Im Mai 2025 wurde die renommierte Sicherheitsplattform KrebsOnSecurity von einem fast beispiellosen Distributed Denial of Service (DDoS) Angriff mit einer bemerkenswerten Bandbreite von mehr als 6,3 Terabit pro Sekunde getroffen. Der Angriff dauerte dabei lediglich rund 45 Sekunden, verursachte jedoch genug Datenverkehr, um die Vernetzung und Erreichbarkeit vieler Internetinfrastrukturen ernsthaft zu gefährden. Dieses Ereignis gehört zu den größten jemals gemessenen Angriffen und verdeutlicht die alarmierende Entwicklung und das Potenzial heutiger Internet-Bedrohungen, insbesondere durch Angriffe, die von kompromittierten Internet of Things (IoT)-Geräten ausgeführt werden. Die Größenordnung dieses Angriffs ist bemerkenswert, da er zehnmal stärker war als der berüchtigte DDoS-Angriff von 2016 auf die gleiche Website, welcher damals von dem Mirai-Botnet ausgeführt wurde. Der Mirai-Angriff war über mehrere Tage aktiv und sorgte damals für erhebliche Störungen.
KrebsOnSecurity hat seitdem seine Infrastruktur weiter abgesichert und befindet sich nun unter dem Schutz von Project Shield, einem kostenlosen DDoS-Abwehrservice von Google, der vor allem für Nachrichten-, Menschenrechts- und wahlthematische Webseiten bereitgestellt wird. Laut Google war dieser Vorfall der größte DDoS-Angriff, den sie bisher abwehren mussten. Lediglich ein ähnlicher Angriff auf den CDN-Anbieter Cloudflare im April 2025 war etwas stärker. Der Täter hinter dem Angriff wurde von Experten als das sogenannte Aisuru-Botnet identifiziert, ein innovatives und hoch entwickeltes Botnetzwerk, das aus einer globalen Ansammlung gehackter IoT-Geräte besteht. Dazu zählen unter anderem Router, digitale Videorekorder und andere vernetzte Geräte, die durch voreingestellte Passwörter oder Sicherheitslücken kompromittiert werden.
Das Botnetz ist erst seit 2024 bekannt, als es erstmals durch einen großflächigen Angriff auf eine Gaming-Plattform auffiel. Seitdem hat es seine Kapazitäten signifikant erweitert und nutzt inzwischen auch bislang unbekannte Zero-Day-Schwachstellen, wie eine in Cambium Networks cnPilot-Routern entdeckte Sicherheitslücke. Interessanterweise werden die Angriffe dieses Botnets nicht nur heimlich durchgeführt – die Betreiber vermarkten ihre Dienste offen in Telegram-Chats. Dort bieten sie ihre DDoS-Leistungen in Form von Abonnements an, die von 150 US-Dollar pro Tag bis zu 600 US-Dollar pro Woche reichen und Angriffe mit bis zu 2 Terabit pro Sekunde ermöglichen. Innerhalb dieser Angebote wird jedoch auch eine Art Verhaltenskodex kommuniziert: Nicht angegriffen werden dürfen demnach „Messwände“ (Webseiten, die DDoS-Angriffe messen und katalogisieren), Gesundheitseinrichtungen, Schulen oder Regierungsseiten.
Der Betreiber, der unter dem Pseudonym „Forky“ in Erscheinung tritt, steht im Fokus von Strafverfolgungsbehörden wie dem FBI. Zahlreiche seiner Domains für DDoS-Dienste wurden in den vergangenen Jahren im Rahmen internationaler Strafverfolgungsoperationen beschlagnahmt. Forky selbst scheint aus Brasilien zu stammen, ist Anfang 20 und auch als Betreiber eines DDoS-Schutzanbieters namens Botshield aktiv. Trotz seiner eigenen früheren Aktivitäten distanziert er sich inzwischen von der eigentlichen Durchführung illegaler Angriffe und behauptet, nur noch als Mitarbeiter für die Aisuru-Organisation tätig zu sein. Die Weiterentwicklung und Vermarktung solcher Botnets zeigt, wie sich kriminelle Cybernetzwerke immer professioneller aufstellen und nutzen zunehmend neue Wege, um sowohl Angriffssoftware als auch Schutzdienstleistungen parallel anzubieten.
