DDoS-Angriffe: Typen, Abwehr und aktuelle Bedrohungslage
DDoS-Angriffe vollständig erklärt: Volumetric, Protocol, Application Layer - wie Botnets funktionieren, welche DDoS-Typen es gibt, und wie Unternehmen sich effektiv schützen.
Inhaltsverzeichnis (7 Abschnitte)
Im ersten Halbjahr 2024 verzeichnete das BSI einen massiven Anstieg hochvolumiger DDoS-Angriffe in Deutschland. Was früher aufwändige Infrastruktur erforderte, kostet heute wenige Euro pro Stunde im Dark Web. DDoS ist vom Hackerwerkzeug zum Massenprodukt geworden - und zur Waffe in geopolitischen Konflikten.
Was ist ein DDoS-Angriff?
Distributed Denial of Service (DDoS) ist ein Angriff, bei dem ein Ziel-System (Server, Netzwerk, Dienst) durch eine Überlast an Anfragen von vielen verteilten Quellen (daher “Distributed”) in die Knie gezwungen wird, sodass legitime Nutzer es nicht mehr nutzen können.
Unterschied DoS vs. DDoS:
- DoS (Denial of Service): Angriff von einem einzelnen System - leicht zu blockieren
- DDoS: Angriff von tausenden oder Millionen kompromittierter Systeme (Botnet) - sehr schwer zu blocken, weil der Traffic von legitim erscheinenden IP-Adressen kommt
Ziel: Verfügbarkeit zerstören. Kein Datenzugriff, keine Infiltration - nur Ausfall.
Motivationen:
- Politisch motiviert (Hacktivismus, staatliche Akteure)
- Erpressung (“Ransom DDoS” - zahlen oder wir legen Sie lahm)
- Wettbewerbs-Sabotage
- Ablenkungsmanöver für andere Angriffe (z.B. während DDoS werden Logs überflutet, andere Angriffe verschleiert)
- Script-Kiddie-Motivation (Macht demonstrieren)
DDoS-Typen
Layer 3/4 - Volumetric Attacks
Ziel: Netzwerk-Bandbreite erschöpfen (Gbps bis Tbps).
Amplification Attacks: Angreifer schickt kleine Anfragen an öffentliche Dienste - und fälscht die Absender-IP als Opfer-IP. Die Dienste antworten mit viel größeren Paketen direkt an das Opfer:
| Angriffstyp | Amplification-Faktor |
|---|---|
| DNS Amplification | bis zu 50-100× |
| NTP Amplification | bis zu 556× |
| SSDP Amplification | bis zu 30× |
| Memcached Amplification | bis zu 51.000× |
UDP Floods: Massive Mengen an UDP-Paketen an zufällige Ports. Das Ziel antwortet mit ICMP “Destination Unreachable” - erschöpft CPU und Bandbreite.
ICMP Flood (Ping Flood): Überwältigung durch massive Ping-Anfragen.
Rekordangriff: Im November 2021 registrierte Microsoft einen DDoS-Angriff mit 3,47 Tbps Bandbreite auf einen Azure-Kunden - der größte jemals verzeichnete Angriff.
Layer 4 - Protocol Attacks
Ziel: Server-Ressourcen erschöpfen durch Ausnutzen von Protokollschwächen.
SYN Flood: Angreifer sendet massenhaft TCP-SYN-Pakete (Verbindungsanfragen), antwortet aber nie auf das SYN-ACK. Das Ziel hält viele halboffene Verbindungen in der “Wait”-Queue vor:
Normal: Client → SYN → Server → SYN-ACK → Client → ACK (Verbindung aufgebaut)
SYN Flood: Angreifer → SYN → Server → SYN-ACK → [keine Antwort, Slot belegt]
Tausende mal gleichzeitig → Server-Verbindungs-Queue vollACK Flood, RST Flood, URG Flood: Verschiedene Varianten mit TCP-Flags.
Layer 7 - Application Layer Attacks
Ziel: Webserver- oder Anwendungsressourcen erschöpfen durch scheinbar legitime HTTP-Anfragen - oft schon mit geringer Angriffsbandbreite wirkungsvoll.
HTTP GET/POST Flood: Tausende von legitim aussehenden HTTP-Anfragen überlasten Backend-Server oder Datenbanken.
Slowloris: Hält viele HTTP-Verbindungen gleichzeitig offen, indem die Anfragen absichtlich extrem langsam (Byte für Byte) gesendet werden. Server-Connection-Pool erschöpft sich.
