Der jüngste DDoS-Angriff auf die Systeme der Deutschen Bahn hat einen Nerv getroffen. Wenn bahn.de und der DB Navigator nicht erreichbar sind, sind die Folgen nicht nur Komforteinbußen beim Ticketkauf. Es geht um die Verlässlichkeit einer kritischen Infrastruktur in einem zunehmend digitalisierten Land. Wer Mobilität digital organisiert, sollte sie auch digital verteidigen können.

Laut Medienberichten sollen prorussische Akteure hinter der Attacke stecken. Ob sich diese Zuschreibung im Detail bestätigt oder nicht, ist nebensächlich: Das Muster ist bekannt. DDoS-Angriffe werden längst als geopolitisches Instrument eingesetzt. Sie sind sichtbar, kosteneffizient und haben eine kalkulierte Signalwirkung. Sie sollen nicht zerstören, sondern Zweifel an der Stabilität, der Sicherheit und der Handlungsfähigkeit eines Staates säen.

Der Vorfall zeigt vor allem eines: DDoS ist längst kein Randphänomen mehr und auch kein reines Bandbreitenproblem. Moderne Angriffe sind volumetrisch, zielgerichtet auf Anwendungen (Layer 7) und zunehmend mehrdimensional. Sie zielen nicht nur auf Netze, sondern auch auf APIs, Login-Prozesse oder einzelne Anwendungsschichten. 

Angriffsmuster entwickeln sich heute wie Influenzaviren weiter: Sie verändern ihre Signaturen, kombinieren Vektoren und passen sich in Echtzeit an Schutzmechanismen an. Der Schutz von gestern reicht heute nicht mehr aus.

Ein Schlag gegen die Hydra: Die Operation gegen Aisuru und Kimwolf

Die koordinierte Aktion am 19. März 2026, bei der die Botnetze Aisuru und Kimwolf durch das ZAC NRW, das BKA sowie kanadische und US-amerikanische Behörden abgeschaltet wurden, bewies, dass der Rechtsstaat im digitalen Raum nicht tatenlos zusieht. Dafür gebührt echte Anerkennung. Monatelange, technisch hochkomplexe Ermittlungen, enge internationale Koordination und Durchsuchungen auf zwei Kontinenten waren dafür notwendig.

Allein Aisuru gab über 200.000 DDoS-Angriffsbefehle aus, Kimwolf über 25.000.

Einige dieser Attacken erreichten Spitzenwerte von mehr als 30 Terabit pro Sekunde. Das sind Dimensionen, die die Funktionsfähigkeit ganzer globaler Wertschöpfungsketten gefährden. Dennoch wäre es ein Fehler, sich nun in Sicherheit zu wiegen. Botnetz-Infrastrukturen funktionieren wie die Hydra aus der griechischen Mythologie: Schlägt man einen Kopf ab, wachsen zwei nach.

Ein Blick auf die Takedowns des letzten Jahrzehnts zeigt: Die Täter reorganisieren sich oft schneller als erwartet. Nach der Zerschlagung von Emotet etwa dauerte es weniger als zehn Monate, bis die Infrastruktur in neuer Form zurückkehrte. Diese Malware entwickelte sich von einem Banking-Trojaner zu modularer Schadsoftware und wird über Phishing-E-Mails verbreitet. Und Kimwolf ist eine Weiterentwicklung von Aisuru und nutzt Residential-Proxy-Netzwerke, um Geräte sogar hinter dem Schutz interner Heimnetzwerke zu infizieren. Sowohl Kimwolf als auch Aisuru basieren im Kern auf dem Mirai-Code von 2016 – ein Beweis dafür, wie langlebig und anpassungsfähig kriminelle Basistechnologien sind.

Das „New Normal“ der globalen Risikolandschaft

In der globalen Risikolandschaft des Jahres 2026 hat sich Cybersicherheit endgültig zum kritischen Kernfaktor unternehmerischer Steuerung gewandelt. Laut dem Allianz Risk Barometer 2026 stehen Cybervorfälle mit 42 Prozent der Nennungen branchenübergreifend an erster Stelle der weltweiten Geschäftsrisiken. Dass es sich hierbei nicht mehr um abstrakte Gefahren handelt, belegen die „PwC Digital Trust Insights 2026”: Demnach verzeichnen allein in Deutschland bereits 37% der Unternehmen Schäden von über einer Million US-Dollar pro Vorfall.

