DDoS ist das neue Wetter

Der DDoS-Angriff auf die Deutsche Bahn im Februar 2026 war kein Einzelfall, sondern Symptom einer neuen Realität: Systeme stehen an 88 % aller Tage unter Beschuss, Angriffe kommen in Serien, und die Methoden werden immer raffinierter.

Am 17. Februar 2026 konnten viele Bahnkunden stundenlang keine Tickets buchen, Anzeigetafeln blieben dunkel, der Kundendienst war nicht erreichbar. Die Deutsche Bahn bestätigte eine DDoS-Attacke in Wellen mit „erheblichem Ausmaß”. 

Laut Medienberichten sollen prorussische Akteure hinter dem Angriff stecken. Der IT-Sicherheitsexperte Jan Lemnitzer ordnete den Vorfall als Teil einer koordinierten Kampagne gegen mehrere NATO-Staaten ein, die das Angriffstool DDoSia der Hacktivist-Gruppe NoName057(16) nutzte. Laut Lemnitzer enthielt die Version eine neue Komponente, die bestehende Abwehrmechanismen umging.

Die seit März 2022 aktive prorussische Hacktivist-Gruppe NoName057(16) gilt als die persistenteste in Europa: Zwischen Juli 2024 und Juli 2025 führte sie durchschnittlich 50 Angriffe pro Tag gegen über 3.700 einzigartige Ziele aus. 

Europol zerschlug im Juli 2025 wesentliche Teile der Serverinfrastruktur der Gruppe im Rahmen der „Operation Eastwood” – ohne dauerhaften Effekt. Das NCSC UK warnte im Januar 2026 noch einmal vor der anhaltenden Bedrohung für NATO-Mitglieder und kritische Infrastrukturen. 

Vom Ausnahmezustand zur Betriebsnormalität

Der Link11 European Cyber Report 2026 liefert die Datenbasis für das, was viele Sicherheitsverantwortliche spüren. Im Link11-Netzwerk waren Systeme im Jahr 2025 an 322 von 365 Tagen, also 88 Prozent der Zeit, unter aktiver DDoS-Last. Es gibt keine Ruhephasen mehr, sondern nur noch wechselnde Intensitätsstufen. Nach einem Anstieg um 137 Prozent im Jahr 2024 wuchs die Zahl der dokumentierten Angriffe im Jahr 2025 erneut um 75 Prozent.

Ein Angriff ist selten der letzte

Die vielleicht folgenreichste Erkenntnis des ECR 2026 ist: Mit einer Wahrscheinlichkeit von über 70 Prozent folgt auf einen initialen DDoS-Angriff mindestens eine weitere Attacke – im Durchschnitt sind es 2,8 Folgeangriffe. Das ist ein Anstieg von 80 Prozent gegenüber dem Vorjahr. Acht Prozent der betroffenen Organisationen wurden 2025 sogar mehr als 500 DDoS-Attacken erfolgreich abgewehrt. Viele Angriffe folgen einem Muster: erste Welle, scheinbare Beruhigung, zweite Welle am folgenden Morgen oder in den darauffolgenden Wochen.

DDoS ist keine einmalige Krise mehr, die man abarbeitet und abhakt. Es handelt sich um eine koordinierte Serie mit permanentem Druck auf Verfügbarkeit, Personal und Entscheidungsfähigkeit. Reaktive Schutzmaßnahmen, die sich erst im Angriffsfall aktivieren, sind unter diesen Bedingungen strukturell unterlegen.

Terabit als Routine, Wochen als Maßeinheit

Im Jahr 2024 galt ein Angriff mit 1,4 Tbit/s in Europa noch als Ausnahme. Im Jahr 2025 wurden im Link11-Netzwerk drei Attacken jenseits dieser Schwelle registriert, wobei die stärkste mit 1,33 Tbit/s bei mehr als 120 Millionen Paketen pro Sekunde auftrat. Eine koordinierte Angriffsserie summierte sich auf ein Gesamtvolumen von 509 Terabyte. Cloudflare verzeichnete Ende 2025 mit 31,4 Tbit/s einen neuen globalen Rekord. 

Ebenso gravierend war die Dauer der Angriffe: Die längste Einzelattacke im Jahr 2025 dauerte 12.388 Minuten, also mehr als acht Tage. 2024 lag der Vergleichswert bei 2.689 Minuten. Die Angreifer setzen nicht mehr auf den einmaligen Schlag, sondern auf die anhaltende Erschöpfung.

Politisch motiviert, technisch professionell

Der Link11 Report beschreibt es wie folgt: Staatlich tolerierte Akteure nutzen DDoS-Angriffe als politisches Instrument, da sie sichtbar, kosteneffizient und mit kalkulierter Signalwirkung sind. Klassisches Geo-Blocking wird dabei zunehmend wirkungslos, da Angriffe über kompromittierte Infrastrukturen in Drittstaaten laufen. Die geografische Herkunft spiegelt somit die Verfügbarkeit von Bandbreite wider, nicht den Standort der Akteure. Laut dem ENISA Threat Landscape Report 2025 war die Gruppe NoName057(16) für über 60 Prozent aller DDoS-Angriffe in der EU verantwortlich.

Die unsichtbare Front: Angriffe auf der Anwendungsebene

Ein wachsender Teil der Angriffstätigkeit verlagert sich auf die Anwendungsschicht (Layer 7). Im Visier stehen Webanwendungen und APIs – nicht für spektakuläre Ausfälle, sondern für schleichende Performance-Degradation: steigende Latenzen, sporadische Fehler und abgebrochene Transaktionen. Diese Angriffe imitieren legitimes Nutzerverhalten und lösen keine Schwellenwertalarme aus. Ein Befund aus dem European Cyber Report 2026 veranschaulicht das Ausmaß: 96 Prozent des Traffics, der vorgibt, von einem Google-Bot zu stammen, sind gefälscht – es wurden über 700.000 Spoofing-Fälle dokumentiert. Angreifer nutzen gezielt das Vertrauen, das viele Betreiber Suchmaschinen-Crawlern entgegenbringen.

Was Unternehmen jetzt neu bewerten müssen

DDoS ist kein einzelner Vorfall mehr, der abgearbeitet werden kann. DDoS ist das neue Wetter: dauerhaft, in der Intensität unvorhersehbar und strukturell unvermeidlich. „Always-on-Schutz” ist keine Kür, sondern eine Grundvoraussetzung. Ein rein netzwerkbasierter Schutz greift zu kurz, wenn Angriffe auf Layer 7 ausweichen. DDoS-Szenarien müssen außerdem explizit in Business-Continuity-Pläne mit Eskalationspfaden integriert werden, die auch bei tagelangen Angriffswellen greifen.

Man wird DDoS nicht loswerden. Aber man kann aufhören, überrascht zu sein.

(lb/Link11)