eines einzelnen Angriffs verursacht. 

Häufige Arten von DoS- und DDoS-Angriffen

DoS- und DDoS-Angriffe können auf unterschiedliche Weisen erfolgen. Zu den häufigsten Varianten bei DDoS-Angriffen zählen SYN-Floods, HTTP-Floods und UDP-Floods, während es bei DoS-Angriffen die sogenannten ICM- oder PING-Floods oder LOIC-Angriffe sind.

Arten von DDoS-Angriffen

Bei einer SYN-Flood wird das TCP-Verbindungsverfahren ausgenutzt. Der Angreifer sendet massenhaft Verbindungsanfragen an den Zielserver, schließt diese aber nicht vollständig ab. Der Server hält für diese halboffenen Verbindungen Ressourcen bereit und wartet auf eine Antwort, die nie kommt. Werden zu viele solcher Anfragen erzeugt, sind die Ressourcen erschöpft und legitime Verbindungen können nicht mehr verarbeitet werden.

Eine HTTP-Flood richtet sich gegen Webserver oder Webanwendungen. Dabei werden sehr viele scheinbar normale HTTP-Anfragen erzeugt, zum Beispiel auf Webseiten, Login-Bereiche, Suchfunktionen oder APIs. Da die Anfragen auf den ersten Blick legitim wirken, sind sie schwerer zu filtern. Ziel ist es, Rechenleistung, Speicher, Datenbankzugriffe oder Bandbreite so stark zu belasten, dass echte Nutzer die Anwendung nicht mehr erreichen.

Bei einer UDP-Flood wird das Ziel mit einer großen Menge an UDP-Paketen überflutet. Da UDP verbindungslos arbeitet und keinen Verbindungsaufbau wie TCP benötigt, lassen sich solche Angriffe mit vergleichsweise wenig Aufwand erzeugen. Die Zielsysteme müssen die Pakete dennoch verarbeiten, was Bandbreite, CPU und Netzwerkkomponenten stark belasten kann.

Arten von DoS-Angriffen

Eine ICMP-Flood, auch Ping-Flood genannt, nutzt massenhaft ICMP-Echo-Requests. Normalerweise wird ICMP für Diagnosezwecke verwendet, etwa mit dem Ping-Befehl. Bei einem Angriff werden jedoch so viele Anfragen gesendet, dass Netzwerkgeräte oder Server überlastet werden. Die Folgen können hohe Latenzen, Datenpaketverluste oder vollständige Nichterreichbarkeit sein.

LOIC steht für „Low Orbit Ion Cannon“ und ist ein bekannt gewordenes Tool, das ursprünglich für Netzwerktests genutzt wurde, aber auch für einfache DoS- oder DDoS-Angriffe missbraucht werden kann. Dabei senden mehrere Systeme gleichzeitig HTTP-, TCP- oder UDP-Traffic an ein Ziel. Solche Angriffe sind technisch meist weniger komplex, können aber kurzfristig Dienste überlasten.

Wie schützt man sich vor einem DDoS-Angriff?​

Da ein DDoS-Angriff oftmals weitreichende Folgen hat für Unternehmen, wird im Folgenden auf Präventionsmaßnahmen in Bezug auf DDoS eingegangen.
DDoS-Prävention umfasst eine Kombination aus organisatorischen und technischen Maßnahmen.

