Bei einem DDoS-Angriff (kurz für „Distributed Denial-of-Service“-Angriff) wird versucht, Websites oder Onlinedienste mit so viel Datenverkehr zu überfluten, dass sie langsamer werden oder ganz ausfallen. Anstatt in ein System einzubrechen, legt der Angreifer es lahm. Für alle Website-Betreiber kann dies Umsatzeinbußen, frustrierte Kunden, stundenlange Unterbrechungen und einen Imageschaden bedeuten.
Inhalt:
Das Ausmaß dieser Angriffe nimmt stetig zu. In seinem Bedrohungsbericht für das 3. Quartal 2025 gab Cloudflare bekannt, dass 5,9 Millionen DDoS-Angriffe abgewehrt wurden, was einem Anstieg von 87 % im Quartalsvergleich und 95 % im Jahresvergleich entspricht. Künstliche Intelligenz beschleunigt diesen Kampf auf beiden Seiten. Angreifer nutzen Automatisierung, um sich schnell anzupassen, und Sicherheits-Experten setzen maschinengestützte Systeme ein, um Angriffe in Sekundenschnelle zu erkennen und zu stoppen. Um zu verstehen, warum dies von Bedeutung ist, ist es hilfreich, sich mit der Funktionsweise von DDoS-Angriffen auseinanderzusetzen und zu erkennen, warum sie nach wie vor eine der häufigsten Methoden sind, um einen Dienst lahmzulegen.
Wie funktioniert ein DDoS-Angriff und wie unterscheidet er sich von einem DoS-Angriff?
Bei einem DDoS-Angriff wird ein System über seine Grenzen hinaus belastet. Jede Website läuft auf Servern, die Anfragen entgegennehmen (eine Seite laden, eine Zahlung verarbeiten, eine Datei abrufen usw.) und eine Antwort zurücksenden. Jede Anfrage verbraucht eine geringe Menge an Bandbreite und Rechenleistung. Unter normalen Bedingungen ist diese Auslastung vorhersehbar. Bei einem DDoS-Angriff hingegen wird dieses Gleichgewicht absichtlich gestört.
Angreifer beginnen mit dem Aufbau eines Netzwerks aus kompromittierten Geräten, das oft als „Botnet“ bezeichnet wird. In einem Botnet nutzen Kriminelle Malware, um normale Computer, Cloud-Server oder mit dem Internet verbundene Geräte zu infizieren, damit diese aus der Ferne Anweisungen erhalten können. Zu einem bestimmten Zeitpunkt erhalten diese Geräte die Anweisung, Datenverkehr an dasselbe Ziel zu senden. Bei diesem Datenverkehr kann es sich um einfache Verbindungsanfragen, wiederholte Seitenladevorgänge oder Datenpakete handeln, die darauf abzielen, die Netzwerkkapazität zu erschöpfen.
Je mehr Anfragen eingehen, desto stärker werden die Ressourcen des Ziels belastet. Die Bandbreite ist ausgelastet und legitime Nutzer können ihre Daten nicht mehr übertragen. Die Serverprozessoren erreichen Spitzenlasten, da sie versuchen, jede eingehende Anfrage zu beantworten. Verbindungstabellen, im Grunde genommen Warteschlangen für offene Sitzungen, erreichen ihre Kapazitätsgrenze. Sobald diese Grenzwerte erreicht sind, wird das System entweder extrem langsam oder reagiert gar nicht mehr. Von außen betrachtet sieht das Ganze wie ein Absturz aus. Tatsächlich läuft der Dienst zwar noch, ist aber zu sehr damit beschäftigt, bösartigen Datenverkehr abzuwehren, um echten Nutzern zur Verfügung zu stehen.
DDoS-Angriffe vs. DoS-Angriffe: Was ist der Unterschied?
Ein Denial-of-Service-Angriff, kurz DoS-Angriff, stammt aus einer einzigen Quelle. Ein einzelner Rechner erzeugt genügend Datenverkehr, um das Ziel zu überlasten. Diese Quelle lässt sich häufig identifizieren und blockieren.
