Es war ein ganz normaler Morgen. Roland Hambach, der Geschäftsführer der ene’t GmbH, saß beim Frühstück und scrollte durch seine E-Mails. Dann kam die erste mit dem Betreff „DDoS-Attacke“. Dann die zweite. Dann die dritte. Sein erster Instinkt: Spam, löschen. Doch dann schlug die IT-Abteilung gleichzeitig Alarm.
Was folgte, war ein Lehrstück darüber, wie sich Cyberresilienz nicht im Hochglanzprospekt, sondern im echten Stresstest beweist und was andere Unternehmen daraus mitnehmen können.
Die Lage: kein Ausnahmezustand, sondern Normalzustand
Die Zahlen sind eindeutig. Laut der Bitkom-Wirtschaftsschutzstudie haben zahlreiche Unternehmen in den vergangenen zwölf Monaten Cyberangriffe erlebt – und die Tendenz zeigt klar nach oben. Bei Link11 beobachten die Experten in ihrem eigenen Netzwerk jährliche Wachstumsraten bei DDoS-Angriffen. Zuletzt lag der Anstieg im Vergleich zum Vorjahr bei 75 %. Im ersten Quartal 2026 konnten im Link11-Netzwerk bereits mehrfach Attacken beobachtet werden, die an der Terabit-Grenze kratzen. Angriffe dieser Größenordnung galten früher als seltene Ausnahmen, heute gehören die zur Realität.
Was sich verändert hat, ist nicht nur die Menge, sondern auch die Qualität. Angreifer wechseln automatisch zwischen Protokollen, kombinieren Layer-3/4-Angriffe mit Applikationsangriffen und nutzen KI zur Orchestrierung. Die längste Attacke im Link11-Netzwerk im Jahr 2025 dauerte acht Tage am Stück. Acht Tage, in denen Unternehmen ohne Schutz schlicht nicht erreichbar gewesen wären.
Und die Hürde, selbst anzugreifen, ist erschreckend niedrig. DDoS-as-a-Service ist im Netz für wenig Geld zu haben. In Polen wurden dieses Jahr Teenager im Alter von 12 bis 16 Jahren dabei ertappt, solche Dienste anzubieten.
Was wirklich passiert, wenn der Angriff kommt
Die E-Mail, die Roland Hambach an jenem Morgen erhielt, war keine vage Drohung mit Bitcoin-Forderung. Sie war präzise: Zehn von 117 verfügbaren Servern der Angreifer würden nun kurz zeigen, was sie können. Danach würden jeden Tag ohne Zahlung zwei weitere Bitcoins gefordert. Zudem wurde darauf hingewiesen, dass Gegenmaßnahmen oder Verhandlungen sinnlos seien.
Was folgte, war für ein nach ISO 27001 zertifiziertes Unternehmen lehrreich: Der Notfallplan griff, doch die Realität schrieb ihre eigenen Kapitel. Da das Unternehmen auf Voice-over-IP setzt, war auch die Telefonanlage ausgefallen. Die Notfallzentrale wurde daher in die Kantine verlegt, da dies der einzige Raum mit dem passenden Handyempfang war. Und der Weg über LKA, ZAK bis zur Kreispolizeibehörde vor Ort brachte nach sechs Wochen lediglich eine Einstellungsmitteilung.
Die nüchterne Erkenntnis: Technisch und organisatorisch war man auf sich allein gestellt. Das ist keine Kritik, sondern die Realität, mit der Unternehmen heute planen müssen.
Zahlen oder nicht zahlen?
Natürlich stand diese Frage im Raum. Zahlt man, ist die Sache zumindest bis zum nächsten Mal erledigt. Denn wer einmal zahlt, landet auf Listen. Wer auf diesen Listen steht, wird wieder zum Ziel. Bei einer Wahrscheinlichkeit von über 70 Prozent, nach einem initialen Angriff erneut angegriffen zu werden, ist Zahlen keine Lösung, sondern ein Abonnement.
