Nicht alle Angriffe sind spektakulär. Manche verlaufen eher unscheinbar, ohne dabei Rekordwerte bei Bandbreite oder Paketvolumen zu erreichen. So auch die folgende DDoS-Attacke: Auf den ersten Blick wirkt er eher unspektakulär, da das Volumen bei rund drei Millionen Requests lag. Im Vergleich zu groß angelegten DDoS-Kampagnen ist dies kein außergewöhnlicher Wert. Dennoch lohnt sich ein genauerer Blick auf die Struktur. Denn diese zeigt, wie Angreifer selbst mit begrenzten Mitteln versuchen, Webanwendungen gezielt zu stören. 

Auffälliges Traffic-Muster: langsamer Anstieg, plötzlicher Peak 

Der Traffic-Verlauf zeigte zunächst einen langsamen, kontinuierlichen Anstieg der Anfragen. Danach folgte ein einzelner, deutlich sichtbarer Peak. Im Gegensatz zu massiven volumetrischen Angriffen blieb das Gesamtvolumen jedoch moderat. 

Charakteristisch war zudem, dass sich der Angriff ausschließlich auf die Root-Domain, also die Startseite der Website, konzentrierte und nicht auf spezifische Unterverzeichnisse oder API-Endpunkte. Solche Muster sind typisch für vereinfachte Botnet-Aktivitäten, bei denen keine gezielte Analyse von Anwendungspunkten erfolgt, sondern generische Anfragen an den Hauptendpunkt gesendet werden. 

Geografische Einschränkung als Schutzmaßnahme 

In diesem Fall war die bestehende Zugriffsbeschränkung ein wesentlicher Faktor: Für die betroffenen Domains war eine Regel aktiv, die nur Traffic aus bestimmten Regionen zuließ, wie etwa den USA und Europa. Anfragen aus anderen Ländern wurden automatisch blockiert. Ein großer Teil des Angriffsverkehrs stammte jedoch aus Ländern, die nicht auf der Whitelist standen, darunter China, Indien oder die Türkei. Diese Requests wurden unmittelbar verworfen. 

Gleichzeitig wurde ein Teil des Traffics aus zugelassenen Ländern wie Deutschland blockiert. Die Ursache lag dabei nicht in der Geofilterung, sondern in anderen Schutzmechanismen wie dem Rate-Limiting. 

Rate Limiting: Schutz vor zu vielen Anfragen 

Rate-Limiting ist eine gängige Methode, um Webanwendungen abzusichern. Dabei wird festgelegt, wie viele Anfragen ein Client innerhalb eines bestimmten Zeitfensters stellen darf. Wird diese Schwelle von einer IP-Adresse überschritten, werden weitere Requests temporär blockiert. 

Im vorliegenden Fall zeigte sich, dass ein Großteil der zugelassenen deutschen Anfragen aus genau diesem Grund abgewiesen wurde. Dies deutet darauf hin, dass die betreffenden IP-Adressen in kurzer Zeit ungewöhnlich viele Requests generierten. Ein typisches Muster für automatisierte Botanfragen. 

GET-Request im Fokus 

Zudem wurden auch HTTP-Anfragen mit der Methode GET blockiert. Das wirft zunächst Fragen auf, da GET die am häufigsten genutzte HTTP-Methode ist. 

Um dies einzuordnen, lohnt sich ein kurzer Blick auf die Grundlagen des HTTP-Protokolls. 

HTTP (Hypertext Transfer Protocol) definiert verschiedene Methoden, mit denen Clients (z. B. Browser) mit einem Webserver kommunizieren. Zu den wichtigsten zählen: 

• GET: Ruft Informationen vom Server ab 

• POST: Sendet Daten an den Server (z. B. Formulareingaben). 

• PUT: Aktualisiert bestehende Ressourcen. 

• DELETE: Löscht Ressourcen. 

• HEAD: Fordert nur Header-Informationen an. 

Die GET-Methode dient ausschließlich dazu, Informationen vom Server zu erhalten. Ein klassischer Seitenaufruf im Browser ist technisch gesehen ein GET-Request. Dabei werden keine Daten verändert oder gespeichert, sondern lediglich eine Ressource abgefragt. 

Genau deshalb gilt GET grundsätzlich als „harmlos“: Über einen reinen GET-Request lassen sich keine Daten auf dem Server verändern oder direkt einschleusen. Injection-Angriffe zielen typischerweise auf Parameter oder andere Schwachstellen ab, nicht auf die Methode selbst. 

Warum GET dennoch blockiert wird 

Es kann sinnvoll sein, GET-Anfragen gezielt zu blockieren, wenn eine Anwendung diese nicht benötigt. In spezialisierten APIs oder Backend-Systemen, die ausschließlich POST-Anfragen erwarten, kann das Blockieren aller GET-Anfragen die Angriffsfläche reduzieren. Hier war ein solcher Filter aktiv. Alle GET-Anfragen wurden automatisch verworfen. 

Da der beobachtete Angriff ausschließlich mit der GET-Methode arbeitete und nur die Root-Domain ansprach, wurde der Verkehr vollständig abgefangen. Es handelte sich also um eine einfache, massenhafte Nutzung der Standardmethode, um Serverressourcen zu binden. 

Kleine Botnetze, reale Auswirkungen 

Im Gegensatz zu großen Botnetzen handelte es sich um ein kleines Netz mit einer geringen Anzahl beteiligter IP-Adressen. Das bedeutet jedoch nicht, dass kein Risiko besteht.

Ob ein Angriff erfolgreich ist, hängt auch von der Zielinfrastruktur ab. Eine ressourcenintensive Webanwendung oder ein schlecht skalierter Server kann bereits durch moderate Request-Zahlen überlastet werden.  

Besonders bei vielen gleichzeitigen Verbindungen oder der Generierung dynamischer Inhalte steigt die CPU- und Speicherbelastung schnell an. Solche Angriffe zielen auf Anwendungsebene. Sie versuchen, Serverressourcen durch viele HTTP-Anfragen zu binden. 

GET-Anfragen sind alltäglich, weshalb sie nicht pauschal als bösartig klassifiziert werden können. Erst in Kombination mit Frequenz, Herkunft und Verhaltensmustern entsteht ein belastbares Bild. Der Vorfall verdeutlicht, dass nicht die Größe des Botnetzes, sondern die Wechselwirkung zwischen Angriffsstrategie und Zielarchitektur über das Risiko entscheidet. 

Ein kleiner, sauber strukturierter Angriff kann dennoch Wirkung entfalten, insbesondere bei fehlenden Schutzmechanismen. In diesem Fall blieben sie wirksam.

Haben Sie Fragen zum Thema oder brauchen Informationen, wie Sie sich ideal auf solche Angriffe vorbereiten können?

Jetzt unsere Cyberexperten kontaktieren>>

Das könnte Ihnen auch gefallen:

5 Dinge, die Sie über DDoS wissen sollten

Download

Trends 2026: Web Application Security, Resilienz, Digitale Souveränität

Download

European Cyber Report 2026

Download

20 Jahre DDoS – Ein Blick zurück und was die Zukunft bringt

Read more

3 Learnings, die jedes Unternehmen aus dem DDoS-Angriff auf die Bahn ziehen sollte

Read more

Wenn ein Unternehmen Ziel eines Distributed Denial-of-Service (DDoS)-Angriffs wird, ist der erste Reflex oft, den vermeintlich schädlichen Traffic so schnell und rigoros wie möglich zu blockieren. Doch was passiert, wenn die Abwehrmaßnahmen über das Ziel hinausschießen und genau die Menschen aussperren, die man eigentlich bedienen möchte?

