DDoS-Angriffe: Typen, Abwehr und aktuelle Bedrohungslage
DDoS-Angriffe vollständig erklärt: Volumetric, Protocol, Application Layer - wie Botnets funktionieren, welche DDoS-Typen es gibt, und wie Unternehmen sich effektiv schützen.
Inhaltsverzeichnis (8 Abschnitte)
Im ersten Halbjahr 2024 verzeichnete das BSI einen massiven Anstieg hochvolumiger DDoS-Angriffe in Deutschland. Was früher aufwändige Infrastruktur erforderte, kostet heute wenige Euro pro Stunde im Dark Web. DDoS ist vom Hackerwerkzeug zum Massenprodukt geworden - und zur Waffe in geopolitischen Konflikten.
Was ist ein DDoS-Angriff?
Distributed Denial of Service (DDoS) ist ein Angriff, bei dem ein Ziel-System (Server, Netzwerk, Dienst) durch eine Überlast an Anfragen von vielen verteilten Quellen (daher "Distributed") in die Knie gezwungen wird, sodass legitime Nutzer es nicht mehr nutzen können.
Unterschied DoS vs. DDoS:
- DoS (Denial of Service): Angriff von einem einzelnen System - leicht zu blockieren
- DDoS: Angriff von tausenden oder Millionen kompromittierter Systeme (Botnet) - sehr schwer zu blocken, weil der Traffic von legitim erscheinenden IP-Adressen kommt
Ziel: Verfügbarkeit zerstören. Kein Datenzugriff, keine Infiltration - nur Ausfall.
Motivationen:
- Politisch motiviert (Hacktivismus, staatliche Akteure)
- Erpressung ("Ransom DDoS" - zahlen oder wir legen Sie lahm)
- Wettbewerbs-Sabotage
- Ablenkungsmanöver für andere Angriffe (z.B. während DDoS werden Logs überflutet, andere Angriffe verschleiert)
- Script-Kiddie-Motivation (Macht demonstrieren)
DDoS-Typen
Layer 3/4 - Volumetric Attacks
Ziel: Netzwerk-Bandbreite erschöpfen (Gbps bis Tbps).
Amplification Attacks: Angreifer schickt kleine Anfragen an öffentliche Dienste - und fälscht die Absender-IP als Opfer-IP. Die Dienste antworten mit viel größeren Paketen direkt an das Opfer:
| Angriffstyp | Amplification-Faktor |
|---|---|
| DNS Amplification | bis zu 50-100× |
| NTP Amplification | bis zu 556× |
| SSDP Amplification | bis zu 30× |
| Memcached Amplification | bis zu 51.000× |
UDP Floods: Massive Mengen an UDP-Paketen an zufällige Ports. Das Ziel antwortet mit ICMP "Destination Unreachable" - erschöpft CPU und Bandbreite.
ICMP Flood (Ping Flood): Überwältigung durch massive Ping-Anfragen.
Rekordangriff: Im November 2021 registrierte Microsoft einen DDoS-Angriff mit 3,47 Tbps Bandbreite auf einen Azure-Kunden - der größte jemals verzeichnete Angriff.
Layer 4 - Protocol Attacks
Ziel: Server-Ressourcen erschöpfen durch Ausnutzen von Protokollschwächen.
SYN Flood: Angreifer sendet massenhaft TCP-SYN-Pakete (Verbindungsanfragen), antwortet aber nie auf das SYN-ACK. Das Ziel hält viele halboffene Verbindungen in der "Wait"-Queue vor:
Normal: Client → SYN → Server → SYN-ACK → Client → ACK (Verbindung aufgebaut)
SYN Flood: Angreifer → SYN → Server → SYN-ACK → [keine Antwort, Slot belegt]
Tausende mal gleichzeitig → Server-Verbindungs-Queue vollACK Flood, RST Flood, URG Flood: Verschiedene Varianten mit TCP-Flags.
Layer 7 - Application Layer Attacks
Ziel: Webserver- oder Anwendungsressourcen erschöpfen durch scheinbar legitime HTTP-Anfragen - oft schon mit geringer Angriffsbandbreite wirkungsvoll.
HTTP GET/POST Flood: Tausende von legitim aussehenden HTTP-Anfragen überlasten Backend-Server oder Datenbanken.
