Der IT-Service-Provider Quipu setzte gegen DDoS-Angriffe zunächst auf Cloud-Standardmechanismen mit statischen Rate-Limits. Das Problem: Legitime Nutzer wurden ausgesperrt, während Angreifer die Services des Unternehmens mit Tausenden Bots beeinträchtigten. Die Lösung: eine integrierte WAAP-Plattform mit WAF, API-Schutz, Bot-Management und Layer-7-DDoS.
Der IT-Service-Provider Quipu verzeichnete mehrere DDoS-Angriffe, aber die Schutzmechanismen des Cloud-Providers konnten die Bots der Angreifer nicht abwehren.
Angriffe auf Webanwendungen sind schon lange kein Randthema mehr, sondern bergen ein Risiko für den operativen Betrieb. Bot-Attacken, DDoS-Angriffe, API-Missbrauch und klassische Exploits treffen nicht nur große Plattformen, sondern auch mittelständische und regulierte Organisationen.
Der IT-Service-Provider Quipu, zuständig für die IT der ProCredit-Gruppe, sah sich genau mit dieser Herausforderung konfrontiert: wiederholte Angriffe und eine steigende Komplexität. Deshalb hat das Unternehmen seine Schutzarchitektur überarbeitet. Der Weg führte von punktuellen Cloud-Standardmechanismen weg hin zu einer integrierten Web Application und API Protection (WAAP)-Strategie, die in Zusammenarbeit mit dem europäischen Anbieter Link11 umgesetzt wurde.
Ausgangspunkt waren mehrere DDoS-Angriffe auf öffentlich erreichbare Dienste. Zu diesem Zeitpunkt setzte Quipu auf die Schutzmechanismen des Cloud-Providers. Die Annahme war, dass dies für die eigene Bedrohungslage ausreichen sollte. Die Praxis zeigte jedoch ein anderes Bild. Selbst mit kleinen Botnetzen von 3.000 bis 6.000 Bots gelang es Angreifern, Services über Zeiträume von teils mehr als 20 Minuten spürbar zu beeinträchtigen oder zeitweise außer Betrieb zu setzen, indem sie mehrere tausend Requests pro Sekunde sendeten.
Die eingesetzte Lösung arbeitete im Wesentlichen mit statischen Rate-Limits, also festen Schwellenwerten pro IP-Adresse oder Region, die über Zeitfenster von einer bis fünf Minuten definiert waren. Wurden diese Werte überschritten, mussten sie manuell angepasst oder ganze Länder blockiert werden. Dadurch wurden allerdings auch legitime Nutzer ausgesperrt. „Wir konnten Angriffe zwar bremsen, gleichzeitig fiel es jedoch schwer, bösartigen und legitimen Traffic zu trennen“, beschreibt Borut Lappe, Senior Cybersecurity Officer bei Quipu, die Situation. Für ein Unternehmen, das digitale Bankservices betreibt, ist das untragbar.
Die Analyse hat ergeben, dass ein reiner DDoS-Schutz das Problem nicht löst. Um Angriffe bewerten zu können, muss der Traffic entschlüsselt und auf Applikationsebene analysiert werden. Erst dort lassen sich Anomalien in Header-Informationen, ungewöhnliche Request-Muster oder missbräuchliche API-Aufrufe erkennen. Somit rücken Web Application Firewall (WAF), API-Schutz, Bot-Management und Layer-7-DDoS-Abwehr in den Fokus.
Diesen Ansatz fasst Gartner unter dem Begriff WAAP (Web Application and API Protection) zusammen. Das Analystenhaus beschreibt WAAP als Plattformansatz, der WAF, API-Security, Bot-Management und anwendungsnahe DDoS-Abwehr in einer Architektur vereint. Das Ziel besteht darin, moderne, mehrstufige Angriffe ganzheitlich abzuwehren, anstatt sie mit isolierten Einzellösungen zu bekämpfen.
Anforderungen aus der Praxis
Für Quipu waren sowohl die Technik als auch der Betrieb von entscheidender Bedeutung. Frühere On-Premises-Ansätze hatten gezeigt, wie hoch der Aufwand für Pflege, Tuning und den Erhalt von Know-how ist. „Wenn man die Lösung nicht täglich nutzt, geht Wissen verloren“, so Lappe. Deshalb war ein Fully Managed Service ein zentrales Auswahlkriterium.
Hinzu kamen konkrete technische und regulatorische Anforderungen: Dazu zählen die Unterstützung von Custom Ports, die Entschlüsselung und Analyse von Traffic auf Layer 7 sowie die Abdeckung von PCI DSS, GDPR und den Anforderungen an die operationale Resilienz (DORA). Als IT-Dienstleister für Finanzinstitute ist Sicherheit kein Nice-to-have, sondern Teil der Governance.
