[datensicherheit.de, 24.03.2026] Der neue „NETSCOUT DDoS Threat Intelligence Report“ dokumentiert laut NETSCOUT eine dramatische Verschärfung der Cyberbedrohungslage durch „hacktivistische Aktivitäten“ und die Nutzung von DDoS-Attacken als präzisionsgelenkte Waffen mit geopolitischem Einfluss: In der zweiten Jahreshälfte 2025 wurden demnach weltweit mehr als acht Millionen DDoS-Angriffe registriert. Besonders auffällig sei der Druck auf Kritische Infrastrukturen (KRITIS) – ausgelöst durch „Hacktivisten“, DDoS-for-hire-Dienste und Botnetze.

Abbildung: NETSCOUT

„NETSCOUT DDoS Threat Intelligence Report“: Dramatische Verschärfung der Cyberbedrohungslage durch „hacktivistische Aktivitäten“ und Nutzung von DDoS-Attacken als präzisionsgelenkte Waffen mit geopolitischem Einfluss

In Deutschland sind Rechenzentren und Hosting-Dienste am stärksten betroffen

Die DDoS-Bedrohungslage in der sogenannten DACH-Region (Deutschland-Österreich-Schweiz) zeige im Jahr 2025 eine deutliche strukturelle Verschiebung, bei der sich der Fokus zunehmend von massenhaften Volumenangriffen hin zu leistungsstärkeren und strategisch eingesetzten Angriffsszenarien verlagere.

• DDoS-Angriffe hätten es insbesondere auf digitale Kerninfrastrukturen abgesehen, wobei „Computing Infrastructure Provider“ wie Rechenzentren, Hosting- und Datenverarbeitungsdienste mit mehr als 70.000 registrierten Angriffen mit deutlichem Abstand an der Spitze stünden.

Dahinter folgten kabelgebundene Telekommunikationsanbieter mit 28.981 sowie Mobilfunkanbieter mit 21.524 Angriffen. Die Angriffsfrequenz sei damit eindeutig dort am höchsten, wo Störungen eine maximale Breitenwirkung entfalten können.

Unterschiedliche DDoS-Belastungsmuster in der DACH-Region

Dass auch transport- und mobilitätsnahe Infrastrukturen zunehmend ins Visier gerieten, habe Anfang 2026 der DDoS-Angriff auf die Deutsche Bahn (DB) gezeigt. Diese Attacke erfolgte laut Unternehmensangaben in mehreren Wellen. Betroffen gewesen seien insbesondere die Auskunfts- und Buchungssysteme – darunter die Website „bahn.de“ sowie die App „DB Navigator“.

• Zwar zähle der Mobilitätssektor nicht zu den drei dominierenden Telekommunikations- oder Hosting-Kategorien, gehöre jedoch in Deutschland zu den am stärksten angegriffenen Branchen außerhalb der klassischen Netz- und Infrastruktursegmente.

In der Schweiz sei im Jahr 2025 ein leichter Anstieg von rund vier Prozent vom ersten auf das zweite Halbjahr auf insgesamt 43.466 Angriffe zu verzeichnen. Deutlich markanter sei jedoch die Angriffsdauer im zweiten Halbjahr 2025 (106,45 Minuten), welche die Vergleichswerte in Österreich und Deutschland übertreffe.

Kabelgebundene Anbieter in Österreich deutlich an erster Stelle

Für Österreich zeige sich ein etwas anderes Muster als in der Schweiz: Dort dominiere klar die Angriffsfrequenz bei kabelgebundenen Netzbetreibern, während die längsten Angriffe auf digitale Infrastruktur- und Hosting-Anbieter zielten. Mit 13.867 Angriffen stünden kabelgebundene Anbieter deutlich an erster Stelle und die Angriffe seien zahlreich, aber eher kurz bis mittellang angelegt.

• Dies spreche für wiederkehrende, volumenbasierte Störversuche gegen klassische Netzbetreiber. Anbieter von IT-Infrastruktur folgen auf Platz 2, mobile Netzbetreiber auf Platz 3 – das Muster entspreche damit dem regionalen Trend. Trotz unterschiedlicher Schwerpunkte konzentrierten sich DDoS-Angriffe in allen drei Ländern auf systemrelevante Telekommunikations- und Infrastruktursektoren.

Dass DDoS-Angriffe im Umfeld internationaler Großereignisse zusätzliche Dynamik entfalten könnten, hätten die Olympischen Winterspiele 2026 in Mailand-Cortina bestätigt: „Im Rahmen einer Angriffswelle der pro-russischen Gruppe ,NoName057‘ war unter anderem die Website des Österreichischen Olympischen Comités (ÖOC) zeitweise betroffen und für rund eine Stunde lahmgelegt.“

Qualitative Verschiebung der Bedrohungslage in der DACH-Region

Der aktuelle „NETSCOUT Threat Intelligence“-Bericht zeige, dass die DDoS-Entwicklung 2025 in der DACH-Region weniger von reiner Quantität, sondern mehr von qualitativer Eskalation geprägt gewesen sei. Multi-Vektor-Angriffe gehörten weiterhin zum festen Bestandteil des DDoS-Geschehens, so dass unterschiedliche Angriffsmethoden kombiniert und teils während der laufenden Attacke angepasst würden, um Erkennungs- und Abwehrmechanismen zu umgehen.

• Der zunehmende Einsatz KI-gestützter Werkzeuge senke zudem die technische Einstiegshürde für bestimmte Angriffstypen, denn Botnet-Steuerung oder Schwachstellenanalysen ließen sich stärker automatisieren.

„Large Language Models“ (LLMs) – im DarkWeb-Umfeld als „Dark LLMs“ genutzt – beschleunigten diese Abläufe zusätzlich und erleichterten die operative Umsetzung. Angesichts der technologischen Fortschritte im Bedrohungsumfeld seien intelligente und zunehmend autonome Verteidigungsmaßnahmen erforderlich, um systemische Betriebsstörungen wirksam zu begrenzen.

