Angriffe mit Lernkurve DDoS neu denken oder im Ernstfall offline sein

Anbieter zum Thema

Link11 GmbH

Fsas Technologies GmbH

DDoS-Angriffe werden in vielen Unternehmen unterschätzt. Technisch lästig, aber kein ernsthaftes Risiko. Diese Einschätzung ist jedoch zunehmend gefährlich. Denn DDoS hat sich zu einem strategischen Angriffsvektor entwickelt, der von geopolitisch motivierten Gruppen ebenso wie von professionellen Cyberkriminellen genutzt wird.

Das Bundeslagebild Cybercrime 2024 des BKA dokumentiert einen deutlichen Anstieg der Bedrohung: Es gab mehr als 220 Angriffsankündigungen durch Hacktivisten gegen deutsche Ziele und über 29.000 DDoS-Angriffe im Netz der Deutschen Telekom. Im Link11-Netzwerk stieg die Zahl der DDoS-Angriffe im Jahr 2024 um 137 Prozent. Immer wieder werden Bandbreiten von bis zu 1,4 Tbit/s gemessen, was dem gleichzeitigen Streaming von über 300.000 hochauflösenden Filmen (HD) entspricht. Ein solch enormes Volumen an bösartigem Datenverkehr überfordert selbst robuste digitale Infrastrukturen.

Bundeslagebild Cybercrime 2024

Bedrohungslage in Deutschland ist anhaltend hoch

Wenn das gesamte Arsenal zum Einsatz kommt

Ein von Link11 analysierter Angriff zeigt, wie professionell moderne DDoS-Akteure inzwischen agieren. Über 24 Stunden hinweg wurde das Zielsystem mit mehr als zehn verschiedenen Angriffstechniken auf den Netzwerkebenen 3 und 4 sowie auf der Anwendungsebene 7 bombardiert. Zum Einsatz kamen dabei unter anderem UDP-Floods, SYN-Floods und HTTP-GET/POST-Floods zum Einsatz. Insgesamt wurden 120 Millionen Anfragen generiert, die über eine Million Web Application Firewall (WAF) Logs auslösten.

Bildergalerie

Der gesamte Angriff wurde in dynamischen Wellen orchestriert. Es war nicht nur massiv, sondern auch intelligent: Sobald Gegenmaßnahmen einsetzten, wurden die Traffic-Parameter angepasst. Es war ein Angriff mit Lernkurve – nur diesmal auf Seiten des Täters.

Carpetbombing: Das Netz zersägen, nicht zerschlagen

Beim „Carpetbombing” werden nicht einzelne Server, sondern ganze Subnetze mit kleinen UDP-Paketen auf zufällige Ports überflutet. Im beobachteten Fall wurden mehrere Hundert IPs gleichzeitig attackiert, wodurch die angegriffene Infrastruktur über ihre Switches und Loadbalancer destabilisiert wurde. Dabei setzte der Angreifer auf massiven Traffic auf Dutzende von Endpunkten gleichzeitig.

Die Angriffsbandbreite lag zwischen 300 Gbit/s und Spitzen bis zu 700 Gbit/s, verteilt über Dutzende Botnetz-Endpunkte. Dabei wechselte der Angreifer während des laufenden Angriffs strategisch vom breit gestreuten UDP-Verkehr zum deutlich komplexeren TCP-Traffic, um gezielt die Ressourcen der Schutzinfrastruktur zu überlasten.

Gcore Radar Report

DDoS-Angriffe steigen um 56 Prozent

Auffällig war zudem die ungewöhnliche Paketgröße zwischen 450 und 600 Byte – weder typisch für kleine Flooding-Angriffe noch für große Fragmentierungsattacken. Ob zur Effizienzsteigerung auf kompromittierten IoT-Geräten oder zur Umgehung gängiger Filtermechanismen – die gezielte Wahl dieser Größe zeigt die technische Raffinesse des Angriffs.

Illusion der Kontrolle

Diese Beispiele haben gemeinsam, dass das Bild von „DDoS als Störung“ überholt ist. Es handelt sich um präzise gesteuerte Attacken, die oft geopolitisch motiviert oder kriminell sind. Der Markt für DDoS-as-a-Service boomt: Für wenig Geld lassen sich massive Angriffe buchen.

Gleichzeitig setzen Angreifer zunehmend auf Automatisierung und KI-gestützte Angriffsmuster. Systeme werden in Echtzeit beobachtet, Gegenmaßnahmen analysiert und neue Schwachstellen innerhalb von Minuten ausgenutzt. Die Angreifer lernen oft schneller als ihre Opfer.

Adaptive Verteidigung statt reaktiver Technik

Organisationen, die heute noch auf klassische Mitigationsansätze wie statische Rate-Limits oder manuelles Blacklisting setzen, laufen Gefahr, von der Realität überholt zu werden. Moderne Verteidigung bedeutet dynamische, kontextbezogene Abwehrsysteme mit KI-gestützter Mustererkennung, automatisierter Reaktion und global verteilten Scrubbing-Zentren. So lässt sich auf die Geschwindigkeit und Wandlungsfähigkeit der Angreifer reagieren.

DDoS neu denken oder im Ernstfall offline sein

Angesichts dieser Entwicklung ist klar: Wer DDoS als rein technische Herausforderung betrachtet, verkennt das strategische Risiko. Die Angriffsmuster sind variabel, zielgerichtet und oft politisch motiviert. Die Täter agieren vernetzt, mit professionellen Tools und niedriger Hemmschwelle.

Das Bundeslagebild zeigt deutlich: Es geht nicht mehr um die Frage, ob DDoS-Angriffe passieren, sondern nur darum, wie gut wir vorbereitet sind.

Cloudflare 2025 Q1 DDoS Threat Report

Deutschland weltweit am stärksten durch DDoS-Angriffe betroffen

(ID:50453596)