Organisatorische Maßnahmen gegen DDoS-Angriffe
  • Identifizierung von möglichen Zielen / Systemen 
  • Festlegung von internen Verantwortlichkeiten für die identifizierten Systeme 
  • Klärung der Kommunikationswege mit dem Provider (Erreichbarkeit, Ansprechpartner und Notfallnummern)
  • Definition und Ausarbeitung von Checklisten und Prozessen für DDoS-Angriffsfälle 
  • Schulung und Sensibilisierung der verantwortlichen Mitarbeiter
Technische Maßnahmen gegen DDoS-Angriffe
  • Bereitstellung von Analysetools, die direkt verfügbar sind
  • Netzwerksegmentierung, um Auswirkungen auf die Gesamt-IT abmildern zu können
  • Absicherung der Netzwerkinfrastruktur (z.B. Proxys oder Loadbalancer einsetzen, Traffic Shaping) 
  • Identifikation der Leistungsgrenzen im Vorfeld, dabei aktuelle und künftige Kapazitätsgrenzen berücksichtigen
  • Konfiguration und Härtung der relevanten Systeme auf Dienst- und Serverebene
  • Einsatz von DDoS-Abwehrmechanismen (Softwarelösungen, Apps)
DDoS- und DoS-Checkliste (PDF)

Reduzierung und Abmilderung von DDoS-Angriffen

Neben den oben genannten Maßnahmen gibt es weitere Bausteine zur Reduzierung von DDoS-Risiken: 


Für eine belastbare IT-Infrastruktur empfehlen sich unter anderem

  • Ein konsequentes Patch- und Update-Management, die regelmäßige Aktualisierung und das Monitoring von Netzwerken, Systemen und weiteren sicherheitsrelevanten Komponenten auch dahingehend, dass sie an neue, aktuelle Bedrohungslagen angepasst werden.
  • Regelmäßige Schwachstellenscans und zeitnahe Behebung erkannter Sicherheitslücken
  • Einsatz von sicheren Passwort- und Zugriffskonzepten und Anti-Malware-Lösungen
  • Web Application Firewalls mit aktuellen Regelwerken und zentralen Zugriffskontrolllisten
  • Kontinuierliches Monitoring des täglichen Datenverkehrs

  
Besonders empfehlenswert sind Sicherheitslösungen mit Echtzeit-Monitoring

  • Diese dienen der kontinuierlichen Analyse von eingehenden Requests, Traffic-Mustern sowie Datenströmen.
  • Das rechtzeitige Erkennen von Anomalien, bevor diese Applikationen, Server oder Dienste beeinträchtigen, wird damit gewährleistet.
  • So lassen sich konkrete Abwehrmaßnahmen frühzeitig auslösen, Ausfallzeiten minimieren und Folgeschäden reduzieren.

 

In Kombination mit klaren Notfallprozessen sowie den technischen und organisatorischen Maßnahmen entsteht so ein mehrschichtiges Schutzkonzept gegen DDoS-Angriffe, das die Verfügbarkeit geschäftskritischer Systeme nachhaltig stärkt.

 

Fazit

DDoS-Angriffe sind kein reines Netzwerkproblem. Sie bedrohen die Verfügbarkeit zentraler Geschäftsprozesse und können Webseiten, Portale, Mailserver, DNS, VPN-Zugänge und APIs gleichzeitig betreffen. Unternehmen brauchen eine umfassende und zukunftsfähige Strategie aus technischen und organisatorischen Maßnahmen, klare Prozesse und nachhaltige Präventionsmaßnahmen, um für DDoS-Angriffe oder auch DoS-Angriffe gewappnet zu sein.

Weitere interessante Beiträge

Reset password concept
IT-News
Passwort-Manager: Mehr Sicherheit und Komfort für Ihre Unternehmens-IT
23. März 2026
Zum Blogbeitrag
Imageshooting-Tag-1_2025_ZVE5696-bb_86-full
IT-News
10 IT-Sicherheitstipps für Unternehmen
2. März 2026
Zum Blogbeitrag
Holzbuchstaben und Symbole, die ein E-Mail-Symbol, ein @-Symbol und ein Vorhängeschloss darstellen und im Hintergrund liegt ein DMARC Schriftzug.
IT-News
Mehr Sicherheit im E-Mail-Verkehr mit DMARC
30. Januar 2026
Zum Blogbeitrag

Verpassen Sie keine IT-News mehr!

Abonnieren Sie unseren Newsletter und erhalten Sie regelmäßig aktuelle Updates aus der IT-Welt.