Weitere Informationen zum Thema:

NETSCOUT
ABOUT US: We are the Guardians of the Connected World.

NETSCOUT
Unmasking the Swarm: The Evolving Tactics of Botnet-Driven DDoS Attacks / DDoS Threat Intelligence Report / Issue 16: Findings from 2H 2025

datensicherheit.de, 20.02.2026
DDoS-Angriffe wie vor Kurzem auf die DB können Vertrauen der Kunden untergraben / Der jüngste Cyberangriff auf die DB Bahn zeigte abermals, wie angreifbar selbst zentrale Akteure der Kritischen Infrastruktur im Digitalen Raum sind

datensicherheit.de, 09.05.2025
Welle von DDoS-Angriffen: Deutsche Stadtportale im Visier / Häufung von DDoS-Attacken, bei denen Server durch Flut automatisierter Anfragen gezielt überlastet werden

datensicherheit.de, 16.10.2024
DACH-Region: Alarmierende Zunahme der DDoS-Angriffe / Deutschland laut „NETSCOUT DDoS Threat Intelligence Report“ am stärksten von DDoS-Attacken betroffen

[datensicherheit.de, 24.08.2025] Im Rahmen seiner jährlichen in der sogenannten DACH-Region (Deutschland, Österreich, Schweiz) angelegten Managementstudie „Chef, wie hältst Du es mit der Cybersicherheit?“ hat Sophos nach eigenen Angaben 300 C-Level-Manager befragen lassen, ob sie Unterschiede in der Cybersecurity zwischen sehr großen, mittleren und kleineren Unternehmen sehen. Die Mehrheit nun sehe große Konzerne mit hohen Budgets und genügend Fachpersonal klar im Vorteil – allerdings seien die Befragten auch der Meinung, dass kleinere und mittlere Unternehmen (KMU) ein vergleichbares Sicherheitslevel durch externen Service erreichen könnten. Ipsos habe im Auftrag von Sophos im Frühjahr 2025 C-Level-Manager (keine IT-Verantwortlichen) aus verschiedenen Branchen befragt: 200 in Deutschland sowie jeweils 50 in Österreich und der Schweiz. Thema dieser Umfrage sei der Stellenwert von IT-Sicherheit und KI-Technologien in den Unternehmen gewesen.

Große Unternehmen in der C-Level-Wahrnehmung klar besser aufgestellt

Mehr Budget, höhere Attraktivität, bessere Ressourcen: Große Unternehmen in Deutschland, Österreich und der Schweiz seien hinsichtlich der Cybersicherheit deutlich besser aufgestellt als KMU…

• Dies zumindest sei die vorherrschende Wahrnehmung in Chefetagen und eines der zentralen Ergebnisse aus der branchen- und länderübergreifenden Managementstudie von Sophos.

Die Mehrheit aller befragten C-Level-Führungskräfte gingen davon aus, dass große Unternehmen mehr Budget, besseres Personal und höhere Attraktivität für IT-Fachkräfte mitbrächten. Kleinere Unternehmen würden dagegen oft als weniger gut vorbereitet wahrgenommen.

Finanzielle Mittel großer Unternehmen als Wettbewerbsvorteil

Besonders ausgeprägt sei der eingeschätzte Vorteil großer Unternehmen beim Thema Budget. In der Schweiz glaubten 70 Prozent der Befragten, dass sich größere Unternehmen durch ihre finanziellen Mittel bessere Cybersicherheitsmaßnahmen leisten könnten.

• In Deutschland liege dieser Wert bei 63 Prozent, in Österreich bei 58 Prozent.

Damit spiegele sich in allen drei Ländern die Einschätzung wider, „dass höhere Budgets nicht nur grundsätzlich vorhanden sind, sondern auch effektiv in Sicherheitstechnologien und Schutzmaßnahmen investiert werden“.

Attraktivität der Unternehmen für Fachkräfte hat länderspezifische Nuancen

Auch wenn die meisten Befragten große Unternehmen als sicherer einstuften, zeigten sich interessante Unterschiede zwischen den Ländern. „In Deutschland gaben 69 Prozent der Führungskräfte an, dass große Unternehmen personell besser aufgestellt seien – in der Schweiz lag dieser Wert sogar bei 78,9 Prozent.“

• Österreich liege mit 58 Prozent deutlich darunter. Auch bei der Einschätzung, dass große Unternehmen für Fachkräfte attraktiver seien, liege die Schweiz mit 68 Prozent vorne, gefolgt von Deutschland mit 66,5 Prozent und Österreich mit 64 Prozent.

Besonders auffällig: „In Österreich sehen jüngere Führungskräfte unter 45 Jahren die Unterschiede zwischen kleinen und großen Unternehmen kritischer als ältere.“ So stimmten etwa 73,9 Prozent der Jüngeren der Aussage zu, dass große Unternehmen attraktiver für Fachkräfte seien, während dieser Wert bei den älteren Befragten deutlich niedriger ausgefallen sei.

Sicherheit mit externen Partnern für kleinere Unternehmen

In Deutschland glaubten nur 29,5 Prozent, dass kleinere Unternehmen nur mit internen Ressourcen ebenso gut abgesichert seien wie große – in der Schweiz 20 Prozent, in Österreich 30 Prozent.

• Allerdings werde kleineren Unternehmen durchaus ein hohes Sicherheitspotenzial zugetraut, „insbesondere wenn externe Unterstützung hinzukommt“. Besonders in der Schweiz glaubten 64 Prozent der Befragten, dass kleinere Unternehmen mit Hilfe spezialisierter Dienstleister ein ähnliches Sicherheitsniveau erreichen könnten wie Großunternehmen.

In Deutschland liege dieser Wert bei 53 Prozent, in Österreich bei 52 Prozent. Diese Zahlen deuteten darauf hin, dass externe Expertise eine realistische und vor allem Gewinn bringende Option darstelle, um Nachteile bei Budgets und Fachkräfte-Attraktivität in der IT-Security auszugleichen.

