Bei einem großen europäischen E-Commerce-Anbieter beobachteten unsere Analysten für unseren Cyber Insight im Januar ein ungewöhnliches Angriffsmuster. Es handelte sich nicht um eine klassische DDoS-Attacke mit massivem Traffic-Volumen. Stattdessen zeigte sich über mehrere Wochen hinweg ein subtiler, wiederkehrender Lastanstieg, der den Webshop montags spürbar verlangsamte. 

Dieser Fall ist exemplarisch für eine neue Generation von Angriffen, bei denen infizierte Endgeräte mit legitimen Browsern eingesetzt werden, um Serverressourcen gezielt zu erschöpfen. Es gab keinen plötzlichen Peak und keinen Alarm im Backbone, sondern ein leises, systematisches Ausbremsen einer produktiven Plattform. 

Ein Muster, das nicht zum Geschäft passte 

An normalen Tagen bewegte sich die Zahl der eindeutigen IP-Adressen stabil unter 2.000, an mehreren Montagen jedoch verdoppelte sie sich regelmäßig auf 4.000 bis 6.000. 

Zunächst wirkte dies wie eine harmlose Verkehrsschwankung. Eine Überprüfung der Geschäftsaktivitäten ergab jedoch ein klares Bild: Es gab keine Kampagnen, keine Newsletter, keine besonderen Angebote und auch keine erhöhte Social-Media-Aktivität. 

Kurz gesagt: Es gab keinen legitimen Grund für diesen wiederkehrenden Anstieg. 

Auffällig war vor allem die Regelmäßigkeit. Der Effekt trat ausschließlich montags auf, Woche für Woche, und verschwand an allen anderen Tagen vollständig. Dieses zeitliche Muster allein war ungewöhnlich genug, um eine tiefere Analyse auszulösen. 

Wenig Traffic, große Wirkung 

Auf den ersten Blick wirkten die technischen Metriken unauffällig. Weder die Bandbreite noch die Requests pro Sekunde sprangen ins Auge.  

Erst bei genauerer Betrachtung zeigte sich das eigentliche Problem. 

Die Last verteilte sich auf sehr viele Quellen, von denen jede einzelne nur minimal aktiv war. Charakteristisch war dabei: 

In der Summe entstand somit kein klassischer Angriff, sondern ein schleichender Ressourcenverbrauch. CPU, Speicher und Connection-Handling der Origin-Server liefen zunehmend am Limit. 

Die messbare Folge waren Response-Zeiten von unter 200 Millisekunden, die an den betroffenen Montagen auf mehrere Sekunden anstiegen. Für einen Webshop bedeutete dies langsame Seiten, abbrechende Warenkörbe und sinkende Konversionsraten, ohne dass es einen klaren Auslöser gab. 

Wenn Schutzsysteme nichts sehen 

Besonders kritisch war, dass das bestehende Bot-Management den Traffic nahezu vollständig als legitim einstufte. Es gab weder auffällige User-Agents noch ungewöhnliche Request-Sequenzen oder verdächtige Protokollfehler. Auch die Herkunft der Anfragen wirkte harmlos. 

Der Großteil des Traffics kam aus Deutschland aus typischen Endkunden-Netzen großer Consumer-Provider. Weder Geo-Blocking noch ASN-Blocking oder IP-Reputationsfilter lieferten brauchbare Ansatzpunkte. 

Alles deutete darauf hin, dass hier keine klassischen Server-Bots, sondern echte, kompromittierte Endgeräte mit vollwertigen Browsern arbeiteten. Jedes einzelne Gerät verhielt sich fast unauffällig. Erst die Masse machte den Angriff wirksam. 

Low-and-Slow mit realen Clients 

Das Muster passte zu einem klassischen Low-and-Slow-Angriff. Es gab viele Quellen, geringe Aktivität pro Quelle, ein technisch sauberes Protokollverhalten und einen klaren Fokus auf offene Verbindungen statt auf Bandbreite. 

Solche Angriffe sind besonders gefährlich, da sie sich im statistischen Rauschen der normalen Nutzeraktivität verstecken. Sie lösen keine klassischen Schwellenwerte aus und umgehen signaturbasierte Erkennung nahezu vollständig. 

Hinzu kam die merkwürdige zeitliche Begrenzung auf einen einzigen Wochentag. Warum der Angriff ausschließlich montags stattfand, ließ sich nicht eindeutig klären. In Frage kommen unter anderem: 

Präzise Erkennung & blitzschnelle Mitigation

Erfahren Sie mehr über eine DSGVO-konforme, cloud-basierte und patentierte DDoS Protection, die hält, was sie verspricht.
Jetzt schützen

Ein einfacher Test mit großer Wirkung 

Nachdem alle klassischen Analyse- und Filtermechanismen ausgeschöpft waren, blieb nur noch eine Option: die Aktivierung einer globalen CAPTCHA-Defense. 

