Neue Rekordwerte bei DDoS-Angriffen – Cyberkriminelle ändern Strategie : Was Unternehmen jetzt wissen müssen

Die Bedrohung durch Distributed-Denial-of-Service-(DDoS)-Angriffe hat im ersten Halbjahr 2025 eine neue Dimension erreicht. Laut dem aktuellen Gcore Radar Report stieg die Zahl der Attacken um 21 Prozent auf 1,17 Millionen im Vergleich zum zweiten Halbjahr 2024. Gleichzeitig erreichte die stärkste gemessene Attacke 2,2 Terabit pro Sekunde (Tbps) – ein Anstieg von zehn Prozent gegenüber dem bisherigen Rekord von 2 Tbps Ende 2024.

Mehrere Faktoren treiben diese Entwicklung voran. Angreifer greifen verstärkt auf leicht verfügbare Angriffstools und DDoS-as-a-Service-Plattformen zurück. Diese ermöglichen auch technisch weniger versierten Gruppen den Zugang zu leistungsfähigen Angriffsmethoden. Gleichzeitig entstehen durch ungeschützte Internet-of-Things-(IoT)-Geräte neue Botnetze, die sich mit minimalem Aufwand für großflächige Attacken nutzen lassen. Hinzu kommen geopolitische Spannungen und wirtschaftliche Unsicherheiten, die gezielte Angriffe auf kritische Infrastrukturen begünstigen. Zudem erschweren mehrschichtige, schwer erkennbare Angriffstechniken die Verteidigung weiter.

Angreifer setzen auf „Hit-and-Watch“-Strategie

Besonders auffällig ist der Strategiewechsel bei den Angreifern. Sie setzen zunehmend auf längere „Hit-and-Watch“-Angriffe. Diese dauern oft zwischen 10 und 30 Minuten – viermal länger als früher.

Mit dieser Taktik testen Cyberkriminelle systematisch die Belastbarkeit und Reaktionsfähigkeit von Abwehrsystemen. Sie umgehen gezielt temporäre Schutzmechanismen, die nur auf kurze Auslastungsspitzen reagieren. So verursachen sie nachhaltigere Schäden, etwa durch das Erschöpfen von Caches. In Cloud- und Multi-Tenant-Umgebungen birgt das besondere Risiken. Ein Angriff auf einen einzelnen Dienst kann ganze Serviceketten stören. Die Angreifer agieren systematisch und geduldig – mit oft größerer Wirkung als bei kurzen, massiven Attacken.

Technologie- und Finanzsektor im Fokus

Darüber hinaus hat sich die Zielauswahl der Angreifer erheblich verschoben. Während der Gaming-Sektor im Jahr 2024 noch knapp die Hälfte aller DDoS-Angriffe verzeichnete, fiel sein Anteil im ersten Halbjahr 2025 auf 19 Prozent. Stattdessen rücken Technologieunternehmen in den Fokus. Hosting-Anbieter und Plattformbetreiber verzeichnen inzwischen 30 Prozent aller Attacken. Die Logik dahinter: Infrastrukturunternehmen sind Grundlage für viele andere Systeme. Ein erfolgreicher Angriff auf sie trifft sofort zahlreiche nachgelagerte Anwendungen.

Auch der Finanzsektor wird häufiger angegriffen. Banken, Zahlungsdienste und Plattformen verzeichneten 21 Prozent aller Vorfälle. Diese Systeme arbeiten unter hohem regulatorischem Druck und müssen eine sehr geringe Fehlertoleranz einhalten. Bereits kurze Störungen lösen dort weitreichende Folgen aus: von finanziellen Verlusten bis hin zu regulatorischen Verstößen. Die Angreifer setzen gezielt auf diese Schwächen, um die maximale Wirkung zu erzielen. Die Auswahl der Ziele folgt damit keiner reinen Zufälligkeit mehr. Angreifer wählen Organisationen mit hoher digitaler Abhängigkeit, geringem Spielraum für Ausfälle und großer öffentlicher Sichtbarkeit.

Komplexere Angriffsmuster erfordern neue Strategien

DDoS-Attacken dienen oft als Teil komplexer Angriffsszenarien. Viele Angreifer nutzen sie als Vorstufe oder Ablenkung, während sie gleichzeitig Webanwendungen oder APIs ins Visier nehmen. Dabei greifen sie gezielt in Geschäftsprozesse ein und stören diese. Die Angriffe zielen auf die Funktionalität von Anwendungen. In E-Commerce-Systemen blockieren sie beispielsweise verfügbare Produkte durch fingierte Kaufprozesse. In Zahlungsprozessen erzeugen sie künstlich hohe Last, ohne Transaktionen abzuschließen. Das beansprucht die Backend-Systeme stark, ohne klassische Schwellenwerte zu überschreiten. Viele Sicherheitslösungen erkennen solche Muster zu spät oder gar nicht, da sie in der Oberfläche regulär erscheinen.

Die Kombination aus volumetrischen Angriffen und gezielter Manipulation auf Anwendungsebene macht die Verteidigung schwieriger. Sicherheitsverantwortliche müssen gleichzeitig Bandbreiten kontrollieren, Transaktionen analysieren und Logikfehler erkennen. Dafür braucht es Schutzmechanismen, die über klassische Filter hinausgehen und Verhaltensmuster analysieren.

Taktiken unterlaufen Schutzmechanismen

Moderne DDoS-Angriffe kombinieren Netzlast mit gezielten Manipulationen im Applikationslayer. Während UDP-Floods weiterhin den größten Anteil ausmachen, gewinnen SYN-, TCP- und zunehmend auch ACK-Floods an Bedeutung. Letztere imitieren regulären Datenverkehr besonders realistisch und umgehen dadurch klassische Filtermechanismen. Viele Angreifer arbeiten mit adaptiven Algorithmen, die Schutzmaßnahmen analysieren und ihre Taktik in Echtzeit anpassen.

Auf Anwendungsebene greifen sie gezielt über komplexe API-Aufrufe und ressourcenintensive Anfragen an. Einzelne Abfragen wirken zunächst harmlos, summieren sich jedoch schnell zu einer erheblichen Systemlast. Hinzu kommen „Low-and-Slow“-Attacken: Diese erzeugen über lange Zeiträume konstante Grundlasten. Diese technisch anspruchsvollen Methoden zielen sowohl auf Ausfall als auch auf wirtschaftliche Belastung und gezielte Destabilisierung.

Mehrschichtiger Schutz wird unerlässlich

Die aktuelle Bedrohungslage zeigt: DDoS-Angriffe werden häufiger, stärker, komplexer und zielgerichteter. Ein effektiver Schutz erfordert heute einen mehrschichtigen Ansatz, der sowohl volumenbasierte Angriffe abwehrt als auch subtile Manipulationsversuche erkennt. Unternehmen müssen ihre Abwehrstrategien kontinuierlich an die sich wandelnde Bedrohungslage anpassen.

Entscheidend ist dabei die Kombination aus leistungsstarker Infrastruktur und intelligenter Verhaltensanalyse. Moderne Scrubbing-Center können auch massive Angriffe abwehren, während Machine-Learning-Algorithmen verdächtige Verhaltensmuster erkennen. Gleichzeitig muss die Anwendungslogik gegen gezielte Manipulationsversuche geschützt werden.

Autor

Elena Simon ist General Manager DACH bei Gcore, einem Anbieter von Public Cloud und Edge Computing, KI, Content Delivery (CDN), Hosting und Security-Lösungen.