Aus einer Longlist von sieben Anbietern blieben am Ende zwei übrig: Link11 und ein weiterer internationaler WAAP-Anbieter mit globaler Plattformpräsenz. Beide erfüllten die funktionalen Mindestanforderungen. Neben der vertraglichen Erfüllung regulatorischer Anforderungen wie PCI DSS und GDPR war ausschlaggebend, dass ein konsequent gemanagtes Betriebsmodell ohne zusätzliche Stundenkontingente angeboten wurde. Überzeugt hat zudem die technische Ausrichtung: Die Plattform kombiniert signaturbasierte Erkennung mit verhaltensbasierter Analyse auf Layer 7 und ermöglicht eine adaptive, kontextbezogene Reaktion statt rein statischer Schwellenwerte.
Wie bei der Einführung nahezu jeder neuen Dienstleistung war auch bei Quipu die Inbetriebnahme mit einigen Anpassungen verbunden. Nach dem Umschalten in den Live-Betrieb kam es zunächst zu sogenannten „False Positives” und blockierten Requests. Konkret wurden API-Parameter-Validierungen, typische Request-Frequenzen einzelner Endpunkte sowie länderspezifische Zugriffsmuster analysiert und schrittweise angepasst. Die initiale „Tuning-Phase“ dauerte einige Wochen. Der Unterschied zu früher: Die Anpassungen erfolgten iterativ und im laufenden Betrieb.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der Härtetest kam während der Evaluierungsphase: Ein produktiver Service wurde Ziel eines Angriffs mit mehreren tausend Bots. Nach der Umstellung der DNS-Routen lief der Traffic über die neue Schutzplattform von Link11. Der Angriff konnte in kurzer Zeit abgewehrt werden. Dies erfolgte technisch durch eine Kombination aus verhaltensbasierter Analyse (Behavioral Layer-7-Detection), Signaturabgleich bekannter Angriffsmuster sowie dynamischer Reputationsbewertung einzelner Quellen. Auffällige IP-Adressen oder Netze wurden automatisiert isoliert und für definierte Zeiträume blockiert, statt nach Ablauf eines festen Schwellenwert-Zeitfensters wieder freigegeben zu werden. Wiederholte Angriffe aus denselben Netzen verpufften.
Im Vergleich zur vorherigen Lösung reduzierte sich der Bedarf an manuellen Eingriffen deutlich: Anstatt wiederholt Schwellenwerte anzupassen oder Länderblockaden zu setzen, erfolgte die Mitigation automatisiert auf Applikationsebene. Gleichzeitig blieb legitimer Traffic weitgehend unbeeinträchtigt, was einen wesentlichen Unterschied zur früheren Praxis darstellt.
Nicht jedes Unternehmen braucht sofort eine vollumfängliche WAAP-Plattform. Sobald jedoch Webportale, Kunden-APIs oder digitale Geschäftsprozesse geschäftskritisch werden, ist ein integrierter Ansatz ein betriebswirtschaftlicher Faktor. Es geht nicht nur um die Abwehr einzelner Angriffe, sondern auch um Verfügbarkeit, Resilienz, Reputation und Compliance.
Der Fall Quipu verdeutlicht, warum Gartner WAAP nicht als „neue WAF“, sondern als Architekturkonzept positioniert. Seine eigentliche Stärke liegt in der Kombination aus Anwendungssicht, API-Schutz, Bot-Abwehr und DDoS-Mitigation, ergänzt um einen Betriebsansatz, der die Komplexität für die eigenen Teams reduziert. Für IT-Entscheider kann WAAP somit eine strategische Antwort auf eine Bedrohungslage sein, die längst nicht mehr in Silos funktioniert.
