Acht Tage lang bombardierten DDoS-Angreifer 2025 ein Ziel ohne Pause, der längste Angriff, den Link11 jemals dokumentierte. Im selben Jahr standen an 88 Prozent der Tage Unternehmen durch DDoS-Angriffe unter Beschuss. Was früher die Ausnahme war, ist heute der Regelbetrieb: Terabit-Attacken über Tage hinweg zwingen zum Umdenken in der DDoS-Abwehr.
DDoS-Angriffe dauerten 2025 bis zu acht Tage ohne Unterbrechung. An 88 Prozent der Tage standen Unternehmen unter Beschuss.
Der DDoS-Angriff auf die Deutsche Bahn liegt inzwischen einige Wochen zurück. Was bleibt, ist eine unbequeme Frage: Wie lange hätte eine solche Attacke dauern können und wäre die Infrastruktur darauf vorbereitet gewesen? Der Link11 European Cyber Report 2026 liefert Daten, die diese Frage neu gewichten.
Von Stunden zu Tagen: Die unterschätzte Dimension der Angriffsdauer
Vergleich der maximalen Angriffsdauer in Minuten zwischen 2024 udn 2025 im Link11-Netzwerk.
(Bild: Link11)
Wer DDoS-Schutz plant, denkt meistens in Spitzenwerten. Wie viel Volumen kann abgefangen werden? Wie schnell greift die Mitigation? Das sind zwar die richtigen Fragen, gleichzeitig adressieren sie nur noch die halbe Realität. Die andere Hälfte ist Ausdauer. Und in diesem Bereich hat sich im Link11-Netzwerk 2025 etwas verändert. Denn dort wurde im Jahr 2025 eine Einzelattacke mit einer Dauer von 12.388 Minuten dokumentiert – das entspricht mehr als acht Tagen ohne Unterbrechung. Im Jahr 2024 lag der Vergleichswert nur bei 2.689 Minuten.
Kumuliert ergibt sich ein ernüchterndes Bild: Im Jahr 2025 liefen an 88 Prozent der Tage aktive DDoS-Angriffe gegen Systeme im beobachteten Netzwerk. Mit anderen Worten: An 322 von 365 Tagen standen die betroffenen Unternehmen unter Beschuss. Es gibt keine Ruhephasen mehr, sondern nur noch wechselnde Intensitätsstufen. Der Ausnahmezustand ist zum Betriebsmodus geworden.
Anstelle kurzer, schnell eskalierender Attacken setzen Angreifer zunehmend auf anhaltenden Hochvolumen-Traffic über ausgedehnte Zeiträume. Damit wollen sie die Ausdauer der Verteidiger testen und automatisierte Mitigationsbudgets erschöpfen.
Die Konsequenz für Incident-Response-Konzepte ist eindeutig: Eskalationspläne, die auf kurze Krisenphasen ausgelegt sind, versagen strukturell bei tagelangen Angriffen. DDoS ist damit nicht länger nur ein technisches Problem, sondern wird zur organisatorischen Daueraufgabe. Schutzmechanismen müssen nicht nur schnell reagieren, sondern auch über Tage hinweg stabil und ohne manuelle Eingriffe funktionieren.
Terabit als Regelbetrieb: Was die Normalisierung extremer Bandbreiten bedeutet
Entwicklung der Bandreite im Link11-Netzwerk seit 2015.
(Bild: Link11)
Parallel zur Ausdauer hat sich im Jahr 2025 auch bei den Bandbreiten eine entscheidende Schwelle von der Ausnahme zur Routine verschoben. So wurden im Jahr 2025 allein im Link11-Netzwerk drei Angriffe jenseits der 1-Tbit/s-Marke registriert. Die stärkste gemessene Attacke erreichte 1,33 Tbit/s bei mehr als 120 Millionen Paketen pro Sekunde. Eine koordinierte Angriffsserie summierte sich auf ein Gesamtvolumen von 509 Terabyte.
Der globale Kontext macht deutlich: Dies ist kein Randphänomen. Die größte Einzelattacke im Jahr 2025 erreichte laut Cloudflare 31,4 Tbit/s. Die schnell zugängliche Angriffsinfrastruktur und die zunehmende Automatisierung haben die Fähigkeit von Bedrohungsakteuren, massive Störungen zu verursachen, grundlegend verstärkt.
