Thought Leadership
Warum funktionieren DDoS-Angriffe auch 30 Jahre nach dem ersten dokumentierten Fall noch immer? Weil das eigentliche Problem nicht unbedingt neue Angriffstechniken sind, sondern alte Schwächen in neuem Maßstab.
Als der New Yorker Internetprovider Panix im Jahr 1996 durch eine vergleichsweise simple SYN-Flood-Attacke tagelang offline ging, war der Begriff „Cyberresilienz” noch nicht geläufig. Der Angriff bestand aus wenigen hundert manipulierten Verbindungsanfragen, was damals ausreichte, um das junge Internet an seine Grenzen zu bringen. Rückblickend gilt dieser Vorfall als eine der ersten dokumentierten Denial-of-Service-Attacken. Dreißig Jahre später messen Sicherheitsanbieter DDoS-Angriffe im Terabit-Bereich. Und doch stellt sich eine überraschend einfache Frage: Warum existiert dieses Problem immer noch?
Ein Angriff wächst mit dem Internet
Die Geschichte von DDoS ist eng mit der Entwicklung des Internets verknüpft. In den 1990er-Jahren reichten einzelne schlecht konfigurierte Systeme aus, um Dienste zu blockieren. In den 2000ern machten Botnets DDoS skalierbar und ökonomisch interessant. Nutzererfahrung und Verfügbarkeit.
Spätestens mit der Mirai-Malware ab 2016 wurde klar, dass das eigentliche Problem nicht neue Angriffstechniken waren, sondern alte Schwächen in neuem Maßstab. Millionen IoT-Geräte – Kameras, Router, Rekorder – liefen mit Standardpasswörtern, ohne Patches, oft ohne das Wissen ihrer Betreiber, dass sie öffentlich erreichbar waren. Der Angriff auf den DNS-Dienstleister Dyn zeigte, wie schnell aus einzelnen Fehlkonfigurationen ein systemisches Risiko wird.
Was sich seitdem verändert hat, ist weniger das Grundprinzip als der Maßstab. Moderne Angriffe kombinieren heute volumetrische Layer-3/4-Attacken mit präzisen Layer-7-Angriffen auf Web- und API-Ebene. Sie zielen nicht mehr nur auf Bandbreite, sondern auf Geschäftsprozesse.
„Turn it on fast“ – und dann nie wieder anfassen
Dass sich dieses Muster bis heute hält, liegt weniger an fehlendem Wissen als an organisationaler Realität. Viele Systeme wurden hastig in Betrieb genommen – als „temporäre Lösung“, als Test oder als schnelle Lösung. Sicherheit hatte dabei nicht immer eine hohe Priorität. Wichtig war nur, dass die Dinge liefen.
Das Problem dabei ist, dass temporäre Lösungen die unangenehme Eigenschaft haben, dauerhaft zu werden. Ein schlecht konfiguriertes Gerät, das jahrelang unauffällig funktioniert, wird nicht angefasst. Es generiert keinen Umsatz, verursacht keine Tickets und steht auf keiner Roadmap. Bis es plötzlich Teil eines Botnets wird.
Hinzu kommt, dass das Internet selbst nicht als sicherer Raum entworfen wurde. Viele Protokolle – DNS ist ein klassisches Beispiel – stammen aus einer Zeit, in der Vertrauen die Standardannahme war. Auf diesem Fundament laufen heute moderne Anwendungen weiter. Die Folge ist eine paradoxe Situation: Je digitaler Unternehmen werden, desto stärker wirken alte architektonische Schwächen.
Oder anders ausgedrückt: Das heutige Hightech-System ist das ungepatchte Legacy-Problem von morgen.
Gegenwart: DDoS als Dauerzustand
Aktuelle Reports zeichnen ein konsistentes Bild und berichten übereinstimmend, dass die Anzahl der DDoS-Angriffe von Jahr zu Jahr deutlich gestiegen ist. Die Angriffe erfolgen zunehmend automatisiert und verschieben sich hin zu kürzeren, hochintensiven Angriffswellen. Gleichzeitig nehmen Multi-Vektor-Attacken zu, bei denen Netzwerk-, Protokoll- und Anwendungsebene kombiniert werden.
Dass DDoS-Angriffe längst keine Ausnahmeerscheinung mehr sind, bestätigen auch Daten von Link11. Die Angriffsfrequenz ist über mehrere Jahre hinweg deutlich angestiegen, mit einzelnen Tagen, an denen vierstellige Angriffszahlen registriert wurden. Terabit-Angriffe haben sich von seltenen Extremereignissen zu wiederholbaren Szenarien entwickelt.