RUDY (R-U-Dead-Yet): POST-Anfragen mit extrem kleinen Content-Chunks über lange Zeit - hält Apache/Nginx-Worker-Threads blockiert.
HTTP/2 Rapid Reset: Neuer Angriff aus 2023 - nutzt HTTP/2-Streaming-Mechanismus aus, um Anfragen massenhaft zurückzusetzen und neue zu stellen. Rekord-Angriff mit 398 Millionen Requests/Sekunde.
Ransom DDoS (RDDoS)
Kriminelle drohen einem Unternehmen mit DDoS-Angriff und fordern Lösegeld (typisch: 1-5 BTC). Oft folgt ein kleiner Demonstrations-Angriff zur Glaubwürdigkeit.
BSI-Empfehlung: Nicht zahlen - es gibt keine Garantie für Ausbleiben des Angriffs nach Zahlung. Stattdessen: DDoS-Schutz aktivieren und Angriff melden.
Die Bedrohungslage 2024
BSI Lagebericht 2024: Im ersten Halbjahr 2024 stieg die Zahl hochvolumiger DDoS-Angriffe massiv an. Besonders betroffen: öffentliche Verwaltungen, Finanzdienstleister und kritische Infrastruktur.
Pro-russische Hacktivisten (Killnet, NoName057, Anonymous Sudan) griffen gezielt deutsche und europäische Ziele an - politisch motiviert im Kontext des Ukraine-Kriegs:
- Bundestag, Bundesbehörden
- Flughäfen (Frankfurt, Berlin)
- Banken (Commerzbank, Deutsche Bank)
- Medien und Nachrichtenportale
IoT-Botnets: Schlecht gesicherte IoT-Geräte (Router, Kameras, Smart-Home) werden massenhaft zu Botnet-Mitgliedern rekrutiert. Mirai-Botnet und seine Varianten sind weiterhin aktiv.
DDoS-Schutzmaßnahmen
Schicht 1: Netzwerk-Kapazität und Anycast
Bandbreite: Mehr Bandbreite als der Angreifer - bei Volumetric Attacks. Als Einzelunternehmen kaum realisierbar, aber Cloud-Provider haben Tbps an Kapazität.
Anycast-Routing: Traffic wird weltweit auf viele PoPs (Points of Presence) verteilt. Der Angriffstraffic “verdünnt” sich dadurch in globaler Infrastruktur.
BGP Blackholing / RTBH: Im Notfall wird die angegriffene IP-Adresse für externen Traffic “nullgeroutet” - eigene Kunden können nicht mehr zugreifen, aber der Angriff hört auf. Letztes Mittel.
Schicht 2: DDoS-Schutzdienste
Cloud-basierter Scrubbing-Dienst: Traffic wird zuerst zum Scrubbing-Center des DDoS-Schutz-Providers umgeleitet. Dort wird der bösartige Traffic herausgefiltert, legitimer Traffic zum Origin weitergeleitet:
Internet → [Cloudflare/Akamai/AWS Shield] → [Scrubbing] → Origin-ServerBekannte DDoS-Schutzdienste:
- Cloudflare Magic Transit: Netzwerk-Layer-Schutz, verarbeitet über 200 Tbps
- Akamai Prolexic: Enterprise-Grade, gut für kritische Infrastruktur
- AWS Shield Advanced: Integriert in AWS-Infrastruktur
- Radware DDoS Protection
- Deutsche Telekom / Telekom Security: Lokaler Anbieter für BSI-sensible Unternehmen
On-Premises DDoS-Appliances:
- Arbor Networks (NETSCOUT)
- Radware DefensePro
- F5 DDoS Hybrid Defender
Schicht 3: CDN und Web Application Firewall
Für Layer-7-Angriffe bieten CDN-Anbieter (Cloudflare, Fastly, Akamai) wesentliche Schutzfunktionen:
- Rate Limiting: X Requests pro IP pro Zeitfenster
- Bot-Management: Unterscheidung zwischen menschlichen Nutzern und Bots
- Challenge Pages: CAPTCHA oder JavaScript-Challenge für verdächtige Anfragen
- IP Reputation: Blockierung bekannter Botnet-IPs
WAF-Regeln gegen Layer-7-Angriffe:
- Slowloris: Timeouts für langsame Verbindungen
- HTTP Flood: Requestrate-Limiting per IP/Fingerprint
Schicht 4: Incident Response
DDoS Response Plan: Wer macht was, wenn der Angriff beginnt?
