Eine bislang unbekannte Sicherheitslücke im weit verbreiteten HTTP/2-Protokoll sorgt für Aufsehen in der IT-Sicherheitsbranche. Unter dem Namen „HTTP/2 Bomb“ können Angreifer mit nur einem einzigen Client Webserver innerhalb von Sekunden lahmlegen. Die Attacke erfordert keine Botnetze oder massiven Datenverkehr – ein gezielter, geschickt konstruierter Request genügt.

Wie funktioniert die HTTP/2 Bomb?

Die Schwachstelle liegt in der Art und Weise, wie HTTP/2 Datenströme verwaltet. Das Protokoll erlaubt Multiplexing, also die gleichzeitige Übertragung mehrerer Anfragen über eine einzige Verbindung. Normalerweise optimiert dies die Ladezeiten. Die HTTP/2 Bomb nutzt jedoch eine spezielle Kombination aus Priorisierungs- und Reset-Frames, um den Server in eine Endlosschleife zu zwingen. Ständig werden neue Anfragen erzeugt, während alte verworfen werden – der Server verbraucht dabei rapide CPU-Ressourcen und Speicher, bis er schließlich abstürzt oder nicht mehr reagiert.

Erste Analysen zeigen, dass bereits wenige Sekunden ausreichen, um einen ungeschützten Server vollständig zu blockieren. Betroffen sind vor allem Implementierungen, die das HTTP/2-Protokoll standardmäßig aktiviert haben – darunter viele Apache- und Nginx-basierte Webserver sowie einige Cloud-Dienste.

Wer ist besonders gefährdet?

Besonders verwundbar sind Systeme, die HTTP/2 ohne zusätzliche Schutzmechanismen verwenden. Content-Delivery-Netzwerke, große E-Commerce-Plattformen und Streaming-Dienste zählen zu den potenziellen Zielen. Da die Angriffsmethode keine großen Datenmengen versendet, ist sie für herkömmliche DDoS-Schutzsysteme schwer zu erkennen.

• Betroffene Software: Apache HTTP Server (ab Version 2.4.17), Nginx (ab Version 1.9.5), einige Load-Balancer und Reverse-Proxys.
• Erste Patches: Einige Hersteller haben bereits Updates veröffentlicht, die die Schwachstelle entschärfen. Systemadministratoren sollten umgehend patchen.

Was bedeutet das für Unternehmen?

Die HTTP/2 Bomb ist kein theoretisches Risiko – Sicherheitsforscher haben die Angriffsmethode bereits erfolgreich in kontrollierten Umgebungen demonstriert. Für Unternehmen bedeutet dies eine akute Bedrohung ihrer Online-Präsenz. Ein lahmgelegter Webserver kann Umsatzverluste, Reputationsschäden und im schlimmsten Fall Datenverluste nach sich ziehen.

Experten raten dazu, die eigenen Systeme zu überprüfen und die neuesten Sicherheitspatches einzuspielen. Darüber hinaus können Web Application Firewalls (WAF) helfen, abnormale HTTP/2-Requests zu filtern. Auch eine Begrenzung der maximalen Anzahl gleichzeitiger Streams pro Verbindung kann die Angriffsfläche reduzieren.

Wie erkennt man einen Angriff?

Typische Anzeichen sind ein plötzlicher Anstieg der CPU-Auslastung ohne erhöhten Netzwerkverkehr, vermehrte HTTP-Reset-Frames in den Logs und zeitweise nicht erreichbare Dienste. Administratoren sollten ihre Monitoring-Systeme entsprechend anpassen, um solche Muster frühzeitig zu erkennen.

Die HTTP/2-Bomb reiht sich ein in eine wachsende Liste von Angriffen auf Anwendungsebene. Anders als klassische DDoS-Attacken, die auf Bandbreite setzen, zielen diese Methoden auf die Logik der Server-Software ab. Das macht sie besonders tückisch – aber auch beherrschbar, wenn die richtigen Gegenmaßnahmen ergriffen werden.