Dies ist der erste von drei Beiträgen, in denen wir analysieren, wie sich diese Bedrohungen entwickelt haben und wie sie moderne Cybersicherheitsstrategien beeinflussen. In diesem Beitrag untersuchen wir die aktuelle Situation von DDoS: wie sich das Angriffsprofil verändert hat, die neuesten Zahlen, die neuen eingesetzten Techniken, die am stärksten betroffenen Sektoren und welche Verteidigungsstrategien unverzichtbar werden. Die nächsten Beiträge konzentrieren sich auf Netzvektoren (L3/L4) und Angriffe auf die Anwendungsschicht (L7) aus einer technischeren und detaillierteren Perspektive.
Wir starten hier: mit einer klaren Bestandsaufnahme des aktuellen Zustands von DDoS, seiner jüngsten Entwicklung, seiner globalen Auswirkung und den Schlüsseln, um in einer zunehmend komplexen und schnellen Umgebung effektiv zu reagieren.
Seit Anfang des Jahrhunderts haben sich Distributed-Denial-of-Service-Angriffe (DDoS) radikal weiterentwickelt: von einfachen Basisangriffen durch Überlastung zu koordinierten Offensiven mit hohem strategischem Niveau. 2007 wurde Estland Opfer eines der ersten landesweiten DDoS-Cyberangriffe, der einen Wendepunkt in der Geschichte der Cybersicherheit markierte. Jahre später, 2016, griff ein Botnet aus kompromittierten IoT-Geräten Dyn an, einen wichtigen DNS-Dienstleister, was weitreichende Unterbrechungen auf globalen Plattformen wie Twitter, PayPal, Amazon und Netflix verursachte.
Die Eskalation stoppte nicht dort. GitHub (2018), AWS (2020), Azure (2021) und Google (2023) waren ebenfalls Ziele immer massiverer und komplexerer Angriffe, die Rekordzahlen erreichten: Hunderte Millionen Anfragen pro Sekunde oder Spitzenwerte von über 33 Tbps (Terabit pro Sekunde).
Doch all dies wurde von einem beispiellosen Ereignis im Jahr 2025 überschattet. Cloudflare gelang es, den bisher größten jemals registrierten DDoS-Angriff zu mildern: 7,3 Tbps in nur 45 Sekunden, wobei mehr als 37 Terabyte bösartigen Datenverkehrs erzeugt wurden. Dieser Angriff, der sich gegen einen wichtigen Webhosting-Anbieter richtete, kombinierte mehrere Vektoren wie UDP-Floods, NTP-Reflexionsangriffe und Verkehr, der von Varianten des Mirai-Botnets ausging.
Diese historische Reise zeigt eine entscheidende Transformation: DDoS-Angriffe werden nicht mehr nur nach Volumen gemessen, sondern jetzt zählen die Ausführungsgeschwindigkeit, die Intelligenz der Vektoren und die Fähigkeit zur Umgehung. Dieser Paradigmenwechsel stellt einen Wendepunkt für das gesamte digitale Ökosystem dar.
Die neuesten Berichte von Cloudflare und Nexusguard bestätigen diese neue Realität. Eine neue Ära hat begonnen: DDoS-Angriffe müssen nicht mehr stundenlang dauern oder Petabytes bewegen, um ganze Infrastrukturen lahmzulegen. Heute reichen wenige gut orchestrierte Sekunden aus, um kritische Anwendungen zu destabilisieren und selbst Organisationen mit fortschrittlichen Verteidigungen außer Gefecht zu setzen.
Der Beginn des Jahres 2025 hat uns klar gemacht, dass wir es mit einem völlig neuen und herausfordernden Szenario zu tun haben: DDoS-Angriffe sind nicht nur häufiger und leistungsstärker, sondern auch kürzer und raffinierter und übersteigen die Fähigkeiten traditioneller Schutz- und Erkennungsmechanismen.
Eskaliertes Bedrohungsniveau und beispielloses Ausmaß
Das erste Quartal 2025 lieferte alarmierende Zahlen, die eine radikale Transformation im DDoS-Bedrohungsbild bestätigen. Cloudflare hat 20,5 Millionen Angriffe abgewehrt, was einem Anstieg von 358 % im Jahresvergleich und 198 % gegenüber dem Vorquartal entspricht. Dieses Volumen entspricht praktisch der Gesamtzahl der im gesamten Jahr 2024 blockierten Angriffe und zeigt eine beispiellose Beschleunigung der Angriffshäufigkeit.
