Was passiert, wenn man Cyberkriminellen ihr teuerstes Spielzeug wegnimmt? Sie werden wütend und greifen an. Als mutige Sicherheitsforscher beschlossen, über 500 Kommando-Server der berüchtigten IoT-Botnetze Kimwolf und Aisuru lahmzulegen, reagierten die Hacker prompt: Sie feuerten massive Rache-Attacken auf die Forscher ab, deren Datenpakete bis zum Rand mit wüsten, vulgären Beschimpfungen gefüllt waren.

Dies ist die Geschichte vom rasanten Aufstieg einer gigantischen Cyber-Bedrohung, einem florierenden kriminellen Geschäftsmodell und dem bizarren Katz-und-Maus-Spiel zwischen Forschern und wutentbrannten Hackern.

Die unsichtbare Armee: Was sind Kimwolf und Aisuru?

Alles begann im August 2024, als Sicherheitsexperten erstmals das Aisuru-Botnetz identifizierten. Kurz darauf trat sein „großer Bruder“ Kimwolf auf den Plan. Zusammen bildeten sie eine stark verflochtene, beispiellose Cyber-Bedrohung, die das Internet in den Jahren 2025 und 2026 in Atem hielt.

Die Botnetze machten sich eine eklatante Schwachstelle unserer modernen Welt zunutze: schlecht gesicherte Internet-of-Things (IoT)-Geräte. Von handelsüblichen Internet-Routern in heimischen Wohnzimmern bis hin zu unsicheren Überwachungskameras – die Schadsoftware kaperte alles, was nicht bei Drei auf den Bäumen war. In ihrer Hochphase umfasste das Netzwerk von Aisuru, Kimwolf und verwandten Netzen wie JackSkid mehr als 3 Millionen infizierte Geräte weltweit. Allein Kimwolf hatte rund 2 Millionen Systeme unter seine Kontrolle gebracht.

Ihre primäre Waffe? Sogenannte hyper-volumetrische DDoS-Angriffe. Die schiere Masse an Geräten ermöglichte eine Zerstörungskraft von nie dagewesenem Ausmaß. Während das Aisuru-Botnetz in seiner Laufzeit über 200.000 DDoS-Angriffsbefehle erteilte, sorgte Kimwolf mit mehr als 25.000 Befehlen für Chaos. Im Dezember 2025 zwangen sie gemeinsam ein riesiges Content Delivery Network in die Knie. Im Februar 2026 überfluteten sie gezielt das dezentrale Anonymisierungsnetzwerk I2P.

Das wahre Geschäftsmodell: Mehr als nur rohe Gewalt

Doch rohe DDoS-Gewalt war den Betreibern bald nicht mehr lukrativ genug. Sie erkannten, dass ein Netzwerk aus Millionen gekaperter Privat-Router eine viel wertvollere Ressource darstellt: Unauffälligkeit.

Die Hacker begannen, die infizierten Geräte in sogenannte „Residential Proxies“ umzuwandeln. Das Prinzip ist perfide: Wenn Cyberkriminelle Angriffe starten, leiten sie ihren Datenverkehr einfach durch den Router einer ahnungslosen Privatperson. Für die Sicherheitssysteme von Banken oder Online-Shops sieht es dann so aus, als käme die Anfrage von einem harmlosen Haushaltsanschluss.

Dieses Netzwerk befeuerte im Hintergrund eine gewaltige Welle an Online-Betrug, Web-Scraping und Credential Stuffing, dem massenhaften automatisierten Ausprobieren von gestohlenen Passwörtern. Sicherheitsforscher stellten fest, dass das systematische Scannen und Missbrauchen dieser Proxy-Netzwerke durch Kimwolf ein absolut beispielloses Ausmaß annahm und die Infrastruktur zeitweise die am stärksten anvisierte Domain weltweit war.

Der Krieg im Schatten: Forscher vs. Hacker

Als die Botnetze Anfang 2026 eine kritische Masse erreichten, reichte es der IT-Sicherheits-Community. Die Experten der Black Lotus Labs (Lumen) entschlossen sich zu einem beispiellosen, proaktiven Gegenschlag.

Innerhalb von nur vier Monaten identifizierten und blockierten („Null-Routing“) die Forscher den Datenverkehr von sagenhaften 550 Command-and-Control (C2) Servern. Das glich dem Versuch, einem Kraken nach und nach alle Gehirne abzuschneiden. Jedes Mal, wenn die Botnetz-Betreiber ihre gekaperten Geräte für einen Angriff oder Betrug mobilisieren wollten, liefen ihre Befehle ins Leere.

Diese massive Störaktion brachte die Hintermänner ordentlich ins Schwitzen. Sie waren gezwungen, panisch neue Server-Architekturen aufzubauen und ihre Infrastruktur zu migrieren. Doch die Hacker reagierten nicht nur technisch. Sie nahmen es persönlich. In einem bizarren Racheakt richteten sie die verbleibende Feuerkraft ihrer Botnetze direkt gegen die Sicherheitsforscher. Die DDoS-Angriffe, die nun auf die Server der Experten einprasselten, enthielten eine besondere Botschaft: Der Schadcode war gespickt mit endlosen, vulgären Beschimpfungen, die direkt an die Forscher adressiert waren.

Hinter den kalten, automatisierten Angriffen von Millionen gekaperter Maschinen zeigten sich plötzlich die echten, wutentbrannten Gesichter frustrierter Krimineller, denen man gerade das lukrativste Geschäft ihres Lebens ruiniert hatte.

Das Endgame: Die globale Zerschlagung im März 2026

Doch die weitreichenden Bemühungen der privaten Sicherheitsforscher waren nur das Vorspiel für den ultimativen Todesstoß. Während die Betreiber der Botnetze noch damit beschäftigt waren, fluchend ihre Server vor den Forschern zu verstecken, zog sich die Schlinge der internationalen Strafverfolgungsbehörden bereits unwiderruflich zu.

Am 19. März 2026 endete die Schreckensherrschaft von Kimwolf und Aisuru in einem beispiellosen Polizeischlag. Das Bundeskriminalamt (BKA) und die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) gaben bekannt, dass die Netzwerke in enger, international koordinierter Zusammenarbeit mit US-Behörden und kanadischen Ermittlern endgültig zerschlagen wurden. Den Behörden gelang es, die global verteilte Angriffs-Infrastruktur von Aisuru, Kimwolf sowie der eng verwobenen Schwesternetzwerke JackSkid und Mossad erfolgreich zu beschlagnahmen und vom Netz zu nehmen.

Ist Ihr Router ein Schläfer-Agent?

Die Geschichte von Kimwolf und Aisuru beweist eindrucksvoll: Cyberkrieg findet längst nicht mehr nur auf den Servern großer Konzerne statt. Das Schlachtfeld hat sich in unsere Wohnzimmer verlagert. Jedes schlecht gesicherte Gerät mit Internetzugang ist eine potenzielle Waffe in den Händen von Botnetz-Betreibern.