Ein DDoS-Angriff verteilt hingegen – wie bereits erläutert – die Last auf viele Quellen gleichzeitig. Der Datenverkehr kann von Tausenden von IP-Adressen in verschiedenen Regionen stammen. Das Blockieren einer IP-Adresse hat kaum Auswirkungen, da die übrigen weiterhin aktiv sind. Darüber hinaus erschwert die Verteilung die Filterung und erhöht das Risiko, dass legitime Nutzer versehentlich blockiert werden. Das ist der Grund, warum DDoS-Angriffe anstatt einfacher DoS-Angriffe heutzutage dominieren.
Optimieren Sie Ihre Online-Sicherheit
Speichern und verwalten Sie Ihre digitalen Werte sicher
NordPass holen3 gängige Arten von DDoS-Angriffen
Die verschiedenen Arten von DDoS-Angriffen unterscheiden sich in erster Linie dadurch, wo sie Druck ausüben. Bei einigen wird ein Netzwerk mit Datenverkehr überflutet, bei anderen wird die Art und Weise beeinträchtigt, wie Systeme Verbindungsanfragen annehmen. Andere setzen den Schwerpunkt auf bestimmte Bereiche einer Website, die mehr Rechenleistung erfordern. Bei vielen DDoS-Angriffen überschneiden sich diese Methoden. Wenn man die Unterschiede versteht, wird deutlich, warum zur Abwehr von DDoS-Angriffen mehr erforderlich ist als nur das Blockieren von Datenverkehr.
Volumetrische DDoS-Angriffe
Volumetrische DDoS-Angriffe basieren auf dem reinen Datenverkehrsvolumen. Der Angreifer sendet riesige Datenmengen an ein Ziel, bis dessen verfügbare Bandbreite ausgelastet ist. Sobald diese Grenze erreicht ist, können legitime Nutzer nicht auf die Website zugreifen, da die Verbindung selbst überlastet ist.
Diese DDoS-Angriffe werden in der Regel von Botnets durchgeführt. Das kombinierte Anforderungsvolumen kann Werte erreichen, die weit über die normalen Spitzenwerte hinausgehen. Das Ergebnis ist eindeutig: Die Website ist nicht mehr erreichbar, da das Netzwerk keine weiteren Daten übertragen kann.
Protokoll-DDoS-Angriffe
Protokoll-DDoS-Angriffe zielen auf die Art und Weise ab, wie Systeme Verbindungen herstellen und aufrechterhalten. Bei jedem Besuch einer Website stellt der Server einen kleinen Teil des Speichers und der Verarbeitungskapazität für die Verwaltung dieser Sitzung zur Verfügung. Dieser Vorgang setzt voraus, dass die Verbindung ordnungsgemäß hergestellt wird.
Bei einem protokollbasierten DDoS-Angriff sendet der Angreifer eine große Anzahl unvollständiger oder manipulierter Verbindungsanforderungen. Der Server weist für jede dieser Anfragen Ressourcen zu und wartet. Je mehr dieser reservierten Slots belegt werden, desto weniger Ressourcen stehen den legitimen Nutzern zur Verfügung. Schließlich schlagen neue Verbindungsversuche fehl oder es kommt zu Zeitüberschreitungen.
DDoS-Angriffe auf Anwendungsebene
DDoS-Angriffe auf Anwendungsebene zielen auf bestimmte Website-Funktionen ab und nicht auf das Netzwerk als Ganzes. Funktionen wie Suchleisten, Anmeldeformulare und Bezahlseiten erfordern oft mehr Verarbeitungsaufwand als das Laden einer statischen Seite.
Bei Angriffen auf Anwendungsebene zielt der Angreifer wiederholt auf diese ressourcenintensiven Funktionen ab. Bei jeder Anfrage muss der Server Datenbankabfragen ausführen, Anmeldedaten überprüfen oder dynamische Inhalte generieren. Auch wenn das Datenverkehrsaufkommen nicht extrem hoch erscheint, ist die Arbeitslast des Systems unverhältnismäßig groß. Die Leistung verschlechtert sich, und in besonders schwerwiegenden Fällen ist die Anwendung nicht mehr verfügbar.
Angriffe auf Anwendungsebene sind oft schwerer aufzudecken, da der Datenverkehr dem Verhalten legitimer Nutzer ähneln kann. Deswegen sind sie bei heutigen DDoS-Angriffen häufig anzutreffen, vor allem wenn sie mit volumetrischen oder Protokolltechniken in einer koordinierten, vektorübergreifenden Kampagne kombiniert werden.