Cybersicherheit: Nur wenige Unternehmen verzichten auf Maßnahmen

Konstant hoch sei die Bereitschaft in allen Ländern, Schutzmaßnahmen umzusetzen. „Auf die Frage, ob man sich im eigenen Unternehmen bereits gegen eine Cybersicherheitsmaßnahme entschieden habe, antworteten in allen drei Ländern über 80 Prozent der Befragten mit ,nein’.“

• In Österreich habe der Anteil der Unternehmen, die noch nie eine Maßnahme abgelehnt haben, bei 84 Prozent gelegen, in Deutschland bei 81 Prozent und in der Schweiz bei 80 Prozent.

„Die Auswertung der aktuellen Management-Studie zeigt eine interessante Differenz zwischen dem, was Entscheider wahrnehmen, und dem, wie sie tatsächlich handeln“, kommentiert Michael Veit, IT-Security-Experte bei Sophos. Er führt abschließend aus: „Denn obwohl viele kleinere Unternehmen überzeugt sind, im Vergleich zu größeren Firmen schlechter aufgestellt zu sein, zeigt sich gleichzeitig eine hohe Bereitschaft, in Sicherheit zu investieren und gemeinsam mit externen Partnern Risiken aktiv zu begegnen. Das sind gute Nachrichten!“

Weitere Informationen zum Thema:

SOPHOS
Über uns: Modernste Technologie. Spezialisierte Experten.

heise business services, Experten
Michael Veit / Manager Sales Engineering, Sophos GmbH

datensicherheit.de, 27.03.2025
Cyber-Bedrohungen: G DATA warnt vor mangelndem Risikobewusstsein – insbesondere der KMU / Offensichtlich eine fatale Fehleinschätzung: Zwei von fünf Arbeitnehmern halten ihr Unternehmen für kein lohnendes Cyber-Angriffsziel

datensicherheit.de, 18.07.2024
Cyber-Sicherheit der KMU benötigt neue Ansätze: 4 Tipps von Utimaco / KMU sollten Cyber-Sicherheitsmaßnahmen so anpassen, dass sie auch künftig -Angriffen standhalten

datensicherheit.de, 24.03.2024
CyberRisikoCheck zu Positionsbestimmung der IT-Sicherheit für KMU / BSI möchte gemeinsam mit Partnern KMU dabei unterstützen, ihre Cyber-Resilienz zu erhöhen

datensicherheit.de, 19.03.2024
Datensicherheit: Wie auch KMU die Digitale Transformation meistern können / Lothar Geuenich erörtert KMU-Strategien zur erfolgreichen und sicheren Digitalisierung und Vernetzung

datensicherheit.de, 24.10.2023
KMU-Studie zur IT-Sicherheit – ein Hürdenlauf für den Mittelstand / DriveLock und techconsult empfehlen deutschen KMU einfache und robuste Cyber-Sicherheit

[datensicherheit.de, 16.10.2024] Laut einer Meldung von NETSCOUT zeigt der aktuelle „NETSCOUT DDoS Threat Intelligence Report“, dass sogenannte hacktivistische Aktivitäten weltweit zunehmen und für Organisationen sowie Branchen eine zunehmende Bedrohung darstellen, indem sie ihre Netzwerke durch DDoS-Angriffe (Distributed Denial of Service) überfordern: „Netzwerke und Server werden hierbei gezielt mit einer überdurchschnittlich hohen Menge von Anfragen bombardiert, so dass Nutzer keinen Zugriff mehr erhalten und die Dienste ausfallen.“ Deutschland belegt demnach im weltweiten Vergleich in zwei Kategorien den ersten Platz. „Sowohl bei der Größe der Bandbreite als auch bei der Datenübertragungsgeschwindigkeit, während eines DDoS-Angriffs, wurden in Deutschland die höchsten Werte gemessen.“

DDoS-Attacken fokussieren insbesondere auf die DACH-Region

In der DACH-Region seien der Telekommunikations- und Hosting-Sektor das Hauptziel. Kritische Infrastrukturen (KRITIS) in Deutschland seien dem Bericht zufolge verglichen mit Österreich und der Schweiz am stärksten betroffen – sowohl im Bezug auf die Häufigkeit als auch auf die Komplexität der DDoS-Angriffe:

Während Österreich bis zu 12.918 und die Schweiz eine maximale Anzahl von 17.316 Angriffe erlitten habe, seien für Deutschland mit 119.330 fast das Siebenfache an Attacken im Vergleich zur Schweiz, bzw. Neunfache verglichen mit Österreich, zu verzeichnen.

Vermehrte Anzahl an DDoS-Attacken oft in Kombination mit politischen Ereignissen

Der Deutsche Spitzenwert sei auf Datenverarbeitungs- und Hosting-Dienste zurückführen, während sich der maximale Wert der Nachbarländer auf Festnetz-Telekommunikationsanbieter beziehe. DDoS-Attacken zeichneten sich in Deutschland durch Multivektoren aus, die ihr Ziel zeitgleich aus unterschiedlichen Richtungen attackierten und Schwachstellen auf der Netzwerk- und Anwendungseben ausnutzten. Ein weiteres kritisches Element sei die Dauer der DDoS-Angriffe. „Hierbei war die Höchstdauer von rund 65 Minuten in der Schweiz zu verzeichnen, gefolgt von Österreich mit fast 57 Minuten und Deutschland mit 54 Minuten.“

Die vermehrte Anzahl an DDoS-Attacken und „hacktivistischen“ Aktivitäten seien oft in Kombination mit politischen Ereignissen festzustellen. Ein Erklärungsansatz für den erheblichen Anstieg dieser Attacken in der sogenannten EMEA-Region und dem Nahe Osten könnten geopolitische Spannungen sein, doch auch internationale Großveranstaltungen wie die Fußball-Europameisterschaft und die 2024 in Europa stattgefundenen Olympischen Spiele könnten als Katalysator dienen.