Der Kunde zögerte zunächst. Seine Sorge vor negativer User Experience war berechtigt. In einem kontrollierten Test wurde die Maßnahme dennoch aktiviert. 

Die Wirkung zeigte sich innerhalb von Sekunden: 

Der Webshop lief wieder stabil, ohne nennenswerten Einfluss auf echte Nutzer. Damit war klar: Trotz legitimer Clients handelte es sich um automatisierte Prozesse. 

Was dieser Angriff lehrt 

Dieser Vorfall verdeutlicht mehrere zentrale Entwicklungen moderner Angriffe. 

  1. Nicht das Volumen, sondern die Präzision entscheidet. 
  1. Echte Geräte werden zunehmend zur Angriffsplattform. 
  1. Klassisches Bot-Management reicht bei sauberem Traffic nicht aus. 
  1. Mensch-Maschine-Checks bleiben ein wirksames Instrument. 

Low-and-Slow-Angriffe zeigen, wie leicht sich moderne Infrastrukturen unterhalb klassischer Alarmgrenzen ausbremsen lassen. 

Moderne Abwehr statt reaktiver Notlösungen 

In der eingesetzten Sicherheitsarchitektur war CAPTCHA der letzte verfügbare Hebel. Auf modernen Web-Application-Protection-Plattformen lassen sich solche Angriffe deutlich eleganter abwehren. 

Anstelle von expliziten Captchas kommen dort unter anderem verhaltensbasierte Verfahren zum Einsatz: JavaScript-Challenges im Hintergrund, Headless-Browser-Erkennung, Browser-Fingerprinting und die Korrelation von Sessions über längere Zeiträume. Für echte Nutzer bleiben diese Mechanismen unsichtbar, kompromittierte Clients scheitern hingegen zuverlässig. 

Neue Realität im Bot-Zeitalter 

Wer heute nur auf Volumen, Signaturen und klassische Bots achtet, übersieht genau diese Art von Angriff. Eine moderne Abwehr erfordert ein Zusammenspiel aus Verhaltensanalyse, Human-Verifikation und feingranularer Traffic-Steuerung. 

Für IT-Entscheider bedeutet das vor allem eines: Anomalien in der Zahl der Unique IPs sind kein Randphänomen, sondern oft das früheste Warnsignal für eine stille, aber wirksame Attacke. 

Wenn auch Ihre Webanwendungen unter unerklärlichen Lastspitzen, steigenden Latenzen oder verdächtigen Zugriffsmustern leiden, unterstützen wir Sie gerne bei der Analyse und Absicherung Ihrer Infrastruktur. 

Sprechen Sie uns an – bevor aus einer stillen Anomalie ein echter Ausfall wird! 

Jetzt kontaktieren >>

DDoS-Angriffe werden häufig als unmittelbare Störaktionen wahrgenommen. Server sind nicht erreichbar, Websites brechen zusammen und Services fallen aus. Doch nicht jede Attacke verfolgt dieses Ziel. Eine kürzlich beobachtete Angriffskampagne zeigt, dass DDoS-Angriffe zunehmend auch als Werkzeug zur Vorbereitung, Analyse und zum Testen eingesetzt werden – leise, langanhaltend und strategisch. 

Ein zunächst unspektakulär wirkender Angriff zeigte auf den ersten Blick ein vertrautes Muster: einen deutlichen Anstieg von HTTP-Anfragen gegen mehrere Webshops, verteilt über mehrere Stunden. Auffällig war jedoch die Dauer. Der zentrale Angriff begann in der Nacht und zog sich über rund zehn Stunden hinweg mit einem gleichmäßigen, anhaltenden Request-Volumen.  

Der Spitzenwert lag bei mehr als 12 Millionen Requests pro Minute. Nach dem initialen Peak pendelte sich das Volumen auf einem konstant hohen Niveau von rund acht Millionen Requests pro Minute ein. Insgesamt wurden knapp 90 Millionen Anfragen registriert. 

Solche Zahlen sind zweifellos erheblich, insbesondere für Websites, die üblicherweise nur moderate Zugriffszahlen verzeichnen. Dennoch handelte es sich nicht um einen klassischen „Burst“-Angriff mit extremen Peaks, sondern um eine kontrollierte, stabile Last über einen langen Zeitraum hinweg.