Wenn der Schutz zum Hindernis wird: False Positives in der DDoS-Abwehr

In der Cybersicherheit beschreibt ein „False Positive“ eine Situation, in der ein Schutzsystem völlig legitimen, harmlosen Datenverkehr irrtümlich als Bedrohung einstuft und abweist. Bei der DDoS-Mitigation kann dies geschehen, wenn ein Netzwerk plötzliche, aber echte Traffic-Spitzen verzeichnet, die zum Beispiel durch eine erfolgreiche Marketingkampagne, einen großen Produkt-Launch oder saisonale Events ausgelöst werden. Ein starr konfiguriertes Abwehrsystem registriert den rapiden Anstieg der Zugriffe, verwechselt den Ansturm der echten Kunden mit einer böswilligen Bot-Attacke und blockiert sie.

Das paradoxe Ergebnis: Die IT-Infrastruktur ist zwar geschützt, aber für einen Teil der eigentlichen Zielgruppe ist der Dienst aber dennoch offline. False Positives verursachen somit direkte Serviceunterbrechungen, frustrieren Kunden und können zu Umsatzeinbußen sowie Reputationsschäden führen.

Das False-Positive-Dilemma herkömmlicher Schutzsysteme

Viele klassische DDoS-Schutzsysteme verwenden noch immer ältere Methoden wie feste Regeln oder simples Rate-Limiting. Bei schnell ablaufenden Angriffen auf Layer 3 und Layer 4 oder plötzlichen Traffic-Spitzen stoßen diese starren Methoden jedoch schnell an ihre Grenzen.

Dieses Dilemma belastet nicht nur die Endnutzer, sondern auch die internen IT- und Sicherheitsteams enorm. Für Teams im Security Operations Center und Network Operations Center bedeutet lösen bereits Störungen bei einzelnen Nutzern zeitaufwendige Ursachenanalysen aus. Die Teams verbringen Stunden damit herauszufinden, ob Ausfälle durch Angriffe oder durch Fehlalarme verursacht wurden.

Erschwert wird diese Situation zusätzlich durch traditionelle „Black-Box“-Systeme, die Traffic filtern, ohne den Administratoren transparent und nachvollziehbar zu erklären, warum eine bestimmte Verbindung überhaupt blockiert wurde.

Der Weg in die Zukunft: Intelligente, verhaltensbasierte Mitigation

Um diesem branchenweiten Problem zu begegnen, sollte sich der Fokus der modernen Cybersicherheit zunehmend auf intelligente, verhaltensbasierte Analysen (Behavioral Analytics), gepaart mit adaptiven Engines, verlagern. Statt pauschal Datenverkehr zu drosseln, analysieren solche Systeme Live-Traffic-Muster mithilfe einer hochentwickelten verhaltensbasierten Erkennung und setzen auf eine granulare Per-Protokoll- und Per-Port-Filterung. Das bringt drei entscheidende Vorteile für moderne Netzwerkinfrastrukturen:

• Geringerer Bedarf für  Manual Tuning durch adaptives Lernen: Eine Auto-Learning Mitigation Engine passt sich in Echtzeit an das normale Verhalten des Netzwerks an. Dadurch werden False Positives, die unnötige Ausfallzeiten verursachen, drastisch reduziert. Das aufwendige, fehleranfällige manuelle Anpassen von Schwellenwerten entfällt komplett, wodurch sich das Team wieder auf strategische Aufgaben fokussieren kann.
• Proaktiver, always-on Schutz für mehr Sicherheit und Kontrolle: Moderner DDoS-Schutz muss Angriffe stoppen, bevor sie die Netzwerkleistung oder die Verfügbarkeit von Diensten beeinträchtigen können. Ein proaktiver, always-on Schutz erkennt bösartigen Datenverkehr frühzeitig und wehrt ihn an der Quelle ab, bevor er den legitimen Datenverkehr stören kann. Dies Hilf Unternehmen, auch bei schnell ablaufenden Angriffen eine stabile Leistung, kontinuierliche Verfügbarkeit und volle Kontrolle aufrechtzuerhalten.
• Forensische Transparenz statt Black-Box: Wenn Traffic blockiert wird, brauchen Sicherheitsteams sofortige Klarheit. Eine moderne Abwehrarchitektur ersetzt die Black-Box durch forensische Sichtbarkeit in Echtzeit. Anhand von detaillierten Live-Dashboards, spezifischen „Reason Codes“ und Echtzeit-Logs können Security-Teams jederzeit exakt und auditsicher nachvollziehen, auf welcher Basis eine Mitigationsentscheidung getroffen wurde.

Die neue Ära der DDoS-Abwehr

In einer Zeit, in der Uptime gleichbedeutend mit Umsatz und Reputation ist, darf Cybersicherheit den Geschäftsbetrieb nicht behindern. Mit intelligenter Network DDoS-Mitigation müssen Unternehmen sich nicht mehr zwischen maximalem Schutz und optimaler User Experience entscheiden. Wer auf verhaltensbasierte, transparente und granulare Abwehrmechanismen setzt, stellt sicher, dass Netzwerke nicht nur vor Bedrohungen geschützt sind, sondern für legitime Nutzer jederzeit offen bleiben.

Das könnte Ihnen auch gefallen:

WAAP: Unsichtbare Angriffe, sichtbare Risiken

Download

European Cyber Report 2026

Download

DDoS oder Smokescreen? Warum Volumenangriffe oft nur die halbe Wahrheit sind

Read more

Wenn ein ganzes Netz unter Beschuss steht: Carpet Bombing als DDoS-Strategie 

Read more

WAF war gestern: Warum WAAP die Antwort auf heutige Bedrohungen ist 

Read more

Nicht jede DDoS-Attacke verfolgt dasselbe Ziel. Manche sollen lediglich überlasten, andere sollen etwas verbergen. Ein massiver Anstieg der Request-Zahlen löst zwar in jedem SOC sofort Alarm aus, doch wenn innerhalb kürzester Zeit Millionen Anfragen auf die Infrastruktur einprasseln, greift die Standarddiagnose oft zu kurz. 

Auf den ersten Blick scheint der Fall klar: ein klassischer DDoS-Angriff, der die Verfügbarkeit lahmlegen soll. Doch Vorsicht vor dem Offensichtlichen. Eine aktuelle Analyse von zwei verschiedenen Angriffsszenarien zeigt sehr deutlich, wie unterschiedlich die Motivation hinter scheinbar ähnlichem Traffic aussehen kann und warum genau dieser Unterschied für die Sicherheitsstrategie von entscheidender Bedeutung ist. 

Während der eine Angriff lediglich „Lärm“ macht, nutzt der andere diesen Lärm als Tarnung für weitaus gefährlichere Operationen.  

Fall 1: Der klassische DDoS-Angriff 

Im ersten Szenario wurde ein Login-Bereich mit rund 17 Millionen Requests attackiert. Mehrere tausend IP-Adressen zielten dabei primär auf die Root-Domain.  

Technisch betrachtet handelte es sich um einen „sauberen“, wenn auch massiven Volumenangriff.

Die forensischen Kennzahlen waren eindeutig: 

• Reiner Traffic-Overload zur Ressourcenerschöpfung. 

• Typische DDoS-Signaturen, die sofortige Rate-Limit-Trigger auslösten. 

• Keine Hinweise auf SQL-Injection- oder Cross-Site-Scripting-Versuche (XSS). 

Solche Attacken sind laut, hochgradig sichtbar und darauf ausgelegt, die Backend-Ressourcen zu binden oder gänzlich zu überfordern. Ohne vorgeschaltete Schutzmechanismen kann bereits ein Botnetz dieser Größe ausreichen, um kritische Anwendungen an ihre Belastungsgrenze zu bringen und massive Ausfälle zu verursachen. 