Der erfolgreiche Takedown durch die internationalen Ermittlungsbehörden war ein brillanter Etappensieg und ein deutliches Signal an Cyberkriminelle. Er zeigt, dass selbst die größten und aggressivsten Netzwerke nicht unantastbar sind. Doch der Kampf ist damit nicht vorbei. Die Zerschlagung von Kimwolf und Aisuru reißt ein Vakuum auf, das andere Akteure nur allzu gern füllen wollen.

Solange das Internet der Dinge von Sicherheitslücken geplagt ist und die Einstiegshürden für Cyberkriminelle dank KI-Tools weiter sinken, bleibt die Bedrohung bestehen. Es liegt nun an Herstellern, Unternehmen und gesamten IT-Sicherheitsbranche, aus den Taktiken der Botnetze zu lernen und die Schutzschilde für den nächsten, unweigerlich kommenden Sturm zu stärken.

Nicht jede DDoS-Attacke verfolgt dasselbe Ziel. Manche sollen lediglich überlasten, andere sollen etwas verbergen. Ein massiver Anstieg der Request-Zahlen löst zwar in jedem SOC sofort Alarm aus, doch wenn innerhalb kürzester Zeit Millionen Anfragen auf die Infrastruktur einprasseln, greift die Standarddiagnose oft zu kurz. 

Auf den ersten Blick scheint der Fall klar: ein klassischer DDoS-Angriff, der die Verfügbarkeit lahmlegen soll. Doch Vorsicht vor dem Offensichtlichen. Eine aktuelle Analyse von zwei verschiedenen Angriffsszenarien zeigt sehr deutlich, wie unterschiedlich die Motivation hinter scheinbar ähnlichem Traffic aussehen kann und warum genau dieser Unterschied für die Sicherheitsstrategie von entscheidender Bedeutung ist. 

Während der eine Angriff lediglich „Lärm“ macht, nutzt der andere diesen Lärm als Tarnung für weitaus gefährlichere Operationen.  

Fall 1: Der klassische DDoS-Angriff 

Im ersten Szenario wurde ein Login-Bereich mit rund 17 Millionen Requests attackiert. Mehrere tausend IP-Adressen zielten dabei primär auf die Root-Domain.  

Technisch betrachtet handelte es sich um einen „sauberen“, wenn auch massiven Volumenangriff.

Die forensischen Kennzahlen waren eindeutig: 

• Reiner Traffic-Overload zur Ressourcenerschöpfung. 

• Typische DDoS-Signaturen, die sofortige Rate-Limit-Trigger auslösten. 

• Keine Hinweise auf SQL-Injection- oder Cross-Site-Scripting-Versuche (XSS). 

Solche Attacken sind laut, hochgradig sichtbar und darauf ausgelegt, die Backend-Ressourcen zu binden oder gänzlich zu überfordern. Ohne vorgeschaltete Schutzmechanismen kann bereits ein Botnetz dieser Größe ausreichen, um kritische Anwendungen an ihre Belastungsgrenze zu bringen und massive Ausfälle zu verursachen. 

Das ist die „klassische“ DDoS-Dynamik. Mit einer modernen WAAP-Plattform (Web Application & API Protection) bleibt der Effekt begrenzt: IP-Adressen werden automatisiert geblockt, Rate-Limits greifen präzise und der Angriff verpufft als gefiltertes Hintergrundrauschen. 

Fall 2: DDoS als Ablenkungsmanöver 

Das zweite Szenario verlief technisch ähnlich, war jedoch strategisch weitaus perfider. Hier gerieten zwei Domains, darunter eine hochfrequentierte Buchungsplattform, gleichzeitig ins Visier. Mit einem Volumen von 14 bis 40 Millionen Requests war die Intensität höher als im ersten Fall.  

Die Analyse der Web Application Firewall (WAF) förderte jedoch ein gefährliches Zusatzmuster zutage: gezielte Signaturen für SQL-Injections und Cross-Site-Scripting (XSS). 

Auszug aus der WAF-Analyse: 

Dieses Muster lässt auf einen „Smokescreen“- Angriff schließen. Die dahinterstehende Logik ist so simpel wie gefährlich: 

• Der „Lärm“: Ein massiver DDoS-Angriff erzeugt operative Hektik, flutet Monitoring-Systeme mit Alarmen und bläht Logfiles gigantisch auf. 

• Die Tarnung: Im Windschatten dieses Rauschens versuchen Angreifer, leise und präzise Exploits zu platzieren, in der Hoffnung, dass diese in der Masse der Fehlermeldungen untergehen. 

In diesem spezifischen Fall scheiterten die Angreifer jedoch an ihrer eigenen Ökonomie. Da sie für den volumetrischen DDoS und die Infiltrationsversuche dieselben IP-Adressen nutzten, waren diese bereits durch die DDoS-Schutzregeln blockiert, bevor die SQL- oder XSS-Versuche überhaupt eine Chance hatten. 

Technisch war dieser Ansatz in seiner Ausführung zwar nicht sonderlich ausgereift, ein versierterer Akteur hätte getrennte Infrastrukturen und IP-Pools genutzt, doch die Absicht war eindeutig. Genau hier liegt der entscheidende Unterschied zum reinen Volumenangriff: Während bei Fall 1 die Störung im Vordergrund stand, zielte Fall 2 auf die Kompromittierung des Systems ab. Ein Risiko, das isolierte Sicherheitslösungen ohne korrelierende Intelligenz oft schutzlos zurücklässt. 

Der strategische Unterschied

Hätte das Unternehmen im zweiten Fall lediglich einen isolierten DDoS-Schutz ohne verzahnte WAF-Intelligenz eingesetzt, wäre der „Rauch” zwar gefiltert worden, die feinen Nadelstiche der SQL-Injections hätten jedoch die Backend-Systeme erreichen können. 

Die entscheidenden Faktoren waren: 

1. Automatisierte IP-Quarantäne: Eine IP, die durch DDoS-Muster auffällt, wird sofort global gesperrt. 

2. Übergreifende Reputation: Die Erkenntnis über eine bösartige IP auf Domain A schützt sofort Domain B. 

3. Ganzheitliche Sicht: Sicherheitsteams erkennen nicht nur den „Sturm“, sondern das gesamte Angriffsmuster. 

Fazit  

Nicht jeder Traffic-Peak ist ein reines Kapazitätsproblem. In einer hybriden Bedrohungslandschaft ist ein DDoS-Angriff häufig nur die Kulisse, hinter der sich ganz andere Vorgänge abspielen. Wer nur auf die Bandbreite schaut, übersieht das eigentliche Risiko. Resilienz bedeutet heute nicht nur, „online” zu bleiben, sondern Angriffe in ihrer Gesamtheit zu dekodieren. 

Möchten Sie erfahren, wie eine moderne WAAP-Architektur DDoS- und Applikationsangriffe in Echtzeit korreliert und vollautomatisch stoppt? Erfahren Sie jetzt mehr über die ganzheitlichen Schutzlösungen von Link11.