Weitere Informationen zum Thema:

NETSCOUT
DDoS THREAT INTELLIGENCE REPORT

NETSCOUT
Germany

[datensicherheit.de, 04.09.2019] Der „Fake President“-Betrug und seine verheerenden Auswirkungen auf Unternehmen seien an sich nichts Neues, so Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4: Unternehmen hätten dadurch bereits Millionen von Euro an Kriminelle verloren und viele Mitarbeiter  in der Folge ihre Arbeitsplätze.

Foto: KnowBe4

Jelle Wieringa: Unternehmen haben bereits Millionen von Euro an Kriminelle infolge des Fake President-Betruges verloren

Fake President: Sogar Bedrohung wie Ransomware überholt

Experten zufolge habe der „Fake President“-Betrug – auch bekannt als „Business Email Compromise“ – fast ein Viertel aller Schäden in der sogenannten DACH-Region (Deutschland-Österreich-Schweiz) aus.
Damit habe dieser Betrug dort sogar Bedrohungen wie Ransomware oder Datenschutzverletzungen überholt und sei der Hauptgrund dafür gewesen, dass Unternehmen 2018 eine Cyber-Versicherung abgeschlossen hätten. Den Experten zufolge hätten deutsche Unternehmen sowie deren ausländische Tochterfirmen Schäden von über 190 Millionen Euro seit 2014 gemeldet.

Hochgradig organisierte Gruppen von Kriminellen aktiv

Wieringa: „Derartige Betrügereien werden oft von hochgradig organisierten Gruppen von Kriminellen begangen, die ein bestimmtes Unternehmen oder eine Person oder Gruppe von Personen auswählen und den Angriff auf sie ausrichten. Sie versuchen diese Personen dazu zu bringen, eine unbefugte Tätigkeit wie zum Beispiel eine Geldüberweisung auf ein ausländisches Konto durchzuführen.“
Vor zwei Jahren habe das BKA gemeldet, dass ein Cyber-Krimineller als angeblicher persönlicher Referent eines Abteilungsleiters im Bundeskanzleramt solche Anrufe getätigt habe. „Er handelte angeblich im Auftrag des sicherheitspolitischen Beraters der Bundeskanzlerin und gab sich als ,Uwe Becker‘ aus“, berichtet Wieringa. Dieser Kriminelle habe bundesweit Geschäftsführer angerufen und die Unternehmen zu einer Spende für den Freikauf deutscher Geiseln aufgefordert – es hätten der Bundesregierung noch etwa 40 Millionen Euro gefehlt, so der Betrüger.

95 % der Angriffe auf Unternehmen Ergebnis erfolgreichen Spear-Phishings

Wieringa führt aus: „Diese Art von ,Social Engineering‘ wird Spear-Phishing genannt und 95 Prozent der Angriffe auf Unternehmen sind das Ergebnis eines erfolgreichen Spear-Phishings. In diesem Fall richten sich Betrüger an Nicht-Muttersprachler, die in ausländischen Tochtergesellschaften des Unternehmens beschäftigt sind. Dadurch stellen sie sicher, dass die Wahrscheinlichkeit, dass diese Mitarbeiter den Betrug erkennen, geringer ausfällt. Dies bedeutet auch, dass der betreffende Mitarbeiter mit dem leitenden Angestellten, der eigentlich der Betrüger ist, wenig oder niemals zusammengearbeitet hat.“
Ein Fake-President-Betrug erfordere in der Regel relativ viel strategische Planung bzw. zeitintensive Vorbereitung: „Online-Verhaltensweisen bzw. die Aktivität des Opfers beobachten, um private Informationen über ihn zu sammeln, eine überzeugende Phishing-Kampagne und einen Plan zur Ausführung aufsetzen usw.“ Der Angriff beginne oft als Spear-Phishing, aber letztendlich folgten in den meisten Fällen anhaltende Anrufe – der sogenannte „Vishing“-Angriff, wodurch der Mitarbeiter noch stärker unter Druck gesetzt werde.

Spezielle Strategien zur Erkennung potenziell schädlicher E-Mails bzw. Anrufe erlernen

„Kriminelle sind innovativ und sie ändern ständig ihre Techniken“, warnt Wieringa. Mitarbeiter müssten diese kennenlernen und ihr Verhalten entsprechend anpassen. Es reiche nicht mehr aus, bei Phishing-E-Mails nach Fehlern in der Rechtschreibung, Grammatik und Interpunktion zu suchen. Mitarbeiter benötigten ein Training nach dem „New School Security Awareness“-Training, um sie spezielle Strategien zur Erkennung potenziell schädlicher E-Mails bzw. Anrufe zu lehren.
Außerdem sollte es den Trainern die Möglichkeit geben, die Fortschritte der Mitarbeiter bei der Erkennung zu verfolgen und zu messen. Bei gefälschten Telefonanrufen sollten sich Mitarbeiter beispielsweise die Nummer merken, die Antwort einfach verweigern, das Gespräch so schnell wie möglich beenden oder die Information mit einem anderen leitenden Angestellten zuerst verifizieren, bevor sie das Gespräch weiterführen. „Auf diese Art und Weise halten sie Schäden von ihrem Unternehmen fern“, rät Wieringa.