Höher, schneller und weiter
Der Rekordangriff auf Cloudflare mit einer Spitzenlast von 29,7 Tbit/s Ende 2025 verdeutlicht, dass die physikalischen Grenzen digitaler Angriffe im Jahr 2026 völlig neu definiert werden. Haupttreiber sind Amplification-Techniken, die mehr als 30 Milliarden potenziellen Quellen für IoT-Botnetze und wachsende Cloud-Ressourcen.
Neben dem Volumen steigt auch die Frequenz: Bis 2030 wird eine Verdopplung der täglichen Angriffe erwartet. Dabei geht der Trend zu intelligent orchestrierten Multi-Vektor-Attacken auf Netz-, Protokoll- und Anwendungsebene. Für Unternehmen bedeutet das: Mehrere Vorfälle pro Jahr werden zur Norm, sodass automatisierte Resilienz zur ökonomischen Notwendigkeit für die Aufrechterhaltung des Geschäftsbetriebs wird.
ENISA: Europa im Dauerbeschuss
Eine aktuelle Warnung der EU-Cybersicherheitsagentur ENISA unterstreicht, wie ernst die Lage ist. Ihrer Einschätzung zufolge entfallen inzwischen rund drei Viertel aller Cybervorfälle in der EU auf DDoS-Attacken. Besonders betroffen ist der öffentliche Sektor: Verwaltungen, Ministerien und staatliche Institutionen stehen im Fokus politisch motivierter Kampagnen.
Interessant dabei ist eine scheinbare Paradoxie: Nur ein kleiner Teil dieser Angriffe führt zu längeren Dienstausfällen. Die eigentliche Gefahr liegt im permanenten Hintergrundrauschen. IT-Teams sind dadurch dauerhaft gebunden, Ressourcen erschöpfen sich und die Erkennung wirklich kritischer Angriffe wird erschwert. DDoS-Attacken fungieren somit zunehmend als Ablenkungsmanöver oder als Vorbereitung für komplexere Angriffe.
Ökonomie schlägt Hygiene
Ein zentraler Grund, warum DDoS auch nach 30 Jahren noch immer funktioniert, liegt zudem in der Ökonomie der Angriffe. DDoS-as-a-Service ist billig, automatisiert und niedrigschwellig verfügbar. Gleichzeitig fehlt es auf Betreiberseite oft an Anreizen, grundlegende Sicherheitsmaßnahmen konsequent umzusetzen. Patch-Management, saubere Konfigurationen und regelmäßige Audits generieren schließlich keinen Umsatz. Sie erscheinen als Kostenstelle – solange nichts passiert.
Das Resultat sind Tausende „schlafende Altlasten” im Netz: schlecht konfigurierte DNS-Server, vergessene IoT-Geräte und nie abgeschaltete Testsysteme. Sie sind wie unerforschte Blindgänger im eigenen Netzwerk: harmlos, bis sie explodieren. Nur weil sie heute noch keinen Schaden verursachen, heißt das nicht, dass sie es morgen nicht tun werden.
KI, Geopolitik und systemische Risiken
Die aktuelle Bedrohungslage hat sich durch geopolitische Spannungen und den Einsatz von künstlicher Intelligenz zusätzlich verschärft. Angriffe werden gezielt und politisch motiviert über Infrastrukturen in Drittstaaten ausgeführt.
Künstliche Intelligenz verschärft diese Dynamik zusätzlich. Während Verteidiger KI zur Anomalieerkennung einsetzen, nutzen Angreifer sie, um Traffic realistischer zu gestalten, Abwehrmechanismen zu umgehen und Kampagnen in Echtzeit anzupassen. Gleichzeitig wächst durch APIs, Cloud-Services und KI-Anwendungen die eigene Angriffsfläche – oft unbemerkt.
DDoS ist kein Technikproblem mehr
Dreißig Jahre nach Panix ist DDoS kein Relikt der Internetgeschichte mehr, sondern ein Ausdruck struktureller Versäumnisse. Es geht nicht um einzelne Schwachstellen, sondern um Prioritäten. Um Governance. Um die Frage, ob Verfügbarkeit als technisches Detail oder als geschäftskritischer Wert verstanden wird.
Nicht der erste Angriff entscheidet über den Schaden, sondern die Vorbereitung. Oder anders ausgedrückt: Wer glaubt, DDoS sei ein Problem von gestern, könnte es morgen sehr real zu spüren bekommen.
(lb/Link11)