Jetzt unsere Experten kontaktieren >>

Blogbeitrag von Dr. Georgia Papaioannou, Microsoft Deutschland 

Cybersicherheit ist längst nicht mehr nur ein technisches Thema. Jedes Unternehmen kann potenziell Ziel von Angriffen werden, unabhängig von Branche oder Größe. Gleichzeitig werden die Bedrohungen immer komplexer: von Ransomware über Angriffe auf die Lieferkette bis hin zu politisch motivierten Hackeraktionen. Das bedeutet, dass Unternehmen Cybersecurity nicht nur operativ, sondern auch strategisch betrachten müssen. Nur so lässt sich IT-Sicherheit wirksam gestalten und in die Geschäftsstrategie integrieren. 

Cybersecurity als strategisches Thema 

IT-Sicherheit darf nicht isoliert betrachtet werden. Sie ist nicht nur ein Schutzinstrument für die IT-Abteilung, sondern ein strategischer Erfolgsfaktor für das gesamte Unternehmen. Sicherheitsmaßnahmen beeinflussen Geschäftsprozesse, den Ruf des Unternehmens und somit letztlich auch den wirtschaftlichen Erfolg. 

Risiken in greifbare Zahlen übersetzen 

Eine der größten Herausforderungen besteht darin, technische Bedrohungen in eine für die Unternehmensführung und Entscheidungsträger verständliche Sprache zu übersetzen. Fachbegriffe wie „Ransomware” oder „Zero-Day-Exploits” sind für das IT-Team relevant, für den Vorstand oder die Geschäftsleitung jedoch zum Teil noch unverständlich. 

Hier ist eine datenbasierte, geschäftsorientierte Kommunikation entscheidend. Anstatt technischer Details sollten konkrete Szenarien aufgezeigt werden, wie beispielsweise: „Ein erfolgreicher Angriff könnte drei Tage Produktionsstillstand und einen Umsatzverlust von zwei Millionen Euro verursachen.“ Solche greifbaren Zahlen erzeugen Aufmerksamkeit und verdeutlichen die wirtschaftlichen Konsequenzen von Cyberrisiken. 

Stakeholder-Management und bereichsübergreifende Zusammenarbeit 

Cybersecurity betrifft alle Unternehmensbereiche – von der IT über die Personalabteilung bis hin zu Forschung und Entwicklung. Nur wenn diese Bereiche in die Strategie eingebunden werden, lassen sich Sicherheitsmaßnahmen effektiv umsetzen. Eine offene und verständliche Kommunikation schafft Vertrauen und ermöglicht die Bildung von Allianzen innerhalb des Unternehmens. 

Erfolgreiche Sicherheitsverantwortliche verstehen sich als Enabler: Sie möchten dabei helfen, Risiken zu minimieren und Geschäftsziele zu erreichen. Dazu gehört nicht nur die Darstellung von Risiken, sondern auch die Begründung von Maßnahmen mit klaren Kennzahlen. KPIs und Risikoanalysen belegen, wie Security-Initiativen Unternehmensziele fördern, Kosten reduzieren und die digitale Transformation sichern. 

Die Rolle von Business-orientierter Kommunikation 

Technisches Wissen ist wichtig, reicht jedoch allein nicht aus. Entscheidend sind die Fähigkeiten, Risiken strategisch zu bewerten, ihre Eintrittswahrscheinlichkeit einzuschätzen und Kosten-Nutzen-Analysen durchzuführen. Die Ergebnisse müssen in einer verständlichen Sprache vermittelt werden, die nicht nur Fachleute, sondern auch das C-Level erreicht. 

Eine zielgerichtete, businessorientierte Kommunikation erlaubt es, IT-Sicherheit als integralen Bestandteil der Unternehmensstrategie zu positionieren. Dadurch werden Sicherheitsmaßnahmen als Investition und nicht als Kostenfaktor wahrgenommen. So wird Cybersicherheit zum strategischen Vorteil und nicht nur zum Pflichtprogramm. 

Prävention statt Reaktion 

Ein zentrales Prinzip der Cybersicherheit lautet: Prävention ist effektiver und kostengünstiger als Reaktion. In vielen Unternehmen zeigt sich jedoch ein anderes Bild: Sicherheitsmaßnahmen werden oft erst dann ernsthaft umgesetzt, wenn bereits ein Vorfall eingetreten ist. Dies ähnelt der Situation in der Medizin, wenn Patienten erst zum Arzt gehen, wenn ihre Symptome ernst werden. 

Prävention als kontinuierlicher Prozess 

Prävention umfasst weit mehr als die einmalige Implementierung von Sicherheitssoftware. Es handelt sich um einen kontinuierlichen Prozess, der Awareness-Schulungen, regelmäßiges Monitoring, Incident Response, Forensik und die Dokumentation von Vorfällen einschließt. Ähnlich wie ein gut gepflegtes Immunsystem schützt sie das Unternehmen proaktiv vor Angriffen. 

Awareness-Programme erhöhen das Bewusstsein der Mitarbeitenden für Risiken und fördern sicheres Verhalten. Monitoring und Logging ermöglichen die frühzeitige Erkennung von Anomalien, während Incident-Response- und Forensik-Prozesse sicherstellen, dass im Falle eines Angriffs schnell gehandelt werden kann. Die regelmäßige Dokumentation wiederum unterstützt die Nachverfolgung von Vorfällen und die Ableitung von Verbesserungsmaßnahmen. 

Wirtschaftliche Effekte präventiver Maßnahmen 

Prävention kostet zwar zunächst Ressourcen, ist aber langfristig deutlich günstiger als die Reaktion auf einen Sicherheitsvorfall. Ein erfolgreicher Cyberangriff kann nämlich Produktionsausfälle, Umsatzeinbußen, Reputationsschäden und rechtliche Konsequenzen nach sich ziehen. Die Kosten eines Angriffs übersteigen in der Regel die Investitionen in präventive Sicherheitsmaßnahmen um ein Vielfaches. 

Mentalitätswandel in der Unternehmensführung 

Neben technischen Maßnahmen erfordert Prävention vor allem einen Mentalitätswandel: IT-Sicherheit muss als fortlaufender strategischer Prozess verstanden werden, der Teil der Unternehmenskultur ist. Sicherheitsverantwortliche sollten nicht nur auf Vorfälle reagieren, sondern proaktiv die Resilienz des Unternehmens stärken. 

Unternehmen, die IT-Sicherheit präventiv angehen, können Schwachstellen frühzeitig identifizieren, Risiken minimieren und die Widerstandsfähigkeit ihrer Prozesse erhöhen. Ein solcher Ansatz verändert die Sicht auf Cybersicherheit grundlegend: weg von der Kostenstelle, hin zu einem strategischen Schutzmechanismus, der Geschäftsziele absichert. 

Fazit 

Cybersecurity ist mehr als nur Technik: Es ist ein strategisches Thema, das alle Unternehmensbereiche betrifft. Erfolgreiche Sicherheitsstrategien verbinden technisches Wissen mit einer geschäftsorientierten Perspektive, übersetzen Risiken in greifbare Zahlen und bilden bereichsübergreifende Allianzen. 

Prävention ist dabei der Schlüssel. Unternehmen, die frühzeitig handeln, Risiken kontinuierlich bewerten und Sicherheitsmaßnahmen als integralen Bestandteil ihrer Strategie verstehen, minimieren nicht nur Schäden, sondern schaffen auch Vertrauen bei Kunden, Partnern und Mitarbeitenden. 

