Wenn Ihr Netzwerk online ist und Umsatz generiert, ist es ein potenzielles Ziel. Das ist keine Übertreibung, sondern die Realität des modernen Internets. Und wenn Sie aktuell auf einen Standard-Transitanbieter mit einem aufgesetzten DDoS-Schutz setzen, besteht die Möglichkeit, dass Ihr Verteidigung eine Lücke hat, die Sie bisher noch nicht erkannt haben.
Dieser Artikel erklärt, was Link11 Clean Transit ist, wie es funktioniert, für wen es entwickelt wurde und warum die Art und Weise, wie die meisten Netzwerke heute geschützt werden, sie anfälliger macht als ihre Betreiber erkennen.
Das Problem mit der heutigen Angriffslage
Die meisten Netzwerke sind nach demselben Prinzip aufgebaut: IP-Transit wird bei einem Carrier eingekauft, der Konnektivität zum Internet bereitstellt. Separat dazu wird entweder ein DDoS-Mitigation-Dienst hinzugekauft oder man verlässt sich auf den eingeschränkten Schutz, den der Transitanbieter mitliefert. Wenn ein Angriff eintrifft, wird der Traffic zu einem Scrubbing-Center umgeleitet, bereinigt und dann zurückgeleitet.
Jahrelang hat das gut genug funktioniert. Angriffe waren groß, aber die Reaktionszeit reichte aus. Das Problem ist, dass sich Angriffe grundlegend verändert haben, die traditionelle Architektur jedoch nicht.
DDoS-Attacken sind 2025 um 121 Prozent gewachsen und erreichten zum Jahresende einen Durchschnitt von 5.376 automatisch abgewehrten Angriffen pro Stunde. Der größte einzelne Angriff in diesem Jahr erreichte einen Peak von 31,4 Tbps und dauerte 35 Sekunden. Das ist kein Tippfehler. Der größte jemals öffentlich dokumentierte DDoS-Angriff war vorbei, bevor die meisten automatisierten Systeme ihre Reaktion abgeschlossen hätten. Insgesamt wurden 2025 weltweit 47,1 Millionen DDoS-Angriffe verzeichnet. Das entspricht mehr als einem Angriff pro Sekunde, jeden Tag des Jahres.
Zwei technische Entwicklungen treiben dieses Wachstum an. Erstens verfügen groß angelegte IoT-Botnets inzwischen auch Angreifer mit geringen technischen Kenntnissen über Zugang zu enormen Trafficvolumen. Das Aisuru-Kimwolf-Botnet, das für viele der größten Angriffe im Herbst 2025 verantwortlich war, bestand aus schätzungsweise einer bis vier Millionen kompromittierten Android-TV-Geräten und war in der Lage, auf Abruf hyper-volumetrische Floods zu erzeugen.
Zweitens verteilen Carpet-Bombing-Angriffe den Traffic über ganze CIDR-Blöcke statt einzelne IP-Adressen. Das hebelt per-IP-Erkennungsschwellenwerte und Rate-Limiting-Regeln aus, weil keine einzelne Adresse einen Trigger-Punkt überschreitet, auch wenn das Subnetz als Ganzes überflutet wird. Mitigation-Systeme, die auf Einzelziel-Basis arbeiten, lösen nicht aus, bis das Muster auf Präfix-Ebene erkannt wird. Zu diesem Zeitpunkt ist oft schon erheblicher Schaden entstanden.
Warum Overlay-Mitigation bei schnellen, großen Angriffen versagt
Das Kernproblem bei aufgesetzter DDoS-Mitigation ist die Reaktionskette. Wenn die Anomalieerkennung anschlägt, läuft der Standardprozess so ab: Angriffssignatur erkennen, Traffic per BGP-Announcement zu einem Scrubbing-Center umleiten, Traffic bereinigen, sauberen Traffic zurückleiten. Jeder dieser Schritte kostet Zeit. Unter realistischen Bedingungen dauert der gesamte Erkennungs- und Mitigations-Zyklus zwischen 10 und 30 Sekunden.
Wenn der größte dokumentierte Angriff bei 31,4 Tbps peaked und in 35 Sekunden vollständig abgeschlossen ist, ist ein Aktivierungsfenster von 10 bis 30 Sekunden keine Kleinigkeit. Es ist eine Lücke, die den Großteil oder die gesamte Angriffsdauer abdeckt. Das Mitigation-Layer war für diese Art von Ereignis schlicht nicht ausgelegt, und es gibt keine Konfigurationsänderung, die das Problem schließt, weil die Verzögerung der Architektur inhärent ist.
