Thought Leadership
Distributed Denial of Service (DDoS)-Attacken zählen 2025 zu den größten digitalen Gefahren für Unternehmen und beeinträchtigen zunehmend die gesamte IT-Infrastruktur.
Besonders Webanwendungen und APIs, die heute Geschäftsprozesse steuern und vernetzen, stehen im Fokus der Angreifer. Der aktuelle Gcore Radar Report für das erste Halbjahr 2025 zeigt: Angriffe werden komplexer und treffen zunehmend neue Branchen. Unternehmen müssen ihre Abwehr neu denken, um dieser Bedrohung zu begegnen.
DDoS-Angriffe nehmen drastisch zu
Die jüngsten Zahlen sind beunruhigend: Der Radar Report zeigt einen Anstieg des DDoS-Angriffsvolumens um 7 Prozent im ersten Halbjahr 2025 gegenüber dem vorherigen Quartal. Im Jahresvergleich beträgt die Zunahme sogar 41 Prozent.
Mehrere Faktoren treiben diesen Trend voran. Günstige, leicht verfügbare „DDoS-as-a-Service“-Angebote machen auch Laien handlungsfähig: Sie können sich diesen Service mit wenig Geld kaufen und so ohne IT-Kenntnisse Unternehmen oder Behörden angreifen lassen. Die wachsende Zahl ungesicherter IoT-Geräte bietet zusätzliches Potenzial für den Aufbau von Botnetzen, die Cyberkriminelle für DDoS-Angriffe missbrauchen. Auch geopolitische Spannungen und wirtschaftliche Instabilität führen dazu, dass Angreifer kritische Infrastrukturen und Schlüsselindustrien ins Visier nehmen.
Rekordwerte bei Angriffsstärke
Die Intensität der Angriffe erreicht neue Höchststände. Der Radar Report registrierte im ersten Halbjahr 2025 einen DDoS-Angriff mit einer Stärke von 2,2 Terabit pro Sekunde – ein neuer Rekord, der den bisherigen Spitzenwert von 2 Tbps aus dem Vorjahr übertrifft. Auch wenn solche extremen Attacken selten sind, zeigt ihre Zunahme: Angreifer werden ambitionierter und leistungsfähiger.
Insgesamt stieg die Zahl der DDoS-Angriffe um 21 Prozent auf 1,17 Millionen. Diese Zahlen belegen die zunehmende Gefahr im Cyberraum. Selbst kleinere Angriffe unterhalb der Terabit-Grenze können ungeschützte Systeme in Sekunden lahmlegen und den Betrieb stören.
Branchenverschiebung: Technologiesektor löst Gaming ab
Der Radar Report zeigt außerdem einen klaren Wechsel der Zielbranchen. Lange war der Gaming-Sektor Hauptziel von DDoS-Angriffen. Sein Anteil sank von 49 Prozent im ersten Halbjahr 2024 auf nur noch 19 Prozent. Stattdessen geraten andere Branchen in den Fokus der Angreifer.
Die Technologiebranche ist mit 30 Prozent der Angriffe neuer Spitzenreiter. Besonders betroffen sind Hosting-Provider, die eine Vielzahl von Kunden aus unterschiedlichen Sektoren bedienen. Angriffe auf sie versprechen eine hohe Störwirkung und Zugriff auf umfangreiche Ressourcen. Außerdem nutzen Angreifer sie häufig als Testumgebung für neue Botnets.
Auch der Finanzsektor verzeichnet mit 21 Prozent einen deutlichen Anstieg. Strenge Regulierung und geringe Toleranz für Ausfälle machen Finanzdienstleister zu attraktiven Zielen, besonders für Erpressungen durch Ransom DDoS-Attacken (RDDoS).
Wandel der Angriffsmuster
Neben der Zielauswahl ändern sich auch die Angriffstypen. Während Attacken auf der Netzwerkebene (Layer 3/4) mit 62 Prozent nach wie vor dominieren, gewinnen Angriffe auf der Anwendungsebene (Layer 7) zunehmend an Bedeutung.
Auf Netzwerkebene bleiben UDP-Floods die häufigste Angriffsform (56 Prozent), gefolgt von SYN-Floods und TCP-Floods. Besorgniserregend ist der Anstieg von ACK-Flood-Angriffen. Diese täuschen legitimen Datenverkehr vor und sind somit schwerer zu erkennen. Auch auf Anwendungsebene dominieren L7 UDP-Floods und L7 TCP-Floods. Diese Angriffe zielen auf Serverressourcen und sind oft schwerer abzuwehren als reine Volumenangriffe.
Strategiewechsel der Angreifer
Ein weiterer Trend ist die längere Dauer der Angriffe. Zwar dauern viele Attacken weiterhin unter 10 Minuten, doch mit einer Dauer von bis zu 30 Minuten nehmen zu. Dies deutet darauf hin, dass Angreifer zunehmend versuchen, automatische Abwehrmechanismen zu umgehen. Solche Zeitfenster sind lang genug, um Wirkung zu zeigen – aber kurz genug, um automatisierte Gegenmaßnahmen zu unterlaufen.
Moderne Botnets ermöglichen komplexere und gezielte Angriffe. Der Trend geht weg von einfachen „Hit-and-Run“-Taktiken hin zu einem „Hit-and-Watch“-Ansatz. Angreifer beobachten die Wirkung des Angriffs genau und passen diesen bei Bedarf an.
Multi-Layer-Angriffe: Die neue Herausforderung für Unternehmen
Besonders kritisch ist der Wandel von klassischen DDoS-Angriffen hin zu komplexen, mehrschichtigen Attacken auf Webanwendungen und APIs. Diese kombinieren DDoS-Elemente mit gezielten Applikationsangriffen wie Code Injection, API-Bypass oder Logik-Manipulation.
Branchen mit intensiver digitaler Kundeninteraktion sind besonders gefährdet. Die Angreifer fokussieren sich zunehmend auf interne APIs, mobile Backends und Admins-Dashboards-Bereiche, die oft weniger gut geschützt sind als die öffentlich zugänglichen Teile einer Webanwendung.
Umdenken in der Cybersicherheit notwendig
Die Entwicklung der DDoS-Bedrohungslandschaft zeigt: Klassische Schutzmaßnahmen reichen nicht mehr aus. Unternehmen müssen ihre Abwehrstrategien grundlegend überdenken und neu ausrichten. Für die kommenden Jahre wird eine weitere Zunahme KI-gestützter Angriffe und noch komplexere Multi-Layer-Attacken erwartet.
Ein effektiver Schutz erfordert eine Kombination aus robusten Netzwerkabwehrmechanismen und fortschrittlichen Anwendungsschutzsystemen. Web Application and API Protection (WAAP)-Lösungen sind Schlüsselelement einer umfassenden, modernen Cybersicherheitsstrategie. Zudem müssen Unternehmen ihre digitale Infrastruktur genau kennen und Schwachstellen proaktiv identifizieren. Regelmäßige Sicherheitsaudits und kontinuierliche Überwachung sind unerlässlich, um mit der sich ständig wandelnden Bedrohungslandschaft Schritt zu halten.