Das ist die „klassische“ DDoS-Dynamik. Mit einer modernen WAAP-Plattform (Web Application & API Protection) bleibt der Effekt begrenzt: IP-Adressen werden automatisiert geblockt, Rate-Limits greifen präzise und der Angriff verpufft als gefiltertes Hintergrundrauschen. 

Fall 2: DDoS als Ablenkungsmanöver 

Das zweite Szenario verlief technisch ähnlich, war jedoch strategisch weitaus perfider. Hier gerieten zwei Domains, darunter eine hochfrequentierte Buchungsplattform, gleichzeitig ins Visier. Mit einem Volumen von 14 bis 40 Millionen Requests war die Intensität höher als im ersten Fall.  

Die Analyse der Web Application Firewall (WAF) förderte jedoch ein gefährliches Zusatzmuster zutage: gezielte Signaturen für SQL-Injections und Cross-Site-Scripting (XSS). 

Auszug aus der WAF-Analyse: 

Dieses Muster lässt auf einen „Smokescreen“- Angriff schließen. Die dahinterstehende Logik ist so simpel wie gefährlich: 

• Der „Lärm“: Ein massiver DDoS-Angriff erzeugt operative Hektik, flutet Monitoring-Systeme mit Alarmen und bläht Logfiles gigantisch auf. 

• Die Tarnung: Im Windschatten dieses Rauschens versuchen Angreifer, leise und präzise Exploits zu platzieren, in der Hoffnung, dass diese in der Masse der Fehlermeldungen untergehen. 

In diesem spezifischen Fall scheiterten die Angreifer jedoch an ihrer eigenen Ökonomie. Da sie für den volumetrischen DDoS und die Infiltrationsversuche dieselben IP-Adressen nutzten, waren diese bereits durch die DDoS-Schutzregeln blockiert, bevor die SQL- oder XSS-Versuche überhaupt eine Chance hatten. 

Technisch war dieser Ansatz in seiner Ausführung zwar nicht sonderlich ausgereift, ein versierterer Akteur hätte getrennte Infrastrukturen und IP-Pools genutzt, doch die Absicht war eindeutig. Genau hier liegt der entscheidende Unterschied zum reinen Volumenangriff: Während bei Fall 1 die Störung im Vordergrund stand, zielte Fall 2 auf die Kompromittierung des Systems ab. Ein Risiko, das isolierte Sicherheitslösungen ohne korrelierende Intelligenz oft schutzlos zurücklässt. 

Der strategische Unterschied

Hätte das Unternehmen im zweiten Fall lediglich einen isolierten DDoS-Schutz ohne verzahnte WAF-Intelligenz eingesetzt, wäre der „Rauch” zwar gefiltert worden, die feinen Nadelstiche der SQL-Injections hätten jedoch die Backend-Systeme erreichen können. 

Die entscheidenden Faktoren waren: 

1. Automatisierte IP-Quarantäne: Eine IP, die durch DDoS-Muster auffällt, wird sofort global gesperrt. 

2. Übergreifende Reputation: Die Erkenntnis über eine bösartige IP auf Domain A schützt sofort Domain B. 

3. Ganzheitliche Sicht: Sicherheitsteams erkennen nicht nur den „Sturm“, sondern das gesamte Angriffsmuster. 

Fazit  

Nicht jeder Traffic-Peak ist ein reines Kapazitätsproblem. In einer hybriden Bedrohungslandschaft ist ein DDoS-Angriff häufig nur die Kulisse, hinter der sich ganz andere Vorgänge abspielen. Wer nur auf die Bandbreite schaut, übersieht das eigentliche Risiko. Resilienz bedeutet heute nicht nur, „online” zu bleiben, sondern Angriffe in ihrer Gesamtheit zu dekodieren. 

Möchten Sie erfahren, wie eine moderne WAAP-Architektur DDoS- und Applikationsangriffe in Echtzeit korreliert und vollautomatisch stoppt? Erfahren Sie jetzt mehr über die ganzheitlichen Schutzlösungen von Link11.

Jetzt unsere Experten kontaktieren >>

Das könnte Ihnen auch gefallen:

Eine Lektion in Carpetbombing und ausgeklügelter Ressourcensteuerung

Read more

Wenn echte Geräte zur Waffe werden – eine neue Form des Low-and-Slow-Angriffs 

Read more

Cybersecurity in Unternehmen: Warum Prävention der Schlüssel ist 

Read more

WAAP: Unsichtbare Angriffe, sichtbare Risiken

Download

Trends 2026: Web Application Security, Resilienz, Digitale Souveränität

Download

Blogbeitrag von Dr. Georgia Papaioannou, Microsoft Deutschland 

Cybersicherheit ist längst nicht mehr nur ein technisches Thema. Jedes Unternehmen kann potenziell Ziel von Angriffen werden, unabhängig von Branche oder Größe. Gleichzeitig werden die Bedrohungen immer komplexer: von Ransomware über Angriffe auf die Lieferkette bis hin zu politisch motivierten Hackeraktionen. Das bedeutet, dass Unternehmen Cybersecurity nicht nur operativ, sondern auch strategisch betrachten müssen. Nur so lässt sich IT-Sicherheit wirksam gestalten und in die Geschäftsstrategie integrieren. 

Cybersecurity als strategisches Thema 

IT-Sicherheit darf nicht isoliert betrachtet werden. Sie ist nicht nur ein Schutzinstrument für die IT-Abteilung, sondern ein strategischer Erfolgsfaktor für das gesamte Unternehmen. Sicherheitsmaßnahmen beeinflussen Geschäftsprozesse, den Ruf des Unternehmens und somit letztlich auch den wirtschaftlichen Erfolg. 

Risiken in greifbare Zahlen übersetzen 

Eine der größten Herausforderungen besteht darin, technische Bedrohungen in eine für die Unternehmensführung und Entscheidungsträger verständliche Sprache zu übersetzen. Fachbegriffe wie „Ransomware” oder „Zero-Day-Exploits” sind für das IT-Team relevant, für den Vorstand oder die Geschäftsleitung jedoch zum Teil noch unverständlich. 

Hier ist eine datenbasierte, geschäftsorientierte Kommunikation entscheidend. Anstatt technischer Details sollten konkrete Szenarien aufgezeigt werden, wie beispielsweise: „Ein erfolgreicher Angriff könnte drei Tage Produktionsstillstand und einen Umsatzverlust von zwei Millionen Euro verursachen.“ Solche greifbaren Zahlen erzeugen Aufmerksamkeit und verdeutlichen die wirtschaftlichen Konsequenzen von Cyberrisiken. 

Stakeholder-Management und bereichsübergreifende Zusammenarbeit 

Cybersecurity betrifft alle Unternehmensbereiche – von der IT über die Personalabteilung bis hin zu Forschung und Entwicklung. Nur wenn diese Bereiche in die Strategie eingebunden werden, lassen sich Sicherheitsmaßnahmen effektiv umsetzen. Eine offene und verständliche Kommunikation schafft Vertrauen und ermöglicht die Bildung von Allianzen innerhalb des Unternehmens. 

Erfolgreiche Sicherheitsverantwortliche verstehen sich als Enabler: Sie möchten dabei helfen, Risiken zu minimieren und Geschäftsziele zu erreichen. Dazu gehört nicht nur die Darstellung von Risiken, sondern auch die Begründung von Maßnahmen mit klaren Kennzahlen. KPIs und Risikoanalysen belegen, wie Security-Initiativen Unternehmensziele fördern, Kosten reduzieren und die digitale Transformation sichern. 