Slowloris: Hält viele HTTP-Verbindungen gleichzeitig offen, indem die Anfragen absichtlich extrem langsam (Byte für Byte) gesendet werden. Server-Connection-Pool erschöpft sich.
RUDY (R-U-Dead-Yet): POST-Anfragen mit extrem kleinen Content-Chunks über lange Zeit - hält Apache/Nginx-Worker-Threads blockiert.
HTTP/2 Rapid Reset: Neuer Angriff aus 2023 - nutzt HTTP/2-Streaming-Mechanismus aus, um Anfragen massenhaft zurückzusetzen und neue zu stellen. Rekord-Angriff mit 398 Millionen Requests/Sekunde.
Ransom DDoS (RDDoS)
Kriminelle drohen einem Unternehmen mit DDoS-Angriff und fordern Lösegeld (typisch: 1-5 BTC). Oft folgt ein kleiner Demonstrations-Angriff zur Glaubwürdigkeit.
BSI-Empfehlung: Nicht zahlen - es gibt keine Garantie für Ausbleiben des Angriffs nach Zahlung. Stattdessen: DDoS-Schutz aktivieren und Angriff melden.
Reale Angriffe: Was DDoS-Attacken in der Praxis anrichten
Mirai-Botnet gegen Dyn (Oktober 2016)
Am 21. Oktober 2016 waren Twitter, Spotify, Reddit, Netflix, GitHub und Dutzende weitere Dienste zeitweise weltweit nicht erreichbar. Angegriffen wurde nicht die Dienste selbst, sondern ihr gemeinsamer DNS-Provider Dyn — ein Angriff auf das Nadelöhr der Internetinfrastruktur.
Hinter der Attacke stand das Mirai-Botnet: ein Netzwerk aus über 600.000 kompromittierten IoT-Geräten — IP-Kameras, Router, NAS-Systeme — die alle mit Standard-Zugangsdaten oder bekannten Schwachstellen betrieben wurden. Mirai scannte das Internet systematisch nach verwundbaren Geräten und übernahm sie automatisiert. Der Quellcode wurde kurz zuvor auf GitHub veröffentlicht, was Nachahmern die Tür öffnete.
Lehren aus dem Angriff:
- DNS-Infrastruktur ist kritisches Angriffsziel — ein einziger Anbieterausfall trifft hunderte Dienste gleichzeitig
- IoT-Geräte mit Standard-Credentials sind aktive Sicherheitsrisiken für alle, nicht nur für ihren Besitzer
- Anycast-DNS bei mehreren unabhängigen Anbietern betreiben (Multi-Homed DNS)
Avalanche-Botnetz: Zerschlagung einer Infrastruktur (Dezember 2016)
Im Dezember 2016 gelang internationalen Strafverfolgungsbehörden unter Beteiligung von Europol, BKA und dem BSI die Zerschlagung des Botnetzes Avalanche — nicht eines einzelnen Botnetzes, sondern einer Hosting-Infrastruktur für rund 20 weitere Botnetze.
Avalanche stellte Kriminellen Infrastruktur bereit: für Ransomware-Verteilung, Phishing-Kampagnen und Spam. Die Infrastruktur umfasste ca. 50.000 kompromittierte Geräte, überwiegend Windows- und Android-Systeme. Der Gesamtschaden belief sich auf über 6 Millionen Euro. Die Ermittlungen liefen vier Jahre unter 39 Sicherheitsbehörden aus Europa und Nordamerika.
Die Zerschlagung nutzte Sinkholing: Die IP-Adressen infizierter Systeme wurden auf kontrollierte Server umgeleitet, die Infizierten ermittelt und ihre ISPs informiert. Trotz der Strafverfolgung waren viele Systeme noch Wochen später infiziert — die Bereinigung liegt bei den Endnutzern und ISPs.
Hausgemachter DDoS durch E-Mail-Verteiler (Hamburg, 2019)
Nicht jeder DDoS kommt von außen. In der Freien und Hansestadt Hamburg löste eine einzige Kalenderänderung einer Mitarbeiterin einen selbstverschuldeten Infrastrukturausfall aus: Die Benachrichtigung ging versehentlich an einen Verteiler mit 65.000 Empfängern. Kolleginnen und Kollegen machten die Person auf den Fehler aufmerksam — ebenfalls per "Allen antworten". Die E-Mail-Server erreichten ihre Belastungsgrenze. Die Normalisierung dauerte rund 2,5 Stunden.