Die Rolle von KI bei DDoS-Angriffen
Bei DDoS-Angriffen ging es schon immer um Hebelwirkung – mit geringem Aufwand sollen überproportional große Störungen verursacht werden. Mit dem Aufkommen künstlicher Intelligenz verändern sich das Ausmaß und die Geschwindigkeit dieser Hebelwirkung. Sie ermöglicht es Angreifern, sich in Echtzeit anzupassen, und zwingt Sicherheitsfachleute, ebenso schnell zu reagieren.
Offensive KI: schneller und anpassungsfähiger
KI verändert die Funktionsweise von DDoS-Angriffen. Statt sich allein auf Brute-Force zu verlassen, können Angreifer ihre Taktiken anpassen, sich als legitime Nutzer ausgeben und auf spezifische Schwachstellen abzielen.
Adaptive Taktiken
Herkömmliche DDoS-Angriffe basierten häufig auf starren Methoden: Sie überfluteten das Netzwerk oder überlasteten einen bestimmten Dienst. KI-gestützte Systeme können Abwehrmaßnahmen in Echtzeit testen und bei einer Blockierung die Angriffstechnik wechseln. Wird ein Vektor gefiltert, verlagert sich der Datenverkehr auf einen anderen. Was als UDP-Flut (User Datagram Protocol) beginnt, kann innerhalb von Sekunden zu einer DNS-Flut oder einem HTTP-basierten Angriff werden.
Nachahmung von menschlichem Verhalten
Bei DDoS-Angriffen auf Anwendungsebene wird zunehmend versucht, den Anschein normaler Nutzeraktivitäten zu erwecken. KI-Tools können Datenverkehrsmuster generieren, die echtem Surfverhalten von Nutzern ähneln, indem sie den Zeitpunkt von Anfragen variieren, User Agents wechseln oder in einigen Fällen sogar Bewegungsmuster von Mauszeigern simulieren. Je stärker der bösartige Datenverkehr dem Verhalten legitimer Nutzer ähnelt, desto schwieriger wird es für herkömmliche, regelbasierte Filter, zwischen beiden zu unterscheiden.
Gezielte Scans
Die KI kann auch dazu eingesetzt werden, um vor dem Start eines Denial-of-Service-Angriffs spezifische Schwachstellen zu identifizieren. Anstatt eine gesamte Website zu überlasten, analysieren Angreifer, welche Endpunkte ressourcenintensiv oder nicht gepatcht sind. So kann ein gezielter Angriff auf eine verwundbare Anmelde- oder Suchfunktion die gleiche Störung verursachen wie eine viel größere Flut. Das reduziert den erforderlichen Datenverkehr und senkt die Wahrscheinlichkeit einer sofortigen Erkennung.
Defensive KI: Erkennung in Echtzeit
Die KI verändert dazu auch die Art und Weise, wie DDoS-Angriffe erkannt und eingedämmt werden. Moderne Abwehrmaßnahmen basieren auf automatisierten Analysen und einer schnellen Schadensbegrenzung, um ungewöhnlichen Datenverkehr zu erkennen und zu reagieren, bevor sich die Störung ausbreitet.
Verhaltensanalyse
Fortschrittliche DDoS-Abwehrsysteme stützen sich weniger auf statische Regeln als vielmehr auf eine Erkennung von Mustern. Anstatt den Datenverkehr ausschließlich anhand der IP-Adresse oder eines Volumenschwellenwerts zu blockieren, erstellen KI-Modelle eine Grundlinie für normales Verhalten: wie Nutzer typischerweise auf eine Website zugreifen, wie häufig Anfragen erfolgen und welche Muster erwartet werden. Weicht der Datenverkehr auf subtile, aber konsistente Weise von der Norm ab, kennzeichnet und filtert das System ihn. Diese Anomalien können zu unbedeutend oder zu schnell sein, um von einem menschlichen Analysten in Echtzeit erkannt zu werden.