Zu den wichtigsten Ereignissen zählt eine 18-tägige Kampagne mit mehreren Angriffsvektoren, die mehr als 6,6 Millionen Angriffe direkt gegen die Netzwerk-Infrastruktur von Cloudflare generierte. Diese Offensive umfasste Vektoren wie SYN-Floods, SSDP-Amplifikation und Angriffe durch Botnets wie Mirai. Die Spitzenintensitäten erreichten 6,5 Tbps Traffic und 4,8 Milliarden Pakete pro Sekunde, Zahlen, die alle bisherigen Rekorde übertreffen und aufgrund ihrer Kürze (35–45 Sekunden) die manuelle Reaktionsfähigkeit übersteigen.
Parallel dazu berichtete Nexusguard von einem Anstieg der durchschnittlichen Angriffsgröße um 69 % auf 1,35 Gbps sowie einem 27 %igen Anstieg der UDP-Fragmentierungsangriffe, einer Ausweichtechnik, die die Art und Weise ausnutzt, wie Systeme fragmentierte Pakete rekonstruieren. Zudem wurde ein explosionsartiges Wachstum von 876 % bei DNS-Angriffen verzeichnet und eine Konsolidierung des HTTPS Flood als dominanter Vektor, verantwortlich für 21 % der Angriffe.
Obwohl Hypervolumen-Angriffe schnell Schlagzeilen machen, ist die Wahrheit, dass die große Mehrheit – mehr als 85 % – von geringem Volumen und hoher Frequenz ist. Diese Art von Angriffen zielt darauf ab, traditionelle Erkennungsmechanismen zu umgehen und Ressourcen still, aber konstant zu verbrauchen. Außerdem enden 89 % der Angriffe auf die Netzwerkschicht und 75 % der HTTP-Angriffe in weniger als 10 Minuten, viele sogar in nur 35 Sekunden. Die kurze Dauer dieser Angriffe erschwert jede wirksame manuelle Reaktion, weshalb automatisierte, stets aktive Verteidigungssysteme mit Echtzeit-Inspektionsfähigkeit unerlässlich sind.
Technische Merkmale aktueller DDoS-Angriffe
Distributed Denial-of-Service (DDoS)-Angriffe haben sich zu einer viel präziseren, automatisierten und verheerenderen Form digitaler Aggression entwickelt. Es geht nicht mehr nur darum, Bandbreite stundenlang mit massivem Traffic zu überfluten, denn aktuelle Angriffe sind kürzer, intensiver und schwerer zu erkennen. Laut aktuellen Daten dauern 89 % der Angriffe auf Netzwerkschicht (L3/L4) und 75 % der HTTP-Angriffe (L7) weniger als 10 Minuten, viele der disruptivsten kaum mehr als 35 Sekunden. Die kurze Dauer mindert nicht ihre Wirkung: Innerhalb von Sekunden können diese Angriffe Router lahmlegen, essentielle Dienste unterbrechen und Anwendungen überlasten, was die Nutzererfahrung negativ beeinflusst und zu erheblichen wirtschaftlichen Schäden sowie Reputationsverlusten führen kann, die sich über mehrere Tage erstrecken.
Dieses neue Angriffsprofil – schnell, automatisiert und multivektoriell – macht manuelle Eskalationsprozesse unwirksam, wie die bedarfsorientierte Aktivierung von Scrubbing-Zentren oder die Intervention spezialisierter Analysten. In der Praxis sind Organisationen ohne autonome, stets aktive Mitigationssysteme mit Deep Inspection verschlüsselten Verkehrs völlig exponiert.
Angreifer haben den Einsatz klassischer Vektoren perfektioniert und neue evasive Techniken integriert. Laut Cloudflare waren die Hauptangriffsvektoren auf Netzwerkschicht (L3/L4) im ersten Quartal 2025:
- SYN Flood (30,7 %): Überlastung der TCP-Verbindungsschlange durch gefälschte SYN-Pakete, die halb offene Verbindungen erzeugen und Serverressourcen erschöpfen.