Kurzzeit-Angriffe werden auch zunehmend als bewusste Technik eingesetzt. Angreifer können Uplinks sättigen, Connection-State-Tabellen auf Stateful-Devices erschöpfen oder SLA-Verletzungen mit Floods auslösen, die unter einer Minute dauern und verschwinden, bevor eine automatisierte Reaktion Zeit hatte zu greifen. Das ist besonders schädlich für Dienste, bei denen selbst kurze Nichtverfügbarkeit direkte betriebliche Konsequenzen hat: Live-Event-Streaming, Finanzhandel, Echtzeit-Kommunikation und Online-Gaming.
Wenn Overlay-Mitigation vollständig überlastet ist, fällt der Fallback der meisten Transitanbieter auf BGP-Blackhole-Routing zurück. Eine Null-Route wird für das angegriffene Präfix propagiert, was dazu führt, dass der gesamte Traffic für diese Adressen bereits im Upstream verworfen wird. Angriffstraffic kommt nicht mehr beim Kunden an, aber legitimer Traffic auch nicht. Das Präfix verschwindet aus der Routing-Tabelle. Der Dienst des Kunden ist offline. Das schützt die eigene Infrastruktur des Carriers auf Kosten der Verfügbarkeit des Kunden.
Die finanziellen Folgen sind messbar: Laut dem ITIC 2024 Hourly Cost of Downtime Survey berichten mehr als 90 Prozent der mittelgroßen und großen Unternehmen, dass eine einzelne Stunde Ausfall über 300.000 USD kostet. Bei rund 41 Prozent dieser Unternehmen liegt die Zahl bei über einer Million USD pro Stunde. Für die größten Unternehmen in Sektoren wie Banking, Finanzdienstleistungen und Fertigung überstiegen die durchschnittlichen stündlichen Ausfallkosten laut ITIC die Marke von fünf Millionen USD.
Erfahren Sie mehr über Clean Transit von Link11.
Always-on DDoS-Abwehr direkt in Ihren Transit integriert. Kein separates Schutztool, keine Verzögerung bei der Aktivierung.
Was ist Clean Transit?
Clean Transit ist ein sicherheitsnatives IP-Transit-Produkt. Es ist kein aufgesetztes Mitigation-Layer und sitzt nicht neben dem bestehenden Transit. Es ersetzt den Upstream-Transit vollständig, mit DDoS-Scrubbing direkt in der Data Plane.
Der entscheidende architektonische Unterschied: Scrubbing ist immer aktiv. Es gibt keine Erkennungsphase, keinen Umleitungsschritt und keinen Aktivierungsverzug. Jedes eingehende Byte durchläuft die Scrubbing-Infrastruktur von Link11, bevor es an das Kundennetzwerk weitergeleitet wird. Das Filtering ist kontinuierlich und läuft mit Leitungsrate, unabhängig davon, ob gerade ein Angriff stattfindet. Sauberer Traffic ist das Einzige, was ausgeliefert wird. Das ist das Produkt.
Das eliminiert das oben beschriebene Timing-Problem vollständig. Ein 35-Sekunden-Angriff, der bei 31 Tbps peaked, wird identisch behandelt wie normaler Traffic an einem ruhigen Tag. Die Infrastruktur muss nicht erkennen, klassifizieren und reagieren, weil sie niemals aufhört zu filtern.
Es gibt auch keinen Blackhole-Fallback. Da Scrubbing dauerhaft und auf Infrastrukturebene betrieben wird, gibt es kein Szenario, in dem Link11 das Präfix eines Kunden zurückziehen müsste, um das eigene Netz zu schützen. Das Backbone ist darauf ausgelegt, Multi-Terabit-Angriffstraffic zu absorbieren, nicht ihn zu umgehen.
Wie Clean Transit technisch funktioniert
Die Integration in das bestehende Netzwerk eines Kunden erfolgt vollständig über BGP. Kunden announcen ihre IP-Präfixe gegenüber der ASN von Link11 über Standard-BGP-Sessions. Sämtlicher Traffic, der für diese Präfixe bestimmt ist, wird dann an den Ingress-Punkten abgefangen, durch die Scrubbing-Pipeline geleitet und als sauberer Traffic weitergeleitet.
Die Scrubbing-Pipeline operiert gleichzeitig über alle Peering- und Transit-Ports. Auf der Kundenseite ist kein Traffic-Steering erforderlich und es sind keine Änderungen an der internen Routing-Architektur notwendig. Der Kunde empfängt sauberen Traffic über die vereinbarte Delivery-Methode.