Abwehr innerhalb einer Minute
Geschwindigkeit entscheidet heute über die Auswirkungen. Viele DDoS-Angriffe dauern nur Minuten, manchmal sogar nur Sekunden, doch die dadurch verursachten Unterbrechungen können weitaus länger anhalten. Automatisierte Abwehrsysteme können verdächtigen Datenverkehr in weniger als einer Minute über Scrubbing-Zentren umleiten, Ratenbegrenzungen anwenden oder die Last auf globale Netzwerke verteilen. Menschen allein können nicht in diesem Tempo reagieren. Die Reaktion muss kontinuierlich und autonom erfolgen.
So erkennen Sie, ob Ihre Website oder Ihr Onlinedienst angegriffen wird
Bei den meisten DDoS-Angriffen kündigen sich die Angreifer nicht an. Zunächst wirkt das Ganze wie ein routinemäßiger Ausfall oder eine vorübergehende Verlangsamung. Was den Unterschied ausmacht, sind Muster und Beständigkeit. Wenn Sie eine Website betreiben oder für Ihr Unternehmen auf eine Website angewiesen sind, können bestimmte Warnsignale auf einen Angriff hindeuten.
Ungewöhnlich lange Ladezeiten. Wenn Ihre Website plötzlich langsamer läuft, ohne dass die legitime Nachfrage entsprechend gestiegen ist, ist dies häufig das erste Anzeichen. Seiten, die normalerweise in Sekundenschnelle geladen werden, laden plötzlich langsamer. Admin-Dashboards reagieren möglicherweise nicht mehr. Wenn die Leistung flächendeckend abfällt, sollten DDoS-Angriffe auf Ihrer Checkliste der möglichen Ursachen stehen.
Kein Zugriff auf die Website möglich. Ein deutlicheres Anzeichen ist, dass die Seite überhaupt nicht geladen werden kann. Nutzer sehen möglicherweise Fehler wie „503 Service Unavailable“ oder es werden allgemeine Timeout-Meldungen angezeigt. Wenn Ihr Hosting-Anbieter meldet, dass der Server selbst weiterhin online ist, der Datenverkehr jedoch nicht verarbeitet werden kann, ist ein Denial-of-Service-Angriff eine wahrscheinliche Erklärung.
Ein plötzlicher Anstieg von Datenverkehr aus einer bestimmten Region. Falls Sie Zugriff auf Analysedaten oder Hosting-Protokolle haben, können Sie prüfen, woher die Anfragen stammen. Ein starker Anstieg des Datenverkehrs von einem einzigen geografischen Standort, insbesondere von einem Standort, der nicht mit Ihrer üblichen Zielgruppe übereinstimmt, kann auf koordinierte Aktivitäten hindeuten. Bei vielen DDoS-Angriffen erscheint der Datenverkehr konzentriert oder weist eine ungewöhnliche Herkunft auf.
Schlechte Leistung über Ihr gesamtes Netzwerk hinweg. DDoS-Angriffe richten sich nicht immer gegen große Unternehmen. Wenn sich die Geschwindigkeit Ihres Heimnetzwerks oder des Netzwerks Ihres Kleinunternehmens plötzlich bei mehreren Diensten gleichzeitig verlangsamt und Ihr Internetanbieter bestätigt, dass es keinen umfassenderen Ausfall gibt, könnte übermäßiger eingehender Datenverkehr eine Ursache sein. Bei Routern und herkömmlicher Hardware kann es bei anhaltender Belastung zu Problemen kommen.
Es gibt kein einheitliches Symptom, das beweist, dass ein DDoS-Angriff im Gange ist. Eine langsame Leistung kann viele Ursachen haben. Ein Denial-of-Service-Angriff zeichnet sich jedoch durch einen anhaltend ungewöhnlichen Datenverkehr in Verbindung mit einer Dienstunterbrechung aus.
So schützen Sie sich und Ihr Unternehmen vor DDoS-Angriffen
Wir geben Ihnen nun einige Hinweise, wie Sie sich und Ihr Unternehmen vor einem DDoS-Angriff schützen können.
Nutzung eines Content-Delivery-Netzwerks (CDN)
Ein Content-Delivery-Netzwerk fungiert als Puffer zwischen Ihrer Website und dem öffentlichen Internet. Anstatt den gesamten Datenverkehr direkt an Ihren Ursprungsserver zu senden, durchlaufen Anfragen zunächst ein verteiltes Netzwerk von Edge-Servern.
