Distributed Denial of Service (DDoS)-Angriffe gehören schon seit Jahren zu den größten Herausforderungen im Bereich der Cybersicherheit. Im ersten Quartal 2025 erreichte diese Bedrohung jedoch eine neue Dimension: Cloudflare, eines der wichtigsten Unternehmen für Internetsicherheit, meldet in seinem DDoS Threat Report für das erste Quartal 2025 eine dramatische Steigerung der Angriffe. Im Vergleich zum gleichen Zeitraum des Vorjahres stiegen die Anzahl der DDoS-Angriffe um erstaunliche 358 Prozent. Diese Entwicklung macht klar, dass die Bedrohung durch gezielte Überlastungen von Netzwerken und Diensten noch nie so intensiv war und erhebliche Anpassungen in Strategien für den Schutz von Online-Infrastrukturen erfordert. Der Bericht von Cloudflare zeigt nicht nur den quantitativen Anstieg der Angriffe, sondern auch deren technologische Weiterentwicklung und die Herausforderungen für Unternehmen und Dienstleister.
Die Zahl von 20,5 Millionen blockierten DDoS-Angriffen im ersten Quartal 2025 verdeutlicht das Ausmaß der Bedrohung. Zum Vergleich: Im gesamten Jahr 2024 wurden etwa 21,3 Millionen Angriffe abgewehrt. Diese Konzentration der Angriffe auf nur wenige Monate zeigt, wie gezielt und massenhaft Angriffe heute durchgeführt werden. Besonders alarmierend ist die erhöhte Anzahl von sogenannten hyper-volumetrischen Angriffen – Attacken mit einem Volumen von über einem Terabit pro Sekunde (Tbps) oder mehr als einer Milliarde Paketen pro Sekunde (Bpps). Cloudflare musste alleine in Q1 über 700 dieser extrem starken Attacken automatisch blockieren, was etwa acht solcher Großangriffe pro Tag entspricht.
Die Zunahme betrifft insbesondere Netzwerk-Schicht-Angriffe (Layer 3/4). Hier stieg die Zahl der blockierten Angriffe auf 16,8 Millionen, was einem Anstieg von 397 Prozent im Quartalsvergleich und beeindruckenden 509 Prozent im Jahresvergleich entspricht. HTTP-DDoS-Angriffe, die auf Anwendungsebene stattfinden, verzeichneten ebenfalls signifikante Zuwächse, mit 7 Prozent mehr als im Vorquartal und einer Verdopplung gegenüber dem Vorjahr. Die Analysemethoden von Cloudflare basieren auf einzigartigen Echtzeit-Fingerprints der Angriffe, die eine detaillierte Nachverfolgung und Bewertung ermöglichen. Ein beunruhigender Trend ist die zunehmende Zielrichtung auf die Infrastruktur von Cloudflare selbst.
Von den insgesamt 20,5 Millionen Angriffen richteten sich rund 6,6 Millionen direkt gegen die Netzwerkinfrastruktur des Unternehmens. Diese Angriffe bildeten einen 18-tägigen, vielschichtigen Kampagnenangriff, der verschiedene Methoden wie SYN Floods, Mirai-Botnet-Attacken und SSDP-Amplification nutzte. Gleichzeitig wurden auch zahlreiche Hosting- und Serviceanbieter unter Cloudflare-Betreuung attackiert. Die Komplexität und die Multivector-Natur dieser Kampagnen zeigen, wie koordiniert Angreifer heute agieren und eine Vielzahl von Angriffsmethoden kombinieren, um Schutzmaßnahmen zu umgehen. Besonders spektakulär waren Ende April 2025 zwei hyper-volumetrische DDoS-Angriffe, die die bisherigen Rekorde im Internet sprengten.
Einer davon erreichte eine Paketzahl von 4,8 Milliarden pro Sekunde, was einen Anstieg von 52 Prozent im Vergleich zum bisherigen Höchstwert darstellt. Ein weiterer Angriff erreichte eine Bandbreite von 6,5 Terabit pro Sekunde und stellte damit den größten bisher veröffentlichten Angriff in Sachen Bandbreite dar. Diese Attacken dauerten in der Regel nur 35 bis 45 Sekunden – ausreichend Zeit, um enorme Netzwerkausfälle und Systemüberlastungen zu verursachen, aber zu kurz für manuelle Reaktionen. Diese Entwicklung unterstreicht die Notwendigkeit für automatisierte, immer aktive und skalierbare Abwehrmechanismen, die solche Angriffe in Echtzeit erkennen und neutralisieren können. Die Herkunft der Angriffe ist global.
Insgesamt wurden Angriffe aus 147 Ländern beobachtet, die gezielt verschiedenste IP-Adressen und Ports eines großen US-amerikanischen Hosting-Anbieters unter Cloudflare-Schutz attackierten. Dabei spielten vor allem Ports für Online-Gaming-Dienste eine Rolle, beispielsweise Port 27015, der häufig bei Multiplayer-Servern von populären Spielen wie Counter-Strike: Global Offensive genutzt wird. Dadurch zeigt sich, dass neben klassischen Unternehmenszielen auch besonders die Gaming-Industrie zunehmend im Fadenkreuz der Angreifer steht. Im Hinblick auf Täterprofile offenbart die Cloudflare-Analyse eine bunte Vielfalt an Motiven und Hintergründen. Überraschend viele Kunden gaben an, nicht zu wissen, wer hinter Angriffen steht.
