Was ist ein DDoS-Angriff?
Ein DDoS-Angriff (Distributed Denial of Service) ist ein koordinierter Cyberangriff, bei dem eine Vielzahl kompromittierter Geräte (ein sogenanntes Botnet) gleichzeitig Anfragen an ein Zielsystem senden, um es mit Datenverkehr zu überfluten und dadurch für legitime Nutzer unerreichbar zu machen. Im Gegensatz zu einem einfachen DoS-Angriff, der von einer einzigen Quelle stammt, kommt der Angriffstraffic bei DDoS von tausenden bis Millionen verschiedener IP-Adressen weltweit – was Abwehrmaßnahmen erheblich erschwert. Laut Cloudflare stieg das Volumen von DDoS-Angriffen 2023 um 65 % gegenüber dem Vorjahr. In Deutschland ist ein DDoS-Angriff nach § 303b StGB (Computersabotage) strafbar und kann mit bis zu 10 Jahren Freiheitsstrafe geahndet werden.
DDoS-Angriffe sind das digitale Äquivalent eines Massenandrangs vor einem Ladeneingang: Wenn tausende Bots gleichzeitig einen Dienst überfluten, kommen legitime Nutzer nicht mehr rein – selbst bei stabiler Infrastruktur.
Auf einen Blick – Key Facts
| Kennzahl | Wert | Quelle |
|---|---|---|
| Anstieg DDoS-Angriffe 2023 vs. Vorjahr | +65 % | Cloudflare DDoS Report Q4 2023 |
| Größter bekannter DDoS-Angriff (2023) | 398 Millionen Anfragen/Sekunde | Google Cloud Security |
| Durchschnittliche Angriffsdauer | 1–3 Stunden | Radware 2023 |
| Kosten eines DDoS-Angriffs für Opfer | 22.000–125.000 USD/Stunde | Corero Network Security |
| Strafmaß in Deutschland (§ 303b StGB) | bis zu 10 Jahre | Strafgesetzbuch Deutschland |
DoS vs. DDoS – Der Unterschied
| Merkmal | DoS (Denial of Service) | DDoS (Distributed DoS) |
|---|---|---|
| Angriffsquellen | Eine einzelne IP-Adresse | Tausende bis Millionen IPs (Botnet) |
| Erkennbarkeit | Leicht (eine Quelle blockieren) | Schwer (viele verteilte Quellen) |
| Angriffsstärke | Begrenzt | Extrem hoch (bis zu Tbps) |
| Abwehr | Einfach (IP sperren) | Komplex (Traffic-Filterung nötig) |
| Typischer Einsatz | Einfache Angriffe | Professionelle Cyberangriffe |
DDoS-Angriffstypen im Überblick
| Typ | Ziel | Methode | Beispiel |
|---|---|---|---|
| Volumenbasiert | Bandbreite überfluten | UDP Flood, ICMP Flood, DNS Amplification | Botnet sendet Gigabits pro Sekunde |
| Protokollangriff | Netzwerkhardware erschöpfen | SYN Flood, Ping of Death, Smurf Attack | Offene TCP-Verbindungen erschöpfen |
| Anwendungsangriff (Layer 7) | Webserver überlasten | HTTP Flood, Slowloris | Millionen scheinbar legitimer HTTP-Anfragen |
Bekannte DDoS-Angriffe in der Geschichte
| Angriff | Jahr | Ziel | Auswirkung |
|---|---|---|---|
| Dyn-Angriff | 2016 | DNS-Provider Dyn | Twitter, Netflix, Reddit stundenlang offline |
| GitHub-Angriff | 2018 | GitHub | 1,35 Tbit/s – damals weltgrößter bekannter Angriff |
| Google Cloud-Angriff | 2023 | Google Cloud | 398 Mio. Anfragen/s – neuer Weltrekord |
| Bundestag | 2014 | deutscher Bundestag | Parlamentsnetz stundenlang ausgefallen |
Häufig gestellte Fragen (FAQ)
Wie erkenne ich einen DDoS-Angriff?
Typische Anzeichen: drastisch verlangsamte Netzwerkperformance, Unerreichbarkeit der Website, ungewöhnlich hoher eingehender Traffic von vielen verschiedenen IP-Adressen, erhöhte Last auf Routern und Firewalls. Netzwerkmonitoring-Tools (z. B. PRTG, Zabbix) und Cloudflare Analytics erkennen DDoS-Muster in Echtzeit.
Was ist ein Botnet und welche Rolle spielt es bei DDoS?
Ein Botnet ist ein Netzwerk kompromittierter Geräte (PCs, Server, IoT-Geräte), die von einem Angreifer ferngesteuert werden. Die infizierten Geräte („Bots" oder „Zombies") führen auf Befehl gleichzeitig DDoS-Angriffe aus – ohne dass ihre Besitzer es merken. Das Mirai-Botnet (2016) nutzte über 600.000 IoT-Geräte für seinen Angriff auf Dyn.
Wie schütze ich mein Unternehmen vor DDoS-Angriffen?
Mehrschichtige Schutzstrategie: 1) DDoS-Schutzdienst (Cloudflare, AWS Shield, Akamai Prolexic), 2) Rate-Limiting und Traffic-Filterung, 3) Anycast-Netzwerk zur Verteilung des Angriffstraffics, 4) Notfallplan mit definierten Eskalationsprozessen, 5) Skalierbare Cloud-Infrastruktur, die Lastspitzen abfangen kann.
Was ist DNS-Amplification und warum ist es so effektiv?
Bei einem DNS-Amplification-Angriff sendet der Angreifer kleine DNS-Anfragen mit gefälschter Absender-IP (die des Opfers) an offene DNS-Resolver. Diese antworten mit deutlich größeren Datenpaketen direkt an das Opfer. Amplification-Faktor bis zu 70:1 – aus 1 Gbit/s Angriffsverkehr werden 70 Gbit/s beim Opfer.
Ist DDoS-as-a-Service real?
Ja – im Darknet gibt es sogenannte „Stressor"- oder „Booter"-Dienste, die DDoS-Angriffe für wenige Dollar pro Stunde anbieten. Diese Dienste nutzen vorhandene Botnets und ermöglichen es technisch unerfahrenen Angreifern, professionelle DDoS-Attacken durchzuführen. Die Nutzung solcher Dienste ist strafbar.
Fazit
DDoS-Angriffe sind eine wachsende Bedrohung für Unternehmen, Behörden und kritische Infrastrukturen. Mit der zunehmenden Vernetzung durch IoT-Geräte wächst die verfügbare Botnet-Kapazität weiter. Professionelle DDoS-Schutzdienste, skalierbare Cloud-Infrastruktur und durchdachte Incident-Response-Pläne sind unverzichtbar für jeden, der online erreichbar bleiben muss.
Marius Bopp
Prokurist & Technischer Leiter · You Logic AG
IT-Experte mit 18 Jahren Berufserfahrung. Seit 12 Jahren bei You Logic AG verantwortlich für Cloud Computing, IT-Security und Managed Services im Rhein-Main-Gebiet.
LinkedIn