Was 2024 mit einer explosiven Steigerung der Angriffsfrequenz im Link11-Netzwerk begann, hat sich 2025 zur neuen Normalität entwickelt. Die Qualität der Angriffe hat dabei neue Dimensionen erreicht:

  • Terabit-Angriffe als Standard: Während 1,4 Tbit/s im Jahr 2024 noch eine Ausnahme darstellten, etablierten sich Terabit-Angriffe 2025 als wiederholbare Realität.

Entwicklung der Bandbreiten im Link11-Netzwerk seit 2015

  • Extreme Dauerbelastung: Die maximale Angriffsdauer hat sich von ca. 2.700 Minuten (2024) auf über 12.000 Minuten (2025) vervielfacht.

  • Systemische Serie: Mit einer Wahrscheinlichkeit von über 70% werden Unternehmen nach einem initialen Angriff erneut Ziel einer Attacke.

DDoS-as-a-Service: Wenn 12-jährige Weltkonzerne lahmlegen

Die Einstiegshürden für Cyberkriminalität sinken drastisch. DDoS-as-a-Service ist heute genauso einfach zu buchen wie ein Streaming-Abo. KI-Tools wie GhostGPT oder WormGPT machen technisches Vorwissen nahezu überflüssig. Die Konsequenzen sind bereits sichtbar: In Polen wurden kürzlich Minderjährige im Alter von 12 bis 16 Jahren beim Handel mit DDoS-Tools ertappt.

Während Jugendliche mit gemieteten Tools experimentieren, agieren staatlich unterstützte Akteure auf einer ganz anderen Ebene. So setzt das prorussische Kollektiv NoName057(16) mit seinem Tool DDoSia auf eigene, robuste Infrastrukturen und rekrutiert Freiwillige, die private Rechenkapazität gegen Bezahlung bereitstellen. Die Grenze zwischen kriminellen und geopolitisch motivierten Angriffen verschwimmt zunehmend – eine Entwicklung, die auch das BKA in seinen jüngsten Lageberichten ausdrücklich benennt.

Die Evolution der Angriffsvektoren

Um diesen Bedrohungen zu begegnen, müssen wir die technische Natur der Angriffe detailliert verstehen. Die folgenden Beispiele aus der Praxis zeigen, wie variabel Angreifer heute agieren.

1. Der Layer-7-Präzisionsschlag: 16 Millionen Sessions

Im Gegensatz zu volumetrischen Angriffen, die die Internetleitung blockieren wie ein verstopftes Rohr, zielen Layer-7-Angriffe auf die Anwendungsebene. 

Ein im Link11-Netzwerk registrierter Angriff verdeutlicht die Gefahr: Innerhalb weniger Minuten überschwemmten die Angreifer die Zielsysteme mit über 580 Millionen HTTP-Anfragen. In der Spitze lag die Last bei 16 Millionen parallelen Sessions pro Minute.

Die technische Raffinesse:

Es handelte sich um scheinbar legitime GET-Anfragen an die Root-Domain. Es gab keine Protokollfehler und keine offensichtlichen Malware-Payloads. Doch jede HTTP-Session verbraucht auf dem Server Ressourcen: CPU für die Verarbeitung des Requests, RAM für die Session-Verwaltung und Einträge in der Connection-Table des Load Balancers.

Das Ergebnis war eine sogenannte Ressourcenerschöpfung. Während die Netzwerkbandbreite noch Reserven hatte, konnten die Server keine neuen Verbindungen mehr annehmen. Besonders gefährlich war, dass das Botnetz adaptiv reagierte: Sobald IP-Adressen blockiert wurden, wurden weltweit neue Adressen nachgeladen. Erst eine Web Application Firewall (WAF), die Zugriffsmuster analysierte, die deutlich von menschlichem Verhalten abwichen, konnte den Angriff stoppen.

2. Low-and-Slow: Wenn echte Geräte zur Waffe werden

Ein besonders tückisches Muster zeigte sich bei einem europäischen E-Commerce-Anbieter. Hier wurde kein massives Volumen genutzt, sondern ein subtiler, wiederkehrender Lastanstieg, der sich ausschließlich montags über Wochen hinweg manifestierte.

Die Analyse des „unsichtbaren” Angriffs ergab Folgendes:

Die Zahl der Unique IPs verdoppelte sich regelmäßig von 2.000 auf 6.000.