Bei den bekannten Angreifern werden Wettbewerber am häufigsten genannt, vor allem in sensiblen Branchen wie Glücksspiel und Gaming. Auch staatliche Akteure, unzufriedene Kunden oder Angestellte sowie Erpressergruppen spielen eine Rolle. Selbst verursachte Angriffe („self-DDoS“) stellen ebenfalls einen signifikanten Anteil dar. Diese Einblicke verdeutlichen die vielfältigen Interessengruppen und Beweggründe hinter den Angriffen. Die Angriffstechniken bleiben vielfältig und entwickeln sich stetig weiter.
Dominierend sind nach wie vor SYN Flood-Attacken auf der Netzwerkebene, gefolgt von DNS-Flutattacken und dem wieder verstärkten Einsatz von Mirai-Botnetzen. Im Bereich der HTTP-Angriffe werden überwiegend bekannte Botnetze identifiziert, die durch spezielle Merkmale und ungewöhnliche Browser-Imitationen gekennzeichnet sind. Daneben registriert Cloudflare eine wachsende Zahl von Angriffen mit verdächtigen HTTP-Attributen oder ungewöhnlichen Anfrageprofilen. Besonders hervorzuheben sind erhebliche Anstiege bei speziellen Reflexions- und Amplifikationsattacken über CLDAP und ESP-Protokolle, die im Vergleich zum Vorquartal um mehrere tausend Prozent zulegten. Diese Techniken nutzen die Offenheit bestimmter Netzwerkprotokolle aus und erfordern gezielte Abwehrmaßnahmen.
Die Größe der meisten Angriffe bleibt aber eher überschaubar: 99 Prozent der Layer 3/4-Attacken liegen unter 1 Gbps und 1 Million Paketen pro Sekunde, während 94 Prozent der HTTP-Angriffe 1 Million Anfragen pro Sekunde nicht überschreiten. Dennoch können solche „kleinen“ Angriffe ohne geeignete Vorsorge beträchtlichen Schaden anrichten, indem sie Internetverbindungen und ungeschützte Server überlasten. Ein weiteres Problem ist die zeitliche Komponente: Die meisten Attacken sind sehr kurzlebig, ein Großteil endet innerhalb von zehn Minuten. Gerade diese kurze Dauer verhindert eine manuelle Eingriffsmöglichkeit und macht automatisierte, stets aktive Schutzlösungen unverzichtbar. Geografisch verändert sich das Angriffsgeschehen deutlich.
Im ersten Quartal 2025 stieg Deutschland auf den ersten Platz der am stärksten angegriffenen Länder, gefolgt von der Türkei und China. Bedeutende Veränderungen sind auch bei den Herkunftsorten der Angriffe zu beobachten, zum Beispiel mit Hongkong als größtem Angriffsquelle. Die Industriebranchenfelder mit den meisten Angriffen zeigen ebenfalls Verschiebungen. Die Glücksspiel- und Casinobranche sind wieder Spitzenreiter bei den Zielgruppen, während Cybersecurity-Unternehmen und Branchen wie Luftfahrt und Fertigungsindustrie stark an Bedeutung als Angriffsziele zulegten. Um die Bedrohung durch DDoS-Angriffe zu bekämpfen, betont Cloudflare die Bedeutung von voll automatisierten, global verfügbaren, skalierbaren und stets aktiven Schutzmechanismen.
Nur so kann dem rasanten Anstieg an vielfältigsten und immer komplexeren Angriffen begegnet werden. Angesichts des weltweiten Ausmaßes der Angriffe und der enormen Kapazitäten, die für deren Abwehr bereitstehen müssen, ist der Einsatz leistungsfähiger Netzwerkinfrastrukturen mit massiver Bandbreite und Präzision in der Erkennung unabdingbar. Cloudflare stellt dafür beispielsweise eine Kapazität von 348 Tbps zur Verfügung, verteilt über mehr als 335 Städte weltweit. Zusätzlich unterstützt Cloudflare die Internetgemeinschaft mit frei zugänglichen Tools zur Aufdeckung und Bekämpfung von Botnets sowie eines kostenlosen DDoS-Botnet-Threat-Feeds, der es Hosting- und Cloud-Anbietern ermöglicht, missbräuchliche Konten innerhalb ihrer Netze zu identifizieren und zu entfernen. Diese Kooperation ist ein wichtiger Baustein im globalen Kampf gegen DDoS-Bedrohungen.
Die Zahlen und Erkenntnisse aus dem Cloudflare-Bericht für das erste Quartal 2025 verdeutlichen, dass die Bedrohung durch DDoS-Angriffe nicht nur wächst, sondern sich technologisch weiterentwickelt. Für Unternehmen, Dienstleister und öffentliche Institutionen wird es immer wichtiger, frühzeitig in moderne und automatisierte Schutzmechanismen zu investieren, um nicht Opfer solcher Angriffe zu werden. Proaktive Sicherheitsstrategien und eine enge Zusammenarbeit der Internetgemeinschaft sind entscheidende Faktoren, um der Dynamik dieser Cyberbedrohung wirksam zu begegnen und die digitale Infrastruktur zukunftssicher zu machen.