Return-Traffic, also ausgehend aus dem Kundennetzwerk, wird über die Interconnect-Methode zugestellt, die zur Topologie des Kunden passt. Verfügbare Optionen sind ein physischer Cross-Connect in einem Colocation-Facility, ein VLAN-Handoff an einem Internet Exchange Point wie DE-CIX, AMS-IX oder LINX, Remote Peering über Route Server oder ein GRE- bzw. IPsec-Tunnel für Kunden, die keine physische Übergabe einrichten können. Jede dieser Optionen führt die vollständige BGP-Routing-Tabelle, was Kunden optimierte Routen über die Upstream-Carrier und Peering-Partner von Link11 gibt.
Zum Produkt gehört außerdem ein Echtzeit-Monitoring-Dashboard mit Live-Traffic-Analysen, Netflow-Daten und Angriffsberichten. Das gibt Betreibern vollständige Transparenz über den eingehenden Traffic zu jedem Zeitpunkt, einschließlich während eines aktiven Angriffs, ohne dass separates Tooling oder manuelle Eingriffe zur Berichtsgenerierung notwendig sind.
Aus DSGVO- und Datensouveränitätsperspektive betreibt Link11 europäische Infrastruktur und verarbeitet Traffic innerhalb des EU-Rechtsrahmens. Für Betreiber in Deutschland, Österreich, der Schweiz oder anderswo in der EU mit Datenhaltungsanforderungen ist das sowohl für Compliance als auch für vertragliche Verpflichtungen gegenüber Kunden relevant.
Für wen Clean Transit entwickelt wurde
Clean Transit richtet sich an Netzwerkbetreiber, deren Geschäft von Verfügbarkeit abhängt und die entweder die Kosten eines Ausfalls nicht tragen können oder keine eigene Scrubbing-Infrastruktur aufbauen und betreiben wollen.
Hosting-Provider tragen typischerweise DDoS-Risiko im Auftrag ihrer Kunden. Ein Angriff auf einen Mandanten kann die gemeinsam genutzte Upstream-Kapazität beeinträchtigen und andere Kunden auf derselben Infrastruktur treffen. Clean Transit verlagert den Schutz auf die Upstream-Ebene, sodass das Scrubbing stattfindet, bevor Traffic überhaupt das Hosting-Netzwerk erreicht.
Regionale ISPs leiten Traffic für ihre Downstream-Teilnehmer. Ein erfolgreicher Angriff auf deren Upstream führt zu Konnektivitätsverlust für den gesamten Kundenstamm. Clean Transit bietet Upstream-Schutz, ohne dass der ISP eine eigene Scrubbing-Infrastruktur betreiben oder separate Mitigation-Verträge verhandeln muss.
Gaming-Plattformen gehören zu den meistangegriffenen Diensten im Internet und reagieren besonders empfindlich auf die Latenz, die durch Traffic-Umleitung entsteht. Standardmäßige Mitigation-Ansätze, die Traffic durch ein Scrubbing-Center umleiten, erhöhen die Round-Trip-Time auch dann, wenn sie korrekt funktionieren. Da Clean Transit direkt im Transit-Layer filtert, ohne Umleitung, entsteht kein zusätzlicher Latenzpfad für legitimen Traffic.
SaaS- und Cloud-Provider verkaufen Verfügbarkeit als Teil ihres Produkts. SLA-Verpflichtungen, Churn-Risiko und Reputationsschäden folgen direkt aus einem Ausfall. Diese Betreiber sehen sich häufig Angriffen auf mehrere Präfixe gleichzeitig ausgesetzt, was Carpet-Bombing-Techniken gezielt ausnutzen. Clean Transit schützt den gesamten Adressraum auf Upstream-Ebene.
Finanzdienstleister sind sowohl direkten Umsatzverlusten als auch regulatorischen Risiken durch Ausfallzeiten ausgesetzt. In manchen Jurisdiktionen sind Verfügbarkeitspflichten für bestimmte Finanzdienstleistungen regulatorisch verankert, sodass ein Ausfall nicht nur ein kommerzielles, sondern auch ein Compliance-Problem darstellt. Das 99,99-Prozent-SLA des Enterprise-Tiers ist auf diese Anforderungen ausgelegt.
E-Commerce-Betreiber werden häufig gezielt während der umsatzstärksten Zeiten angegriffen, weil der finanzielle Schaden dann am größten ist. Ein Mitigation-Service, der 20 Sekunden zum Aktivieren braucht, während ein Flash-Angriff auf einen Produkt-Launch oder ein Verkaufsevent abzielt, schützt möglicherweise nicht rechtzeitig. Always-on-Scrubbing eliminiert dieses Risiko.
Service-Tiers
Clean Transit ist in drei Tiers verfügbar. Die Preise entsprechen dem Niveau standard-mäßiger Mid-Tier-Transitanbieter. Das Argument für Clean Transit ist nicht ein niedrigerer Preis, sondern dass zum gleichen Preis Scrubbing auf Infrastrukturebene enthalten ist, statt als separater Dienst, den man verwalten und auf rechtzeitige Aktivierung hoffen muss.