Erkennung → Klassifizierung → Eskalation → Mitigation → Kommunikation
│
├── Alert im Monitoring (Netzwerk-Bandbreite, Fehlerrate)
│
├── Ursache klären: DDoS oder echter Traffic-Peak?
│
├── DDoS-Schutz aktivieren (ggf. Upstream-Provider kontaktieren)
│
├── ISP informieren für BGP-Blackholing falls nötig
│
└── Kommunikation: intern (Management), extern (Kunden, ggf. BSI/CERT-Bund)BSI/CERT-Bund melden: Für Betreiber kritischer Infrastruktur (KRITIS) und wichtige Einrichtungen nach NIS2 besteht Meldepflicht bei schwerwiegenden DDoS-Angriffen.
Schicht 5: Proaktive Härtung
Anycast DNS: DNS-Server über Anycast verteilen - verhindert DNS-Amplification auf eigene Infrastruktur.
BCP38 / Ingress Filtering: Netzwerk-Router filtern Pakete mit gefälschten Absender-IPs (Spoofed Packets) - sollte jeder ISP umsetzen, aber leider noch kein Standard.
SYN Cookies: Serverseitige Gegenmaßnahme gegen SYN-Floods ohne halboffene Verbindungen vorhalten zu müssen.
Redundanz: Mehrere Rechenzentren, geografische Verteilung, automatisches Failover.
DDoS und NIS2
Für Betreiber wesentlicher und wichtiger Einrichtungen nach NIS2:
- Art. 21: Sicherheitsmaßnahmen müssen Verfügbarkeit adressieren
- Art. 23: Meldepflicht bei erheblichen Störungen (incl. DDoS wenn wesentliche Dienste betroffen)
- Innerhalb von 24h: Frühwarnung an CSIRT/BSI
- Innerhalb von 72h: Erste Bewertung des Vorfalls
Kosten und wirtschaftliche Schäden
- Direktkosten DDoS-Angriff: ab 7 EUR/Stunde im Darknet
- Schadenskosten für Opfer: durchschnittlich 50.000 - 500.000 EUR pro Stunde Ausfall (Branchenabhängig)
- E-Commerce: 100.000 EUR+ pro Stunde Ausfall bei mittleren Online-Shops
- Finanzbranche: Millionen EUR pro Stunde bei kritischen Trading-Plattformen
Fazit
DDoS-Angriffe sind einfach zu kaufen, schwer zu stoppen und können kritische Geschäftsprozesse zum Erliegen bringen. Der wirksamste Schutz kombiniert Cloud-basierte DDoS-Mitigation (Scrubbing-Dienste), eine gut konfigurierte CDN/WAF-Ebene, ausreichend Netzwerkkapazität - und einen erprobten Incident-Response-Plan, damit im Angriffsfall schnell und koordiniert reagiert wird.
Quellen & Referenzen
- [1] BSI Lagebericht zur IT-Sicherheit 2024 - BSI
- [2] Cloudflare DDoS Threat Report 2024 - Cloudflare
- [3] ENISA Threat Landscape 2024 - ENISA
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.
17 Publikationen
- Understanding the Privacy Implications of Browser Extensions (2025)
- Different Seas, Different Phishes — Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Security Awareness Trainings - A Scientometric Analysis (2024)
- Understanding Dark Patterns in Chatbots (2024)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
- Analyzing Cybersecurity Risk with a Phishing Simulation Website (2024)
- The Elephant in the Background: A Quantitative Approach to Empower Users Against Web Browser Fingerprinting (2023)
- On the Similarity of Web Measurements Under Different Experimental Setups (2023)
- Building a Cybersecurity Awareness Program for SMEs (2022)
- Rethinking Cookie Banners: How to Comply with the GDPR and Still not Annoy Users (2022)
- An Empirical Analysis on the Use and Reporting of National Security Letters (2022)
- Comparing Approaches for Secure Communication in E-Mail-Based Business Processes (2022)
- Phish and Chips: Experiences from an Automated Phishing System (2022)
- Digital Risk Management (DRM) (2020)
- Social Media Scraper im Einsatz (2021)
- People, Processes, Technology — The Cybersecurity Triad (2023)
- New Work — Die Herausforderungen eines modernen ISMS (2024)
