Kurze Netzwerk-Impulse vs. komplexe Anwendungsangriffe

Die Bedrohungslage durch DDoS-Angriffe hat sich in der zweiten Jahreshälfte 2025 grundlegend verändert.

Das zeigt der aktuelle Gcore Radar Report. Die Gesamtzahl der DDoS-Angriffe stieg im Vergleich zum Vorjahr 2024 um über 150 Prozent. Gleichzeitig explodierten die maximalen Angriffsvolumina von 2,2 Tbps in der ersten Jahreshälfte auf 12 Tbps im vierten Quartal 2025. Doch die eigentliche Brisanz liegt in der Art, wie Angreifer ihre Strategien ausdifferenzieren.

Wer heute noch auf ein einheitliches Abwehrszenario setzt, riskiert blinde Flecken in der Sicherheitsarchitektur. Denn die Angriffe folgen längst zwei gegensätzlichen Logiken: Auf der Netzwerkebene dominieren ultrakurze, hochvolumige Impulse, auf der Anwendungsebene dagegen gezielte, lang andauernde Kampagnen gegen geschäftskritische Prozesse. Unternehmen müssen ihre Verteidigungsstrategie daher neu aufbauen, damit diese beide Bereiche gleichzeitig abdeckt.

Die taktische Logik hinter der Aufspaltung

75 Prozent aller Network-Layer-Angriffe dauern weniger als eine Minute. Die taktische Logik dahinter ist klar. Die hochkonzentrierten Impulse zielen darauf ab, Systeme in einem schmalen Zeitfenster zu überlasten, bevor automatisierte Mitigation-Mechanismen vollständig hochfahren. UDP-Floods machen dabei 84 Prozent der beobachteten Angriffsvektoren aus. Sie lassen sich mit minimalem Aufwand und geringer technischer Expertise generieren, erzeugen aber enorme Verkehrsspitzen. Für Angreifer ist das Kosten-Nutzen-Verhältnis optimal: Schon kurze Ausfälle oder Latenzen reichen aus, um SLAs zu verletzen, Monitoring zu überlasten oder Sicherheitsteams abzulenken.

Auf der Anwendungsebene zeigt sich ein gegenteiliges Bild. Hier verschieben sich die Angriffe im zweiten Halbjahr 2025 hin zu längeren Laufzeiten: 50 Prozent der Application-Layer-Attacken dauern zwischen 10 und 30 Minuten, weitere 8 Prozent sogar länger als eine Stunde. Der höhere Aufwand lohnt sich für Angreifer, weil Application-Layer-Attacken gezielt Schwachstellen in der Geschäftslogik ausnutzen – dort, wo jede einzelne Anfrage Rechenleistung und Backend-Prozesse bindet. Die längere Dauer dient dazu, Backend-Ressourcen systematisch zu erschöpfen und kurzfristige Abwehrmechanismen wie Rate Limiting oder Session-basierte Sperren gezielt zu umgehen.

Angriffe auf APIs, Authentifizierungsprozesse und Workflows

Die zunehmende Dauer der Application-Layer-Angriffe markiert einen qualitativen Wandel: DDoS verschiebt sich von einem reinen Infrastrukturproblem hin zu einem direkten Angriff auf operative Geschäftsprozesse. Konkret bedeutet das: Angreifer setzen verstärkt auf Automatisierung, um die Anwendungslogik gezielt zu sondieren, Frontend-Kontrollen zu umgehen und direkt mit Backend-Diensten über APIs zu interagieren. Bot-gestützter Traffic beschränkt sich längst nicht mehr auf einfache volumetrische Überflutungen. Stattdessen simulieren Angriffe reale Nutzerinteraktionen wie massenhafte Login-Versuche gegen Authentifizierungs-Endpunkte, gezielte Überlastung von Suchfunktionen oder Warenkorbmanipulationen, die Datenbankressourcen binden.

Ein Angriff auf eine Authentifizierungs-API erzeugt beispielsweise pro Anfrage vergleichsweise wenig Traffic, löst aber serverseitig aufwändige Prozesse aus: Datenbankabfragen, Token-Validierung, Session-Management. Tausende solcher Anfragen pro Sekunde bringen Backend-Systeme an ihre Grenzen, während klassische volumetrische Erkennung die Bedrohung gar nicht registriert. Ähnlich verhält es sich mit Angriffen auf Checkout-Prozesse oder API-Endpunkte, die komplexe Geschäftslogik anstoßen: Der Traffic sieht legitim aus, die Wirkung ist verheerend.

Diese Angriffe verschmelzen nahtlos mit regulärem Datenverkehr, was die Erkennung erheblich erschwert, und die Wirksamkeit traditioneller regelbasierter Abwehrsysteme reduziert. Das Spektrum reicht von Account-Takeover-Versuchen über das Ausnutzen von Promotion-Mechanismen bis hin zur direkten Manipulation von Anwendungs-Workflows.

