Was Unternehmen wirklich vorbereiten sollten

Von GRE-Tunnel bis Layer-2: Vier Wege zur DDoS-Abwehr

Cybersecurity
LinkedInRedditWhatsApp

DDoS-Attacken gehören zu den ältesten und gleichzeitig beständigsten Bedrohungen im Internet. Wer glaubt, im Notfall schnell Schutz einkaufen zu können, irrt: Wirksame Resilienz entsteht durch strukturierte Vorbereitung – technisch, organisatorisch und regulatorisch.

Die Zahl der DDoS-Angriffe steigt jährlich. Betroffen sind Unternehmen aller Branchen, darunter Gesundheitsdienstleister, E-Commerce-Plattformen und Streaming-Anbieter. Was viele dieser Angriffe besonders tückisch macht, ist die Tatsache, dass schädlicher Traffic gezielt zwischen legitimen Nutzeranfragen versteckt wird, was die Erkennung erheblich erschwert. Die Konsequenzen reichen von Ausfällen und Umsatzverlusten bis hin zu ernsthaftem Reputationsschaden. Dabei entscheidet sich die eigentliche Widerstandsfähigkeit nicht im Moment des Angriffs, sondern Wochen oder Monate zuvor.

Anzeige

Angriffsfläche kennen und gezielt reduzieren

Der erste Schritt zu mehr Resilienz ist eine ehrliche Bestandsaufnahme. Ein strukturiertes Netzwerk-Audit legt offen, welche Dienste, Ports und IP-Adressen tatsächlich von außen erreichbar sein müssen und welche die Angriffsfläche unnötig vergrößern. Alles, was nicht zwingend benötigt wird, sollte konsequent deaktiviert oder gesichert werden.

Besonders häufig unterschätzt wird dabei die Rolle des DNS. Als zentraler Einstiegspunkt ist das Domain Name System ein bevorzugtes Angriffsziel und sollte redundant ausgelegt sowie durch spezialisierte Schutzdienste abgesichert sein.

Resiliente Architektur: Redundanz ist kein Luxus

Kritische Anwendungen dürfen nicht von einem einzigen Standort oder Netzpfad abhängig sein. Grundlegende Voraussetzungen sind mehrere Rechenzentren an unterschiedlichen physischen Standorten sowie voneinander unabhängige Anbindungen. Edge-Komponenten wie Router, Firewalls und Load Balancer müssen unter Last stabil bleiben und korrekt konfiguriert sein. Wer dies erst beim ersten Angriff testet, riskiert, dass diese Systeme selbst zum Flaschenhals werden. Zusätzliche Bandbreite stoppt keinen Angriff, verschafft aber wertvolle Zeit, während andere Schutzmechanismen greifen.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Gestaffelte Abwehr: Wie mehrere Schutzebenen zusammenwirken

Ein effektiver DDoS-Schutz basiert auf dem Prinzip der gestaffelten Verteidigung. Keine einzelne Maßnahme reicht aus – erst das Zusammenspiel mehrerer Ebenen ist wirksam. Content Delivery Networks (CDN) verteilen Inhalte global und entlasten so den Ursprungsserver. Web Application & API Protection (WAAP) analysiert Anfragen auf Anwendungsebene und blockiert auffällige Muster, insbesondere bei Layer-7-Angriffen, die normales Nutzerverhalten imitieren. Rate Limiting begrenzt die Anzahl von Anfragen pro Quelle. Spezialisierte DDoS-Mitigation-Dienste verfügen über global verteilte Infrastrukturen und sogenannte Scrubbing-Center. In diesen wird schädlicher Traffic gefiltert, bevor er das Unternehmensnetz erreicht.

Entscheidend ist, dass diese Schutzmechanismen vorab technisch eingebunden und getestet sind und nicht erst im Notfall beschafft werden.

Anbindung an Mitigation-Dienste: Vier Wege mit unterschiedlichen Konsequenzen

Wenn ein Unternehmen im Ernstfall auf externe Mitigation angewiesen ist, zählen Minuten. In der Praxis haben sich vier Anbindungsmodelle etabliert, die sich in Aufwand und Reaktionsgeschwindigkeit teils erheblich unterscheiden.

Die technisch eleganteste Lösung ist die direkte Layer-2-Kopplung im selben Rechenzentrum: Sie ist nahezu verzögerungsfrei aktivierbar, stabil und einfach. Der Haken ist die Voraussetzung der geografischen Nähe, die nicht jedes Unternehmen erfüllt.

Cloud Connect über Peering-Plattformen wie DE-CIX oder Equinix ermöglicht dedizierte Verbindungen außerhalb des öffentlichen Internets. Diese Lösung bietet planbare Performance, erfordert jedoch eine frühzeitige Planung und vertragliche Abstimmung und ist im akuten Notfall kaum spontan nutzbar.

Dedizierte Layer-2-Leitungen bieten maximale Kontrolle, ihr Aufbau dauert jedoch mehrere Tage bis Wochen. Als Notfalloption scheiden sie damit aus.

GRE-Tunnel (Generic Routing Encapsulation) sind in vielen Fällen die pragmatischste Option, da sie über bestehende Internetverbindungen funktionieren. Allerdings laufen sie über einen regulären Uplink, der nicht unter der Kontrolle des Mitigation-Anbieters steht. Paketverluste oder Jitter auf dieser Strecke beeinträchtigen die Wirksamkeit der Abwehr direkt.

Technisch stellt der GRE-Tunnel klare Anforderungen: Alle beteiligten Router und Firewalls müssen GRE unterstützen. Aufgrund des Overheads von rund 24 Byte muss die Maximum Segment Size (MSS) auf allen Uplinks auf etwa 1.476 Byte reduziert werden – und zwar nicht nur am Tunnel selbst. Hinzu kommt asymmetrisches Routing: Ausgehender Traffic geht direkt ins Internet, während bereinigter eingehender Traffic über den Mitigation-Anbieter zurückgeführt wird. Wer diese Konfigurationen nie getestet hat, kann im Ernstfall kein schnelles Notfall-Onboarding mehr durchführen.

Organisation und Compliance: Die vergessene Hälfte

Technische Maßnahmen entfalten nur dann ihre Wirkung, wenn die organisatorischen Rahmenbedingungen stimmen. Ein DDoS-Incident-Response-Playbook legt im Voraus fest, wer im Ernstfall Entscheidungen trifft, wie Eskalationen ablaufen und wie die Kommunikation gesteuert wird. Da Angriffe häufig nachts oder am Wochenende stattfinden, sind namentlich benannte 24/7-Kontaktpersonen unerlässlich. Eine aktuelle Übersicht kritischer Systeme und eine einfache Datenklassifikation helfen dabei, Prioritäten zu setzen. Für Dienstleister sollten technische Steckbriefe mit IP-Bereichen, Domains und typischen Traffic-Mustern bereitliegen.

Auf der Compliance-Seite müssen vorab Auftragsverarbeitungsverträge, Rollenverteilungen, technisch-organisatorische Maßnahmen und Aufbewahrungsregeln vereinbart sein. Ein strukturiertes Vendor-Risk-Management mit definierten Mindestanforderungen – etwa zu Zertifizierungen, Logging und Zugangskontrollen – schafft zusätzliche Sicherheit. Klare Regeln für Notfalländerungen ermöglichen schnelle Entscheidungen, ohne die Nachvollziehbarkeit zu verlieren.

Resilienz ist Vorbereitung, keine Reaktion

DDoS-Angriffe lassen sich nicht vollständig verhindern. Ob sie jedoch zur ernsthaften Krise werden, entscheidet sich lange vor dem ersten Angriff. Unternehmen, die ihre Infrastruktur resilient aufbauen, Schutzanbindungen vorab testen und organisatorische sowie regulatorische Grundlagen schaffen, gewinnen im Ernstfall das Wichtigste: Zeit. Genau diese Zeit macht den Unterschied zwischen einer kurzen Betriebsstörung und einem nachhaltigen Schaden für Systeme, Daten und Reputation gleichermaßen.

(lb/Link11)


Anzeige
Cybersecurity
2. Juni 2026
Von GRE-Tunnel bis Layer-2: Vier Wege zur DDoS-Abwehr
Amazon
1. Juni 2026
Sammelklage gegen Spar-Abo von Amazon eingereicht
Anthropic
1. Juni 2026
Claude-Entwickler Anthropic will an die Börse
Börse
1. Juni 2026
Software-Aktien verzeichnen historische Kursgewinne an der Börse

Weitere Artikel

Deutschlands KI-Dilemma: Regelwerk ja, Sicherheit nein
CISOs vertrauen Threat-Intelligence-Programmen nicht
KI als Sicherheitsrisiko: Warum Software-Lieferketten zunehmend ins Visier geraten
IEC 62443: Wie Unternehmen ihre OT-Security in den Griff bekommen
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.