Lehren für die Unternehmens-IT:
- Große E-Mail-Verteiler in zielgruppenspezifische Listen aufteilen — kein einziger "Alle Mitarbeiter"-Verteiler
- Massenversand über dedizierte Newsletter-Infrastruktur abwickeln, nicht über den eigenen Mail-Server
- Mitarbeiterberechtigungen: Die wenigsten brauchen das Recht, eine E-Mail an alle zu senden
Die Bedrohungslage 2024
BSI Lagebericht 2024: Im ersten Halbjahr 2024 stieg die Zahl hochvolumiger DDoS-Angriffe massiv an. Besonders betroffen: öffentliche Verwaltungen, Finanzdienstleister und kritische Infrastruktur.
Pro-russische Hacktivisten (Killnet, NoName057, Anonymous Sudan) griffen gezielt deutsche und europäische Ziele an - politisch motiviert im Kontext des Ukraine-Kriegs:
- Bundestag, Bundesbehörden
- Flughäfen (Frankfurt, Berlin)
- Banken (Commerzbank, Deutsche Bank)
- Medien und Nachrichtenportale
IoT-Botnets: Schlecht gesicherte IoT-Geräte (Router, Kameras, Smart-Home) werden massenhaft zu Botnet-Mitgliedern rekrutiert. Mirai-Botnet und seine Varianten sind weiterhin aktiv. Das Mirai-Botnetz von 2016 bestand aus über 600.000 solcher Geräte — Eigentümer bemerkten nichts, während ihre IP-Kameras Netflix-Server angriffen.
Botnet-Architekturen:
| Architektur | Beschreibung | Verwundbarkeit |
|---|---|---|
| Zentralisiert (IRC/HTTP) | Bots melden sich bei einem C&C-Server — ältestes Modell | Einziger Angriffspunkt: C&C abschalten = Botnetz tot |
| Mit Proxys | Bots kontaktieren C&C über Zwischenrechner, die echte Adresse verschleiern | Schwerer zu sinkholing, aber Proxys sind identifizierbar |
| Peer-to-Peer | Bots kommunizieren untereinander, jeder kann als C&C fungieren | Sehr schwer zuzerschlagen — kein einzelner Schwachpunkt |
DDoS-as-a-Service: Botnet-Kapazität wird im Darknet stundenweise vermietet — ab 7 EUR/Stunde für kleine Angriffe. Das macht DDoS für script-kiddies zugänglich ohne eigene Infrastruktur.
DDoS-Schutzmaßnahmen
Schicht 1: Netzwerk-Kapazität und Anycast
Bandbreite: Mehr Bandbreite als der Angreifer - bei Volumetric Attacks. Als Einzelunternehmen kaum realisierbar, aber Cloud-Provider haben Tbps an Kapazität.
Anycast-Routing: Traffic wird weltweit auf viele PoPs (Points of Presence) verteilt. Der Angriffstraffic "verdünnt" sich dadurch in globaler Infrastruktur.
BGP Blackholing / RTBH: Im Notfall wird die angegriffene IP-Adresse für externen Traffic "nullgeroutet" - eigene Kunden können nicht mehr zugreifen, aber der Angriff hört auf. Letztes Mittel.
Schicht 2: DDoS-Schutzdienste
Cloud-basierter Scrubbing-Dienst: Traffic wird zuerst zum Scrubbing-Center des DDoS-Schutz-Providers umgeleitet. Dort wird der bösartige Traffic herausgefiltert, legitimer Traffic zum Origin weitergeleitet:
Internet → [Cloudflare/Akamai/AWS Shield] → [Scrubbing] → Origin-ServerBekannte DDoS-Schutzdienste:
- Cloudflare Magic Transit: Netzwerk-Layer-Schutz, verarbeitet über 200 Tbps
- Akamai Prolexic: Enterprise-Grade, gut für kritische Infrastruktur
- AWS Shield Advanced: Integriert in AWS-Infrastruktur
- Radware DDoS Protection
- Deutsche Telekom / Telekom Security: Lokaler Anbieter für BSI-sensible Unternehmen
On-Premises DDoS-Appliances:
- Arbor Networks (NETSCOUT)
- Radware DefensePro
- F5 DDoS Hybrid Defender
Schicht 3: CDN und Web Application Firewall
Für Layer-7-Angriffe bieten CDN-Anbieter (Cloudflare, Fastly, Akamai) wesentliche Schutzfunktionen:
- Rate Limiting: X Requests pro IP pro Zeitfenster
- Bot-Management: Unterscheidung zwischen menschlichen Nutzern und Bots
- Challenge Pages: CAPTCHA oder JavaScript-Challenge für verdächtige Anfragen
- IP Reputation: Blockierung bekannter Botnet-IPs
WAF-Regeln gegen Layer-7-Angriffe:
- Slowloris: Timeouts für langsame Verbindungen
- HTTP Flood: Requestrate-Limiting per IP/Fingerprint
Schicht 4: Incident Response
DDoS Response Plan: Wer macht was, wenn der Angriff beginnt?