Cybersecurity ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess, ähnlich wie Gesundheitsvorsorge. Unternehmen, die dies erkennen, sind widerstandsfähiger, wirtschaftlich erfolgreicher und zukunftsfähiger. 

Dr. Georgia Papaioannou 
Dr. Georgia Papaioannou ist Security Specialist bei Microsoft Deutschland mit Fokus auf Cybersicherheit, Compliance und Identitätsmanagement. Sie ist als Mentorin aktiv und engagiert sich in Programmen wie She@ISACA und Women4Cyber Deutschland, um den Einstieg von Frauen in die IT-Sicherheit zu fördern.  

Ein Gastbeitrag von Dr. Dominik Schürmann, Gründer & CEO von heylogin 

Ich weiß nicht, wie oft ich in den letzten Jahren auf „Passwort vergessen?” geklickt habe. Vermutlich zu oft. Und ich bin mir sicher: Ich bin nicht allein. 

Passwörter sind ein notwendiges Übel. Seit Jahrzehnten begleiten sie uns durchs Internet, obwohl wir alle wissen, dass sie alles andere als sicher sind. Menschen verwenden dieselben Passwörter auf zig Plattformen, notieren sie in Textdateien oder speichern sie unverschlüsselt im Browser. Und selbst wer alles richtig macht, ist nicht vor Datenlecks geschützt. 

Ich habe viele Jahre in der IT-Sicherheitsforschung und an Lösungen für eine sichere Authentifizierung gearbeitet. Wenn ich eins gelernt habe, dann das: Das Problem liegt nicht beim Menschen, sondern im System. Und genau dieses System verändert sich dank Passkeys immer mehr.  

Passkeys: Was steckt dahinter? 

Passkeys sind kein neues Passwortformat, sondern basieren auf einem neuen Konzept. Im Kern ersetzen sie Passwörter durch ein kryptografisches Schlüsselpaar. Dieses Prinzip ist aus der modernen IT-Sicherheit bereits bekannt. 

Das funktioniert so: 

• Ein privater Schlüssel bleibt sicher auf dem Gerät des Nutzers, z. B. Smartphone oder Laptop. 

• Ein öffentlicher Schlüssel wird auf der Website oder in der App gespeichert. 

• Wenn sich jemand einloggt, signiert das Gerät eine einmalige Challenge. Es wird kein Passwort übertragen oder gespeichert. 

Das bedeutet: Selbst wenn ein Server gehackt wird, gibt es dort kein Passwort, das gestohlen werden könnte. Und Phishing-Angriffe? Sie laufen ins Leere, da Passkeys nur für die echte Website funktionieren, nicht aber für eine täuschend ähnliche Kopie. 

Kurz gesagt sind Passkeys sicherer und bequemer. 

Warum Passkeys die bessere Lösung sind 

Die klassische Passwortauthentifizierung hat zwei große Schwächen: 

1. Sie hängt vom Menschen ab. Wir sollen uns komplizierte, einzigartige Passwörter merken und sie regelmäßig ändern. Das widerspricht der menschlichen Natur. 

2. Sie macht uns angreifbar. Datenlecks, Passwort-Wiederverwendung, Social Engineering – Passwörter sind das schwächste Glied in der Sicherheitskette. 

Passkeys lösen dieses Problem, da sie so konstruiert sind, dass sie menschliche Fehler kompensieren. Niemand muss sich etwas merken oder eingeben. Der Login erfolgt per Fingerabdruck-, Gesichtserkennung oder Geräte-PIN. Dabei werden keine biometrischen Daten in das Internet übertragen, sondern der Zugriff auf den benötigten Passkey lokal hergestellt.Das ist sicher, schnell und transparent. 

Der Weg in die Praxis 

Apple, Google und Microsoft wollen Passkeys weltweit etablieren. Das ist gut, gleichzeitig ein zweischneidiges Schwert. Denn wer Passkeys in den großen Ökosystemen anlegt, bindet sich zugleich an deren Infrastruktur. Die Schlüssel werden zwar sicher, aber zentral über iCloud, Google oder Microsoft-Konten synchronisiert. 

Für viele Nutzer ist dies eine akzeptable Lösung. Gerade Unternehmen oder sicherheitsbewusste Privatpersonen wünschen sich jedoch mehr Unabhängigkeit. Anbieter wie heylogin entwickeln daher Lösungen, die eine datenschutzfreundliche und plattformunabhängige Nutzung von Passkeys ermöglichen. Denn eine Technologie, die Sicherheit bieten soll, darf keine neue Abhängigkeit schaffen. 

Ich bin davon überzeugt, dass die Zukunft der Authentifizierung nicht allein den großen Plattformen gehören darf. Für die Entfaltung des vollen Potenzials von Passkeys sind offene Standards und vertrauenswürdige Alternativen unerlässlich. 

Sicherheit braucht Vertrauen und Verständnis 

Trotz der vielen Vorteile höre ich oft die Frage: „Das klingt alles schön, aber was ist, wenn ich mein Smartphone verliere?“ 

Eine berechtigte Frage. Doch auch hierfür sind Passkeys gut durchdacht. Die privaten Schlüssel werden in der Regel über mehrere Geräte hinweg synchronisiert und können über ein Backup-System wiederhergestellt werden. Bei einem sicheren Passwort-Manager, wie heylogin, läuft diese Synchronisation Ende-zu-Ende-verschlüsselt ohne dass der Betreiber des Passwort-Managers auf Passkeys zugreifen kann. 

Ein weiterer Vorteil ist, dass Passkeys nicht nur sicherer, sondern auch bequemer sind. Es ist kein Eintippen, kein Copy-Paste und keine Codes per SMS mehr nötig. Ein Klick genügt und du bist eingeloggt. 

In der Praxis führt diese Kombination aus Sicherheit und Komfort zu einem kulturellen Wandel: Sicherheit wird nicht mehr als Hürde empfunden, sondern als selbstverständlich integriert. 

Der Mensch im Mittelpunkt 

In der Sicherheitsforschung wird der Fokus häufig auf technische Aspekte gelegt. Dabei kommt die Bedeutung der Menschen als Teil des Sicherheitskontexts oftmals zu kurz. Doch am Ende geht es genau darum: Technologien zu entwickeln, die Menschen helfen, sicher zu handeln, ohne sie zu überfordern. 

Passkeys bieten genau diese Möglichkeit. Sie entlasten den Nutzer von der Verantwortung für Komplexität, ohne ihm Kontrolle zu entziehen. Für mich ist dies der entscheidende Unterschied: 

Gute Sicherheit ist unsichtbar und sie funktioniert einfach. 

Ein Blick in die Zukunft 

Wer heute Websites oder digitale Produkte entwickelt, sollte Passkeys nicht als Zukunftsthema betrachten. Große Plattformen wie PayPal, eBay, Google, GitHub und LinkedIn unterstützen sie bereits. In den kommenden Jahren wird das Passwort nach und nach an Bedeutung verlieren – es wird sich also nicht plötzlich, sondern schrittweise durch neue Verfahren und Technologien in der Kommunikation und im Internet verdrängen lassen. 