Die Rolle von Business-orientierter Kommunikation 

Technisches Wissen ist wichtig, reicht jedoch allein nicht aus. Entscheidend sind die Fähigkeiten, Risiken strategisch zu bewerten, ihre Eintrittswahrscheinlichkeit einzuschätzen und Kosten-Nutzen-Analysen durchzuführen. Die Ergebnisse müssen in einer verständlichen Sprache vermittelt werden, die nicht nur Fachleute, sondern auch das C-Level erreicht. 

Eine zielgerichtete, businessorientierte Kommunikation erlaubt es, IT-Sicherheit als integralen Bestandteil der Unternehmensstrategie zu positionieren. Dadurch werden Sicherheitsmaßnahmen als Investition und nicht als Kostenfaktor wahrgenommen. So wird Cybersicherheit zum strategischen Vorteil und nicht nur zum Pflichtprogramm. 

Prävention statt Reaktion 

Ein zentrales Prinzip der Cybersicherheit lautet: Prävention ist effektiver und kostengünstiger als Reaktion. In vielen Unternehmen zeigt sich jedoch ein anderes Bild: Sicherheitsmaßnahmen werden oft erst dann ernsthaft umgesetzt, wenn bereits ein Vorfall eingetreten ist. Dies ähnelt der Situation in der Medizin, wenn Patienten erst zum Arzt gehen, wenn ihre Symptome ernst werden. 

Prävention als kontinuierlicher Prozess 

Prävention umfasst weit mehr als die einmalige Implementierung von Sicherheitssoftware. Es handelt sich um einen kontinuierlichen Prozess, der Awareness-Schulungen, regelmäßiges Monitoring, Incident Response, Forensik und die Dokumentation von Vorfällen einschließt. Ähnlich wie ein gut gepflegtes Immunsystem schützt sie das Unternehmen proaktiv vor Angriffen. 

Awareness-Programme erhöhen das Bewusstsein der Mitarbeitenden für Risiken und fördern sicheres Verhalten. Monitoring und Logging ermöglichen die frühzeitige Erkennung von Anomalien, während Incident-Response- und Forensik-Prozesse sicherstellen, dass im Falle eines Angriffs schnell gehandelt werden kann. Die regelmäßige Dokumentation wiederum unterstützt die Nachverfolgung von Vorfällen und die Ableitung von Verbesserungsmaßnahmen. 

Wirtschaftliche Effekte präventiver Maßnahmen 

Prävention kostet zwar zunächst Ressourcen, ist aber langfristig deutlich günstiger als die Reaktion auf einen Sicherheitsvorfall. Ein erfolgreicher Cyberangriff kann nämlich Produktionsausfälle, Umsatzeinbußen, Reputationsschäden und rechtliche Konsequenzen nach sich ziehen. Die Kosten eines Angriffs übersteigen in der Regel die Investitionen in präventive Sicherheitsmaßnahmen um ein Vielfaches. 

Mentalitätswandel in der Unternehmensführung 

Neben technischen Maßnahmen erfordert Prävention vor allem einen Mentalitätswandel: IT-Sicherheit muss als fortlaufender strategischer Prozess verstanden werden, der Teil der Unternehmenskultur ist. Sicherheitsverantwortliche sollten nicht nur auf Vorfälle reagieren, sondern proaktiv die Resilienz des Unternehmens stärken. 

Unternehmen, die IT-Sicherheit präventiv angehen, können Schwachstellen frühzeitig identifizieren, Risiken minimieren und die Widerstandsfähigkeit ihrer Prozesse erhöhen. Ein solcher Ansatz verändert die Sicht auf Cybersicherheit grundlegend: weg von der Kostenstelle, hin zu einem strategischen Schutzmechanismus, der Geschäftsziele absichert. 

Fazit 

Cybersecurity ist mehr als nur Technik: Es ist ein strategisches Thema, das alle Unternehmensbereiche betrifft. Erfolgreiche Sicherheitsstrategien verbinden technisches Wissen mit einer geschäftsorientierten Perspektive, übersetzen Risiken in greifbare Zahlen und bilden bereichsübergreifende Allianzen. 

Prävention ist dabei der Schlüssel. Unternehmen, die frühzeitig handeln, Risiken kontinuierlich bewerten und Sicherheitsmaßnahmen als integralen Bestandteil ihrer Strategie verstehen, minimieren nicht nur Schäden, sondern schaffen auch Vertrauen bei Kunden, Partnern und Mitarbeitenden. 

Cybersecurity ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess, ähnlich wie Gesundheitsvorsorge. Unternehmen, die dies erkennen, sind widerstandsfähiger, wirtschaftlich erfolgreicher und zukunftsfähiger. 

Dr. Georgia Papaioannou 
Dr. Georgia Papaioannou ist Security Specialist bei Microsoft Deutschland mit Fokus auf Cybersicherheit, Compliance und Identitätsmanagement. Sie ist als Mentorin aktiv und engagiert sich in Programmen wie She@ISACA und Women4Cyber Deutschland, um den Einstieg von Frauen in die IT-Sicherheit zu fördern.  

Das könnte Ihnen auch gefallen:

WAAP: Unsichtbare Angriffe, sichtbare Risiken

Download

European Cyber Report 2026

Download

Trends 2026: Web Application Security, Resilienz, Digitale Souveränität

Download

WAF war gestern: Warum WAAP die Antwort auf heutige Bedrohungen ist 

Read more

Viele Sicherheitslösungen im Einsatz? Wie weniger Werkzeuge zu mehr Kontrolle führen 

Read more

Ein Gastbeitrag von Dr. Dominik Schürmann, Gründer & CEO von heylogin 

Ich weiß nicht, wie oft ich in den letzten Jahren auf „Passwort vergessen?” geklickt habe. Vermutlich zu oft. Und ich bin mir sicher: Ich bin nicht allein. 

Passwörter sind ein notwendiges Übel. Seit Jahrzehnten begleiten sie uns durchs Internet, obwohl wir alle wissen, dass sie alles andere als sicher sind. Menschen verwenden dieselben Passwörter auf zig Plattformen, notieren sie in Textdateien oder speichern sie unverschlüsselt im Browser. Und selbst wer alles richtig macht, ist nicht vor Datenlecks geschützt. 

Ich habe viele Jahre in der IT-Sicherheitsforschung und an Lösungen für eine sichere Authentifizierung gearbeitet. Wenn ich eins gelernt habe, dann das: Das Problem liegt nicht beim Menschen, sondern im System. Und genau dieses System verändert sich dank Passkeys immer mehr.  

Passkeys: Was steckt dahinter? 

Passkeys sind kein neues Passwortformat, sondern basieren auf einem neuen Konzept. Im Kern ersetzen sie Passwörter durch ein kryptografisches Schlüsselpaar. Dieses Prinzip ist aus der modernen IT-Sicherheit bereits bekannt. 

Das funktioniert so: 

• Ein privater Schlüssel bleibt sicher auf dem Gerät des Nutzers, z. B. Smartphone oder Laptop. 

• Ein öffentlicher Schlüssel wird auf der Website oder in der App gespeichert. 

• Wenn sich jemand einloggt, signiert das Gerät eine einmalige Challenge. Es wird kein Passwort übertragen oder gespeichert. 

Das bedeutet: Selbst wenn ein Server gehackt wird, gibt es dort kein Passwort, das gestohlen werden könnte. Und Phishing-Angriffe? Sie laufen ins Leere, da Passkeys nur für die echte Website funktionieren, nicht aber für eine täuschend ähnliche Kopie. 

Kurz gesagt sind Passkeys sicherer und bequemer. 

Warum Passkeys die bessere Lösung sind 

Die klassische Passwortauthentifizierung hat zwei große Schwächen: 

1. Sie hängt vom Menschen ab. Wir sollen uns komplizierte, einzigartige Passwörter merken und sie regelmäßig ändern. Das widerspricht der menschlichen Natur. 