Weitere Informationen zum Thema:

KnowBe4, Stu Sjouwerman, 03.09.2019
CEO Fraud Overtakes Ransomware And Data Breaches In EMEA Cyber-insurance Claims

versicherungsmagazin, 28.08.2019
Millionenschäden durch Fake President & Co.

datensicherheit.de, 21.08.2019
Steam-Konto: Hacker zielen auf Spieler ab

datensicherheit.de, 24.07.2019
KnowBe4-Studie warnt vor gefälschten LinkedIn-Mails

datensicherheit.de, 26.06.2019
Schwachstelle in Electronic Arts’ Origin Gaming Client entdeckt

datensicherheit.de, 28.01.2019
Einfache Hacker-Ziele: Schlechtes Passwort, IoT-Geräte und fehlende Zwei-Faktor-Authentifizierung

datensicherheit.de, 20.12.2018
Spear Phishing: Hilfsorganisation verlor eine Million US-Dollar

datensicherheit.de, 02.06.2016
Erfolgreiches Audit dank Zwei-Faktor Authentifizierung

[datensicherheit.de, 09.02.2019] Nach aktuelle Erkenntnissen von Link 11 ist die Cyber-Kriminalität weiter auf dem Vormarsch: Die Angriffsbandbreiten seien „explodiert“ und verschärften die Gefahrenlage bei DDoS-Attacken. Das durchschnittliche Attacken-Volumen habe sich fast verdreifacht, das Maximum bei den Angriffsbandbreiten sei um 150 Prozent gestiegen.

Daten von über 14.000 Attacken

Die neuen DDoS-Statistiken des „Link11 Security Operation Centers“ (LSOC) zeigen demnach, wie sich das DDoS-Risikolagebild im 4. Quartal 2018 entwickelt hat. Die Daten stammten von über 14.000 Attacken, die zwischen Oktober und Dezember 2018 im Link11-Netzwerk in der DACH-Region registriert und abgewehrt worden seien.
Die Zahl der Angriffe habe mit 14.199 Attacken im letzten Quartal des Jahres 2018 auf einem gleichbleibend hohen Niveau gelegen – dabei habe sich das Angriffsprofil gewandelt.

Abbildung: link11
Zahl der Angriffe auf gleichbleibend hohen Niveau

Angriffsvolumen: Anstieg um 194 Prozent in zwölf Monaten

Die durchschnittliche Spitzenbandbreite habe sich im Vergleich zum Vorjahreszeitraum nahezu verdreifacht (194 %). Sie sei von 1,7 Gbps (Gigabit pro Sekunde | Gbit/s) im vierten Quartal 2017 auf 5,0 Gbps im vierten Quartal 2018 gestiegen.
Die Angreifer nutzten immer leistungsstärkere Botnetze, „die fast alle Ressourcen der digitalen Wirtschaft und Gesellschaft einbinden“ – wie missbrauchte Cloud-Server, gekaperte IoT-Geräte oder „Embedded Devices“.

Großvolumige DDoS-Attacken immer häufiger

Großvolumige DDoS-Attacken kämen immer häufiger vor. Allein im 4. Quartal 2018 habe das LSOC 13 Hyper-Attacken mit Angriffsvolumen von über 80 Gbps registriert. Die größte Attacke habe es auf 173,5 Gbps gebracht. Im 4. Quartal 2017 habe der Maximalwert noch bei 70,1 Gbps gelegen und keine der abgewehrten Attacken habe damals die 80-Gbps-Marke überschritten. Dies entspreche einer Zunahme von 150 Prozent.
Für die bandbreitenstarken Angriffe setzten die Täter vor allem auf zwei Reflection-Amplification-Vektoren: DNS (Domain Name System) und CLDAP (Connection-less Lightweight Directory Access Protocol). Auch bei den Datenübertragungsraten sei ein neuer Höchstwert zu verzeichnen: Die höchste Paketrate habe im 4. Quartal 2018 bei 46,4 Millionen pps (Packets per Second | Pakete Pro Sekunde) gestoppt. Im Vergleich zum Maximalwert im 4. Quartal 2017 mit 17,8 Millionen pps habe sich der Wert knapp verdreifacht.

Anteil der Multivektor-Attacken nimmt zu

Multivektor-Attacken hätten im 4. Quartal 2018 den Großteil aller Angriffe ausgemacht: Auf sie seien 59 Prozent der Attacken entfallen. Im Vorjahreszeitraum habe der Wert noch bei 45 Prozent gelegen. Bei den hochkomplexen Angriffen seien bis zu neun verschiedene Angriffstechniken zum Einsatz gekommen – die drei wichtigsten Vektoren seien CLDAP, DNS Reflection und SSDP Reflection.
„Die Zunahme der Schlagkraft und Komplexität der Angriffe ist weiterhin ungebremst“, warnt Link11-Geschäftsführer Marc Wilczek: „Angesichts von DDoS-Bandbreiten weit über 100 Gbps und Multivektor-Angriffen stoßen traditionelle IT-Sicherheitsmechanismen an ihre Grenzen.“ Ungeschützte Unternehmen riskierten „folgenreiche Betriebsunterbrechungen und Umsatzausfälle bis hin zu Bußgeldern“. Um diese geschäftskritischen Angriffe zu stoppen, benötigten Unternehmen laut Wilczek „einen proaktiven Schutz, der sich neuen, veränderten Angriffsszenarien automatisch anpasst und dafür auf zukunftweisende Technologien wie maschinelles Lernen setzt“.

Foto: Link11

Marc Wilczek: Unternehmen benötigen proaktiven Schutz!

Weitere Informationen zum Thema:

datensicherheit.de, 06.08.2018
Link11 DDoS-Report: Gefahr durch Hochvolumen-Angriffe bleibt

[datensicherheit.de, 27.03.2018] Das Link11 Security Operation Center (LSOC) beobachtet laufend Entwicklung von DDoS-Attacken im Netz und veröffentlicht seine Analysen vierteljährlich. In der neuesten Ausgabe Q4 2017 fällt unter den 13.452 untersuchten Attacken besonders die Gefahr durch Multivektor-Attacken auf. Erstmals wurden in einer Attacke 12 Angriffsvektoren nachgewiesen.

DDoS-Attacken auf Unternehmen gehören in der DACH-Region zurr Tagesordnung

DDoS-Attacken auf Unternehmen gehören in Deutschland, Österreich und der Schweiz zur Tagesordnung. Im 4. Quartal 2017 registrierte das LSOC 13.452 Angriffe, das entspricht fast 150 Attacken täglich. Gegenüber dem Vorjahresquartal bedeutet das eine Zunahme von 116 %.