Hinter dieser Eskalation steckt weniger technische Innovation als infrastrukturelle Verfügbarkeit. Großangelegte Botnetze sind heute für potenzielle Angreifer ohne großen Aufwand verfügbar und können eingesetzt werden, um auch gut ausgestattete Organisationen allein durch ihre Masse zu überfordern. Multi-Terabit-Angriffe wurden zuletzt auf große Cloud- und Plattformanbieter wie Google, Amazon Web Services und Microsoft gerichtet. Dort konnten sie durch hochentwickelte Erkennung, Automatisierung und global verteilte Mitigationskapazitäten abgewehrt werden. Das zeigt zweierlei: die Schwere der Bedrohung und die Anforderungen an moderne Schutzarchitekturen.
Für die Praxis bedeutet das: Systeme, die auf den „bislang größten gemessenen Angriff” ausgelegt sind, arbeiten mit einem Modell, das die aktuelle Realität nicht mehr abbildet. Terabit-Szenarien müssen als Regellast eingeplant werden und nicht als theoretischer Worst Case.
Die Kombination macht es gefährlich: Ausdauer trifft Volumen
Für Security-Verantwortliche ist die zunehmende Kombination beider Entwicklungen besonders relevant. Angriffe, die tagelang auf hohem Niveau laufen, erschöpfen nicht nur Bandbreiten, sondern auch Teams, Prozesse und Budgets für automatisierte Gegenmaßnahmen.
Anstelle kurzfristiger überwältigender Peaks setzen Angreifer auf anhaltenden Druck über lange Zeiträume. Das Ziel besteht darin, selbst robuste Abwehrsysteme in einen Zustand permanenter Mitigation oder Erholung zu zwingen.
Nokia dokumentierte Angriffskampagnen aus dem Jahr 2025, die innerhalb von drei Minuten vier verschiedene Angriffsvektoren einsetzten: TCP Carpet Bombing, UDP Flood, DNS Amplification und SYN Flood. Dabei passten die Angreifer nach jeder Abwehrreaktion die Strategie an und erhöhten die Bandbreite. Das ist keine chaotische Masse, das ist eine durchdachte Vorgehensweise mit Folgeangriffen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Was das für die Schutzarchitektur bedeutet
Die Konsequenz aus beiden Trends ist dieselbe: Reaktive Ansätze reichen nicht mehr aus – weder organisatorisch noch technisch.
„Always-on-Schutz” ist keine Luxusoption, sondern eine Grundvoraussetzung. Wer die Mitigation erst bei Angriffsbeginn aktiviert, verliert bei Kampagnen mit einer Laufzeit von 12.000 Minuten schlicht zu viel Zeit. Ebenso wichtig ist eine ausreichende Kapazitätsplanung. Die Schutzinfrastruktur muss für wiederholbare Terabit-Szenarien ausgelegt sein und nicht für einmalige Rekordwerte. Und sie muss multi-vektoriell gedacht werden. Volumen-Angriffe und Layer-7-Kampagnen laufen heute häufig parallel und nicht nacheinander.
DDoS-Szenarien müssen außerdem in Business-Continuity-Pläne integriert werden. Der Angriff auf die Deutsche Bahn hat gezeigt, wie schnell ein Verfügbarkeitsausfall an die Öffentlichkeit gelangt. Die eigentliche Frage ist nicht, ob es passiert, sondern wie lange die eigene Infrastruktur standhält, wenn es passiert.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/82/2e/822ec28ed333bb880befbd80837cc7c5/0130147661v2.jpeg "DDoS-Angriffe dauerten 2025 bis zu acht Tage ohne Unterbrechung. An 88 Prozent der Tage standen Unternehmen unter Beschuss. (Bild: © Bartek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/c9/aec971a40c470574c343894c1a13f9ad/0130094121v2.jpeg "KI-gestützte Voice-Angriffe kombinieren Caller-ID-Spoofing mit Voice Cloning. Neue Technologien wie FOICE erzeugen täuschend echte Stimmen sogar aus Fotos. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/cf/4fcffe96d0f8532cf9672e943e5a7f2d/0130150503v2.jpeg "Node.js-Projekte sind durch kritische Schwachstellen gefährdet, die zu Denial-of-Service-Angriffen führen können. Dies bedeutet, dass Angreifer die Verfügbarkeit der Systeme beeinträchtigen und die Leistung durch gezielte Ressourcennutzung überlasten können. Davon ist auch die Lösung IBM App Connect Enterprise betroffen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b5/1e/b51e19c1ede5e1521c9b640260ae762b/0129942862v2.jpeg "Trotz Statusleuchten kann die Predator-Spyware Apple-Geräte durch das gezielte Unterdrücken von Aufzeichnungsanzeigen