Warum klassische Abwehrkonzepte an ihre Grenzen stoßen

Viele bestehende DDoS-Schutzarchitekturen basieren auf einem einheitlichen Szenario. Sie erkennen ungewöhnliche Verkehrsspitzen und leiten den Traffic zur Filterung um. Gegen die kurzen Network-Layer-Impulse von unter einer Minute greift dieser Ansatz oft zu langsam. Die Attacke ist vorbei, bevor die Mitigation vollständig aktiv wird.

Gegen die neuen Application-Layer-Kampagnen greift er aus einem anderen Grund zu kurz. Der Traffic liegt volumetrisch im Normalbereich, die Anomalie steckt im Verhalten, im Kontext und in der Intention der Anfragen. Eine Web Application Firewall (WAF) mit statischen Regeln erkennt eine einzelne API-Anfrage als legitim. Erst das Muster aus Tausenden koordinierter Anfragen gegen denselben Endpunkt offenbart den Angriff.

Die Aufspaltung der Angriffsstrategien erzeugt damit ein Dilemma: Wer ausschließlich auf volumetrische Abwehr am Netzwerkrand setzt, bleibt anfällig für subtile Application-Layer-Kampagnen. Wer sich rein auf Anwendungssicherheit konzentriert, hat gegen 12-Tbps-Angriffe keine Chance. Und wer beide Ebenen isoliert voneinander schützt, verpasst die zunehmend häufigen kombinierten Angriffe, bei denen ein kurzer Network-Layer-Impuls als Ablenkung dient, während parallel die eigentliche Attacke auf Anwendungsebene läuft.

Integrierte Abwehr: Wie Network- und Application-Layer-Schutz zusammenspielen müssen

Effektiver Schutz erfordert heute eine integrierte, mehrschichtige Verteidigungsstrategie, die beide Angriffsebenen als zusammenhängendes Bedrohungsszenario begreift:

• Absorptionskapazität am Netzwerkrand bleibt die Grundlage – allerdings muss sie in Sekundenbruchteilen reagieren, um auch Sub-Minuten-Angriffe abzufangen. Das erfordert global verteilte Infrastruktur mit automatisierter Erkennung, die bereits bei den ersten Anomalien greift.
• Verhaltensbasierte Analyse auf Anwendungsebene ergänzt den volumetrischen Schutz um eine entscheidende Dimension: Sie erkennt koordinierte Missbrauchsmuster anhand von Kontext und Intention – etwa ungewöhnliche Häufungen von API-Aufrufen gegen denselben Endpunkt, atypische Session-Verläufe oder automatisierte Interaktionsmuster, die sich von echtem Nutzerverhalten unterscheiden.
• Unified Visibility über Web- und API-Traffic verbindet beide Ebenen. Erst wenn Network- und Application-Layer-Daten korreliert werden, lassen sich kombinierte Angriffe erkennen – etwa ein volumetrischer Impuls, der zeitgleich mit einer gezielten API-Kampagne auftritt.

Entscheidend ist dabei der Übergang von reaktiver zu proaktiver Abwehr: Statt auf erkannte Angriffsmuster zu reagieren, analysieren moderne Systeme kontinuierlich Verhaltensmuster und identifizieren Anomalien, bevor sie sich zu einem vollständigen Angriff entwickeln.

Die Bedrohung wartet nicht auf den nächsten Budgetzyklus

Die zweite Jahreshälfte 2025 markiert einen Wendepunkt in der DDoS-Bedrohungslandschaft. Die Aufspaltung in ultrakurze Netzwerk-Impulse und gezielte, lang andauernde Application-Layer-Kampagnen erfordert ein Umdenken: Weg von der einheitlichen Abwehrstrategie, hin zu adaptiven Architekturen, die Infrastrukturresilienz und den Schutz der Geschäftslogik als zwei Seiten derselben Medaille begreifen. Für IT-Verantwortliche lautet die zentrale Frage daher: Erkennt meine aktuelle Schutzarchitektur beide Angriffslogiken – und kann sie schnell genug auf beide reagieren? Wer diese Frage heute ehrlich beantwortet, verschafft sich den entscheidenden Vorsprung.

Die nächsten Monate werden zeigen, wie schnell Unternehmen ihre Schutzkonzepte an die neue Angriffsrealität anpassen. Dabei wird es darauf ankommen, Security-Architekturen nicht nur reaktiv zu justieren, sondern proaktiv weiterzuentwickeln – und die Kooperation zwischen Infrastruktur-, Applikations- und Security-Teams zu stärken. Wer jetzt in die richtige Kombination aus Technologie, Prozessen und Know-how investiert, legt den Grundstein für nachhaltige digitale Resilienz und bleibt auch zukünftigen Angriffswellen einen Schritt voraus.