Der Quartals-Report analysiert, erklärt und vergleicht die wichtigsten Merkmale von DDoS-Attacken wie Angriffsvolumen, Dauer Vektorenzahl und Quellenländer. Die wichtigsten Ergebnisse:

• Die Zahl der abgewehrten Attacken verblieb im 4. Quartal mit 13.452 Angriffen auf einem hohen Niveau.
• Im 4. Quartal musste das LSOC 116 % mehr Attacken als im Vorjahreszeitraum abwehren.
• Bei 5 DDoS-Angriffen lagen die Bandbreitenspitzen zwischen 40 und 80 Gbps
• Die größte vom LSOC abgewehrte Attacke erreichte eine Spitzenbandbreite von 70,1 Gbps.
• Die höchste Paketrate lag nach Messungen des LSOC bei 53,1 Millionen Paketen pro Sekunde.

DDoS-Attacke kombiniert 12 Vektoren

DDoS-Attacken sind heute deutlich komplexer als in den Anfangszeiten, als die Täter ausschließlich auf reine UDP Floods oder TCP SYN Floods setzten. Die Angreifer kombinieren immer häufiger mehrere Angriffstechniken bzw. erweitern ihr Angriffsset mit neuen Protokollen. Nahezu jede 2. Attacke (45,3 %) basierte aus mehreren Techniken. Am häufigsten setzen die Angreifer 2 oder 3 Vektoren ein.
Das bisherige Maximum an Vektoren, die das LSOC in einem Angriff nachweisen konnte, lag bislang bei 10. Im 4. Quartal registrierte die DDoS-Schutzexperten erstmals jeweils eine Attacke mit 11 und eine mit 12 Vektoren.

Weitere Informationen zum Thema:

Link11
Link11 DDoS-Report für die DACH-Region

datensicherheit.de, 02.03.2018
Akamai: Größte DDoS-Attacke bisher abgewehrt

datensicherheit.de, 24.02.2017
DDoS-Gefahrenlage: Link11-Report meldet Attacken-Wachstum um 117 Prozent

[datensicherheit.de, 24.02.2017] Nach Angaben von Link11 zeigt der aktuelle vierteljährliche Bericht zur DDoS-Gefahrenlage in Deutschland, Österreich und der Schweiz (sogenannte DACH-Region), dass aufgrund von 11.575 registrierten Attacken das Link11 Security Operation Center (LSOC) „so häufig wie noch nie“ Unternehmen vor Produktions- und Service-Unterbrechung habe schützen müssen – die Anzahl der DDoS-Attacken habe sich im Vergleich zum Vorjahreszeitraum „exponentiell“ um 117 Prozent erhöht.

126 Attacken pro Tag

Bereits zum fünften Mal hat Link11 den „Link11 DDoS-Report“ mit Zahlen und Fakten über die Entwicklung von DDoS-Attacken in der DACH-Region veröffentlicht. Die Zahl der DDoS-Attacken erreichte dort laut LSOC mit 11.575 Angriffen im 4. Quartal 2016 erneut einen „Rekordwert“, entsprechend ca. 126 Attacken pro Tag. Dabei hätten sich Angreifer am 27. Oktober 2016 mit 405 Attacken an nur einem Tag besonders aktiv gezeigt – der ruhige Gegenpol sei dann der 29. Oktober 2016 mit nur 22 Angriffen gewesen.

DDoS-Angriffe tages- und uhrzeitabhängig

DDoS-Angreifer konzentrierten ihre Aktivitäten auf bestimmte Wochentage: Während Analysen für das 2. Quartal 2016 ein „DDoS-Hoch“ am Wochenende nachgewiesen hätten, zeigten die aktuellen Zahlen besonders viele Attacken von Montag bis einschließlich Donnerstag; der Sonnabend sei hingegen der ruhigste DDoS-Tag der Woche.
Im 4. Quartal seien dabei die Angriffsaktivitäten in der zweiten Tageshälfte auffällig gewesen – bei sechs von zehn Attacken habe der Startpunkt zwischen 16 Uhr und Mitternacht gelegen.

„UDP-Attacken“ an der Spitze

Der Trend zu „UDP-Attacken“ unter Nutzung des „User Datagram Protocol“ halte an. So habe das LSOC in mehr als jeder zweiten DDoS-Attacke (54,6%) sogenannte UDP-Floods nachweisen können.
Zweithäufigster Typ an DDoS-Attacken seien „TCP SYN Floods“ mit 12,8 Prozent. Diese würden immer häufiger von IoT-Botnetzen durchgeführt. Der Strategiewechsel der Angreifer weg von Botnetzen aus Privatrechnern und Firmenserver hin zu smarten Haushaltsgeräten (IoT) sei offensichtlich.
Doch auch „Reflection-Amplification-Attacken“ gehörten weiterhin zum Standard-Repertoire der DDoS-Angreifer.

Unsicherheit der IoT-Geräte nicht kurzfristig zu beheben

„Weil regulatorische Auflagen für Hersteller fehlen, wird sich kurzfristig nichts an der Unsicherheit der IoT-Geräte ändern. Das Volumen der DDoS-Attacken durch IoT-Botnetze wird daher vermutlich ansteigen und mittel- wenn nicht sogar langfristig ein hohes Gefahrenpotenzial bergen“, warnt LSOC-Leiter Onur Cengiz. Unternehmen sollten sich aber bewusstmachen, dass es neben dem Missbrauch von IoT-Geräten noch zahlreiche andere DDoS-Angriffstechniken gebe, die genauso gefährlich seien. Cengiz: „Bevor DDoS-Angreifer das Heer von IoT-Geräten entdeckten, begannen sie vor drei Jahren offene NTP- und DNS-Server für ihre Zwecke einzuspannen.“ Großvolumige „Reflection-Amplification-Attacken“ über Zeit- und Name-Server stellten immer noch ein „großes Risiko für unzureichend geschützte Unternehmen“ dar.

