Denial-of-Service Mitigation

Was ist Denial-of-Service Mitigation?

Denial-of-Service (DoS)- und Distributed Denial-of-Service (DDoS)-Angriffe zielen darauf ab, Systeme durch Überlastung unzugänglich zu machen. Mitigation-Strategien verfolgen das Ziel, die Auswirkungen solcher Angriffe zu erkennen, abzuschwächen und den Betrieb aufrechtzuerhalten.

Technischer Aufbau & Varianten

Zur Abwehr kommen mehrere technische Mechanismen zum Einsatz:

• Traffic-Filtering – Erkennung und Blockierung schädlicher IP-Adressen oder Traffic-Signaturen

• Rate Limiting – Begrenzung der Anzahl zulässiger Anfragen pro IP oder Verbindung

• Anycast-Architektur – Verteilung des Datenverkehrs auf mehrere geografisch verteilte Server

• Scrubbing-Center – Analyse und Bereinigung des Traffics durch externe Cloud-Dienstleister

• Bot-Verhaltenserkennung – Identifizierung automatisierter Anfragenmuster (z. B. durch CAPTCHA oder Verhaltensanalyse)

Ergänzende Maßnahmen:

• Geo-IP-Blocking, TLS-Challenges, WAF-Regeln, BGP-Blackholing

Relevanz in der Praxis

DoS-Mitigation ist entscheidend für:

• Aufrechterhaltung der Verfügbarkeit geschäftskritischer Dienste (z. B. Online-Shops, APIs)

• Schutz vor Reputations- und Umsatzverlusten bei längeren Ausfällen

• Einhaltung von SLAs in Cloud- und Hosting-Infrastrukturen

• Vorbereitung auf wachsende Angriffsvolumina (z. B. durch IoT-Botnetze)

Standards & regulatorische Anforderungen

• ISO 27001 – A.13.1: Schutz vor Bedrohungen der Kommunikationsverfügbarkeit

• NIS-2: Resilienzanforderungen an kritische Infrastrukturen

• BSI IT-Grundschutz (DER.4.3): Maßnahmen zur Sicherstellung der Dienstverfügbarkeit

• DORA-Verordnung (EU): Notfallpläne für digitale Betriebsstabilität in Finanzinstitutionen

Verwandte Begriffe

• Denial-of-Service Attacke
• Web Application Firewall
• Incident Response
• Botnet
• Firewall Rule Set Audit
• Cloud Access Security Broker

Beispiel aus der Praxis

Ein europäischer Zahlungsdienstleister war Ziel eines volumetrischen DDoS-Angriffs mit über 600 Gbps Traffic.
Dank eines vorgelagerten Scrubbing-Centers, Rate-Limiting auf Applikationsebene und automatisierter IP-Blockierung über einen Cloud-Dienst blieb der Service für reguläre Kunden unterbrechungsfrei nutzbar.
Nach dem Vorfall wurden die Playbooks aktualisiert und Lasttests unter realistischen Bedingungen durchgeführt.