Ziel: kleine und spezialisierte Online-Shops 

Die betroffenen Domains gehörten überwiegend zu kleineren und mittelgroßen E-Commerce-Anbietern. Darunter befanden sich spezialisierte Webshops mit Nischenangeboten, jedoch keine globalen Plattformen, keine bekannten Marktplätze und keine umsatzstarken Branchenriesen. Gerade deshalb war das Ausmaß des Angriffs bemerkenswert, denn für diese Art von Websites sind selbst wenige Hunderttausend Requests pro Minute ungewöhnlich, geschweige denn Millionen. 

Mehrere Dutzend Domains desselben Kundenumfelds wurden parallel adressiert. Die Last wurde dabei nicht gleichmäßig verteilt, sondern klar auf einzelne Domains fokussiert, während andere nur sporadisch Traffic abbekommen haben. Die am häufigsten attackierte Domain verzeichnete insgesamt 75,7 Millionen Requests. Parallel dazu wurden weitere rund 40 Domains desselben Kunden mit einem deutlich geringeren Volumen von etwa 150.000 Requests pro Domain adressiert.  

Ein leistungsfähiges, globales Botnet 

Die Herkunft des Traffics zeigte schnell, dass es sich nicht um ein einfaches IoT-Botnet handelte. Die beteiligten IP-Adressen waren weltweit verteilt und stammten zum großen Teil aus Netzen bekannter Hosting-, CDN- und Telekommunikationsanbieter. Eine solch große Infrastruktur mit mehr als 85.000 Unique IP-Adressen deutet auf erhebliche Ressourcen hin. Solche Botnetze entstehen nicht spontan. Sie erfordern entweder eine langfristige Vorbereitung oder den gezielten Einsatz kostenpflichtiger Infrastruktur. 

Tor-Traffic als aufschlussreicher Faktor

Besonders interessant war der Anteil der Requests aus dem Tor-Netzwerk. In der Spitze wurden hier rund 1,3 Millionen Requests pro Minute gemessen, das gesamte Tor-basierte Volumen belief sich auf etwa 6,6 Millionen Requests. Auch hier zeigte sich ein konsistentes Muster: eine Session pro IP-Adresse. 

Dieser Traffic wurde vollständig blockiert, lieferte jedoch wertvolle Hinweise auf mögliche Erkundungs- oder Testaktivitäten, insbesondere in der späteren Phase des Angriffs. 

Dieses Muster ist ungewöhnlich, da Tor aufgrund begrenzter Exit-Node-Kapazitäten kaum für großvolumige DDoS-Angriffe geeignet ist. Sein eigentlicher Mehrwert liegt in der Anonymisierung. Die gezielte Nutzung deutet darauf hin, dass der Angriff nicht allein auf Überlastung abzielte, sondern möglicherweise auch zur Erkundung diente, beispielsweise um Filterregeln zu testen, Reaktionen auf anonymisierten Traffic zu beobachten oder mögliche Schwachstellen auf Applikationsebene aufzuspüren.  

Auffällige Session-Strukturen  

Ein weiteres Detail verstärkt diesen Eindruck. In mehreren Fällen wurde beobachtet, dass einzelne IP-Adressen nur eine einzige Sitzung aufbauten, in dieser jedoch zehntausende Anfragen sendeten. Ein solches Verhalten ist für normale Nutzer untypisch, passt jedoch zu automatisierten Analyse- oder Testprozessen. 

In Kombination mit Tor-Zugriffen ergibt sich ein Bild, das über einen reinen DDoS-Angriff hinausgeht: Der Angriff erzeugte nicht nur Last, sondern lieferte den Angreifern offenbar auch Erkenntnisse über das Session-Handling, das Rate-Limiting und das Zusammenspiel verschiedener Schutzmechanismen. 

Präzise Erkennung & blitzschnelle Mitigation

Erfahren Sie mehr über eine DSGVO-konforme, cloud-basierte und patentierte DDoS Protection, die hält, was sie verspricht.
Jetzt schützen

Timing als strategisches Element 

Der Angriff fand überwiegend nachts statt, zu einer Zeit, in der der legitime Datenverkehr gering ist. Für maximale wirtschaftliche Schäden wäre dieser Zeitpunkt jedoch ungünstig. Für Tests hingegen ist er ideal. Eine geringe Grundlast erleichtert es, Reaktionen klar zu beobachten und Rückschlüsse auf Schutzmechanismen zu ziehen. 

Hinzu kommt der zeitliche Kontext: Der Angriff erfolgte kurz vor stark frequentierten Verkaufsphasen. In diesem Umfeld liegt die Vermutung nahe, dass bewusst kleinere, weniger exponierte Ziele genutzt wurden, um die Infrastruktur und die Angriffswerkzeuge zu erproben, bevor möglicherweise lukrativere Ziele adressiert werden. 