Über die Autorin: Lisa Fröhlich ist bei Link11 verantwortlich für den Bereich Corporate Communications.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5d/ff/5dff3299d12fc4d37210c44689af6d56/0130055480v2.jpeg "Der IT-Service-Provider Quipu verzeichnete mehrere DDoS-Angriffe, aber die Schutzmechanismen des Cloud-Providers konnten die Bots der Angreifer nicht abwehren. (Bild: © Maria Mikhaylichenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c0/31/c0317e2c71d107e6ecbd2fdefa100962/0129629035v2.jpeg "Cyberkriminelle nutzen Künstliche Intelligenz, um bestehende Methoden zur Betrugs- und Malware-Entwicklung zu verfeinern, ihre Kosten zu senken und neue Technologien wie Deepfakes effektiv in ihren Angriffen einzusetzen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ed/9a/ed9a6fff92a7a1aec767fc73c6681232/0130157782v2.jpeg "Der Hotpatch für Windows 11 vom 13. März 2026 bezieht sich auf Systeme mit den Architekturen x64 und Arm64. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e1/c5/e1c565c5f124763803e1fff4ab63358a/0128304876v1.jpeg "Netzwerksichtbarkeit und -sicherheit muss auch in der Produktion oberste Priorität haben, fordert Tiho Saric, Senior Sales Director bei Gigamon. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/4f/40/4f404cccff308914c8284689fd16153f/0130070733v2.jpeg "Die KI von Codewall wählte selbstständig McKinsey als Ziel, da sie auf eine öffentlich zugängliche Richtlinie zur verantwortungsvollen Offenlegung und die kürzlich durchgeführten Updates zu „Lilli“ stieß. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6a/fd/6afdae64b3156714ffcc6afd73d977c4/0130023020v2.jpeg "NIST-Standards FIPS 206 und FIPS 207 bringen quantensichere Signaturen und Schlüsselaustausch bis 2027 in Trusted Execution Environments und Confidential Computing. (Bild: © SepazWorks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/a4/4ca48ee3de835f32513f2df9448470c5/0130022845v2.jpeg "Hardwarebasierte Enklaven schützen Daten während der Verarbeitung. Quantencomputer bedrohen aber die zugrundeliegende Verschlüsselung langfristig. (Bild: © SepazWorks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/ee/6aee3525b520c2e632f44566cbba513d/0130142789v2.jpeg "Das BSI hat in einer aktuellen Analyse Sicherheitsmängel in Praxisverwaltungssystemen und Pflegedokumentationssystemen festgestellt, die sensible Gesundheitsdaten gefährden können. (Bild: © everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/fb/c3fb60ad37eb13084443888d42cd75d6/0130000287v2.jpeg "Eine physische Zutrittskarte ist bei Mobile-Access-Lösungen überflüssig – sie wird digital auf dem Smartphone hinterlegt. (Bild: HID Global)")
:quality(80)/p7i.vogel.de/wcms/70/12/7012a2d773d5b6551d28fc4c51c754f2/0129998227v2.jpeg "Bereits bei Installation, Mandantenanlage oder Systemkopie liegen in SAP feste Konten und bekannte Zustände vor. Ohne gezielte Absicherung öffnen sie gefährliche Angriffspfade. (Bild: © Ronny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/c6/5ec6325880225bfd8b91d5cb691ab5e5/0130056660v2.jpeg "Cybersecurity ist ein strategischer Faktor für Stabilität und Wachstum. Doch zwischen technischer Realität und wirtschaftlicher Erwartung entsteht eine Kommunikationslücke. (Bild: © Vadym - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/37/54/3754aebc0be8caaa7811fa1f6c8d8e31/0129985579v4.jpeg "DDoS-Resilienz entscheidet sich lange vor dem Angriff. Unternehmen müssen Netzwerkanbindungen zu Mitigation-Diensten vorbereiten, DDoS-Incident-Response-Playbooks entwickeln und Compliance-Grundlagen schaffen – sonst bleibt im Ernstfall keine Zeit für wirksame Abwehr. (Bild: © Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/94/ae94d62bde4caa8391c5046a3a14e0c6/0129591098v1.jpeg "Am 17. Februar 2026 begann eine massive DDoS-Attacke auf die Deutsche Bahn, die die Webseite und die Buchungs-App lahm legte. (Bild: Logo: DB-Systel)")
:quality(80)/p7i.vogel.de/wcms/5c/0f/5c0f1c468eeef3d4c45dc96b7b75f9ea/0128422141v1.jpeg "Wenn während Black Friday und Cyber Week Bots den Großteil des Traffics erzeugen, kommen Login, Warenkorb und Zahlungs-APIs in Schwierigkeiten. WAAP-Lösungen sollen Angriffe auf Anwendungsebene abfangen. (Bild: © SVasco - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/6c/546ca362b4689d5bb7bd000d4f1fac07/0128287308v1.jpeg "Neben der steigenden Cyberangriffe ist auch eine Veränderung der Angriffstaktiken zu beobachten: Angreifer setzen vermehrt auf längere, strategisch geplante Attacken. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5c/0f/5c0f1c468eeef3d4c45dc96b7b75f9ea/0128422141v1.jpeg "Wenn während Black Friday und Cyber Week Bots den Großteil des Traffics erzeugen, kommen Login, Warenkorb und Zahlungs-APIs in Schwierigkeiten. WAAP-Lösungen sollen Angriffe auf Anwendungsebene abfangen. (Bild: © SVasco - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/c5/4bc51ca114528780db74ecd7c82db9e5/0125728493v2.jpeg "Eine umfassende API-Sicherheitsstrategie ist für Unternehmen nicht nur eine proaktive Maßnahme, sondern eine strategische Investition zum Schutz von Integrität, Verfügbarkeit und Vertraulichkeit. (Bild: © AndSus - stock.adobe.com)")