unbemerkt über Kamera und Mikrofon ausspionieren. (©issaronow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/97/3d9766294184f807990612e7f58bf2b3/0130059255v2.jpeg "KI-gestützte Entwicklungstools versprechen Produktivitätsgewinne, doch Prompt-Injection-Angriffe und autonome Spionagekampagnen zeigen die wachsenden Risiken für Unternehmen. (Bild: © Arnab Dey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/64/2e64f1786868756aae4026dd78f920c7/0130120004v1.jpeg "Credentialed Scans mit Nessus und OpenVAS prüfen Kerberos-Kryptografie, LDAP-Transport und SMB-Härtung auf Active Directory Domänencontrollern systematisch. (Bild: © Stefan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/19/e6/19e6685a939640d25cb308569ca76b01/0129966653v1.jpeg "Das QKD-Labor der TÜV NORD GROUP am Standort Essen ist eines der ersten seiner Art in Europa. Sven Bettendorf, Projektleiter des QKD-Labors, und Natalie Jung, Evaluatorin mit Schwerpunkt QKD, bereiten einen Versuchsaufbau vor. (Bild: TÜVIT)")
:quality(80)/p7i.vogel.de/wcms/97/cd/97cd33dafac13a5325e02c0c3e25bc4f/0130101877v2.jpeg "Der Linux-Kernel sollte in Versionen ab v4.11 sofort aktualisiert werden, da Sicherheitsanfälligkeiten im AppArmor-Zugriffsmechanismus es Angreifern ermöglichen, Root-Zugriff zu erlangen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/83/72/83729b923e87317b94edad7d73b89051/0130146252v2.jpeg "Keycloak ermöglicht Single Sign-on und Identitätsmanagement mit Open-Source-Freiheit, erfordert aber erhebliches Spezialwissen für Konfiguration und produktiven Betrieb. (Bild: © THAWEERAT - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/fd/6afdae64b3156714ffcc6afd73d977c4/0130023020v2.jpeg "NIST-Standards FIPS 206 und FIPS 207 bringen quantensichere Signaturen und Schlüsselaustausch bis 2027 in Trusted Execution Environments und Confidential Computing. (Bild: © SepazWorks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/4d/ea4d21f1d52198fafa870bf3eaf8a9ba/0130189262v2.jpeg "Das Ziel des Wiper-Angriffs, der mutmaßlichen durch die iranische Hackergruppe „Handala“ ausgeübt wurde, war ein Vergeltungsschlag für einen Raketenangriff auf eine iranische Schule. Die Hacker löschten mehr als 200.000 Systeme von Stryker. (Bild: Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/67/f16732d79dded575404eb689e4ce1abe/0130057977v2.jpeg "Moderne Fahrzeuge erzeugen bis zu einem Terabyte Daten pro Stunde und kommunizieren über V2X mit Infrastruktur, Cloud und Fußgängern – das macht sie angreifbar. (Bild: © metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/ae/94/ae94d62bde4caa8391c5046a3a14e0c6/0129591098v1.jpeg "Am 17. Februar 2026 begann eine massive DDoS-Attacke auf die Deutsche Bahn, die die Webseite und die Buchungs-App lahm legte. (Bild: Logo: DB-Systel)")
:quality(80)/p7i.vogel.de/wcms/37/54/3754aebc0be8caaa7811fa1f6c8d8e31/0129985579v4.jpeg "DDoS-Resilienz entscheidet sich lange vor dem Angriff. Unternehmen müssen Netzwerkanbindungen zu Mitigation-Diensten vorbereiten, DDoS-Incident-Response-Playbooks entwickeln und Compliance-Grundlagen schaffen – sonst bleibt im Ernstfall keine Zeit für wirksame Abwehr. (Bild: © Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/d0/dcd02b0e224172de8ca49e81daacbcbf/0129856210v2.jpeg "Die Eskalation zwischen Iran, Israel und den USA wirkt laut Unit 42 auch in Europa nach: Während komplexe Angriffe aus Iran kurzfristig erschwert sein könnten, würden Aktivitäten von Hacktivisten zunehmen. Europäische Organisationen müssen daher mit mehr Phishing-, DDoS- und Hack-and-Leak-Angriffen sowie opportunistischen Kampagnen rechnen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ba/e0/bae02319feae7a5e19387112e1a13c4b/0125189217v2.jpeg "Moderne DDoS-Akteure agieren inzwischen immer professioneller und passen ihre Angriffe dynamisch an Gegenmaßnahmen an. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ba/acbadc7c1ce59b8e2626341ab03da0fe/0126715168v1.jpeg "DDoS-Angriffe nehmen 2025 nicht nur in der Zahl, sondern auch in Präzision und Wirkung deutlich zu, von Backbone-Attacken bis zu gezielten Layer-7-Kampagnen. (Bild: Midjourney / KI-generiert)")