European Cyber Report

Dynamische Bedrohungslage nimmt weiterhin zu – die Gefahr steigt.

Die Bedrohungslage durch Distributed Denial-of-Service-Angriffe (DDoS) hat sich im ersten Halbjahr 2025 dramatisch verschärft. Im Link11-Netzwerk wurden 225 % mehr Attacken registriert als im Vorjahreszeitraum. Dabei zeigte sich nicht nur eine massive Zunahme der Quantität, sondern auch eine qualitative Weiterentwicklung der Angriffsmethoden. Auch der Trend scheint klar, wenn man die letzten Monate in Betracht zieht: die Gefahr nimmt weiterhin ungebremst zu.

143%

Der Anstieg von großen "ISP-Killer-Angriffen", die Infrastrukturen von Providern oder Rechenzentren bedrohen.

438TB

Das kumulierte Angriffsvolumen stieg von ursprünglich 110 TB massiv an.

225%

Die im Link11-Netzwerk registrierten DDoS-Angriffe im Vergleich zum Vorjahr.

Angriffe nehmen zu

Die Zunahme von DDoS-Angriffen resultiert aus mehreren Faktoren, nimmt aber besonders aufgrund globaler Spannungen weiter zu. Dabei treiben zwei Trends die Zahlen nach oben: Mehr große Angriffe mit höheren Spitzenwerten sowie der Anstieg von vielen kleineren Attacken.

Neuer Angriffstyp klopft an

Mit sogenannten Jo-Jo-DDoS-Angriffen hat sich eine neue Form von Layer-7-Attacken gezeigt. Jo-Jo-DDoS-Angriffe zielen auf die Auto-Scaling-Funktionen von Cloud-Infrastrukturen ab. Statt Systeme dauerhaft zu überlasten, erzeugen sie wechselnde Lastspitzen und Ruhephasen, die Instabilität und hohe Kosten verursachen.

Turboangriffe nehmen ab

Während wir im Link11-Netzwerk 2024 noch verstärkt Turboangriff gemessen haben, weichen diese zusehends lange, ausdauernden Attacken. Der längste dokumentierte Angriff in der ersten Jahreshälfte 2025 dauerte 12.388 Minuten, also rund acht Tage und 14 Stunden.

ISPs im Fadenkreuz

Ein besorgniserregender Trend nimmt in der letzten Zeit zu: Mehr als doppelt so viele Attacken im Vergleich zum Vorjahr hatten eine kritische Größe um Backbone-Anbindungen lahmzulegen. Potenzielle Schäden fallen großflächiger aus und sind für Anbieter sowie deren Kunden deutlich kostspieliger.

ML und KI im Fokus

Angreifer nutzen Künstliche Intelligenz und Machine Learning, um Schwachstellen schneller aufzuspüren und auszunutzen. Gleichzeitig wächst die Zahl ungeschützter IoT- und Smart-Home-Geräte, die als leicht angreifbares Reservoir für automatisiert gesteuerte Botnetze dienen.

Angriffsfokus verschiebt sich

Die WAAP-Analyse zeigt von H1 2024 auf H1 2025 sektorale Verschiebungen: Angeführt von Finanzwesen, öffentlichem Sektor sowie Retail & E-Commerce, gefolgt von Verteidigung, Telekommunikation und Gesundheit. Besonders stark nahmen die Angriffe auf Verteidigung, Retail & E-Commerce sowie Logistik & Transport zu.

Länder des DDoS-Datenverkehrs (nicht Herkunft der Angreifer)

Herkunft des DDoS-Traffics: Globale Verteilung der Angriffsinfrastruktur 2025

Wir sehen nicht mehr nur rohe Gewalt in Form von Bandbreite, sondern hochpräzise Layer-7-Angriffe. 20.000 täuschend echte Requests pro Minute können gefährlicher sein als 200 Millionen Pakete pro Sekunde, wenn sie unsichtbar im legitimen Traffic untergehen.

Jag Bains

VP Solution Engineer Link11

Die Angreifer tarnen sich geschickt über VPNs, CDNs und Geo-IP-Verschleierung. Dadurch sieht es plötzlich so aus, als kämen die Anfragen aus der Nachbarschaft, während das System gleichzeitig aus Vietnam, Russland oder den USA bombardiert wird.

Sean Power

Solution Engineer Link11

Die Dimensionen sind echt erschreckend. Im ersten Halbjahr 2025 wurden 438 Terabyte DDoS-Traffic bewegt. Das entspricht mehr als sieben Jahre ununterbrochenem Netflix-Streaming in 4K. Solche Vergleiche zeigen die Bedrohung besser als jede Statistik.

Jens-Philipp Jung

CEO Link11