Erkennung → Klassifizierung → Eskalation → Mitigation → Kommunikation
│
├── Alert im Monitoring (Netzwerk-Bandbreite, Fehlerrate)
│
├── Ursache klären: DDoS oder echter Traffic-Peak?
│
├── DDoS-Schutz aktivieren (ggf. Upstream-Provider kontaktieren)
│
├── ISP informieren für BGP-Blackholing falls nötig
│
└── Kommunikation: intern (Management), extern (Kunden, ggf. BSI/CERT-Bund)BSI/CERT-Bund melden: Für Betreiber kritischer Infrastruktur (KRITIS) und wichtige Einrichtungen nach NIS2 besteht Meldepflicht bei schwerwiegenden DDoS-Angriffen.
Schicht 5: Proaktive Härtung
Anycast DNS: DNS-Server über Anycast verteilen - verhindert DNS-Amplification auf eigene Infrastruktur.
BCP38 / Ingress Filtering: Netzwerk-Router filtern Pakete mit gefälschten Absender-IPs (Spoofed Packets) - sollte jeder ISP umsetzen, aber leider noch kein Standard.
SYN Cookies: Serverseitige Gegenmaßnahme gegen SYN-Floods ohne halboffene Verbindungen vorhalten zu müssen.
Redundanz: Mehrere Rechenzentren, geografische Verteilung, automatisches Failover.
DDoS und NIS2
Für Betreiber wesentlicher und wichtiger Einrichtungen nach NIS2:
- Art. 21: Sicherheitsmaßnahmen müssen Verfügbarkeit adressieren
- Art. 23: Meldepflicht bei erheblichen Störungen (incl. DDoS wenn wesentliche Dienste betroffen)
- Innerhalb von 24h: Frühwarnung an CSIRT/BSI
- Innerhalb von 72h: Erste Bewertung des Vorfalls
Kosten und wirtschaftliche Schäden
- Direktkosten DDoS-Angriff: ab 7 EUR/Stunde im Darknet
- Schadenskosten für Opfer: durchschnittlich 50.000 - 500.000 EUR pro Stunde Ausfall (Branchenabhängig)
- E-Commerce: 100.000 EUR+ pro Stunde Ausfall bei mittleren Online-Shops
- Finanzbranche: Millionen EUR pro Stunde bei kritischen Trading-Plattformen
Fazit
DDoS-Angriffe sind einfach zu kaufen, schwer zu stoppen und können kritische Geschäftsprozesse zum Erliegen bringen. Der wirksamste Schutz kombiniert Cloud-basierte DDoS-Mitigation (Scrubbing-Dienste), eine gut konfigurierte CDN/WAF-Ebene, ausreichend Netzwerkkapazität - und einen erprobten Incident-Response-Plan, damit im Angriffsfall schnell und koordiniert reagiert wird.
Quellen & Referenzen
- [1] BSI Lagebericht zur IT-Sicherheit 2024 - BSI
- [2] Cloudflare DDoS Threat Report 2024 - Cloudflare
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.
11 Publikationen
- Understanding Regional Filter Lists: Efficacy and Impact (2025)
- Privacy from 5 PM to 6 AM: Tracking and Transparency Mechanisms in the HbbTV Ecosystem (2025)
- A Platform for Physiological and Behavioral Security (2025)
- Different Seas, Different Phishes - Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
- Sharing is Caring: Towards Analyzing Attack Surfaces on Shared Hosting Providers (2024)
- On the Similarity of Web Measurements Under Different Experimental Setups (2023)
- People, Processes, Technology - The Cybersecurity Triad (2023)
- Social Media Scraper im Einsatz (2021)
- Digital Risk Management (DRM) (2020)
- New Work - Die Herausforderungen eines modernen ISMS (2024)
