Kontakt aufnehmen
Cybersecurity

DDoS-Angriff: Wie Kriminelle Ihre Website in 60 Sekunden offline nehmen

Stellen Sie sich vor, es ist Dienstagvormittag, Hochbetrieb auf Ihrer Website, und plötzlich lädt nichts mehr. Keine Bestellung, kein Login, kein Checkout. Ihre Kunden sehen eine Fehlermeldung, Ihre Mitarbeiter sehen rote Dashboards, und Sie sehen zu, wie pro Minute Umsatz verschwindet. Genau dieses Szenario richten Angreifer mit einem DDoS-Angriff an. Und sie brauchen dafür keine Stunden, sondern nur noch wenige Sekunden.

Auf einen Blick

  • Tempo: Moderne Botnetze überlasten ein ungeschütztes Ziel binnen Sekunden. Der bislang größte gemessene Angriff erreichte 31,4 Terabit pro Sekunde und dauerte nur 35 Sekunden.
  • Kosten: Eine Stunde Ausfall durch eine DDoS-Attacke kostete deutsche Unternehmen im internationalen Vergleich mit Abstand am meisten. Hinzu kommen Reputations- und Folgeschäden.
  • Bedrohungslage 2026: DDoS-Angriffe gegen deutsche Ziele sind 2025 deutlich gestiegen, getrieben durch politisch motivierte Hacktivisten und einen professionellen Schwarzmarkt für Angriffe auf Bestellung.

Inhalt

Was ein DDoS-Angriff wirklich ist und warum er so gefährlich ist

Ein DDoS-Angriff (Distributed Denial of Service) verfolgt ein einfaches Ziel: Er macht Ihre Website, Ihren Onlineshop oder Ihre IT-Dienste für legitime Nutzer unerreichbar. Das Prinzip ist banal und genau deshalb so wirksam. Statt eine Sicherheitslücke zu suchen, überfluten die Angreifer Ihre Server mit so vielen Anfragen, dass die Infrastruktur unter der Last zusammenbricht. Dafür braucht es keinen Einbruch, keine Verschlüsselung, kein gestohlenes Passwort. Es passiert einfach per Knopfdruck.

Das „Distributed“ im Namen ist der entscheidende Punkt. Die Anfragen kommen nicht von einem einzelnen Rechner, den man blockieren könnte, sondern von Hunderttausenden oder Millionen gekaperter Geräte gleichzeitig: schlecht gesicherte Router, Überwachungskameras, smarte Fernseher, IoT-Geräte. Dieses Netzwerk aus ferngesteuerten Geräten nennt man Botnet. Für den Betreiber sieht der Angriff zunächst aus wie ein plötzlicher Besucheransturm. Bis das System kollabiert.

Drei Eigenschaften machen DDoS-Angriffe für jeden Geschäftsführer zum Problem: Sie treffen ohne Vorwarnung, sie brauchen auf Angreiferseite kaum noch technisches Können, und sie kosten mittlerweile nur noch 7 € pro Stunde. Während IT-Verantwortliche früher von einem Spezialwissen ausgehen konnten, das die Zahl der Angreifer begrenzte, ist daraus längst ein bestellbarer Dienst geworden.

Warum 60 Sekunden tatsächlich reichen

Die Behauptung, eine Website in einer Minute offline zu nehmen, klingt nach Marketing. Sie ist es nicht. Sie ist konservativ.

Cloudflare wehrte im vierten Quartal 2025 erstmals einen DDoS-Angriff mit mehr als 30 Terabit pro Sekunde ab; der stärkste registrierte Angriff erreichte im November eine Spitze von 31,4 Tbps und dauerte rund 35 Sekunden. Lassen Sie diese Zahl wirken: 31,4 Billionen Bit Datenverkehr, jede Sekunde, gegen ein einzelnes Ziel, und das Ganze ist nach gut einer halben Minute vorbei. Ein früherer Rekordangriff schaufelte in nur 45 Sekunden 37,4 Terabyte Junk-Traffic von über 122.000 verschiedenen Quell-IP-Adressen aus 161 Ländern heran.

Der Grund für dieses Tempo liegt in der Architektur moderner Botnetze. Hinter den jüngsten Rekordwerten steht das kombinierte Aisuru-Kimwolf-Botnetz, das aus ein bis vier Millionen kompromittierten Geräten besteht; durch diese große Zahl verteilter Systeme lassen sich enorme Datenmengen in kurzer Zeit erzeugen. Ein Botnet dieser Größenordnung braucht keine Anlaufzeit. Es feuert auf Knopfdruck, von Millionen Punkten gleichzeitig, und ein nicht spezialisiert geschützter Server hat dieser Wand aus Datenverkehr in den ersten Sekunden nichts entgegenzusetzen.

Wichtig für Ihre Risikoeinschätzung: Angriffe dieser Größenordnung sind in der Regel sehr kurz, setzen die betroffene Infrastruktur aber in wenigen Sekunden massiv unter Druck. Die Angreifer brauchen Ihren Dienst gar nicht stundenlang lahmzulegen. Eine kurze, brutale Welle reicht, um Transaktionen abzuwürgen, Warenkörbe zu leeren und das Vertrauen Ihrer Nutzer zu beschädigen. Und Deutschland zählt dabei zu den am häufigsten betroffenen Ländern und liegt weltweit auf Platz drei.

Das Geschäftsmodell hinter DDoS-Angriffen

DDoS ist kein Hobby von Einzeltätern im Keller. Es ist eine Industrie mit Preisliste. Wer einen Konkurrenten, eine Behörde oder ein unliebsames Unternehmen offline sehen will, muss nichts können. Er muss nur bezahlen. Sogenannte Stresser- oder Booter-Dienste vermieten Botnet-Kapazität stundenweise. Diese Professionalisierung ist der eigentliche Grund, warum die Bedrohung nicht abnimmt, sondern wächst.

Das Bundeskriminalamt zeichnet im aktuellen Lagebild ein klares Bild dieser Arbeitsteilung. Laut dem am 12. Mai 2026 veröffentlichten BKA-Bundeslagebild Cybercrime 2025 ist Cyberkriminalität in Deutschland auf einem dauerhaft hohen Niveau angekommen, technisch professioneller, internationaler organisiert und immer stärker arbeitsteilig strukturiert. Die böswilligen Akteure hinter einem Angriff sind oft nicht dieselben, die das Botnet betreiben, und beide haben mit ihren Auftraggebern wenig zu tun. Diese Aufspaltung macht Strafverfolgung schwer und Angriffe günstig.

Hinzu kommt eine zweite Motivlage: Erpressung. Bei RDoS-Angriffen (Ransom Denial of Service) fordern Kriminelle Geld und drohen, andernfalls die Erreichbarkeit Ihrer Systeme zu zerstören. Häufig liefern sie eine kurze Demonstration ihrer Macht, eine wenige Minuten dauernde Attacke, und stellen dann die Rechnung. Andere Angriffe wiederum sind reine Tarnung: Während die IT-Abteilung den sichtbaren Datensturm bekämpft, läuft im Hintergrund ein zweiter, leiserer Angriff auf Ihre Daten und Systeme.

Was ein Ausfall Sie tatsächlich kostet

Die unangenehmste Zahl zuerst, und sie betrifft Deutschland direkt. Während ein DDoS-bedingter Ausfall Unternehmen weltweit im Schnitt knapp 201.000 Euro pro Stunde kostete, lagen deutsche Unternehmen mit 323.400 Euro pro Stunde an der internationalen Spitze der kostspieligsten Ausfallzeiten. Das ist kein theoretischer Wert. Die durchschnittliche angriffsbedingte Ausfallzeit lag bei 81 Minuten, womit ein einzelner Vorfall schnell jenseits der 400.000 Euro liegt.

Diese Summe entsteht aus mehreren Schichten, und die offensichtlichste ist nicht die teuerste. Zu den leicht bezifferbaren Faktoren gehören der entgangene Umsatz pro Ausfallstunde, weiterlaufende Fixkosten, die Gehälter aller Mitarbeiter, die sich statt ihrer Arbeit mit dem Angriff befassen müssen, sowie externe Berater zur Wiederherstellung des Betriebs. Dazu kommen die schwerer messbaren Folgen. Knapp 40 Prozent der von einer DDoS-Attacke betroffenen Betriebe berichten von Reputationseinbußen, steigenden Versicherungsbeiträgen und höheren Betriebskosten; bei knapp 30 Prozent kommt der Verlust eines oder mehrerer Kunden hinzu

Der gefährlichste Denkfehler an dieser Stelle: „Wir sind zu klein, um ein Ziel zu sein.“ Das Gegenteil ist der Fall. Hacker greifen nicht nur die großen Fische an; gerade der Mittelstand und kleinere Betriebe geraten immer häufiger ins Visier. Für ein mittelständisches Unternehmen ohne Schutzlösung kann eine einzige längere Attacke existenzbedrohend werden, weil hier die Reserven fehlen, die ein Konzern noch abfedern kann.

Wer deutsche Unternehmen gerade angreift und warum

Die Bedrohungslage hat 2025 eine politische Dimension bekommen, die jeden Entscheider betrifft, auch jenseits der klassischen Risikobranchen. Die Deutsche Telekom registrierte 2025 in ihren Netzen 36.706 DDoS-Angriffe, im Schnitt über 3.000 pro Monat; die häufigsten Ziele waren Behörden, öffentliche Verwaltungen, Verkehrsunternehmen und Logistikdienstleister. Nach Angaben des BKA stieg die Zahl der DDoS-Angriffe 2025 um 25 Prozent auf mehr als 36.700 Fälle.

Ein zentraler Treiber ist Hacktivismus mit geopolitischem Hintergrund. Die Gruppierung NoName057(16) führte 2025 zehn DDoS-Angriffswellen gegen deutsche Ziele durch, fast doppelt so viele wie 2024; in der Propaganda wurde häufig die deutsche Unterstützung der Ukraine als Begründung genannt. Das Bundesamt für Sicherheit in der Informationstechnik ordnet das nüchtern ein. Für diese Angriffe wird das eigens entwickelte Tool DDoSia verwendet, dessen Instanzen wie ein Botnetz zusammenarbeiten, und das BSI beobachtet die Aktivitäten der Gruppierung systematisch.

Die gute Nachricht in diesen Zahlen: Schutz wirkt. Das BSI geht davon aus, dass viele der angegriffenen Ziele Maßnahmen zur Mitigation ergriffen haben, weshalb die Effektivität der Angriffe auf deutsche Ziele auf niedrigem Niveau verharrt. Anders gesagt: Die Angriffe hören nicht auf, aber vorbereitete Unternehmen überstehen sie. Das ist der entscheidende Unterschied zwischen einer Schlagzeile und einem Totalausfall.

So schützen Sie Ihr Unternehmen wirklich vor einem DDoS-Angriff

Vorab eine Klarstellung, die viele Verantwortliche teuer lernen: Ihre Firewall rettet Sie hier nicht. 43 Prozent der Betroffenen geben an, dass ihre Firewall oder ihr Intrusion-Prevention-System sogar zum Ausfall während einer DDoS-Offensive beigetragen hat, weil diese Komponenten selbst unter der Last zusammenbrechen. DDoS-Schutz ist eine eigene Disziplin. Folgende Maßnahmen gehören auf die Agenda jedes Entscheiders:

1) Spezialisierter DDoS-Mitigation-Dienst

Ein vorgelagerter Schutzdienst absorbiert Angriffsverkehr, bevor er Ihre Infrastruktur erreicht. Das BSI hat hierzu nicht nur Empfehlungen, sondern auch eine konkrete Hilfestellung veröffentlicht. Das BSI hat Informationen zu DDoS-Prävention und -Mitigation sowie eine Liste qualifizierter DDoS-Mitigation-Dienstleister veröffentlicht.

2) Überdimensionierte Bandbreite und Lastverteilung

Content Delivery Networks und geografisch verteilte Server verteilen Last, statt sie an einem Punkt kollabieren zu lassen. Ein einzelner Server ist ein einzelner Hebel für den Angreifer.

3) Notfallplan vor dem Ernstfall

Wer im Angriff erst nach Zuständigkeiten und Telefonnummern sucht, hat schon verloren. Definieren Sie vorab, wer den Provider kontaktiert, wer kommuniziert und wann der Mitigation-Dienst aktiviert wird. Das gehört zur grundlegenden Vorbereitung, wie sie auch ein ungeplanter IT-Ausfall erfordert.

4) Monitoring und Frühwarnung

Je früher ein anomaler Datenverkehr erkannt wird, desto eher greift die Abwehr. Sekunden entscheiden, das gilt für die Angreifer wie für Sie.

5) Lassen Sie Ihre aktuelle Bedrohungslage analysieren

In einem kostenlosen Erstgespräch prüfen wir, wie angreifbar Ihre Systeme heute sind und welche Mitigation-Strategie zu Ihrem Unternehmen passt. Jetzt Erstgespräch vereinbaren und herausfinden, ob Ihre Infrastruktur die nächsten 60 Sekunden überstehen würde.

Zum Erstgespräch

DDoS ist eine von mehreren Bedrohungsformen, die zusammen das Risikobild eines Unternehmens ergeben. Eine systematische Einordnung aller relevanten Angriffsvektoren finden Sie in unserer Übersicht zu den Cyberangriffen auf Unternehmen; wer seine grundlegende Verteidigung breiter aufstellen will, sollte zusätzlich die zentralen Maßnahmen zum Schutz vor Cyberangriffen prüfen. Besonders eng verwandt ist das Thema mit Angriffen auf kritische Infrastruktur, wo ein erzwungener Stillstand nicht nur Umsatz, sondern Versorgung trifft.