2. Sie macht uns angreifbar. Datenlecks, Passwort-Wiederverwendung, Social Engineering – Passwörter sind das schwächste Glied in der Sicherheitskette. 

Passkeys lösen dieses Problem, da sie so konstruiert sind, dass sie menschliche Fehler kompensieren. Niemand muss sich etwas merken oder eingeben. Der Login erfolgt per Fingerabdruck-, Gesichtserkennung oder Geräte-PIN. Dabei werden keine biometrischen Daten in das Internet übertragen, sondern der Zugriff auf den benötigten Passkey lokal hergestellt.Das ist sicher, schnell und transparent. 

Der Weg in die Praxis 

Apple, Google und Microsoft wollen Passkeys weltweit etablieren. Das ist gut, gleichzeitig ein zweischneidiges Schwert. Denn wer Passkeys in den großen Ökosystemen anlegt, bindet sich zugleich an deren Infrastruktur. Die Schlüssel werden zwar sicher, aber zentral über iCloud, Google oder Microsoft-Konten synchronisiert. 

Für viele Nutzer ist dies eine akzeptable Lösung. Gerade Unternehmen oder sicherheitsbewusste Privatpersonen wünschen sich jedoch mehr Unabhängigkeit. Anbieter wie heylogin entwickeln daher Lösungen, die eine datenschutzfreundliche und plattformunabhängige Nutzung von Passkeys ermöglichen. Denn eine Technologie, die Sicherheit bieten soll, darf keine neue Abhängigkeit schaffen. 

Ich bin davon überzeugt, dass die Zukunft der Authentifizierung nicht allein den großen Plattformen gehören darf. Für die Entfaltung des vollen Potenzials von Passkeys sind offene Standards und vertrauenswürdige Alternativen unerlässlich. 

Sicherheit braucht Vertrauen und Verständnis 

Trotz der vielen Vorteile höre ich oft die Frage: „Das klingt alles schön, aber was ist, wenn ich mein Smartphone verliere?“ 

Eine berechtigte Frage. Doch auch hierfür sind Passkeys gut durchdacht. Die privaten Schlüssel werden in der Regel über mehrere Geräte hinweg synchronisiert und können über ein Backup-System wiederhergestellt werden. Bei einem sicheren Passwort-Manager, wie heylogin, läuft diese Synchronisation Ende-zu-Ende-verschlüsselt ohne dass der Betreiber des Passwort-Managers auf Passkeys zugreifen kann. 

Ein weiterer Vorteil ist, dass Passkeys nicht nur sicherer, sondern auch bequemer sind. Es ist kein Eintippen, kein Copy-Paste und keine Codes per SMS mehr nötig. Ein Klick genügt und du bist eingeloggt. 

In der Praxis führt diese Kombination aus Sicherheit und Komfort zu einem kulturellen Wandel: Sicherheit wird nicht mehr als Hürde empfunden, sondern als selbstverständlich integriert. 

Der Mensch im Mittelpunkt 

In der Sicherheitsforschung wird der Fokus häufig auf technische Aspekte gelegt. Dabei kommt die Bedeutung der Menschen als Teil des Sicherheitskontexts oftmals zu kurz. Doch am Ende geht es genau darum: Technologien zu entwickeln, die Menschen helfen, sicher zu handeln, ohne sie zu überfordern. 

Passkeys bieten genau diese Möglichkeit. Sie entlasten den Nutzer von der Verantwortung für Komplexität, ohne ihm Kontrolle zu entziehen. Für mich ist dies der entscheidende Unterschied: 

Gute Sicherheit ist unsichtbar und sie funktioniert einfach. 

Ein Blick in die Zukunft 

Wer heute Websites oder digitale Produkte entwickelt, sollte Passkeys nicht als Zukunftsthema betrachten. Große Plattformen wie PayPal, eBay, Google, GitHub und LinkedIn unterstützen sie bereits. In den kommenden Jahren wird das Passwort nach und nach an Bedeutung verlieren – es wird sich also nicht plötzlich, sondern schrittweise durch neue Verfahren und Technologien in der Kommunikation und im Internet verdrängen lassen. 

Natürlich braucht dieser Wandel Zeit. Alte Systeme, konservative Infrastrukturen und das menschliche Bedürfnis nach Vertrautem bremsen den Fortschritt. Aber ich bin überzeugt: Die Richtung stimmt. 

In ein paar Jahren werden wir uns vielleicht fragen, warum wir jemals Passwörter benutzt haben. So wie wir uns heute fragen, wie wir früher ohne Smartphones ausgekommen sind. 

Fazit 

Die Zukunft der digitalen Sicherheit ist passwortlos. Passkeys sind keine kurzlebige Modeerscheinung, sondern eine logische Weiterentwicklung. Sie machen das Internet sicherer und das Leben einfacher. 

Ich wünsche mir, dass wir diese Entwicklung bewusst gestalten: offen, datenschutzfreundlich und benutzerzentriert. Denn Technologie allein reicht nicht aus. Sie braucht Vertrauen. Und Vertrauen entsteht, wenn Sicherheit sich wie Komfort anfühlt, nicht wie Kontrolle. 

Über den Autor 
Dr. Dominik Schürmann ist Gründer & CEO von heylogin und Experte für IT-Sicherheitsarchitekturen und benutzerfreundliche Authentifizierungslösungen. Er beschäftigt sich seit vielen Jahren mit der Schnittstelle zwischen Kryptografie, Datenschutz und User Experience. 

Wir haben bereits geklärt, dass WAAP die logische Antwort auf moderne Anwendungsarchitekturen ist. Doch was bedeutet das in der Praxis? Wenn wir die Theorie beiseitelegen, geht es bei WAAP vor allem darum, Sicherheit skalierbar und beherrschbar zu machen. 

Im Folgenden stellen wir Ihnen die vier entscheidenden Wege vor, wie WAAP Ihnen dabei hilft, die Kontrolle über Ihre digitale Infrastruktur zurückzugewinnen. 

Die Rückkehr der Sichtbarkeit 

Der erste praktische Mehrwert von WAAP zeigt sich dort, wo die klassische Web Application Firewall (WAF) an ihre Grenzen stößt: bei der Angriffsfläche selbst. Eine herkömmliche WAF prüft einzelne Requests gegen starre Regeln. Das ist effektiv gegen bekannte Muster, für verteilte Systeme jedoch unzureichend. 

WAAP setzt früher an und betrachtet Web-Anwendungen und APIs als zusammenhängendes System. 

• Kontextsicht: Es entsteht erstmals wieder Transparenz darüber, welche Schnittstellen überhaupt existieren (Stichwort: Shadow APIs). 

• Verhaltensanalyse: WAAP erkennt, was innerhalb einer spezifischen Anwendung „normal” ist. Allein diese Sichtbarkeit ist für viele Organisationen der wichtigste Schritt, um vom reaktiven Modus in eine proaktive Gestaltung zu gelangen. 

Infrastruktur-Entlastung: Sicherheit ohne Performance-Verlust 

Moderne Angriffe sind nicht nur raffinierter, sondern auch „lauter”. Bots, Scraper und DDoS-Attacken auf Anwendungsebene erzeugen eine enorme Last, durch die lokale Gateways oft bereits vor dem Eingreifen eines Filters in die Knie gehen. 

WAAP-Plattformen sind in der Regel Cloud-nativ aufgebaut und fungieren daher als Schutzschild am Rand des Netzes (Edge). Rechenintensive Aufgaben wie, 

1. TLS-Entschlüsselung 

2. Korrelation globaler Signale und 

3. komplexe Verhaltensanalysen  

wandern in die skalierbare Plattform des Providers.  

Für Betreiber bedeutet das weniger Druck auf die eigenen Systeme und das Ende des Kompromisses zwischen maximaler Sicherheit und optimaler Performance. 

• Vorteil für Admins: Ihre Server sehen nur noch „sauberen“ Traffic. 

• Vorteil für Entscheider: Sie müssen Ihre lokale Infrastruktur nicht für Traffic-Spitzen oder DDoS-Attacken überdimensionieren, da die Cloud diese Last abfängt. 

Intelligentere Entscheidungen  

Der entscheidende Unterschied liegt darin, wie WAAP über Blockade oder Durchlass entscheidet. Anstatt sich nur auf „Blacklists“ zu verlassen, kombiniert die Plattform verschiedene Signale wie API-Strukturen, Bot-Fingerprints, Reputationsdaten und Verhaltensanomalien. 

Bei klassischen Angriffen werden technische Lücken ausgenutzt, wie zum Beispiel SQL-Injections. Moderne Angreifer nutzen jedoch oft die Logik der Anwendung selbst aus, beispielsweise durch das automatisierte Ausprobieren von Rabattcodes oder das massive Abfragen von Lagerbeständen. 

WAAP-Lösungen korrelieren Signale über längere Zeiträume und helfen so, Angriffe zu erkennen. Wenn ein Client ungewöhnlich viele Abfragen in einer bestimmten Reihenfolge tätigt, schlägt das System Alarm, auch wenn jeder einzelne Request für sich genommen „legal” aussieht. Diesen kontextuellen Schutz kann eine punktuell arbeitende WAF strukturell nicht leisten.  

Der Unterschied liegt vor allem in der Flexibilität. Eine klassische Web Application Firewall (WAF) arbeitet mit festen Regeln, die definieren, was erlaubt oder verdächtig ist. Eine WAAP-Plattform ergänzt diesen Ansatz um Kontext- und Verhaltensanalyse und kann dadurch flexibler zwischen legitimer Nutzung und Missbrauch unterscheiden. Dadurch wird der Aufwand für manuelles Nachjustieren reduziert und der Schutz insgesamt anpassungsfähiger gemacht. 

Die unsichtbare Schwachstelle absichern 

Gerade bei APIs zeigt sich die strukturelle Überlegenheit. Sie haben klar definierte Strukturen und Logiken, die ein einfacher HTTP-Filter nicht versteht. WAAP kann diese Schemata validieren und Abweichungen in Echtzeit stoppen. Dies ist ein Schutzlevel, das Unternehmen heute dringend benötigen, da APIs zunehmend zum primären Ziel für Datendiebstahl werden. 

Skalierbarkeit als Zielbild 

Organisatorisch hilft WAAP dabei, Komplexität zu reduzieren. Anstatt mühsam Einzellösungen für WAF, Bot-Schutz, API-Security und DDoS-Abwehr zu orchestrieren, bündelt die Web Application & API Protection (WAAP) diese Funktionen in einer gemeinsamen Schutzschicht. 

Der eigentliche Mehrwert von WAAP besteht somit nicht nur im Blockieren von Angriffen. Es ist die Transformation der Anwendungssicherheit in ein Modell, das mit der Dynamik von APIs und Automatisierung mithalten kann. Für Organisationen, die ihre digitale Wertschöpfung skalieren wollen, ist WAAP somit keine nette Zusatzfunktion, sondern eine notwendige Basis. 

Jetzt kontaktieren >>

In der IT-Sicherheit gilt oft das folgende einfache Prinzip: Für jedes neue Problem wird ein neues Tool eingeführt. So ist in vielen Unternehmen mit der Zeit ein digitaler Flickenteppich gewachsen. Endpoint Protection hier, Firewalls dort, Identity-Management, DDoS-Schutz, WAF, Bot-Management und API-Security – alles wurde einzeln gekauft, konfiguriert und betrieben.  

Auf dem Papier sieht das nach einer lückenlosen Abdeckung aus. In der operativen Realität führt dieser „Best-of-Breed“-Ansatz jedoch oft in eine gefährliche Falle: versteckte Komplexität. Wenn Sicherheitsteams mehr Zeit damit verbringen, Informationen zwischen isolierten Systemen zusammenzutragen, als tatsächliche Risiken zu beheben, wird das Sicherheitsmodell selbst zum Risiko. 

Wenn Tools sich im Weg stehen 

Die Fragmentierung der Sicherheitslandschaft ist nicht nur ein administratives Ärgernis, sondern stellt auch eine operative Belastungsgrenze dar. Eine Barracuda-Umfrage aus dem Jahr 2025 zeigt, dass rund zwei Drittel (65 %) der Organisationen zu viele Sicherheitslösungen einsetzen, wobei mehr als die Hälfte (53 %) mangelnde Integration beklagt.  

Der Korrelations-Burnout: Wertvolle Zeit geht verloren, weil Teams Ereignisse aus verschiedenen Tools manuell verknüpfen müssen. Ein Sicherheitsvorfall wird so zum mühsamen Puzzlespiel. Diese Vielzahl führt paradoxerweise nicht zu mehr Schutz, sondern zu kritischen Engpässen: 77 % der Befragten berichten in der Umfrage von Barracuda von behinderter Detection und 78 % von erschwerter Threat-Mitigation. 

Blinde Flecken: Die Schnittstellen zwischen den Produkten werden oft nicht ausreichend überwacht. Genau diese Lücken zwischen den Zuständigkeiten der Einzeltools nutzen Angreifer aus. Eine aktuelle Umfrage unter mehr als 1.000 IT- und Sicherheitsteams bestätigt, dass die schiere Menge an Tools die Teams überfordert und die Fehleranfälligkeit durch unklare Verantwortlichkeiten der Systeme erhöht.  

Alarm-Müdigkeit: Ein Schwall an unkoordinierten Warnungen führt dazu, dass kritische Vorfälle im Rauschen der „False Positives“ untergehen. Im Heimdal State of MSP Agent Fatigue Report 2025 zeigt sich, dass mehr als die Hälfte der MSPs tägliche oder wöchentliche Alert Fatigue erleben.  

Die WAAP-Suite: Ein integrierter Schutzkompass statt Insellösungen 

An diesem Punkt setzt die Idee einer WAAP-Plattform (Web Application and API Protection) an. Sie ist keine weitere Anwendung in der Liste, sondern eine Konsolidierungsschicht. Anstatt Web-Security, API-Schutz, Bot-Management und DDoS-Abwehr getrennt voneinander zu betrachten, bündelt eine solche Lösung diese Funktionen unter einem gemeinsamen Dach. Das Ergebnis ist ein strategischer Dreiklang: 

1. Ganzheitlichkeit statt Rätselraten 

Eine WAAP-Plattform schafft ein gemeinsames Lagebild. Verdächtiges Verhalten ist dann nicht mehr nur ein isolierter Log-Eintrag in einem Bot-Tool, sondern wird sofort im Kontext von API-Missbrauch und ungewöhnlichen Zugriffsmustern sichtbar. Diese „Single Pane of Glass“-Sichtweise ermöglicht schnellere und fundiertere Entscheidungen. 

2. Konsistenz in der Policy-Durchsetzung 

In einer fragmentierten Landschaft können Widersprüche zwischen den Regeln der WAF und denen der API-Security entstehen. Eine integrierte Plattform erzwingt Konsistenz: gleiche Identitäten, gleiche Risikosignale, gleiche Durchsetzungspunkte. Das reduziert Fehler und minimiert den Wartungsaufwand erheblich. 