Abbildung: Link11.com

Beispiel: „Analyse einer DDoS-Attacke mit 7 Angriffsvektoren, die bei 33 Minuten Dauer über 14 Gbps erreichte.“

Täter verwenden meistens drei Angriffstechniken

Das LSOC hat nach eigenen Angaben außerdem festgestellt, dass bei jeder dritten Attacke (35,3%) die Angreifer auf mindestens zwei Vektoren setzen.
Die Täter verwendeten meistens drei Angriffstechniken (zuletzt 54,7%, im dritten Quartal 2016 69%). Das LSOC habe im 4. Quartal 2016 ganze 111 Attacken unter Einsatz von sogar fünf Vektoren registriert. Immer noch 35 Angriffe hätten mit sechs verschiedenen Techniken gearbeitet – die maximale Vektorenzahl bei insgesamt sechs Attacken habe im vierten Quartal 2016 bei sieben gelegen.

Weitere Informationen zum Thema:

LINK11
DDoS-Statistiken und Analysen für die DACH-Region

datensicherheit.de, 24.07.2015
Link11 Sicherheitsanalyse: DDoS-Erpressung durch DD4BC

datensicherheit.de, 14.05.2015
E-Commerce-Shops: Link11 warnt vor DDoS-Erpresserwelle

[datensicherheit.de, 23.01.2017] Die Cyber-Sicherheit stehe derzeit vor einem „Mangel an qualifizierten Fachkräften“ bei dem Versuch, die vielen vakanten Stellen innerhalb der Branche zu besetzen, so eine aktuelle Beobachtung von Palo Alto Networks – sowohl in der „DACH-Region“ als auch weltweit. „Forbes“ und andere Fachkreise hätten berichtet, dass 74 Prozent der Arbeitsplätze im Bereich der Cyber-Sicherheit in den letzten fünf Jahren unbesetzt gewesen seien.

Lücke wird noch größer

Der o.g. Prozentsatz werde voraussichtlich weltweit zunehmen, da die Sicherheitsherausforderungen für kleine, mittlere und große Unternehmen immer größer würden.
Darüber hinaus würden neue Vorschriften – wie in der EU die NIS-Richtlinie und die DSGVO – sowie aktualisierte „Best Practices“ für noch mehr Druck sorgen, so dass der Fachkräftemangel 2017 „immer deutlicher sichtbar“ werde.

Qualifizierte Quereinsteiger gesucht

Sicherheitsunternehmen würden weiterhin nach Fachkräften suchen, diese aber nicht mehr nur aus dem Sicherheitsumfeld rekrutieren – gefragt seien Personen mit anpassungsfähigen technischen Fähigkeiten, um hinsichtlich der Cyber-Sicherheit erfolgreich zu sein.
Viele davon arbeiteten derzeit in den Bereichen Cloud, SaaS, Netzwerk, Virtualisierung und Mobiltechnologien – auch diejenigen ohne spezifische Erfahrung im Bereich der IT- oder Netzwerk-Sicherheit hätten die Fähigkeiten, um Sicherheitsexperten für diese Schwerpunkte zu werden.

Nachfrage auch nach nicht-technischen Fachleuten

Zukünftig würden mehr nicht-technische Fachleute in die Welt der Cyber-Sicherheit eintreten. Wie in jeder anderen aufstrebenden Branche werde es notwendig sein, die Infrastruktur für alle diese neuen Technologien aufzubauen. Fachkräfte für Vertrieb, Finanzen, Rechnungswesen und Personalwesen würden im Sicherheitsumfeld daher ebenso sehr begehrt sein wie ihre technisch orientierten Kollegen.
Darüber hinaus werde es immer größere Möglichkeiten für talentierte Vermarktungsprofis geben – mit der Aufgabe, die Bedeutung der Sicherheit für das Internet der Dinge zu kommunizieren.

Auf Weiterbildung setzen!

Weiterbildung im Bereich der Cyber-Sicherheit werde entscheidend sein, um das Sicherheitsbewusstsein in der Gesellschaft zu schärfen. Dies gilt laut Palo Alto Networks „insbesondere für die Bedeutung des Datenschutzes und der Prävention gegen Bedrohungen“.
Es werde auch Aufgabe der Unternehmen sein, ihre besten Talente zu halten und dafür zu sorgen, dass sie weiterhin ihre Fähigkeiten verbessern. Zukunftsorientierte Unternehmen würden proaktiv in die Weiterbildung für ihre Top-Talente investieren und sie hierbei unterstützen.
Eine aktuelle Studie der Enterprise Security Group und der Information Systems Security Association (ISSA) zeige nämlich auf, dass 63 Prozent der Cyber-Sicherheitsprofis es für schwierig hielten, mit den Anforderungen ihres Jobs und dem geforderten Aufbau weiterer Fähigkeiten Schritt zu halten.

IT-Sicherheit als attraktives Ziel für Jobsuchende

Die gesamte Sicherheitsbranche soll einem Bericht von „Forbes“ zufolge bis 2020 voraussichtlich auf 170 Milliarden US-Dollar anwachsen. Da Cyber-Sicherheit weiterhin zunehmend in die digital vernetzte Gesellschaft eingebunden wird, werden zwangsläufig immer mehr Branchen außerhalb des Technologieumfelds nach qualifizierten Sicherheitsprofis suchen, die ihre privaten Infrastrukturen warten und schützen sollen.
Ein Beispiel dafür sei das Gesundheitswesen. Im Hinblick auf den Schutz der Privatsphäre der Patienten würden mehr Sicherheitsexperten erforderlich sein, um die Fülle von sensiblen Daten, die sich in Umlauf befinden, zu schützen. Die Einhaltung von Vorschriften erfordere dabei Investitionen in die richtige Sicherheitstechnik. Es gehe aber nicht nur um Technik. Erfolgreich Cyber-Angriffe abzuwehren und dafür zu sorgen, dass die Daten der Patienten geschützt sind, sei eine erfüllende Aufgabe und trage zum Allgemeinwohl bei. Cyber-Sicherheit sei mehr als nur eine IT-Aufgabe und diese sei zwingend notwendig, um unsere Lebensweise im Digitalen Zeitalter zu schützen.