Auffällig dabei war:

  • Minimale Aktivität pro Quelle: Jede IP schickte nur ein oder zwei Requests.
  • Protokoll-Verhalten: Die Verbindungen wurden lange offen gehalten, um Server-Threads so lange wie möglich zu belegen.
  • Herkunft: Der Traffic stammte von echten, infizierten Endgeräten aus deutschen Consumer-Provider-Netzen.

Da die Geräte vollwertige Browser nutzten und keine auffälligen User-Agents oder Request-Sequenzen zeigten, stufte das Bot-Management den Traffic als legitim ein. Doch die schiere Masse der „langsamen” Anfragen trieb die Response-Zeiten von 200ms auf mehrere Sekunden. Kunden brachen ihre Käufe ab, ohne dass ein Alarm im Backbone ausgelöst wurde.

Erst eine globale CAPTCHA-Defense konnte den Angriff beenden, da automatisierte Clients – auch auf infizierten echten Geräten – an der Mensch-Maschine-Interaktion scheiterten. Dies unterstreicht: Klassisches Bot-Management reicht bei „sauberem” Traffic nicht mehr aus.

3. Carpet Bombing: Fläche statt Fokus

Manche Angriffe sind nicht punktuell, sondern flächendeckend. Ein aktueller Vorfall aus dem Link11-Netzwerk veranschaulicht die Effektivität eines strategischen „Teppich-Bombardements“. Innerhalb von nur zwei Minuten wurde ein komplettes /20-Netzwerk mit über 4.000 IP-Adressen gleichzeitig attackiert. Während herkömmliche DDoS-Attacken wie ein konzentrierter Laserstrahl auf einen einzelnen Punkt wirken, gleicht Carpet Bombing einem digitalen Flächenbrand, der die statistische Auswertung der Abwehrsysteme gezielt korrumpiert.

Das Kernproblem beim Carpet Bombing ist die kalkulierte Verteilung der Last. Im beobachteten Fall flutete das Botnetz das Zielnetzwerk mit insgesamt 500 Gbit/s. Würde diese gewaltige Datenmenge auf einen einzelnen Webserver treffen, würde jedes Standard-Sicherheitssystem sofort reagieren und den Traffic blockieren. 

Da der Angreifer die Last jedoch gleichmäßig über alle 4.096 IP-Adressen verteilte, entfielen auf jede einzelne IP-Adresse im Durchschnitt nur etwa 122 Mbit/s. In der Welt moderner Rechenzentren ist ein Traffic von 120 Mbit/s pro Host vollkommen unauffällig und liegt weit unter den üblichen Alarmschwellenwerten, die oft erst im Gigabitbereich greifen. 

Während das System sprichwörtlich den Wald vor lauter Bäumen nicht sieht, kapituliert die gemeinsame Infrastruktur – also der zentrale Uplink oder der Border-Router – unter der summierten Last von 500 Gbit/s unwiderruflich.

Forensik der Paketgrößen

Trotz der perfiden Verteilung gab es ein verräterisches Merkmal: die binäre Paketgrößen-Verteilung. Legitimer Traffic weist normalerweise eine natürliche Streuung auf (eine Glockenkurve aus kleinen Kontrollpaketen und großen Datenpaketen). Der Carpet-Bombing-Angriff bestand jedoch fast ausschließlich aus Bruchstücken von kleinen (64 Byte) und maximal großen (1 500 Byte) UDP-Paketen.

Diese unnatürliche Streuung ist ein digitaler Fingerabdruck automatisierter Botnetze. Nur mithilfe von KI-basierter Mustererkennung, die nicht nur einzelne IPs, sondern das gesamte Netzwerksegment in Echtzeit korreliert, konnte dieser „unsichtbare” Angriff identifiziert werden. Diese Methode kann gegen Internet Service Provider und Hoster eingesetzt werden, um durch einen einzigen Angriff Tausende Endkunden gleichzeitig zu kompromittieren.

4. DDoS oder Smokescreen? Die strategische Täuschung

Nicht jede Attacke zielt auf eine reine Überlastung ab. Oft dient der DDoS-Lärm als Ablenkungsmanöver für weitaus gefährlichere Operationen. Wir unterscheiden dabei zwei Szenarien:

Fall A: Der klassische Angriff

Hierbei ist bei einem Kunden der Login-Bereich mit Millionen Requests überflutet worden, um die Backend-Ressourcen zu binden. Dies ist laut, hochgradig sichtbar und primär darauf ausgelegt, die Verfügbarkeit zu stören.