- DNS Flood (18,5 %): massenhafte DNS-Anfragen, um Resolver oder autoritative Server zu überlasten.
- Botnets Mirai und Varianten (18,2 %): Angriffe, die von kompromittierten IoT-Geräten ausgehen, mit verteilten und hochgradig parallelisierten Verkehrsmustern.
Auf Anwendungsebene (L7) stammen mehr als 60 % der HTTP-Angriffe von bekannten Botnets, und es wurde ein anhaltendes Wachstum evasiver Techniken beobachtet wie:
- Gefälschte oder headless Browser: User Agents, die legitime Browser (wie Chrome oder Firefox) simulieren, um signaturbasierte Filter zu umgehen.
- Manipulierte HTTP-Anfragen: anomale Header, URI-Variationen und Abfragemuster, die darauf ausgelegt sind, Caches und WAFs zu umgehen.
Die Raffinesse der Angriffe zeigt sich auch im Aufstieg weniger verbreiteter, aber hochwirksamer Vektoren, die Schwachstellen in untergenutzten oder falsch konfigurierten Protokollen ausnutzen:
- CLDAP-Amplifikation (Anstieg um +3488 %): UDP-Reflexion, die falsch konfigurierte, nicht verbundene LDAP-Server (Port 389) nutzt, um verstärkte Antworten an das Opfer zu senden und dessen Netzwerk mit übermäßigem Datenverkehr zu überfluten.
- ESP Flood (IPSec) (Anstieg um +2301 %): Überlastung durch im ESP-Protokoll von IPSec gekapselte Pakete, die verwundbare Konfigurationen ausnutzen, um die Infrastruktur zu überlasten und Unterbrechungen zu verursachen.
- SYN-ACK Flood (Anstieg um +1457 %): Überflutung mit gefälschten TCP-Antworten, ohne dass der Handshake abgeschlossen werden muss.
- Direkte DNS-Angriffe (Anstieg um +946 %): bösartiger DNS-Verkehr ohne Reflexion, mit direktem Volumen von Botnets.
- Mirai und Varianten (konstant): zombifizierte IoT-Geräte, die weiterhin eine persistente Quelle von Angriffen darstellen.
Diese Vektoren weisen eine hohe Umgehungsfähigkeit auf, da viele von ihnen keine offensichtlichen volumetrischen Muster erzeugen, was ihre Erkennung durch traditionelle Lösungen, die auf Schwellenwerten oder oberflächlicher Verkehrsanalysen basieren, erschwert. Zudem ermöglicht ihre verteilte und asynchrone Ausführung, den Angriff in viele kleine Ströme zu fragmentieren, was die Identifikation zusätzlich erschwert.
Die Entwicklung der DDoS-Angriffe hin zu kürzeren, automatisierten und multivektoriellen Formen erfordert ein tiefgreifendes Umdenken der Verteidigungsstrategien. Es reicht nicht mehr aus, über Bandbreite oder Perimeter-Firewalls zu verfügen: Es wird eine Verteidigungsarchitektur benötigt, die auf Bedrohungsintelligenz, Echtzeiterkennung, Inspektion verschlüsselten Verkehrs und autonome globale Abschwächung basiert. Resilienz gegenüber DDoS ist keine technische Option mehr, sondern eine betriebliche Notwendigkeit.
Andererseits zeigt der analysierte HTTP-DDoS-Verkehr ein besorgniserregendes Muster: Die große Mehrheit der Angriffe stammt aus autonomen Systemen (ASN), die zu legitimen Cloud- und Hosting-Dienstanbietern gehören.
Dieses Phänomen zeigt ein systematischer Missbrauch von Cloud-Umgebungen durch kompromittierte Konten, schlecht gesicherte Testumgebungen oder Standardeinstellungen. Die einfache Skalierbarkeit, die relative Anonymität und die globale Verfügbarkeit dieser Plattformen machen sie zu idealen Vektoren für großvolumige verteilte Angriffe.