3. Ökonomische und personelle Effizienz 

Jedes Einzeltool verursacht Kosten für Lizenzen, Schulungen und den Betrieb. Eine konsolidierte Cloud-Plattform reduziert diesen Overhead. Rechenintensive Aufgaben wie die TLS-Entschlüsselung und Verhaltensanalyse werden zentral am Network Edge verarbeitet. Das schont die eigene Infrastruktur und durchbricht die Wissenssilos, unter denen Security-Teams aufgrund des Fachkräftemangels ohnehin leiden. 

Strategische Souveränität statt technisches Tool-Hopping 

Für Entscheider ist die Wahl einer Protection Suite vor allem eine Frage der Steuerbarkeit. Eine gewachsene Landschaft aus Insellösungen ist schwer zu auditieren und kaum sauber in Governance-Strukturen einzubetten. Eine WAAP-Plattform hingegen bietet einen zentralen Ankerpunkt für Richtlinien, Reporting und die Priorisierung von Geschäftsrisiken. 

Reduzierte Komplexität ist ein Sicherheitsfaktor 

Bei einem integrierten Schutz geht es nicht um „weniger Features“, sondern um mehr Kontrolle. Eine WAAP-Lösung entlastet die Infrastruktur, liefert Entscheidungsgrundlagen und ermöglicht es Teams, mit weniger Aufwand mehr Risiken zu beherrschen. 

In einer zunehmend hybriden und vernetzten IT-Welt ist die Reduzierung von Komplexität keine technologische Luxuslösung, sondern eine betriebswirtschaftliche Notwendigkeit. Wer Anwendungen und APIs als das versteht, was sie heute sind, nämlich das Herzstück des digitalen Geschäfts, braucht ein Schutzmodell, das mit dieser Realität mithalten kann. 

Wie hoch ist das Konsolidierungspotenzial in Ihrer aktuellen Sicherheitsarchitektur? Eine integrierte WAAP-Lösung kann Ihre operativen Kosten senken und Ihr Schutzniveau erhöhen.  
Wir beraten Sie gerne.  

Jetzt kontaktieren >>

Das könnte Ihnen auch gefallen:

European Cyber Report 2026

Download

WAAP-Implementierung innerhalb einer Stunde

Download

WAAP: Unsichtbare Angriffe, sichtbare Risiken

Download

WAF war gestern: Warum WAAP die Antwort auf heutige Bedrohungen ist 

Read more

Über den Filter hinaus: Wie unterstützt WAAP im IT-Alltag? 

Read more

Webanwendungen sind das Rückgrat moderner Unternehmen. Sie fungieren als Verkaufsfläche, Kundenschnittstelle und Prozessmotor. Dass diese Infrastruktur geschützt werden muss, steht außer Frage. Doch in einer sich rasant in Richtung APIs und Microservices entwickelnden IT-Landschaft gibt es eine Konstante: Stillstand bedeutet Risiko. Deshalb stellt sich eine strategische Frage: Reicht der klassische Schutzansatz noch aus?  

Die WAF: Ein Modell für eine vergangene Web-Welt 

Jahrelang galt die Web Application Firewall (WAF) als der Goldstandard zum Schutz von Unternehmensanwendungen vor Angriffen aus dem Netz. Ihr Prinzip ist einfach: Sie prüft HTTP-Anfragen, filtert bekannte Angriffsmuster und blockiert Klassiker wie SQL-Injection oder Cross-Site-Scripting. In einer Welt, in der Anwendungen ausschließlich über den Browser genutzt wurden, war dies ein hochwirksames Modell. 

Doch diese Welt hat sich gewandelt. Moderne Anwendungen bestehen heute aus einem Geflecht von APIs, mobilen Clients und automatisierten Integrationen. Ein Großteil des Datenverkehrs stammt nicht mehr von Menschen, sondern von Maschinen. Hier stößt die klassische WAF an ihre strukturellen Grenzen. 

• Mangelnder Kontext: Für eine WAF wirken APIs oft wie „nur ein weiterer Endpunkt“. 

• Maskierter Missbrauch: Schädliche Bots oder die missbräuchliche Nutzung von Geschäftslogik werden oft fälschlicherweise als normale Last interpretiert. 

• Hoher Aufwand: Das Sicherheitsmodell wird zunehmend wartungsintensiv, da es auf immer komplexeren Regeln und manuellen Ausnahmen basiert. 

Die Frage ist heute nicht mehr, ob man eine Firewall hat, sondern ob diese intelligent genug ist, um den Kontext moderner Datenströme zu verstehen.  

WAAP: Schutz durch Verstehen statt nur Filtern 

Web Application and API Protection (WAAP) ist die Antwort auf diese Entwicklung. WAAP ist kein bloßer Ersatz für die WAF, sondern ein neues Schutzkonzept. Der entscheidende Unterschied liegt in der ganzheitlichen Betrachtung der Angriffsfläche. 

Was WAAP anders macht 

WAAP ist mehr als nur ein neues Akronym: Es handelt sich um eine Cloud-native Sicherheitsplattform, die den Schutzschirm deutlich erweitert. Während eine WAF nur punktuell filtert, bietet WAAP ein ganzheitliches Ökosystem. 

1. Spezialisierte API-Security: WAAP-Lösungen erkennen APIs automatisch, validieren Schemata und schützen gezielt vor Angriffen, die unter dem Radar klassischer Filter fliegen. 

2. Advanced Bot Management: Ein Großteil des heutigen Traffics stammt von Bots. WAAP unterscheidet mittels Verhaltensanalyse zwischen nützlichen Suchmaschinen-Crawlern und bösartigen Scraping- oder Credential-Stuffing-Bots. 

3. DDoS-Schutz auf Applikationsebene: Da WAAP meist in der Cloud operiert, können massive Angriffswellen abgefangen werden, bevor sie die lokale Infrastruktur überhaupt erreichen. 

4. Offloading, Skalierbarkeit und Real-Time-Upscaling: Die rechenintensive Analyse findet in der Cloud des Providers statt. Dadurch wird das eigene Rechenzentrum entlastet und eine dynamische Skalierung in Echtzeit („Real-Time Upscaling“) bei steigendem Traffic ermöglicht. So bleiben die Latenzen niedrig und die Performance stabil, auch unter Last. 

WAF vs. WAAP: Der direkte Vergleich 

Der strategische Vorteil 

Warum ist WAAP also „besser” als eine isolierte WAF? Nicht, weil die WAF falsch wäre, sondern weil WAAP ihre konsequente Weiterentwicklung ist. WAAP integriert die bewährten Schutzfunktionen von WAF und erweitert sie um zusätzliche Sicherheits-, Analyse- und Schutzmechanismen für moderne Webanwendungen und APIs.  

Während die WAF lange Zeit der Standard für den Anwendungsschutz war und vielen Teams vertraut ist, geht WAAP einen entscheidenden Schritt weiter, da sie WAF-Funktionalität und weiterführende Schutzmaßnahmen in einer einzigen, integrierten Plattform vereint. WAAP ist somit die nächste Evolutionsstufe der WAF – umfassender, skalierbarer und besser geeignet für die Anforderungen heutiger, dynamischer Infrastrukturen.  

• Die WAF schützt Webseiten → WAAP hingegen schützt Anwendungen und Schnittstellen. 

• Die WAF filtert Muster → WAAP bewertet Verhalten. 

• Die WAF skaliert durch Hardware/Instanzen →  WAAP skaliert als Plattform. 

Wann ist der Wechsel nötig? 

Für kleine, rein browserbasierte Anwendungen mag eine klassische WAF genügen. Für Unternehmen, die auf digitale Schnittstellen setzen, ist WAAP jedoch heute alternativlos. WAAP nimmt die Komplexität aus der Sicherheitsverwaltung und verschiebt die Last der Inspektion dorthin, wo sie am effizientesten bewältigt werden kann: an den Network Edge. 