Diese Entwicklung erinnert stark an das Mirai-Botnet, das 2016 die Internetlandschaft erschütterte und als erster großer IoT-Botnet-Angriff gilt. Damals nutzten die Entwickler des Botnets seine enorme Kraft, um profitable DDoS-for-Hire-Services anzubieten, die seitdem ein blühendes, illegal lukratives Marktsegment bilden. Die Nutzung von IoT-Geräten in solchen Botnets ist problematisch, weil zahlreiche Verbraucher und auch Unternehmen schlecht gesicherte Geräte einsetzen, die mit Standardpasswörtern ausgeliefert werden oder nie aktualisiert werden. Solange die Hersteller nicht verpflichtend sichere Einstellungen durchsetzen und Sicherheitslücken schneller schließen, stellen diese Geräte eine dauerhafte Schwachstelle im globalen Netz dar. Die abwehrenden Dienste wie Google Project Shield oder Cloudflare operieren an der Spitze der Verteidigungslinie und investieren massiv in Technologien, um Angriffe dieser Größenordnung abzufangen.
Doch Angriffe jenseits der 6 Terabit pro Sekunde sind für viele Unternehmen weiterhin eine existentielle Gefahr. Die Infrastruktur zwischen Internet Service Providern ist oftmals besonders verwundbar, da DDoS-Angriffe oftmals darauf abzielen, diese Verbindungen zu überlasten und so die Kommunikationswege zu isolieren. Die aktuelle Lage zeigt auch, dass strafrechtliche Schritte alleine oft nicht ausreichen, um derartige Cyberbedrohungen effektiv zu bekämpfen. Die internationale Zusammenarbeit ist zwar intensiv, aber die Angreifer können relativ schnell neue Domains, Hosting-Provider und Angriffsplattformen aufbauen. Zudem ist die Verbreitung der IoT-Geräte weltweit so groß und heterogen, dass Botnetze kontinuierlich Potenzial für Expansion gewinnen.
Experten diskutieren mittlerweile sogar kontrovers, ob die Veröffentlichung von Quellcodes solcher Botnets – ähnlich wie im Fall von Mirai – der Allgemeinheit nicht helfen könnte. Zwar würde das kurzfristig zu einem Anwachsen von Nachahmungsklonen führen, jedoch könnte die Zersplitterung dazu beitragen, dass einzelne Botnetze weniger leistungsfähig sind und Angriffskapazitäten aufgeteilt werden. Außerdem könnten Sicherheitsexperten durch Einsicht in die verwendeten Schwachstellen und Exploits gezielter Gegenmaßnahmen entwickeln. Die Verteidigung gegen DDoS-Angriffe der Zukunft erfordert neben fortschrittlicher Technik auch viel Engagement von Seiten der Gerätehersteller, Gesetzgeber, Provider und Endnutzer. Wichtige Maßnahmen umfassen sichere Voreinstellungen wie zwingende Passwortänderungen bei IoT-Geräten, zeitnahe Sicherheitsupdates, Segmentierung und Isolierung kritischer Geräte im Netzwerk sowie verstärkte Überwachung des Datenverkehrs.
Der Angriff auf KrebsOnSecurity wurde zwar abgewehrt und führte zu keiner nennenswerten Störung, verdeutlicht aber das Ausmaß der Bedrohung. Für viele Webseiten, Unternehmen und sogar kritische Infrastrukturen wäre ein solcher Angriff jedoch verheerend. Die kontinuierliche Arbeit von Sicherheitsexperten, Forschern und Anbietern von Schutzdiensten bleibt daher unerlässlich. Zusammenfassend zeigt der 6,3 Tbps DDoS-Angriff auf KrebsOnSecurity die gefährliche Entwicklung im Bereich der Cyberangriffe durch IoT-Botnets, die enorme technische Kapazitäten mobilisieren. Die Transparenz rund um das Aisuru-Botnet und die Aktivitäten von Akteuren wie Forky geben zudem Einblick in die Struktur und Vermarktung von kriminalitätsorientierten Cybernetzwerken.
Nur durch eine Kombination aus technischen, legislativen und organisatorischen Maßnahmen lässt sich langfristig eine widerstandsfähigere digitale Infrastruktur schaffen, die solche Bedrohungen besser abwehren kann.
