Vergangenes Wochenende gab es erhebliche Störungen im Netz: Onlinedienste wie Twitter, Paypal, Netflix und sogar Amazon waren teilweise gar nicht oder nur sehr schwer zu erreichen. Stundenlang. Wie immer in solchen Fällen haben viele User erst gedacht, es läge an ihnen oder an ihrem DSL-Anschluss. Doch offensichtlich hat ein so genanntes Botnet zugeschlagen und für erhebliche Störungen im Netz gesorgt.
Es hat am Freitag Angriffe auf den Internetdienstleister Dyn gegeben. Innerhalb kürzester Zeit ist eine Welle von Anfragen auf die Server von Dyn erfolgt: Die Techniker berichten von zig Millionen unterschiedlichen IP-Adressen, also Rechner oder Geräte, die innerhalb von Sekunden Kontakt zu Dyn aufnehmen wollten.
Das Unternehmen Dyn stellte unterschiedliche Dienst-Leistungen zur Verfügung, etwa die Vernetzung oder das Verwalten so genannter DNS-Adressen, das bedeutet, dass aus Web-Adressen wie wdr.de Internet-Adressen wie 192.0.0.1 gemacht werden. Viele große Unternehmen vertrauten auf die Dienst-Leistungen von Dyn und waren dort Kunde. Deshalb hatte die Denial-of-Service-Attacke, so nennt man diese Art von Angriff, auch so folgenreiche Konsequenzen. Nicht Twitter, Netflix, Paypal und Co. sind direkt angegriffen worden, sondern das Rückgrat dieser Online-Dienste.
ARCHIV – Netzwerk-Kabel stecken am 16.10.2015 in einem Server-Raum in München (Bayern) in einem Switch. Foto: Matthias Balk/dpa (zu dpa ´Warten auf den Anschluss – Viele Firmen kämpfen mit Breitband-Lückenª vom 02.01.2016) +++(c) dpa – Bildfunk+++
Was passiert bei einer „Denial of Service“-Attacke?
Bei einer Denial-of-Service-Attacke = DoS wird gezielt dafür gesorgt, dass Server oder Netzwerk überlastet werden, mit dem Ziel, dass die Systeme kollabieren. Es wird künstlich eine größere Nachfrage erzeugt als normalerweise vorhanden ist. Das 1.000-fache von Spitzen-Zeiten. Ein Web-Server, der zum Beispiel 1.000 Benutzer pro Sekunde bedienen kann, kommt auch kurzfristig mit 2.000 Anfragen pro Sekunde klar, aber nicht mit 10.000 oder einer Million. Unter einer solchen Last bricht jedes System zusammen, wenn es nicht ausreichend geschützt ist. Das ist so, als ob ein Kaufhaus von einem Moment auf den anderen die 10.000-fache Menge an Besuchern verkraften müsste. Es funktioniert nicht.
Damit das überhaupt möglich ist, braucht man natürlich auch so viele Geräte, die Anfragen losschicken. Man braucht ein eigenes Netzwerk, ein „Botnet“. Die Hacker gehen dazu wie folgt vor: In einer Vorbereitungs-Phase kapern sie im großen Stil unzureichend geschützte Rechner, Smartphones, Tablets oder Internet-Geräte, sie schleusen Schad-Code in die Geräte und machen sie zu „Zombies“, zu fernlenkbaren Geräten.
Sie haben die vollständige Kontrolle über diese gekaperten Geräte, nutzen das aber erst, wenn sie eine Denial-of-Service-Attacke DoS durchführen wollen. In diesem Moment werden alle gekaperten Geräte, die im Netzwerk zusammen geschlossen sind, gleichzeitig aufgefordert, einen Server oder Web-Dienst anzugreifen. Das machen dann Millionen Geräte gleichzeitig – die Last ist enorm.
Mirai als Wegbereiter moderner IoT-Bedrohungen
Das Mirai-Botnet von 2016 war ein Wendepunkt in der Cybersicherheit und legte die Grundlage für heutige Bedrohungen. Es zeigte erstmals das Potenzial von Internet-of-Things-Geräten als Waffen für Cyberattacken. Heute, fast zehn Jahre später, sind die Probleme noch größer geworden: Millionen von Smart-TVs, Überwachungskameras, Routern, intelligenten Türklingeln und sogar smarten Kaffeemaschinen hängen am Netz – und viele davon sind nach wie vor schlecht geschützt.
Die Nachfolger von Mirai haben dazugelernt. Moderne IoT-Botnets wie Emotet-Varianten oder die neuesten DDoS-Netzwerke nutzen heute KI-basierte Angriffsmuster und können ihre Strategien in Echtzeit anpassen. Sie suchen nicht mehr nur nach Standard-Passwörtern, sondern nutzen Zero-Day-Exploits und fortgeschrittene Verschleierungstechniken.
Internet-of-Things-Geräte IoT: Das Problem verschärft sich
Heute sind geschätzt über 35 Milliarden IoT-Geräte weltweit vernetzt – Tendenz stark steigend. Das Problem: Während sich die Sicherheit bei Smartphones und Computern verbessert hat, hinken IoT-Geräte weiterhin hinterher. Viele Hersteller bringen Geräte auf den Markt, ohne an langfristige Sicherheitsupdates zu denken.
Besonders problematisch sind nach wie vor Standard-Passwörter wie „admin/admin“ oder „123456“, die millionenfach verwendet werden. Cyberkriminelle nutzen automatisierte Scanner, die das gesamte Internet nach solchen Geräten durchsuchen. Haben sie Zugriff, installieren sie Malware und integrieren das Gerät in ihr Botnet.
Ein weiteres Problem: Viele dieser Geräte werden jahrelang nicht aktualisiert. Eine smarte Glühbirne, die 2020 installiert wurde, läuft oft noch heute mit der ursprünglichen Firmware – inklusive aller damals bekannten Sicherheitslücken.
Moderne DDoS-Attacken erreichen neue Dimensionen
Während Mirai 2016 noch mit rund 600 Gigabit pro Sekunde für Schlagzeilen sorgte, haben DDoS-Attacken heute völlig neue Dimensionen erreicht. 2025 wurden Angriffe mit über 7 Terabit pro Sekunde gemessen – das entspricht etwa dem gesamten Internetverkehr eines kleinen Landes.
Die Angreifer nutzen dabei nicht nur IoT-Geräte, sondern auch Cloud-Services, Content Delivery Networks und sogar 5G-Infrastrukturen für ihre Attacken. Sie verstehen es, verschiedene Angriffsvektoren zu kombinieren: Während sie mit einer klassischen Volumsattacke die Bandbreite überlasten, greifen sie gleichzeitig gezielt Schwachstellen in Anwendungen an.
Wie lässt sich das Problem heute lösen?
Die Industrie hat reagiert, aber es reicht noch nicht. Seit 2024 gibt es in der EU strengere Vorgaben für IoT-Sicherheit: Neue Geräte müssen individuelle Passwörter haben und mindestens fünf Jahre lang Updates erhalten. Doch Millionen älterer Geräte bleiben weiterhin verwundbar.
Für Verbraucher bedeutet das: Ändert sofort alle Standard-Passwörter eurer vernetzten Geräte. Nutzt starke, einzigartige Passwörter oder noch besser – trennt IoT-Geräte in ein separates WLAN-Netzwerk. Moderne Router bieten dafür Guest-Netzwerke oder VLAN-Funktionen.
Unternehmen setzen zunehmend auf KI-basierte DDoS-Schutzlösungen, die Angriffe in Millisekunden erkennen und abwehren können. Cloud-Provider wie Cloudflare, AWS Shield oder Azure DDoS Protection haben ihre Kapazitäten massiv ausgebaut und können heute auch Terabit-Attacken abfangen.
Die Bedrohung bleibt real
Trotz aller Fortschritte ist das Problem nicht gelöst. Im Gegenteil: Mit dem Aufkommen von 6G-Netzen und noch mehr vernetzten Geräten wird sich die Angriffsfläche weiter vergrößern. Gleichzeitig experimentieren Cyberkriminelle mit neuen Technologien wie Quantum Computing und fortgeschrittener KI.
Die größte Herausforderung bleibt der Faktor Mensch: Solange Menschen Standard-Passwörter verwenden und Hersteller Sicherheit als Kostenfaktor sehen, werden IoT-Botnets eine Bedrohung bleiben. Das Internet ist heute robuster als 2016, aber auch die Angreifer sind professioneller geworden.
Mirai war nur der Anfang einer Entwicklung, die heute noch längst nicht abgeschlossen ist. Die Vorstellung vom unangreifbaren, stabilen, unkaputtbaren Internet bleibt eine Illusion – aber mit den richtigen Schutzmaßnahmen lässt sich das Risiko deutlich reduzieren.
Zuletzt aktualisiert am 06.04.2026