DDoS als Aufklärungsmittel 

Insgesamt könnte es sich weniger um einen klassischen Sabotageangriff gehandelt haben als vielmehr um eine Art Generalprobe. Die Kombination aus: 

könnte auf einen Angriff mit Erkenntnisinteresse hinweisen, der zur Beobachtung und Vorbereitung dient. 

Was Unternehmen daraus lernen sollten 

Diese Entwicklung hat direkte Konsequenzen für die Verteidigung. So sind Angriffe, die technisch „gut abgewehrt“ wurden, nicht zwangsläufig abgeschlossen. Sie können Teil einer mehrstufigen Kampagne sein, in der Erkenntnisse gesammelt werden. 

Besonders relevant ist dabei der Umgang mit anonymisiertem Traffic. Tor-Zugriffe sollten nicht nur blockiert, sondern auch im zeitlichen und kontextuellen Zusammenhang analysiert werden. Ein plötzlicher Anstieg solcher Anfragen kann ein Signal für weitergehende Aktivitäten sein, insbesondere, wenn er mit anderen Angriffsmustern kombiniert auftritt. 

Fazit 

Dieser Angriff zeigt, wie vielschichtig moderne DDoS-Kampagnen inzwischen sind. Es geht nicht mehr nur um Lautstärke oder Bandbreite. Angriffe können leise, kontrolliert und analytisch sein. Für Unternehmen bedeutet das, DDoS-Angriffe neu zu bewerten. Nicht jede Attacke zielt sofort auf die Verursachung von Schäden ab. Manche wollen verstehen. Und genau darin liegt die eigentliche Gefahr. 

Wer seine Schutzmechanismen überprüfen oder gezielt weiterentwickeln möchte, kann auf unsere Erfahrung aus realen Angriffsszenarien zurückgreifen. Wir unterstützen Sie dabei, Risiken frühzeitig zu erkennen und Abwehrstrategien wirksam auszurichten. 

Jetzt kontaktieren >>

Kombination aus fortschrittlichen Cybersecurity-Lösungen und lokaler Expertise für besseren Schutz und schnellere Implementierung.

Link11, ein europäischer Anbieter für fortschrittliche Cybersecurity-Lösungen, gibt heute eine strategische Partnerschaft mit Panera bekannt – einem etablierten israelischen Distributor und Integrator von Cybersecurity-Technologien. Ziel der Zusammenarbeit ist es, die Marktpräsenz von Link11 in Israel auszubauen, Kundenbeziehungen zu stärken und technische Kompetenzen zu erweitern. 

Panera bringt umfassende Markterfahrung, technisches Know-how und vertrauensvolle Beziehungen zu wichtigen Partnern und Kunden mit. Dank seiner starken lokalen Präsenz und tiefen Kenntnis der israelischen Cybersecurity-Landschaft schafft Panera entscheidenden Mehrwert für Unternehmen, die auf fortschrittliche Netzwerksicherheit sowie Web Application & API Protection setzen. 

Gemeinsam legen Link11 und Panera den Grundstein für Innovation, Servicequalität und langfristige Cyber-Resilienz: 

„Diese Partnerschaft ist ein wichtiger Meilenstein für Link11“, sagt David Eliyahu, International Channel Manager bei Link11. „Ich freue mich darauf, gemeinsam mit Panera unsere Zusammenarbeit zu intensivieren – insbesondere bei Kundenprojekten und der Go-to-Market-Strategie in Israel. Zusammen schaffen wir echten Mehrwert, stärken Kundenbeziehungen und treiben Innovation voran.“ 

Im Rahmen der Kooperation wird Link11 Paneras Systemingenieure umfassend technisch schulen und befähigen, sodass sie Link11-Lösungen kompetent vertreten und implementieren können. Darüber hinaus entwickeln beide Unternehmen einen gemeinsamen Go-to-Market-Plan mit lokalen Events, Partnerkampagnen und Initiativen mit weiteren Technologieanbietern. 

„Wir sind stolz darauf, mit Link11 zusammenzuarbeiten“, erklärt Peri Naor, CTO von Panera. „Unsere gemeinsame Vision von Innovation, Vertrauen und technischer Exzellenz wird Organisationen in Israel dabei unterstützen, ihre Cybersecurity mit modernster Technologie und starkem lokalem Support zu stärken.“ 

Die Partnerschaft ist ein bedeutender Schritt in Link11s Wachstumsstrategie. Sie stärkt das Partner-Ökosystem des Unternehmens und schafft die Basis für langfristigen Erfolg, Skalierbarkeit und höhere Sichtbarkeit in einem der weltweit führenden Cybersecurity-Märkte.