Schaffung von intellektuellem Kapital erfordert Investitionen!

Eine größere Anzahl an Startups, die auf eine einzige Sicherheitskomponente spezialisiert sind, haben den Markt betreten und hoffen, dass ihr Produkt in die Plattform eines größeren Anbieters integriert wird. Bislang hat es indes laut Palo Alto Networks „keine spektakulären Akquisitionen“ gegeben, aber es sei möglich, dass sie in der nahen Zukunft häufiger zu beobachten sein würden.
Palo Alto Networks erwartet, dass sich in firmeneigenen Weiterbildungseinrichtungen künftig mehr IT-Profis für die Implementierung von firmenspezifischen Sicherheitsprodukten und -architekturen zertifizieren lassen.
Dies scheine ein richtiger Ansatz zu sein, um dem Fachkräftemangel entgegenzuwirken, doch die Kosten für die Schaffung dieser Akademien und die Bereitstellung der Infrastruktur seien hoch, woraus eine betriebswirtschaftliche Herausforderung resultieren werde.

Weitere Informationen zum Thema:

datensicherheit.de, 10.07.2015
Cybersicherheit: Energieunternehmen sehen sich gut gerüstet

[datensicherheit.de, 30.08.2016] Laut einer aktuellen Warnung von Link11 haben im Namen von „Armada Collective“ mehrere Finanzinstitute in der Woche vom 22. bis 28. August 2016 Erpresser-E-Mails erhalten. Die Bedrohung durch die Nachahmungstäter sei im Unterschied zu vielen anderen „Copycats“ real, denn die Täter hätten eine Warnattacke von 90 Gbps gelauncht.

DDoS-Attacken im dreistelligen Gbps-Bereich angekündigt

Finanzunternehmen und Banken in Deutschland drohen demnach erneute DDoS-Erpressungen. Wie schon im März 2016 und im Dezember 2015 forderten die Täter unter dem Pseudonym „Armada Collective“ Schutzgeld und kündigten DDoS-Attacken im dreistelligen Gbps-Bereich an: „We will produce a powerful DDoS attack – up to 300 Gbps.”
Link11 schützt nach eigenen Angaben zahlreiche Unternehmen, die von den aktuellen Erpresserschreiben betroffen sind. Seit dem 26. August 2016 arbeite das „Link11 Security Operation Center“ (LSOC) in Kooperation mit den betroffenen Finanzunternehmen und den Behörden an den Ermittlungen.

Täter drohen zudem mit Festplattenverschlüsselung

Zusätzlich zu DDoS-Attacken drohten die Erpresser auch mit der Verschlüsselung der Festplatten: „All data will be encrypted on computers Cerber – Crypto-Ransomware.“
Nach dem Kenntnisstand des LSOC soll es das erste Mal in der „DACH“-Region sein, dass Täter DDoS-Erpressung und Festplattenverschlüsselung kombinieren.

Auffälligkeiten der Erpresserwelle

Weitere Auffälligkeiten dieser Erpresserwelle nach den Analysen des LSOC:

• Das geforderte Lösegeld falle mit 1 Bitcoin relativ niedrig aus: „You can stop the attack beginning, if payment 1 bitcoin to bitcoin ADDRESS…” Das Schutzgeld erhöhe sich auf 20 Bitcoin, wenn das Opfer nicht zahlt. Aus abgewehrten DDoS-Erpressungen durch Gruppen wie „Kadyrovtsy“, „DD4BC“ und das ursprüngliche „Armada Collective“ kenne das LSOC jedoch deutlich höhere Schutzgeldforderungen zwischen 15 und 50 Bitcoins.
• Die Erpresser verwendeten eine einzige Bitcoin-Adresse für alle angeschriebenen Unternehmen. Das LSOC habe unter der angegebenen Adresse für den 26. August 2016 schon einen Zahlungseingang über 1 Bitcoin registriert.
• Der Text sei in holprigem und fehlerhaftem Englisch verfasst. Die Erpresserschreiben, die dem LSOC von verschiedenen Banken vorlägen, seien identisch.
• Beim Versand betrieben die Täter mehr Aufwand als andere DDoS-Erpresser: Sie nutzten verschiedene E-Mail-Gateways.

Angekündigte Warn-Attacken in die Tat umgesetzt

Anders als frühere Nachahmer von „Armada Collective“ oder Erpresser wie „Caremini“ und „RedDoor“ setzten die Erpresser die angekündigten Warn-Attacken in die Tat um.
Das LSOC habe für ein Finanzunternehmen am 27. August 2016 einen DDoS-Angriff mit 90 Gbps abgewehrt. Dabei habe es sich eindeutig um eine Botnetz-Attacke gehandelt. Ohne die erfolgreiche Filterung der Attacke durch das LSOC hätte die Server-Infrastruktur des attackierten Unternehmens am vergangenen Samstag schweren Schaden nehmen können. Der Einsatz solcher großvolumiger Warnattacken sei bislang nur vom „Original Armada Collective“ sowie den international agierenden Erpresserbanden „DD4BC“ und „Kadyrovtsy“ bekannt.

Wiederholt DDoS-Erpressungen im Namen des „Armada Collective“

Schon im März 2016 hätten DDoS-Erpresser, die sich als das „Armada Collective“ ausgegeben hätten, Finanzunternehmen und Online-Shops in der Schweiz und in Deutschland mit großvolumigen Warnattacken unter Druck gesetzt. Davor seien im Dezember 2015 Betreiber von Rechenzentren in Deutschland in Aufruhr versetzt worden.

Weitere Informationen zum Thema:

LINK11, 01.11.2015
Armada Collective: Neue DDoS-Erpresser aktiv