Thought Leadership
Laut eines neuen Reports stieg die Zahl der DDoS-Angriffe erneut deutlich. Terabit-Attacken häufen sich, und Systeme waren an 322 Tagen im Jahr unter Beschuss.
Die Zahlen, die der Netzwerksicherheitsanbieter Link11 in seinem aktuellen European Cyber Report 2026 vorlegt, bereiten Grund zur Sorge: Nach einem Wachstum von 137 Prozent im Vorjahr legten DDoS-Angriffe auch 2025 nochmals um 75 Prozent zu. Was einmal als Spitzenbelastung galt, ist längst zur Dauersituation geworden. Im Link11-Netzwerk wurde an 322 von 365 Tagen aktive Angriffstätigkeit beobachtet, das entspricht 88 Prozent der Zeit.
Terabit-Angriffe werden zur Routine
Noch 2024 galt ein einzelner Angriff mit 1,4 Tbit/s als singuläres Ereignis. 2025 wurden gleich drei Attacken jenseits der Ein-Terabit-Marke registriert. Die stärkste gemessene Attacke erreichte dabei 1,33 Tbit/s bei über 120 Millionen Paketen pro Sekunde. Eine koordinierte Angriffsserie summierte sich auf 509 Terabyte. Das ist ein Datenvolumen, das dem täglichen Aufkommen einer Stadt mit rund 120.000 Einwohnern entspricht.
Auch die Angriffsdauer hat sich dramatisch verändert. Die längste registrierte Einzelattacke lief 12.388 Minuten am Stück, sprich mehr als acht Tage ohne Unterbrechung.
Folgeangriffe als Strategie
Interessant ist außerdem, dass Angriffe immer seltener als Einzelereignisse auftreten. Mit einer Wahrscheinlichkeit von über 70 Prozent folgt auf eine erste Attacke mindestens ein weiterer Angriff. Im Schnitt wurden nach einem initialen Vorfall 2,8 Folgeangriffe verzeichnet, ein Anstieg von rund 80 Prozent gegenüber dem Vorjahr. Angreifer testen Schutzmaßnahmen offenbar systematisch aus, variieren ihre Muster in Echtzeit und kombinieren klassische Hochvolumen-Attacken mit langanhaltenden Low-and-Slow-Szenarien.
„Entscheidend ist nicht mehr nur die Größe eines Angriffs, sondern seine Ausdauer und Anpassungsfähigkeit”, erklärt Jens-Philipp Jung, Gründer und CEO von Link11. „Moderne DDoS-Kampagnen kombinieren extreme Bandbreite mit taktischer Geduld.”
Layer 7 rückt in den Fokus
Laut Report verlagern Angreifer ihre Aktivitäten zunehmend auf die Anwendungsebene. Angriffe auf Layer 7 imitieren legitimen Traffic und verursachen schleichende Performance-Verluste, ohne klassische Alarmschwellen zu überschreiten. Sie sind damit deutlich schwerer zu erkennen.
Link11 empfiehlt daher, neben klassischem DDoS-Schutz verstärkt auf Web Application & API Protection (WAAP) zu setzen, kombiniert mit verhaltensbasierter Analyse und KI-gestützter Bot-Erkennung. Always-on-Schutz statt reaktiver Notfallmaßnahmen sei dabei das Gebot der Stunde. DDoS-Szenarien sollten zudem fest in Business-Continuity- und Krisenpläne integriert werden.
„Wer erst im Angriffsfall reagiert, hat bereits verloren”, so Jung. „Resilienz muss dauerhaft, automatisiert und architektonisch verankert sein.”
(lb/Link11)