Natürlich braucht dieser Wandel Zeit. Alte Systeme, konservative Infrastrukturen und das menschliche Bedürfnis nach Vertrautem bremsen den Fortschritt. Aber ich bin überzeugt: Die Richtung stimmt. 

In ein paar Jahren werden wir uns vielleicht fragen, warum wir jemals Passwörter benutzt haben. So wie wir uns heute fragen, wie wir früher ohne Smartphones ausgekommen sind. 

Fazit 

Die Zukunft der digitalen Sicherheit ist passwortlos. Passkeys sind keine kurzlebige Modeerscheinung, sondern eine logische Weiterentwicklung. Sie machen das Internet sicherer und das Leben einfacher. 

Ich wünsche mir, dass wir diese Entwicklung bewusst gestalten: offen, datenschutzfreundlich und benutzerzentriert. Denn Technologie allein reicht nicht aus. Sie braucht Vertrauen. Und Vertrauen entsteht, wenn Sicherheit sich wie Komfort anfühlt, nicht wie Kontrolle. 

Über den Autor 
Dr. Dominik Schürmann ist Gründer & CEO von heylogin und Experte für IT-Sicherheitsarchitekturen und benutzerfreundliche Authentifizierungslösungen. Er beschäftigt sich seit vielen Jahren mit der Schnittstelle zwischen Kryptografie, Datenschutz und User Experience. 

Wir haben bereits geklärt, dass WAAP die logische Antwort auf moderne Anwendungsarchitekturen ist. Doch was bedeutet das in der Praxis? Wenn wir die Theorie beiseitelegen, geht es bei WAAP vor allem darum, Sicherheit skalierbar und beherrschbar zu machen. 

Im Folgenden stellen wir Ihnen die vier entscheidenden Wege vor, wie WAAP Ihnen dabei hilft, die Kontrolle über Ihre digitale Infrastruktur zurückzugewinnen. 

Die Rückkehr der Sichtbarkeit 

Der erste praktische Mehrwert von WAAP zeigt sich dort, wo die klassische Web Application Firewall (WAF) an ihre Grenzen stößt: bei der Angriffsfläche selbst. Eine herkömmliche WAF prüft einzelne Requests gegen starre Regeln. Das ist effektiv gegen bekannte Muster, für verteilte Systeme jedoch unzureichend. 

WAAP setzt früher an und betrachtet Web-Anwendungen und APIs als zusammenhängendes System. 

• Kontextsicht: Es entsteht erstmals wieder Transparenz darüber, welche Schnittstellen überhaupt existieren (Stichwort: Shadow APIs). 

• Verhaltensanalyse: WAAP erkennt, was innerhalb einer spezifischen Anwendung „normal” ist. Allein diese Sichtbarkeit ist für viele Organisationen der wichtigste Schritt, um vom reaktiven Modus in eine proaktive Gestaltung zu gelangen. 

Infrastruktur-Entlastung: Sicherheit ohne Performance-Verlust 

Moderne Angriffe sind nicht nur raffinierter, sondern auch „lauter”. Bots, Scraper und DDoS-Attacken auf Anwendungsebene erzeugen eine enorme Last, durch die lokale Gateways oft bereits vor dem Eingreifen eines Filters in die Knie gehen. 

WAAP-Plattformen sind in der Regel Cloud-nativ aufgebaut und fungieren daher als Schutzschild am Rand des Netzes (Edge). Rechenintensive Aufgaben wie, 

1. TLS-Entschlüsselung 

2. Korrelation globaler Signale und 

3. komplexe Verhaltensanalysen  

wandern in die skalierbare Plattform des Providers.  

Für Betreiber bedeutet das weniger Druck auf die eigenen Systeme und das Ende des Kompromisses zwischen maximaler Sicherheit und optimaler Performance. 

• Vorteil für Admins: Ihre Server sehen nur noch „sauberen“ Traffic. 

• Vorteil für Entscheider: Sie müssen Ihre lokale Infrastruktur nicht für Traffic-Spitzen oder DDoS-Attacken überdimensionieren, da die Cloud diese Last abfängt. 

Intelligentere Entscheidungen  

Der entscheidende Unterschied liegt darin, wie WAAP über Blockade oder Durchlass entscheidet. Anstatt sich nur auf „Blacklists“ zu verlassen, kombiniert die Plattform verschiedene Signale wie API-Strukturen, Bot-Fingerprints, Reputationsdaten und Verhaltensanomalien. 

Bei klassischen Angriffen werden technische Lücken ausgenutzt, wie zum Beispiel SQL-Injections. Moderne Angreifer nutzen jedoch oft die Logik der Anwendung selbst aus, beispielsweise durch das automatisierte Ausprobieren von Rabattcodes oder das massive Abfragen von Lagerbeständen. 

WAAP-Lösungen korrelieren Signale über längere Zeiträume und helfen so, Angriffe zu erkennen. Wenn ein Client ungewöhnlich viele Abfragen in einer bestimmten Reihenfolge tätigt, schlägt das System Alarm, auch wenn jeder einzelne Request für sich genommen „legal” aussieht. Diesen kontextuellen Schutz kann eine punktuell arbeitende WAF strukturell nicht leisten.  

Der Unterschied liegt vor allem in der Flexibilität. Eine klassische Web Application Firewall (WAF) arbeitet mit festen Regeln, die definieren, was erlaubt oder verdächtig ist. Eine WAAP-Plattform ergänzt diesen Ansatz um Kontext- und Verhaltensanalyse und kann dadurch flexibler zwischen legitimer Nutzung und Missbrauch unterscheiden. Dadurch wird der Aufwand für manuelles Nachjustieren reduziert und der Schutz insgesamt anpassungsfähiger gemacht. 

Die unsichtbare Schwachstelle absichern 

Gerade bei APIs zeigt sich die strukturelle Überlegenheit. Sie haben klar definierte Strukturen und Logiken, die ein einfacher HTTP-Filter nicht versteht. WAAP kann diese Schemata validieren und Abweichungen in Echtzeit stoppen. Dies ist ein Schutzlevel, das Unternehmen heute dringend benötigen, da APIs zunehmend zum primären Ziel für Datendiebstahl werden. 

Skalierbarkeit als Zielbild 

Organisatorisch hilft WAAP dabei, Komplexität zu reduzieren. Anstatt mühsam Einzellösungen für WAF, Bot-Schutz, API-Security und DDoS-Abwehr zu orchestrieren, bündelt die Web Application & API Protection (WAAP) diese Funktionen in einer gemeinsamen Schutzschicht. 

Der eigentliche Mehrwert von WAAP besteht somit nicht nur im Blockieren von Angriffen. Es ist die Transformation der Anwendungssicherheit in ein Modell, das mit der Dynamik von APIs und Automatisierung mithalten kann. Für Organisationen, die ihre digitale Wertschöpfung skalieren wollen, ist WAAP somit keine nette Zusatzfunktion, sondern eine notwendige Basis. 

Jetzt kontaktieren >>

In der IT-Sicherheit gilt oft das folgende einfache Prinzip: Für jedes neue Problem wird ein neues Tool eingeführt. So ist in vielen Unternehmen mit der Zeit ein digitaler Flickenteppich gewachsen. Endpoint Protection hier, Firewalls dort, Identity-Management, DDoS-Schutz, WAF, Bot-Management und API-Security – alles wurde einzeln gekauft, konfiguriert und betrieben.  