Die Enet GmbH entschied sich gegen die Zahlung. Der Angriff dauerte, wie angekündigt, nur einen halben Tag. Das war Glück und gleichzeitig die Einladung, die Woche Aufschub zu nutzen, um echten Schutz aufzubauen.
Was man in der Ruhe nach dem Sturm lernt
Die wichtigsten Erkenntnisse aus dem Angriff auf Enet sind keine bahnbrechenden technischen Neuerungen. Es sind strukturelle Einsichten, die jedes Unternehmen betreffen.
Anomalien müssen frühzeitig ernst genommen werden. Monate vor dem Angriff brachen VPN-Tunnel grundlos zusammen und es gab unerklärliche Peaks in der Firewall. Damals führte man dies auf Firmware-Probleme zurück. Heute würde man anders reagieren. Wer sein normales Traffic-Profil nicht kennt, kann Abweichungen nicht erkennen. Wer Abweichungen nicht erkennt, dem entgeht die Reconnaissance-Phase eines Angriffs.
DDoS-Schutz ist keine Funktion, die man nebenbei einkauft. Eine Basis-DDoS-Protection über den Service Provider war vorhanden, doch sie war dem Angriff schlicht nicht gewachsen. Ein Schutz in dieser Größenordnung lässt sich nicht immer selbst stemmen. Er erfordert Infrastruktur, Kapazität und Expertise, über die dedizierte Anbieter verfügen.
Im Krisenfall wird Kommunikation wichtiger als Technik. Kunden, Partner, Mitarbeitende und Gesellschafter müssen alle transparent informiert werden. Kein Unternehmen verliert heute Vertrauen, nur weil es Opfer eines Cyberangriffs wurde. Es verliert Vertrauen, wenn es verschweigt, was passiert ist.
Was das für Ihre Schutzstrategie bedeutet
Link11 schützt Unternehmen wie die Enet GmbH über ein vollständig cloudbasiertes Netzwerk, ohne dass On-Premise-Hardware erforderlich ist oder Kompromisse bei der Kapazität gemacht werden müssen. Mit über 40 PoPs weltweit wird der gesamte eingehende Traffic über das Link11-Netzwerk geleitet und gefiltert, bevor er die kundenseitige Infrastruktur überhaupt erreicht.
Erfahren Sie mehr über eine einfach zu implementierende und äußerst effektive WAAP-Lösung.
Alles aus einer Hand und auf Wunsch als vollständig verwalteter Service.
Roland Hambach fasst es pragmatisch zusammen: „Das ist wie der Türsteher an der Diskothek. Inzwischen steht da nicht nur einer, sondern eher vier.“ Und wer sichtbar geschützt ist, wird schlicht seltener angegriffen, da Angreifer die Erfolgsaussichten kennen.
Zusätzlich zur DDoS-Mitigation bietet Link11 mit der WAAP-Plattform einen integrierten Schutz, der DDoS-Abwehr, Web Application Firewall, Bot Management und API Protection kombiniert. Für Unternehmen, die bereits bestehende On-Premise-Lösungen betreiben, lassen sich beide Ansätze als hybride Schutzarchitektur verbinden.
Drei Sätze, die bleiben
Abschließend lassen sich drei Empfehlungen aus dem Gespräch mit Roland Hambach zusammenfassen, die kaum ein Unternehmensberater besser formulieren könnte.
Es ist keine Frage, ob man angegriffen wird, sondern nur wann. Wenn es passiert, ist offene Kommunikation nach innen und außen die wichtigste Maßnahme. Danach sollte man mit anderen Unternehmen reden, Erfahrungen teilen und nicht schweigen.
DDoS-Angriffe sind kein Thema für die IT-Abteilung allein. Sie sind eine Frage der Unternehmensführung. Wer heute noch keinen Notfallplan hat, der wirklich getestet wurde – und nicht nur dokumentiert –, hat eine Lücke, die Angreifer ausnutzen können, auch wenn die eigene Risikoeinschätzung eine andere ist.
Lisa Fröhlich