Am 22. Juli 1999 wurde erstmals die Macht einer DDoS-Attacke demonstriert, als ein Rechner an der University of Minnesota angegriffen wurde. Das Hochschulsystem war zwei Tage lang nicht erreichbar. Natürlich verbreitete sich diese Taktik schnell im Netz; in den folgenden Monaten wurden diverse große Websites Yahoo, Amazon und CNN angegriffen. Seither sind DDoS-Angriffe quasi Alltag.

Zunächst wurden konzertierte Belagerungen von Webseiten als Protestform populär: "Ey komm, lass uns das Arschloch aus dem Netz rausschmeißen, höhö!"

Und natürlich griff die Underground-Protestgemeinde Anonymous gerne zu diesem Mittel: Im Dezember 2010 als Reaktion auf Sperrungen von WikiLeaks-Konten bei diversen Zahlungsdiensten, im September 2012 dann mit Angriffen auf amerikanische Banken zur Unterstützung der Occupy-Proteste.

Aber bald entdeckten Internetgangster, dass sich mit diesen Attacken auch prima Geld verdienen ließ: Sie konnten für zahlende Interessenten Attacken fahren. Derzeit soll eine 24-Stunden-Belagerung bei Schnäppchenanbietern nur 400 Dollar kosten... Aber noch viel einfacher war es ja, solvente Firmen, Behörden und Institute einfach zu erpressen.

Im Frühjahr 2016 überschwemmte folgende Mail die Unternehmen der USA.

"Wir sind das Armada-Kollektiv. Ihr Netzwerk wird ab dem soundsovielten DDoS-st, wenn Sie nicht Schutzgeld in Höhe von 10 Bitcoins an die Bitcoin-Adresse soundso zahlen. Um das dauerhafte Runterfahren Ihres Dienstes zu beenden, erhöht sich der Preis auf 20 Bitcoins und steigt jeden Tag um weitere 10. Dies ist kein Spaß!"

10 Bitcoin waren damals ungefähr viereinhalbtausend Dollar. Aber es kam, so weit man weiß, zu keinem Angriff: Das Erpresser-Kollektiv hatte auf die vorauseilende Angst gesetzt. Aber: Ob tatsächlich Firmen gezahlt haben, weiß niemand.

DdoS-Angriffe erfolgen üblicherweise in mehreren Wellen. Die erste zielt gar nicht auf das Opfer, sondern auf Millionen schlecht geschützter Rechner, auf denen jeweils ein klitzekleiner Programmroboter installiert wird.

Dieser Bot schläft jetzt, wie seine Millionen bösen Geschwister, und wartet darauf, dass sie alle zusammen vom Chefrechner einen ganz kurzen Befehl erhalten: Nämlich eine Internetadresse und die Ansage "Legt los, Jungs!". Und dann feuern diese Millionen Bots auf der ganzen Welt mit verschleierten IP-Adressen Anfragen oder sinnlose Datenpakete auf das gewählte Opfer ab, bis dessen Server zusammenbricht.

Ein effektiver Schutz vor solchen Angriffen ist unmöglich, aber inzwischen gibt es Möglichkeiten, sich während eines Angriffs zu verteidigen: zum Beispiel, indem der eingehende Traffic schleunigst auf eine "Waschanlage" umgeleitet wird – ein Scrubbing-Center, wie sie Cybersecurity-Diensleister anbieten.

Dort werden die Daten gefiltert, die guten davon über einen speziellen Tunnel weitergeleitet, und die schlechten gelöscht. Allerdings setzt diese Verteidigungsmethode im Grunde darauf, dass der Traffic überwacht wird – denn fest mit einer Datenschrubbabteilung verbunden zu sein, ist extrem teuer!

Die Technologie der Angreifer hingegen entwickelt sich munter weiter: So war der Internetdienstleister Dyn 2016 einer neuen Form der Attacke ausgesetzt, die dafür sorgte, dass über Stunden unter anderem Amazon, Twitter, PayPal, Netflix und Spotify nicht mehr erreichbar waren.

Das Besondere: Der Angriff erfolgte kaum über infizierte PCs, sondern mithilfe eines Botnetzes, das zu großen Teilen aus Haushaltsgeräten bestand, das im sogenannten Internet der Dinge miteinander verbunden war. Na ja klar, wer macht sich schon die Mühe, das Passwort für seinen Kühlschrank zu ändern?

Der nächste Knaller verblüffte die Fachleute dann zwei Jahre später, im Frühjahr 2018:

Die neue Angriffstechnik nannte sich Memcached Amplification Attack und benutzte sogenannte Memcaches: Also gesonderte Speicher, in denen Webseiten mit großen Datenbanken häufig benutzte Daten hinterlegen. Indem die Hacker diese Speicher in den Angriff einbezogen, konnten sie dessen Wirkung um ein Vielfaches verstärken.

Mit dieser Methode wurde zum Beispiel der Online-Dienst Github, der Software-Entwicklungsprojekte auf seinen Servern bereitstellt, attackiert und zwar mit einer Wucht von 1,35 Terrabit an Datenmüll pro Sekunde.

Obwohl diese neue Methode gerade mal seit einer Woche im Netz diskutiert worden war, waren bereits einfach zu bedienende Hacker-Baukästen aufgetaucht. Und so wurde der Weltrekord bei GitHub keine sieben Tage später eingestellt, als eine andere Firma mit einer Angriffs-Bandbreite von 1,7 Terrabit pro Sekunde aus dem Internet gespült wurde. Das ist die Datenbreite von 25 Millionen durschnittlicher deutscher Netzanschlüsse auf einmal!

Monster-Angriffe für Jedermann könnten glatt die Liebe zu Hassmails ablösen! Der amerikanische Cyber-Security-Fachmann Joe Weiss von der Firma Applied Control Solutions meint jedenfalls: "Ich weiß nicht, ob wir wirklich wissen, wie das Endspiel aussieht."