Auf dem Papier sieht das nach einer lückenlosen Abdeckung aus. In der operativen Realität führt dieser „Best-of-Breed“-Ansatz jedoch oft in eine gefährliche Falle: versteckte Komplexität. Wenn Sicherheitsteams mehr Zeit damit verbringen, Informationen zwischen isolierten Systemen zusammenzutragen, als tatsächliche Risiken zu beheben, wird das Sicherheitsmodell selbst zum Risiko. 

Wenn Tools sich im Weg stehen 

Die Fragmentierung der Sicherheitslandschaft ist nicht nur ein administratives Ärgernis, sondern stellt auch eine operative Belastungsgrenze dar. Eine Barracuda-Umfrage aus dem Jahr 2025 zeigt, dass rund zwei Drittel (65 %) der Organisationen zu viele Sicherheitslösungen einsetzen, wobei mehr als die Hälfte (53 %) mangelnde Integration beklagt.  

Der Korrelations-Burnout: Wertvolle Zeit geht verloren, weil Teams Ereignisse aus verschiedenen Tools manuell verknüpfen müssen. Ein Sicherheitsvorfall wird so zum mühsamen Puzzlespiel. Diese Vielzahl führt paradoxerweise nicht zu mehr Schutz, sondern zu kritischen Engpässen: 77 % der Befragten berichten in der Umfrage von Barracuda von behinderter Detection und 78 % von erschwerter Threat-Mitigation. 

Blinde Flecken: Die Schnittstellen zwischen den Produkten werden oft nicht ausreichend überwacht. Genau diese Lücken zwischen den Zuständigkeiten der Einzeltools nutzen Angreifer aus. Eine aktuelle Umfrage unter mehr als 1.000 IT- und Sicherheitsteams bestätigt, dass die schiere Menge an Tools die Teams überfordert und die Fehleranfälligkeit durch unklare Verantwortlichkeiten der Systeme erhöht.  

Alarm-Müdigkeit: Ein Schwall an unkoordinierten Warnungen führt dazu, dass kritische Vorfälle im Rauschen der „False Positives“ untergehen. Im Heimdal State of MSP Agent Fatigue Report 2025 zeigt sich, dass mehr als die Hälfte der MSPs tägliche oder wöchentliche Alert Fatigue erleben.  

Die WAAP-Suite: Ein integrierter Schutzkompass statt Insellösungen 

An diesem Punkt setzt die Idee einer WAAP-Plattform (Web Application and API Protection) an. Sie ist keine weitere Anwendung in der Liste, sondern eine Konsolidierungsschicht. Anstatt Web-Security, API-Schutz, Bot-Management und DDoS-Abwehr getrennt voneinander zu betrachten, bündelt eine solche Lösung diese Funktionen unter einem gemeinsamen Dach. Das Ergebnis ist ein strategischer Dreiklang: 

1. Ganzheitlichkeit statt Rätselraten 

Eine WAAP-Plattform schafft ein gemeinsames Lagebild. Verdächtiges Verhalten ist dann nicht mehr nur ein isolierter Log-Eintrag in einem Bot-Tool, sondern wird sofort im Kontext von API-Missbrauch und ungewöhnlichen Zugriffsmustern sichtbar. Diese „Single Pane of Glass“-Sichtweise ermöglicht schnellere und fundiertere Entscheidungen. 

2. Konsistenz in der Policy-Durchsetzung 

In einer fragmentierten Landschaft können Widersprüche zwischen den Regeln der WAF und denen der API-Security entstehen. Eine integrierte Plattform erzwingt Konsistenz: gleiche Identitäten, gleiche Risikosignale, gleiche Durchsetzungspunkte. Das reduziert Fehler und minimiert den Wartungsaufwand erheblich. 

3. Ökonomische und personelle Effizienz 

Jedes Einzeltool verursacht Kosten für Lizenzen, Schulungen und den Betrieb. Eine konsolidierte Cloud-Plattform reduziert diesen Overhead. Rechenintensive Aufgaben wie die TLS-Entschlüsselung und Verhaltensanalyse werden zentral am Network Edge verarbeitet. Das schont die eigene Infrastruktur und durchbricht die Wissenssilos, unter denen Security-Teams aufgrund des Fachkräftemangels ohnehin leiden. 

Strategische Souveränität statt technisches Tool-Hopping 

Für Entscheider ist die Wahl einer Protection Suite vor allem eine Frage der Steuerbarkeit. Eine gewachsene Landschaft aus Insellösungen ist schwer zu auditieren und kaum sauber in Governance-Strukturen einzubetten. Eine WAAP-Plattform hingegen bietet einen zentralen Ankerpunkt für Richtlinien, Reporting und die Priorisierung von Geschäftsrisiken. 

Reduzierte Komplexität ist ein Sicherheitsfaktor 

Bei einem integrierten Schutz geht es nicht um „weniger Features“, sondern um mehr Kontrolle. Eine WAAP-Lösung entlastet die Infrastruktur, liefert Entscheidungsgrundlagen und ermöglicht es Teams, mit weniger Aufwand mehr Risiken zu beherrschen. 

In einer zunehmend hybriden und vernetzten IT-Welt ist die Reduzierung von Komplexität keine technologische Luxuslösung, sondern eine betriebswirtschaftliche Notwendigkeit. Wer Anwendungen und APIs als das versteht, was sie heute sind, nämlich das Herzstück des digitalen Geschäfts, braucht ein Schutzmodell, das mit dieser Realität mithalten kann. 

Wie hoch ist das Konsolidierungspotenzial in Ihrer aktuellen Sicherheitsarchitektur? Eine integrierte WAAP-Lösung kann Ihre operativen Kosten senken und Ihr Schutzniveau erhöhen.  
Wir beraten Sie gerne.  

Jetzt kontaktieren >>

Webanwendungen sind das Rückgrat moderner Unternehmen. Sie fungieren als Verkaufsfläche, Kundenschnittstelle und Prozessmotor. Dass diese Infrastruktur geschützt werden muss, steht außer Frage. Doch in einer sich rasant in Richtung APIs und Microservices entwickelnden IT-Landschaft gibt es eine Konstante: Stillstand bedeutet Risiko. Deshalb stellt sich eine strategische Frage: Reicht der klassische Schutzansatz noch aus?  

Die WAF: Ein Modell für eine vergangene Web-Welt 

Jahrelang galt die Web Application Firewall (WAF) als der Goldstandard zum Schutz von Unternehmensanwendungen vor Angriffen aus dem Netz. Ihr Prinzip ist einfach: Sie prüft HTTP-Anfragen, filtert bekannte Angriffsmuster und blockiert Klassiker wie SQL-Injection oder Cross-Site-Scripting. In einer Welt, in der Anwendungen ausschließlich über den Browser genutzt wurden, war dies ein hochwirksames Modell. 