Möchten Sie erfahren, wie eine WAAP-Lösung Ihre spezifischen Webanwendungen absichern kann? Lassen Sie uns gemeinsam Ihre aktuelle Sicherheitsarchitektur analysieren. 

Jetzt kontaktieren >>

Das könnte Ihnen auch gefallen:

WAAP: Unsichtbare Angriffe, sichtbare Risiken

Download

WAAP-Implementierung innerhalb einer Stunde

Download

European Cyber Report 2026

Download

Über den Filter hinaus: Wie unterstützt WAAP im IT-Alltag? 

Read more

Eine Lektion in Carpetbombing und ausgeklügelter Ressourcensteuerung

Read more

Manche DDoS-Angriffe sind laut. Andere sind groß. Und wieder andere sind vor allem eines: flächendeckend. 

Ein aktueller Vorfall aus dem Link11-Netzwerk zeigt, wie wirkungsvoll sogenanntes Carpet Bombing sein kann. Innerhalb von nur zwei Minuten wurde nicht ein einzelner Server, sondern ein komplettes „/20-Netz“ mit mehr als 4.000 IP-Adressen attackiert. 

Was auf den ersten Blick wie ein „normaler“ volumetrischer Angriff wirkte, entpuppte sich bei genauerer Betrachtung als strategisch durchdachtes Vorgehen. 

Was bedeutet ein /20-Netz? 

Die Bezeichnung „/20” stammt aus der CIDR-Notation und beschreibt die Größe eines IP-Adressbereichs. Eine IPv4-Adresse besteht aus 32 Bit. Sind davon 20 Bit für das Netzwerk festgelegt, bleiben 12 Bit für einzelne Hosts übrig. Daraus ergeben sich 4.096 IP-Adressen innerhalb dieses Netzes. 

Anstatt also eine einzelne Adresse, etwa einen Webserver, ins Visier zu nehmen, wurde in diesem Fall der gesamte Adressraum attackiert. Jede dieser 4.096 IP-Adressen erhielt einen Teil des Angriffsverkehrs. 

Genau darin liegt der Kern von Carpet Bombing: Die Last verteilt sich breit über ein Netzwerksegment, statt punktuell zu eskalieren. 

500 Gigabit pro Sekunde – verteilt auf 4.000 Ziele 

Der Angriff erreichte ein Volumen von rund 500 Gbit/s und dauerte nur etwa zwei Minuten. Technisch dominierter UDP-Traffic. Das globale Botnetz erstreckte sich über rund 12.000 unterschiedliche IP-Adressen. 

Rein rechnerisch entfielen somit im Durchschnitt etwa 100 Mbit/s auf jede einzelne Ziel-IP. Für sich genommen wirkt das nicht außergewöhnlich. Viele moderne Systeme können kurzfristig deutlich mehr verarbeiten. 

Doch der entscheidende Faktor ist die gemeinsame Infrastruktur. Wenn sich hinter diesen 4.000 Adressen ein gemeinsamer Uplink, ein Rechenzentrum oder ein Provider-Netzwerk befindet, addiert sich die Last. Selbst wenn jede einzelne Adresse nur moderat belastet wird, kann die Gesamtkapazität des Netzanschlusses vollständig ausgeschöpft werden. 

Das Resultat ist vergleichbar mit einer blockierten Hauptwasserleitung: Jedes einzelne Haus mag nur wenig Wasser verbrauchen, doch wenn die zentrale Zuleitung dicht ist, bleibt überall der Hahn trocken. 

Warum Carpet Bombing schwer zu erkennen ist 

Gerade weil sich der Traffic verteilt, wirkt er bei isolierter Betrachtung oft unauffällig. Einzelne Kunden oder Systeme erkennen „nur“ einen erhöhten Traffic, aber keiner klar erkennbaren DDoS-Attacke. Die eigentliche Struktur offenbart sich erst, wenn das gesamte Netz betrachtet wird. 

Im vorliegenden Fall war zudem die Verteilung der Paketgrößen bemerkenswert. Der Traffic bestand nahezu ausschließlich aus sehr kleinen und sehr großen Paketen. Eine typische Streuung, wie sie bei legitimen Anwendungen entsteht, war kaum vorhanden. Fragmentierte Pakete traten nur in geringem Umfang auf. Eine solche binäre Verteilung hinsichtlich der Paketgrößen spricht stark für automatisierten Traffic. Für Systeme, die auf Verhaltens- und Musteranalyse setzen, kann das ein klarer Indikator sein.  

Globale Botnet-Struktur 

Die Angriffsquellen waren weltweit verteilt. Ein signifikanter Anteil stammte aus China, weitere große Teile aus Nordamerika, Europa und anderen Regionen. Auch auf Netzwerkebene zeigte sich eine breite Streuung über viele autonome Systeme hinweg. 

Dieses Muster sprach für ein umfangreiches Botnet, das geografisch breit aufgestellt war. Solche Strukturen erschweren die Attribution zusätzlich, da sich der Traffic nicht auf einzelne Regionen beschränkt. 

Gleichzeitig fiel der geopolitische Kontext auf. Das attackierte Unternehmen befindet sich in einer Region, die seit Jahren im Spannungsfeld internationaler Interessen steht. Interne Auswertungen zeigen, dass es sich nicht um einen isolierten Vorfall handelte. Vergleichbare Angriffe traten in den vergangenen Monaten wiederholt bei diesem Kunden auf, teilweise in ähnlicher Größenordnung. 

In diesem Umfeld sind DDoS-Angriffe längst nicht mehr ausschließlich wirtschaftlich motiviert. Sie dienen als politisches Signal oder als Instrument hybrider Konfliktführung. 

Zwei Minuten genügen 

Bemerkenswert ist die kurze Dauer des Angriffs. Zwischen Beginn und Abklingen der DDoS-Attacke lagen nur wenige Minuten. Solche „Hit-and-Run“-Attacken zielen nicht zwingend auf eine langfristige Überlastung ab. Vielmehr können sie darauf abzielen, die Resilienz zu testen, die Schutzmechanismen auszuloten oder punktuelle Störungen zu verursachen. 

Ihre Kürze macht sie nicht weniger relevant – im Gegenteil. Gerade kurze, intensive Angriffe können Monitoring-Mechanismen herausfordern, die auf längere Zeiträume ausgelegt sind. 

Fläche statt Fokus 

Carpet Bombing verdeutlicht eine strategische Verschiebung im Umfeld von DDoS-Angriffen. Im Gegensatz zu klassischen Angriffen, die einzelne IP-Adressen oder Dienste direkt ins Visier nehmen, richtet sich diese Methode gegen das Netzwerk als Ganzes. 

Die Last wird dabei so verteilt, dass sie einzeln betrachtet, harmlos wirkt, in der Summe jedoch kritische Infrastrukturen beeinträchtigt. Wer nur isolierte Endpunkte überwacht, erkennt unter Umständen lediglich die Symptome, nicht aber das zugrunde liegende Muster. 

Der kurze Angriff zeigt, wie ein komplettes Netzwerksegment unter Druck gesetzt werden kann. Technisch war das kein Rekord. Doch die Struktur macht deutlich, dass moderne DDoS-Strategien nicht mehr auf spektakuläre Spitzenwerte setzen, sondern auf eine intelligente Verteilung. Und genau darin liegt ihre eigentliche Stärke. 

Heben Sie die DDoS-Resilienz auf das nächste Level

Carpet Bombing ist nur eine von vielen Angriffsmethoden, die moderne Infrastrukturen unter Druck setzen. Erfahren Sie, wie Link11 komplexe DDoS-Angriffe in Echtzeit erkennt und stoppt. 

Jetzt kontaktieren >>