Es kommt immer wieder vor und gehört leider zur Tagesordnung, dass einzelne Server gezielt durch Überlastung ausgeknipst werden. Eine solche Aktion wird in der Fachsprache „Denial of Service“ (DoS) genannt, wenn für die Sabotage nur ein Rechner benutzt wird bzw. „Distributed Denial of Service“ (DDoS), wenn dafür ein ganzes Netzwerk von Rechnern für den Angriff eingesetzt wird.
So eine DDoS-Attacke kann eine Strafaktion sein, weil eine Behörde, Firma oder Institution sich den Unmut von Cyberkriminellen zugezogen hat. Häufiger noch sind Erpressungsversuche: „Entweder ihr zahlt, oder wir legen eure IT-Infrastruktur lahm.“ Wird nicht gezahlt, startet die Attacke. Täglich werden weltweit Zehntausende Server angegriffen, meist ohne dass die Öffentlichkeit etwas davon mitbekommt. In Deutschland gelten solche Angriffe als Computersabotage und stehen unter Strafe, doch die Urheber zu ermitteln bleibt extrem schwierig – zumal viele aus dem Ausland agieren.
Moderne Abwehrsysteme arbeiten mit KI
IT-Sicherheitsexperten sind DDoS-Attacken gewohnt, sie gehören zum beruflichen Alltag. Moderne Abwehrsysteme nutzen mittlerweile Machine Learning und KI-basierte Anomalieerkennung. Diese analysieren Traffic-Muster in Echtzeit und können verdächtige Aktivitäten oft schon erkennen, bevor der eigentliche Angriff seinen Höhepunkt erreicht.
Cloud-basierte DDoS-Protection-Services wie Cloudflare Shield, AWS Shield Advanced oder Azure DDoS Protection haben die Abwehr revolutioniert. Sie verfügen über riesige Kapazitäten und können selbst Angriffe mit mehreren Terabit pro Sekunde abfangen – Dimensionen, die noch vor wenigen Jahren undenkbar waren.
Trotz aller technischen Fortschritte: Einen Angriff vorhersehen können Provider nicht, und auch die beste Abwehr kann nicht alle Folgen verhindern. Zumindest kurzzeitige Ausfälle bleiben bei erfolgreichen DDoS-Attacken unvermeidbar. Verantwortlich dafür sind die Angreifer, nicht die Provider.
Gegenmaßnahmen werden immer intelligenter
Kleinere Angriffe lassen sich durch dynamische Filtermaßnahmen eindämmen. Diese Filterlisten werden mit Machine Learning „trainiert“ und erkennen mittlerweile auch subtile Attack-Pattern. Werden auffällige Traffic-Muster erkannt, landen verdächtige IP-Adressen automatisch auf Sperrlisten.
Bei größeren Angriffen kommen Web Application Firewalls (WAF) zum Einsatz, die mit fortschrittlichem Rate Limiting arbeiten. Sie erkennen nicht nur die Häufigkeit von Anfragen, sondern analysieren auch deren Inhalt und Herkunft. Geografisches Blocking kann Angriffe aus bestimmten Regionen unterbinden, während Grenzrouter gefälschte Absenderadressen (IP-Spoofing) aufdecken.
Eine besonders effektive Methode ist das sogenannte „Traffic Scrubbing“: Der gesamte eingehende Traffic wird durch spezialisierte Rechenzentren geleitet, die schädlichen von legitimem Traffic trennen. Nur der „saubere“ Traffic erreicht dann die eigentlichen Server.
Nicht alle Attacken sind erfolgreich
Ob sich eine DDoS-Attacke erfolgreich abwehren lässt, hängt von vielen Faktoren ab: Größe des angreifenden Botnetzes, Geschwindigkeit der Erkennung, verfügbare Bandbreite und eingesetzte Abwehrmechanismen. Moderne Angriffe erreichen teilweise über 10 Terabit pro Sekunde – das entspricht dem gleichzeitigen Download von etwa 1.250 4K-Filmen.
Viele DDoS-Attacken verlaufen im Sand, aber erfolgreiche Angriffe können stundenweise ganze Dienste lahmlegen. Besonders kritisch wird es bei „Shared Hosting“: Wird eine Website angegriffen, sind alle anderen auf demselben Server betroffen. Das lässt sich technisch nicht vermeiden – wie bei einer Straßensperrung nach einem Banküberfall.
Allerdings dauern die meisten DDoS-Attacken nur wenige Stunden. Sobald die Angriffe nachlassen oder die Filter greifen, arbeiten die Server wieder normal. Die gute Nachricht: DDoS-Attacken verursachen praktisch nie Datenverlust, Datendiebstahl oder Manipulationen. Hackangriffe erfolgen heimlich – DDoS ist das komplette Gegenteil: lautes, unübersehbares Getöse.
Euer PC kann Teil des Problems sein
Wer denkt „Ich betreibe keine Website, das betrifft mich nicht“, irrt gewaltig. Moderne DDoS-Attacken nutzen Botnetze aus Hunderttausenden infizierter Geräte – nicht nur PCs, sondern auch Smartphones, Smart-TVs, Router und IoT-Geräte wie Überwachungskameras.
Das berüchtigte Mirai-Botnet infizierte 2016 über 600.000 IoT-Geräte und verursachte massive Internetausfälle. Heute sind Botnetze noch ausgeklügelter: Sie verstecken sich besser, nutzen verschlüsselte Kommunikation und können ihre Angriffsmuster dynamisch anpassen.
Hat sich Malware auf eurem Gerät eingenistet – etwa durch Phishing-Mails, Drive-by-Downloads oder ungesicherte Software –, kann es zur „Zombie“-Maschine werden. Diese warten oft monatelang auf Befehle, bevor sie für Spam-Versand oder DDoS-Attacken missbraucht werden. Oft merken Nutzer nichts davon, höchstens dass das Gerät langsamer wird.
So schützt ihr euch
Moderne Endpoint-Security-Lösungen wie Windows Defender, Bitdefender oder Kaspersky erkennen Botnetz-Malware meist zuverlässig. Wichtiger noch: Haltet Betriebssystem und alle Programme aktuell. Automatische Updates sind hier euer Freund.
Bei IoT-Geräten solltet ihr Standard-Passwörter sofort ändern und regelmäßig Firmware-Updates einspielen. Ein separates IoT-Netzwerk im Router isoliert smarte Geräte vom Rest eures Netzwerks.
DDoS-Attacken bleiben ein ernstes Problem, doch die Abwehrmöglichkeiten werden stetig besser. Als Nutzer könnt ihr vor allem eines tun: Sorgt dafür, dass eure Geräte nicht Teil des Problems werden.
Zuletzt aktualisiert am 23.04.2026