Am stärksten angegriffene Branchen
Die Branchenanalyse für das erste Quartal 2025 zeigt eine substanzielle Veränderung der Prioritäten der DDoS-Angreifer mit einem zunehmend breiteren und strategischeren Fokus. Die Branche Wetten und Casinos führt die Rangliste als am stärksten angegriffene Industrie an, gefolgt von Telekommunikation, Technologie und IT sowie Videospielen, allesamt Sektoren mit hoher digitaler Exposition, kritischen Echtzeitdiensten und starker Abhängigkeit von kontinuierlicher Verfügbarkeit.
Am bedeutendsten ist jedoch die herausragende Präsenz von Branchen, die traditionell weniger anfällig für diese Art von Bedrohungen sind. Cybersicherheit, Luft- und Raumfahrt sowie Fertigung, Ingenieurwesen und industrielle Technologie gehören zu den Top 10 der am stärksten angegriffenen Branchen, was auf eine klare taktische Diversifizierung seitens der Cyberkriminellen hinweist.
Dieses Muster deutet darauf hin, dass Angreifer Ziele mit kritischen Infrastrukturen, komplexen Betriebsumgebungen und hohem digitalen Interdependenzgrad priorisieren, bei denen selbst eine kurze Unterbrechung kaskadierende Effekte auf operativer, finanzieller und reputativer Ebene verursachen kann. Zudem verwalten viele dieser Sektoren sensible Daten oder industrielle Kontrollsysteme, was sie sowohl für Denial-of-Service-Angriffe als auch für Ablenkungs- oder verdeckte Sabotagekampagnen zu attraktiven Zielen macht.
In diesem Kontext kann DDoS-Schutz nicht mehr als Maßnahme ausschließlich für Massenkonsum- oder Webdienstsektoren betrachtet werden, sondern ist eine branchenübergreifende Notwendigkeit für jede Industrie mit exponierten digitalen Assets oder kritischen, mit dem Internet verbundenen Prozessen. All dies hat auch direkte Auswirkungen auf den europäischen Regulierungsrahmen. Sowohl die NIS2-Richtlinie als auch die DORA-Verordnung verlangen von Organisationen – insbesondere solchen, die als wesentliche oder wichtige Einrichtungen eingestuft sind – die Umsetzung angemessener technischer und organisatorischer Maßnahmen, um die digitale operative Resilienz gegenüber Bedrohungen wie diesen DDoS-Angriffen zu gewährleisten.
Fazit
Die aktuelle Lage hat uns klar gemacht, dass es nicht ausreicht, nur die Ränder der Infrastruktur zu schützen: die traditionelle Verteidigung ist veraltet. Die Geschwindigkeit, Volatilität und Raffinesse der heutigen DDoS-Angriffe erfordern eine vollständige Transformation des Cyber-Schutzmodells. Es reicht nicht mehr, ein Reinigungszentrum einzurichten oder bekannte Ports zu filtern; jetzt geht es darum, in Echtzeit mit Präzision und voller Sichtbarkeit des verschlüsselten Verkehrs zu reagieren.
Moderner Schutz muss auf fünf wesentlichen Prinzipien basieren:
- Über eine autonome und sofortige Minderung verfügen, die jeglichen Bedarf an menschlichem Eingreifen bei einem Vorfall reduziert oder eliminiert und in Millisekunden reagiert.
- Eine always-on und mehrschichtige Schutzlösung bereitstellen, bei der Netzwerk-Firewall, sicherer DNS, WAF, Layer-7-Minderung und globale Telemetrie koordiniert zusammenarbeiten.
- Verhaltensbasierte Erkennung integrieren, die es ermöglicht, anomale Muster zu identifizieren, selbst wenn kein Volumenanstieg festgestellt wird.
- Interne Belastungstests und Übungen durchführen, denn ein Team, das nicht unter realen Bedingungen trainiert hat, wird kaum in der Lage sein, auf einen effektiven Angriff zu reagieren.
- Aktive Partnerschaften mit Netzwerk- und Cloud-Anbietern etablieren, um die Neutralisierung des Angriffs an seiner Quelle zu erleichtern, bevor er den Perimeter erreicht.
Im nächsten Beitrag werden wir detailliert analysieren, wie sich diese Entwicklung von DDoS auf den Netzwerkschichten (L3/L4) manifestiert, die am häufigsten genutzten Vektoren untersuchen und wie man sich mit effektiven Erkennungsmechanismen darauf vorbereiten kann.
