DDoS-Angriffe: Zunahme technischer Eskalation in der DACH-Region mit Deutschland als Spitzenziel

In der zweiten Jahreshälfte 2025 hat NETSCOUT weltweit mehr als acht Millionen DDoS-Angriffe registriert

[datensicherheit.de, 24.03.2026] Der neue „NETSCOUT DDoS Threat Intelligence Report“ dokumentiert laut NETSCOUT eine dramatische Verschärfung der Cyberbedrohungslage durch „hacktivistische Aktivitäten“ und die Nutzung von DDoS-Attacken als präzisionsgelenkte Waffen mit geopolitischem Einfluss: In der zweiten Jahreshälfte 2025 wurden demnach weltweit mehr als acht Millionen DDoS-Angriffe registriert. Besonders auffällig sei der Druck auf Kritische Infrastrukturen (KRITIS) – ausgelöst durch „Hacktivisten“, DDoS-for-hire-Dienste und Botnetze.

Abbildung: NETSCOUT

„NETSCOUT DDoS Threat Intelligence Report“: Dramatische Verschärfung der Cyberbedrohungslage durch „hacktivistische Aktivitäten“ und Nutzung von DDoS-Attacken als präzisionsgelenkte Waffen mit geopolitischem Einfluss

In Deutschland sind Rechenzentren und Hosting-Dienste am stärksten betroffen

Die DDoS-Bedrohungslage in der sogenannten DACH-Region (Deutschland-Österreich-Schweiz) zeige im Jahr 2025 eine deutliche strukturelle Verschiebung, bei der sich der Fokus zunehmend von massenhaften Volumenangriffen hin zu leistungsstärkeren und strategisch eingesetzten Angriffsszenarien verlagere.

• DDoS-Angriffe hätten es insbesondere auf digitale Kerninfrastrukturen abgesehen, wobei „Computing Infrastructure Provider“ wie Rechenzentren, Hosting- und Datenverarbeitungsdienste mit mehr als 70.000 registrierten Angriffen mit deutlichem Abstand an der Spitze stünden.

Dahinter folgten kabelgebundene Telekommunikationsanbieter mit 28.981 sowie Mobilfunkanbieter mit 21.524 Angriffen. Die Angriffsfrequenz sei damit eindeutig dort am höchsten, wo Störungen eine maximale Breitenwirkung entfalten können.

Unterschiedliche DDoS-Belastungsmuster in der DACH-Region

Dass auch transport- und mobilitätsnahe Infrastrukturen zunehmend ins Visier gerieten, habe Anfang 2026 der DDoS-Angriff auf die Deutsche Bahn (DB) gezeigt. Diese Attacke erfolgte laut Unternehmensangaben in mehreren Wellen. Betroffen gewesen seien insbesondere die Auskunfts- und Buchungssysteme – darunter die Website „bahn.de“ sowie die App „DB Navigator“.

• Zwar zähle der Mobilitätssektor nicht zu den drei dominierenden Telekommunikations- oder Hosting-Kategorien, gehöre jedoch in Deutschland zu den am stärksten angegriffenen Branchen außerhalb der klassischen Netz- und Infrastruktursegmente.

In der Schweiz sei im Jahr 2025 ein leichter Anstieg von rund vier Prozent vom ersten auf das zweite Halbjahr auf insgesamt 43.466 Angriffe zu verzeichnen. Deutlich markanter sei jedoch die Angriffsdauer im zweiten Halbjahr 2025 (106,45 Minuten), welche die Vergleichswerte in Österreich und Deutschland übertreffe.

Kabelgebundene Anbieter in Österreich deutlich an erster Stelle

Für Österreich zeige sich ein etwas anderes Muster als in der Schweiz: Dort dominiere klar die Angriffsfrequenz bei kabelgebundenen Netzbetreibern, während die längsten Angriffe auf digitale Infrastruktur- und Hosting-Anbieter zielten. Mit 13.867 Angriffen stünden kabelgebundene Anbieter deutlich an erster Stelle und die Angriffe seien zahlreich, aber eher kurz bis mittellang angelegt.

• Dies spreche für wiederkehrende, volumenbasierte Störversuche gegen klassische Netzbetreiber. Anbieter von IT-Infrastruktur folgen auf Platz 2, mobile Netzbetreiber auf Platz 3 – das Muster entspreche damit dem regionalen Trend. Trotz unterschiedlicher Schwerpunkte konzentrierten sich DDoS-Angriffe in allen drei Ländern auf systemrelevante Telekommunikations- und Infrastruktursektoren.

Dass DDoS-Angriffe im Umfeld internationaler Großereignisse zusätzliche Dynamik entfalten könnten, hätten die Olympischen Winterspiele 2026 in Mailand-Cortina bestätigt: „Im Rahmen einer Angriffswelle der pro-russischen Gruppe ,NoName057‘ war unter anderem die Website des Österreichischen Olympischen Comités (ÖOC) zeitweise betroffen und für rund eine Stunde lahmgelegt.“

Qualitative Verschiebung der Bedrohungslage in der DACH-Region

Der aktuelle „NETSCOUT Threat Intelligence“-Bericht zeige, dass die DDoS-Entwicklung 2025 in der DACH-Region weniger von reiner Quantität, sondern mehr von qualitativer Eskalation geprägt gewesen sei. Multi-Vektor-Angriffe gehörten weiterhin zum festen Bestandteil des DDoS-Geschehens, so dass unterschiedliche Angriffsmethoden kombiniert und teils während der laufenden Attacke angepasst würden, um Erkennungs- und Abwehrmechanismen zu umgehen.

• Der zunehmende Einsatz KI-gestützter Werkzeuge senke zudem die technische Einstiegshürde für bestimmte Angriffstypen, denn Botnet-Steuerung oder Schwachstellenanalysen ließen sich stärker automatisieren.

„Large Language Models“ (LLMs) – im DarkWeb-Umfeld als „Dark LLMs“ genutzt – beschleunigten diese Abläufe zusätzlich und erleichterten die operative Umsetzung. Angesichts der technologischen Fortschritte im Bedrohungsumfeld seien intelligente und zunehmend autonome Verteidigungsmaßnahmen erforderlich, um systemische Betriebsstörungen wirksam zu begrenzen.

Weitere Informationen zum Thema:

NETSCOUT
ABOUT US: We are the Guardians of the Connected World.

NETSCOUT
Unmasking the Swarm: The Evolving Tactics of Botnet-Driven DDoS Attacks / DDoS Threat Intelligence Report / Issue 16: Findings from 2H 2025

datensicherheit.de, 20.02.2026
DDoS-Angriffe wie vor Kurzem auf die DB können Vertrauen der Kunden untergraben / Der jüngste Cyberangriff auf die DB Bahn zeigte abermals, wie angreifbar selbst zentrale Akteure der Kritischen Infrastruktur im Digitalen Raum sind

datensicherheit.de, 09.05.2025
Welle von DDoS-Angriffen: Deutsche Stadtportale im Visier / Häufung von DDoS-Attacken, bei denen Server durch Flut automatisierter Anfragen gezielt überlastet werden

datensicherheit.de, 16.10.2024
DACH-Region: Alarmierende Zunahme der DDoS-Angriffe / Deutschland laut „NETSCOUT DDoS Threat Intelligence Report“ am stärksten von DDoS-Attacken betroffen