Essential deckt 1 bis 10 Gbps Committed Bandwidth mit Burst auf 2x und einem 99,9-Prozent-SLA ab. Geeignet für regionale ISPs und kleinere Netzwerkbetreiber.
Professional deckt 10 bis 50 Gbps mit Burst auf 3x und einem 99,95-Prozent-SLA ab. Geeignet für Hosting-Provider und Gaming-Plattformen, bei denen Bandbreitenanforderungen höher und die Uptime direkt an Kundenverpflichtungen geknüpft ist.
Enterprise deckt 50 bis 100 Gbps und mehr mit Burst auf 5x und einem 99,99-Prozent-SLA ab. Geeignet für SaaS-Provider, Finanzdienstleister, Streaming-Plattformen und CDN-Betreiber, bei denen Ausfälle unmittelbare finanzielle und regulatorische Konsequenzen haben.
Alle Tiers beinhalten Always-on-Scrubbing, die vollständige BGP-Routing-Tabelle, alle verfügbaren Delivery-Optionen und Dashboard-Zugang. Volumenbasierte Preise sind für größere oder stufenweise Deployments verfügbar.
Was Clean Transit von herkömmlichen Lösungen unterscheidet
Am einfachsten lässt es sich so ausdrücken: Die meisten DDoS-Schutzprodukte werden aktiviert, wenn etwas schiefläuft. Clean Transit ist aktiv, bevor etwas schiefläuft, und bleibt aktiv, unabhängig davon, was passiert.
Bei einem Standard-Mitigation-Overlay hängt der Schutz davon ab, dass drei Dinge gleichzeitig funktionieren: Der Angriff wird schnell genug erkannt, die Traffic-Umleitung verursacht keine zu hohe Latenz, und die Scrubbing-Kapazität reicht für das Angriffsvolumen. Wenn auch nur eines davon nicht stimmt, versagt der Schutz. Bei Clean Transit existieren diese Variablen nicht in dieser Form. Es gibt keinen Erkennungsschritt, keine Umleitung und kein Kapazitätslimit, das nur im Angriffsfall gilt. Das Scrubbing läuft mit Leitungsrate, kontinuierlich.
Link11 hat sein Netzwerk für den Umgang mit großangelegten DDoS-Angriffen aufgebaut. Die Scrubbing-Infrastruktur, auf der Clean Transit basiert, ist dieselbe, die die Enterprise-Kunden von Link11 schützt. Clean Transit macht diese Kapazität als Wholesale-Transit-Produkt verfügbar. Kunden kaufen keine Absicherung von einem Unternehmen, das nachträglich Sicherheitsfunktionen auf ein Konnektivitätsprodukt aufgesetzt hat. Sie kaufen Konnektivität von einem Unternehmen, das das Netzwerk von Grund auf für die Absorption von Terabit-Angriffen gebaut hat.
Fazit
DDoS-Angriffe sind größer, schneller und leichter zu starten als je zuvor. Das herkömmliche Modell, Transit zu kaufen und Schutz obendrauf zu legen, wurde nicht für Angriffe in dieser Geschwindigkeit und Größenordnung entwickelt. Wenn Ihr Mitigation-Dienst einen Angriff erst erkennen muss, bevor er reagieren kann, wird es schwierig. Attacken sind heute konzipiert sind, dass sie in unter einer Minute ihre Lastspitze finden und danach teilweise genauso schnell vorbei sind, wie sie begonnen haben. Es existiert also ein Expositionsfenster, das sich durch Konfiguration allein nicht schließen lässt.
Clean Transit schließt dieses Fenster. Der Schutz ist in den Transit-Layer eingebaut. Jedes Paket wird gefiltert, bevor es Ihr Netzwerk erreicht. Kein Aktivierungsverzug, kein Blackhole-Fallback, kein separater Dienst, den man verwalten muss.
Wenn Sie Infrastruktur betreiben, bei der Ausfallzeiten Geld kosten, bei der Kunden merken, wenn Sie offline gehen, oder bei der Sie SLA- oder regulatorische Verpflichtungen einzuhalten haben, ist Clean Transit einen genaueren Blick wert. Link11 bietet eine technische Bewertung Ihres aktuellen Setups als Einstiegspunkt, ohne Verpflichtung.
Sollten Sie Fragen zur Technologie haben, stehen Ihnen unsere Cyberexperten gerne jederzeit zur Verfügung.
Jetzt kontaktieren >>
Das könnte Ihnen auch gefallen:
