Illustration Absmeier foto freepik ki

Der neue NETSCOUT DDoS Threat Intelligence Report zeigt eine dramatische Verschärfung der Cyberbedrohungslage durch hacktivistische Aktivitäten und die Nutzung von DDoS-Attacken als präzisionsgelenkte Waffen mit geopolitischem Einfluss: In der zweiten Jahreshälfte 2025 wurden weltweit mehr als acht Millionen DDoS-Angriffe registriert [1]. Besonders auffällig ist der Druck auf kritische Infrastrukturen, ausgelöst durch Hacktivisten, DDoS-for-hire-Dienste und Botnetze.

Die DDoS-Bedrohungslage in der DACH-Region zeigt im Jahr 2025 eine deutliche strukturelle Verschiebung, bei der sich der Fokus zunehmend von massenhaften Volumenangriffen hin zu leistungsstärkeren und strategisch eingesetzten Angriffsszenarien verlagert.

Rechenzentren und Hosting-Dienste in Deutschland am stärksten betroffen

DDoS-Angriffe haben es insbesondere auf digitale Kerninfrastrukturen abgesehen, wobei Computing Infrastructure Provider wie Rechenzentren, Hosting- und Datenverarbeitungsdienste mit mehr als 70.000 registrierten Angriffen mit deutlichem Abstand an der Spitze stehen. Dahinter folgen kabelgebundene Telekommunikationsanbieter mit 28.981 sowie Mobilfunkanbieter mit 21.524 Angriffen. Die Angriffsfrequenz ist damit eindeutig dort am höchsten, wo Störungen eine maximale Breitenwirkung entfalten können.

Dass auch transport- und mobilitätsnahe Infrastrukturen zunehmend ins Visier geraten, zeigte Anfang 2026 der DDoS-Angriff auf die Deutsche Bahn. Die Attacke erfolgte laut Unternehmensangaben in mehreren Wellen. Betroffen waren insbesondere die Auskunfts- und Buchungssysteme, darunter die Website bahn.de sowie die App »DB Navigator«. Zwar zählt der Mobilitätssektor nicht zu den drei dominierenden Telekommunikations- oder Hosting-Kategorien, gehört jedoch in Deutschland zu den am stärksten angegriffenen Branchen außerhalb der klassischen Netz- und Infrastruktursegmente.

Unterschiedliche Belastungsmuster in der Schweiz und Österreich

In der Schweiz ist im Jahr 2025 ein leichter Anstieg von rund 4 % vom ersten auf das zweite Halbjahr auf insgesamt 43.466 Angriffe zu verzeichnen. Deutlich markanter ist jedoch die Angriffsdauer im zweiten Halbjahr 2025 (106,45 Minuten), die die Vergleichswerte in Österreich und Deutschland übertrifft.

Für Österreich zeigt sich ein etwas anderes Muster als in der Schweiz: Hier dominiert klar die Angriffsfrequenz bei kabelgebundenen Netzbetreibern, während die längsten Angriffe auf digitale Infrastruktur- und Hosting-Anbieter zielen. Mit 13.867 Angriffen stehen kabelgebundene Anbieter deutlich an erster Stelle und die Angriffe sind zahlreich, aber eher kurz bis mittellang angelegt. Das spricht für wiederkehrende, volumenbasierte Störversuche gegen klassische Netzbetreiber. Anbieter von IT-Infrastruktur folgen auf Platz zwei, mobile Netzbetreiber auf Platz drei – das Muster entspricht damit dem regionalen Trend. Trotz unterschiedlicher Schwerpunkte konzentrieren sich DDoS-Angriffe in allen drei Ländern auf systemrelevante Telekommunikations- und Infrastruktursektoren.

Dass DDoS-Angriffe im Umfeld internationaler Großereignisse zusätzliche Dynamik entfalten können, bestätigten die Olympischen Winterspiele 2026 in Mailand-Cortina: Im Rahmen einer Angriffswelle der pro-russischen Gruppe NoName057(16) war unter anderem die Website des Österreichischen Olympischen Comités (ÖOC) zeitweise betroffen und für rund eine Stunde lahmgelegt.

Qualitative Verschiebung der Bedrohungslage

Der aktuelle NETSCOUT Threat Intelligence Bericht zeigt, dass die DDoS-Entwicklung 2025 in der DACH-Region weniger von reiner Quantität, sondern mehr von qualitativer Eskalation geprägt ist. Multi-Vektor-Angriffe gehören weiterhin zum festen Bestandteil des DDoS-Geschehens, sodass unterschiedliche Angriffsmethoden kombiniert und teils während der laufenden Attacke angepasst werden, um Erkennungs- und Abwehrmechanismen zu umgehen. Der zunehmende Einsatz KI-gestützter Werkzeuge senkt zudem die technische Einstiegshürde für bestimmte Angriffstypen, denn Botnet-Steuerung oder Schwachstellenanalysen lassen sich stärker automatisieren. Large Language Models (LLMs) die auch im Dark-Web-Umfeld (»Dark LLMs«) genutzt werden, beschleunigen diese Abläufe zusätzlich und erleichtern die operative Umsetzung. Angesichts der technologischen Fortschritte im Bedrohungsumfeld sind intelligente und zunehmend autonome Verteidigungsmaßnahmen erforderlich, um systemische Betriebsstörungen wirksam zu begrenzen.

[1] https://www.netscout.com/threatreport/global-highlights/

736 Artikel zu „DDoS“

Ausgabe 1-2-2026 | Security Spezial 1-2-2026 | News | IT-Security

Warum DDoS-Abwehr heute geschäftskritisch ist – Digitale Resilienz stärken

9. März 2026

Gezielte DDoS-Angriffe auf Unternehmen und öffentliche Verwaltungen nehmen rasant zu und bedrohen nicht nur die technische Infrastruktur, sondern auch Geschäftserfolg und Reputation – Standardlösungen stoßen dabei zunehmend an ihre Grenzen. Nur dedizierte, intelligente und skalierbare Abwehrsysteme sichern digitale Resilienz und schützen nachhaltig vor finanziellen Schäden und Vertrauensverlust.