Fall B: Das Ablenkungsmanöver

In einem spezifischen Fall wurde eine Buchungsplattform mit bis zu 40 Millionen Requests attackiert. Während das Sicherheitsteam unter Hochdruck versuchte, die Verfügbarkeit zu gewährleisten, und die Monitoring-Systeme mit Alarmen überflutet wurden, förderte die WAF-Analyse ein gefährliches Zusatzmuster zutage: gezielte SQL-Injections und Cross-Site-Scripting (XSS).

Die Logik ist so simpel wie gefährlich: Der DDoS-Lärm erzeugt operative Hektik. In der Flut der Fehlermeldungen und Logfile-Einträge hoffen die Angreifer, dass ihre präzisen Exploit-Versuche unbemerkt bleiben. In diesem Fall scheiterten die Angreifer jedoch, da sie für beide Vorhaben dieselben IP-Adressen nutzten, die bereits durch DDoS-Schutzregeln blockiert waren. Ein versierterer Akteur hätte getrennte Infrastrukturen verwendet. 

Wer heute nur auf die Bandbreite schaut, übersieht das eigentliche Risiko, nämlich den Datenabfluss während des künstlich erzeugten Chaos.

Tabelle 1: Strategischer Vergleich zwischen klassischer DDoS-Attacke und einem DDoS-Angriff als taktisches Ablenkungsmanöver (Smokescreen)

Merkmal Klassische DDoS-Attacke DDoS-Angriff als Ablenkungsmanöver
Primärziel Verfügbarkeit stören Überlastung als Tarnung nutzen
Fokus Reines Volumen Kombination: Volumen + Exploits
Risiko Temporärer Ausfall Datenabfluss / Systemzugang

KI als Zünglein an der Waage

Künstliche Intelligenz ist heute auf beiden Seiten der zentrale Beschleuniger. Angreifer nutzen KI, um DDoS-Kampagnen in Echtzeit zu orchestrieren und adaptive Laststeuerungen zu realisieren. Besonders kritisch ist, dass KI dabei hilft, Schutzsysteme durch „Verhaltensmimikry“ zu umgehen: Der Bot verhält sich dabei so exakt wie ein Mensch, dass einfache Filter versagen.

Für Unternehmen bedeutet das: Wer erst reagiert, wenn die Systeme bereits unter Druck stehen, hat verloren. Die Zeit manueller Eingriffe oder rein statischer Filterregeln ist vorbei.

Die Notwendigkeit der digitalen Souveränität

Der Angriff auf die Deutsche Bahn wirft eine oft verdrängte Frage auf: die der digitalen Souveränität. Resilienz bedeutet nämlich nicht nur technische Skalierbarkeit, sondern auch die Kontrolle über die eigene Sicherheitsarchitektur. Wer im Ernstfall auf langwierige Eskalationsketten angewiesen ist, verliert wertvolle Zeit.

Kritische Infrastrukturen benötigen eine vollständig automatisierte, KI-gestützte Echtzeit-Mitigation. Sekunden entscheiden, nicht Minuten. Verfügbarkeit ist keine Komfortfunktion, sondern Teil der öffentlichen Daseinsvorsorge. Wenn Informationssysteme ausfallen, wird die Verwundbarkeit eines vernetzten Landes für jeden Bürger sichtbar.

Ein Etappensieg, kein Schlusspunkt

Die Zerschlagung der Gruppen Aisuru und Kimwolf am 19. März war ein starkes Signal an Täter weltweit. Doch der strukturelle Kampf gegen DDoS-Infrastrukturen kann nicht durch einzelne Operationen gewonnen werden.

Der Angriff auf die Deutsche Bahn und die Rekordwerte der letzten Monate zeigen dies deutlich. Cybersicherheit ist keine technische Detailfrage mehr. Sie ist eine strategische Voraussetzung für wirtschaftliche Stabilität und gesellschaftliche Verlässlichkeit. 

Verfügbarkeit ist keine Komfortfunktion, sondern Teil der öffentlichen Daseinsvorsorge. In einer hybriden Bedrohungslandschaft müssen wir unsere digitale Infrastruktur mit der gleichen Entschlossenheit verteidigen wie unsere physischen Grenzen. Die nächste Hydra wächst bereits – seien wir bereit! 

Titelmotiv: Photo by Muha Ajjan on Unsplash

Lisa Fröhlich

Große Auswahl an günstigen Domain-Endungen – schon ab 0,08 € /Monat
Jetzt Domain-Check starten