Doch diese Welt hat sich gewandelt. Moderne Anwendungen bestehen heute aus einem Geflecht von APIs, mobilen Clients und automatisierten Integrationen. Ein Großteil des Datenverkehrs stammt nicht mehr von Menschen, sondern von Maschinen. Hier stößt die klassische WAF an ihre strukturellen Grenzen. 

• Mangelnder Kontext: Für eine WAF wirken APIs oft wie „nur ein weiterer Endpunkt“. 

• Maskierter Missbrauch: Schädliche Bots oder die missbräuchliche Nutzung von Geschäftslogik werden oft fälschlicherweise als normale Last interpretiert. 

• Hoher Aufwand: Das Sicherheitsmodell wird zunehmend wartungsintensiv, da es auf immer komplexeren Regeln und manuellen Ausnahmen basiert. 

Die Frage ist heute nicht mehr, ob man eine Firewall hat, sondern ob diese intelligent genug ist, um den Kontext moderner Datenströme zu verstehen.  

WAAP: Schutz durch Verstehen statt nur Filtern 

Web Application and API Protection (WAAP) ist die Antwort auf diese Entwicklung. WAAP ist kein bloßer Ersatz für die WAF, sondern ein neues Schutzkonzept. Der entscheidende Unterschied liegt in der ganzheitlichen Betrachtung der Angriffsfläche. 

Was WAAP anders macht 

WAAP ist mehr als nur ein neues Akronym: Es handelt sich um eine Cloud-native Sicherheitsplattform, die den Schutzschirm deutlich erweitert. Während eine WAF nur punktuell filtert, bietet WAAP ein ganzheitliches Ökosystem. 

1. Spezialisierte API-Security: WAAP-Lösungen erkennen APIs automatisch, validieren Schemata und schützen gezielt vor Angriffen, die unter dem Radar klassischer Filter fliegen. 

2. Advanced Bot Management: Ein Großteil des heutigen Traffics stammt von Bots. WAAP unterscheidet mittels Verhaltensanalyse zwischen nützlichen Suchmaschinen-Crawlern und bösartigen Scraping- oder Credential-Stuffing-Bots. 

3. DDoS-Schutz auf Applikationsebene: Da WAAP meist in der Cloud operiert, können massive Angriffswellen abgefangen werden, bevor sie die lokale Infrastruktur überhaupt erreichen. 

4. Offloading, Skalierbarkeit und Real-Time-Upscaling: Die rechenintensive Analyse findet in der Cloud des Providers statt. Dadurch wird das eigene Rechenzentrum entlastet und eine dynamische Skalierung in Echtzeit („Real-Time Upscaling“) bei steigendem Traffic ermöglicht. So bleiben die Latenzen niedrig und die Performance stabil, auch unter Last. 

WAF vs. WAAP: Der direkte Vergleich 

Der strategische Vorteil 

Warum ist WAAP also „besser” als eine isolierte WAF? Nicht, weil die WAF falsch wäre, sondern weil WAAP ihre konsequente Weiterentwicklung ist. WAAP integriert die bewährten Schutzfunktionen von WAF und erweitert sie um zusätzliche Sicherheits-, Analyse- und Schutzmechanismen für moderne Webanwendungen und APIs.  

Während die WAF lange Zeit der Standard für den Anwendungsschutz war und vielen Teams vertraut ist, geht WAAP einen entscheidenden Schritt weiter, da sie WAF-Funktionalität und weiterführende Schutzmaßnahmen in einer einzigen, integrierten Plattform vereint. WAAP ist somit die nächste Evolutionsstufe der WAF – umfassender, skalierbarer und besser geeignet für die Anforderungen heutiger, dynamischer Infrastrukturen.  

• Die WAF schützt Webseiten → WAAP hingegen schützt Anwendungen und Schnittstellen. 

• Die WAF filtert Muster → WAAP bewertet Verhalten. 

• Die WAF skaliert durch Hardware/Instanzen →  WAAP skaliert als Plattform. 

Wann ist der Wechsel nötig? 

Für kleine, rein browserbasierte Anwendungen mag eine klassische WAF genügen. Für Unternehmen, die auf digitale Schnittstellen setzen, ist WAAP jedoch heute alternativlos. WAAP nimmt die Komplexität aus der Sicherheitsverwaltung und verschiebt die Last der Inspektion dorthin, wo sie am effizientesten bewältigt werden kann: an den Network Edge. 

Möchten Sie erfahren, wie eine WAAP-Lösung Ihre spezifischen Webanwendungen absichern kann? Lassen Sie uns gemeinsam Ihre aktuelle Sicherheitsarchitektur analysieren. 

Jetzt kontaktieren >>

Manche DDoS-Angriffe sind laut. Andere sind groß. Und wieder andere sind vor allem eines: flächendeckend. 

Ein aktueller Vorfall aus dem Link11-Netzwerk zeigt, wie wirkungsvoll sogenanntes Carpet Bombing sein kann. Innerhalb von nur zwei Minuten wurde nicht ein einzelner Server, sondern ein komplettes „/20-Netz“ mit mehr als 4.000 IP-Adressen attackiert. 

Was auf den ersten Blick wie ein „normaler“ volumetrischer Angriff wirkte, entpuppte sich bei genauerer Betrachtung als strategisch durchdachtes Vorgehen. 

Was bedeutet ein /20-Netz? 

Die Bezeichnung „/20” stammt aus der CIDR-Notation und beschreibt die Größe eines IP-Adressbereichs. Eine IPv4-Adresse besteht aus 32 Bit. Sind davon 20 Bit für das Netzwerk festgelegt, bleiben 12 Bit für einzelne Hosts übrig. Daraus ergeben sich 4.096 IP-Adressen innerhalb dieses Netzes. 

Anstatt also eine einzelne Adresse, etwa einen Webserver, ins Visier zu nehmen, wurde in diesem Fall der gesamte Adressraum attackiert. Jede dieser 4.096 IP-Adressen erhielt einen Teil des Angriffsverkehrs. 

Genau darin liegt der Kern von Carpet Bombing: Die Last verteilt sich breit über ein Netzwerksegment, statt punktuell zu eskalieren. 

500 Gigabit pro Sekunde – verteilt auf 4.000 Ziele 

Der Angriff erreichte ein Volumen von rund 500 Gbit/s und dauerte nur etwa zwei Minuten. Technisch dominierter UDP-Traffic. Das globale Botnetz erstreckte sich über rund 12.000 unterschiedliche IP-Adressen. 

Rein rechnerisch entfielen somit im Durchschnitt etwa 100 Mbit/s auf jede einzelne Ziel-IP. Für sich genommen wirkt das nicht außergewöhnlich. Viele moderne Systeme können kurzfristig deutlich mehr verarbeiten. 

Doch der entscheidende Faktor ist die gemeinsame Infrastruktur. Wenn sich hinter diesen 4.000 Adressen ein gemeinsamer Uplink, ein Rechenzentrum oder ein Provider-Netzwerk befindet, addiert sich die Last. Selbst wenn jede einzelne Adresse nur moderat belastet wird, kann die Gesamtkapazität des Netzanschlusses vollständig ausgeschöpft werden. 