Diese Verteilung ist wichtig. Wenn bei DDoS-Angriffen versucht wird, einen einzelnen Server zu überlasten, verteilt ein CDN den eingehenden Datenverkehr auf zahlreiche Standorte. Außerdem verfügen große Netzwerke über eine weitaus größere Bandbreitenkapazität als eine eigenständige Hosting-Umgebung. Bei einem Anstieg des Datenverkehrs kann das Netzwerk diesen auffangen und verteilen, sodass ein Ausfall an einer einzelnen Stelle verhindert wird.
Außerdem speichern CDNs statische Inhalte im Cache, wodurch sich die Häufigkeit verringert, mit der Ihr Ursprungsserver direkt antworten muss. Bei volumetrischen DDoS-Angriffen kann diese Verringerung der Arbeitslast dazu beitragen, dass wichtige Dienste online bleiben.
Bereitstellung einer Web Application Firewall (WAF)
Eine Web Application Firewall (dt. Webanwendungs-Firewall) schirmt Ihre Website ab und filtert eingehende Anfragen. Stellen Sie sich das wie einen Türsteher vor, der den Datenverkehr überprüft, bevor er Ihre Anwendung erreicht.
Die WAF-Systeme von heute untersuchen Anforderungsmuster, Header und Verhalten. Sie können die Anzahl der Anfragen, die eine einzelne Quelle innerhalb eines bestimmten Zeitraums stellen kann, durch eine Ratenbegrenzung einschränken. Zudem können sie bekannte schädliche Signaturen blockieren und verdächtige Sitzungen durch Verifizierungsschritte überprüfen.
Insbesondere bei Angriffen auf Anwendungsebene ist eine Web Application Firewall oft die erste Abwehrmaßnahme. Sie hilft dabei, zwischen legitimen Nutzern und automatisiertem Missbrauch zu unterscheiden, selbst wenn der Datenverkehr auf den ersten Blick normal erscheint.
Abstimmung mit Ihrem Internetanbieter
Internetanbieter bieten häufig Dienste zur Abwehr von DDoS-Angriffen an, darunter auch Traffic-Scrubbing. Im Rahmen eines Scrubbing-Verfahrens wird verdächtiger Datenverkehr über eine spezielle Infrastruktur umgeleitet, die schädliche Pakete herausfiltert, bevor der unbedenkliche Datenverkehr an Ihr Netzwerk weitergeleitet wird.
In schwerwiegenderen Fällen können Internetanbieter Techniken wie das Blackhole-Routing einsetzen, bei denen der auf ein bestimmtes Ziel gerichtete Datenverkehr vorübergehend unterbrochen wird, um das gesamte Netzwerk zu schützen. Dies ist zwar eine drastische Maßnahme, die jedoch größere Ausfälle verhindern kann.
Am wichtigsten ist hierbei die Koordination. Wenn Sie kritische Dienste betreiben, sprechen Sie mit Ihrem Anbieter, bevor es zu einem Vorfall kommt. Informieren Sie sich darüber, welche Abhilfemaßnahmen es gibt und wie schnell diese aktiviert werden können.
Geräte sicher und aktuelle halten
DDoS-Angriffe werden über kompromittierte Geräte durchgeführt. Unzureichend gesicherte Geräte mit Internetverbindung, wie Router und Kameras, werden häufig in Botnets integriert.
Halten Sie die Firmware immer auf dem neuesten Stand. Ändern Sie die Standardpasswörter. Deaktivieren Sie unnötige Fernzugriffe. Verwenden Sie starke, einzigartige Anmeldedaten für jedes Gerät und jede Verwaltungsschnittstelle.
Die Wiederverwendung von Passwörtern ist nach wie vor einer der einfachsten Wege, um Sicherheitslücken zu schaffen, insbesondere bei internen Tools und in Infrastruktur-Panels. Ein Passwort-Manager wie NordPass kann Ihnen dabei helfen, komplexe Anmeldedaten zentral zu generieren und zu speichern, wodurch die Abhängigkeit von vorhersehbaren oder mehrfach verwendeten Passwörtern verringert wird.
Zwar garantiert keine dieser Maßnahmen für sich genommen einen vollständigen Schutz vor DDoS-Angriffen, doch in ihrer Gesamtheit verringern sie sowohl das Risiko als auch die Auswirkungen.