Das Resultat ist vergleichbar mit einer blockierten Hauptwasserleitung: Jedes einzelne Haus mag nur wenig Wasser verbrauchen, doch wenn die zentrale Zuleitung dicht ist, bleibt überall der Hahn trocken. 

Warum Carpet Bombing schwer zu erkennen ist 

Gerade weil sich der Traffic verteilt, wirkt er bei isolierter Betrachtung oft unauffällig. Einzelne Kunden oder Systeme erkennen „nur“ einen erhöhten Traffic, aber keiner klar erkennbaren DDoS-Attacke. Die eigentliche Struktur offenbart sich erst, wenn das gesamte Netz betrachtet wird. 

Im vorliegenden Fall war zudem die Verteilung der Paketgrößen bemerkenswert. Der Traffic bestand nahezu ausschließlich aus sehr kleinen und sehr großen Paketen. Eine typische Streuung, wie sie bei legitimen Anwendungen entsteht, war kaum vorhanden. Fragmentierte Pakete traten nur in geringem Umfang auf. Eine solche binäre Verteilung hinsichtlich der Paketgrößen spricht stark für automatisierten Traffic. Für Systeme, die auf Verhaltens- und Musteranalyse setzen, kann das ein klarer Indikator sein.  

Globale Botnet-Struktur 

Die Angriffsquellen waren weltweit verteilt. Ein signifikanter Anteil stammte aus China, weitere große Teile aus Nordamerika, Europa und anderen Regionen. Auch auf Netzwerkebene zeigte sich eine breite Streuung über viele autonome Systeme hinweg. 

Dieses Muster sprach für ein umfangreiches Botnet, das geografisch breit aufgestellt war. Solche Strukturen erschweren die Attribution zusätzlich, da sich der Traffic nicht auf einzelne Regionen beschränkt. 

Gleichzeitig fiel der geopolitische Kontext auf. Das attackierte Unternehmen befindet sich in einer Region, die seit Jahren im Spannungsfeld internationaler Interessen steht. Interne Auswertungen zeigen, dass es sich nicht um einen isolierten Vorfall handelte. Vergleichbare Angriffe traten in den vergangenen Monaten wiederholt bei diesem Kunden auf, teilweise in ähnlicher Größenordnung. 

In diesem Umfeld sind DDoS-Angriffe längst nicht mehr ausschließlich wirtschaftlich motiviert. Sie dienen als politisches Signal oder als Instrument hybrider Konfliktführung. 

Zwei Minuten genügen 

Bemerkenswert ist die kurze Dauer des Angriffs. Zwischen Beginn und Abklingen der DDoS-Attacke lagen nur wenige Minuten. Solche „Hit-and-Run“-Attacken zielen nicht zwingend auf eine langfristige Überlastung ab. Vielmehr können sie darauf abzielen, die Resilienz zu testen, die Schutzmechanismen auszuloten oder punktuelle Störungen zu verursachen. 

Ihre Kürze macht sie nicht weniger relevant – im Gegenteil. Gerade kurze, intensive Angriffe können Monitoring-Mechanismen herausfordern, die auf längere Zeiträume ausgelegt sind. 

Fläche statt Fokus 

Carpet Bombing verdeutlicht eine strategische Verschiebung im Umfeld von DDoS-Angriffen. Im Gegensatz zu klassischen Angriffen, die einzelne IP-Adressen oder Dienste direkt ins Visier nehmen, richtet sich diese Methode gegen das Netzwerk als Ganzes. 

Die Last wird dabei so verteilt, dass sie einzeln betrachtet, harmlos wirkt, in der Summe jedoch kritische Infrastrukturen beeinträchtigt. Wer nur isolierte Endpunkte überwacht, erkennt unter Umständen lediglich die Symptome, nicht aber das zugrunde liegende Muster. 

Der kurze Angriff zeigt, wie ein komplettes Netzwerksegment unter Druck gesetzt werden kann. Technisch war das kein Rekord. Doch die Struktur macht deutlich, dass moderne DDoS-Strategien nicht mehr auf spektakuläre Spitzenwerte setzen, sondern auf eine intelligente Verteilung. Und genau darin liegt ihre eigentliche Stärke. 

Heben Sie die DDoS-Resilienz auf das nächste Level

Carpet Bombing ist nur eine von vielen Angriffsmethoden, die moderne Infrastrukturen unter Druck setzen. Erfahren Sie, wie Link11 komplexe DDoS-Angriffe in Echtzeit erkennt und stoppt. 

Jetzt kontaktieren >>

Link11, europäischer Anbieter für Cloud-basierte IT-Sicherheitslösungen, wurde in den G2 Best Software Awards 2026 ausgezeichnet und erreichte Platz 22 in der Kategorie Best German Software Companies. Als weltweit größter Software-Marktplatz erreicht G2 jährlich über 100 Millionen Käufer. Die regelmäßigen Best Software Awards zeichnen die weltweit besten Softwareunternehmen und -produkte auf Grundlage authentischer und aktueller Bewertungen realer Nutzer aus. 

Die Auszeichnung im Rahmen der „G2 Best Software Awards 2026” bestätigt die Mission von Link11: Unternehmen sollen mit hochwirksamen und einfach integrierbaren Sicherheitslösungen vor zunehmend komplexen Cyberbedrohungen geschützt werden. Zudem sollen sie die volle Kontrolle über ihre Web- und API-Infrastrukturen erhalten.  

„Dieser Award ist für uns besonders wertvoll, weil er direkt auf dem Feedback unserer Kunden basiert“, sagt Jens-Philipp Jung, CEO von Link11. „Er bestätigt unseren Anspruch, Sicherheitslösungen zu entwickeln, die echten Mehrwert bieten und das Vertrauen unserer Kunden verdienen. Zugleich unterstreicht die Auszeichnung unsere starke Position als verlässlicher Partner für die Absicherung geschäftskritischer digitaler Infrastrukturen.“  

„Da Käufer zunehmend KI-gestützte Recherche nutzen, um Softwarelösungen zu finden, müssen Empfehlungen durch glaubwürdige und verlässliche Nachweise untermauert sein.“, sagt Godard Abel, Mitgründer und CEO von G2. „Unsere Best Software Awards basieren auf verifizierten Kundenbewertungen und vertrauenswürdigen Daten. Sie geben Käufern eine objektive Orientierung und bilden zugleich eine wichtige Grundlage für KI-gestützte Empfehlungen. Wir gratulieren den diesjährigen Gewinnern, einschließlich Link11. Eine Platzierung in diesen Rankings steht für nachweisbaren Kundennutzen und echte Wirkung.“ 

Über die G2 Best Software Awards 

Die G2 Best Software Awards 2026 umfassen Dutzende Ranglisten, in denen Softwareanbieter und -produkte mithilfe des proprietären G2-Algorithmus bewertet werden. Grundlage hierfür sind verifizierte Nutzerbewertungen sowie öffentlich verfügbare Daten zur Marktpräsenz. Um für die Auszeichnung berücksichtigt zu werden, muss ein Softwareunternehmen oder Produkt im Kalenderjahr 2025 mindestens zehn genehmigte Bewertungen erhalten haben. Die Ergebnisse basieren ausschließlich auf Bewertungen aus diesem Zeitraum.