Für ZuhauseFür Unternehmen
DDoS-Attacken

Gefahr aus dem Netz

Ein Hacker sitzt an einem Laptop und zeigt mit seiner Hand auf den Bildschirm. Auf dem Bildschirm sind Zahlen und Buchstaben zu sehen.

Letzte Aktualisierung:

18.03.2026

7 Minuten

DDoS-Attacken: erkennen, verstehen und effektiv abwehren

Mehr als 80 DDoS-Angriffe pro Tag. So viele wurden im Durchschnitt im Jahr 2024 allein in Deutschland laut Bundeslagebericht Cybercrime registriert. Doch was genau ist eine Distributed-Denial-of-Service-Attacke? Welche unterschiedlichen Typen gibt es? Welche Ziele verfolgen Cyberkriminelle damit? Wie laufen diese Angriffe ab und welche Folgen kann eine erfolgreiche DDoS-Attacke für Ihr Unternehmen haben? Antworten auf diese Fragen liefern wir Ihnen in diesem Artikel. Wir zeigen Ihnen außerdem, wie Sie Ihr Unternehmen wirksam vor DDoS-Attacken schützen können und welche Rolle EWE als qualifizierter DDoS-Mitigation-Dienstleister dabei spielen kann. Dafür müssen Sie zunächst verstehen, wie ein DDoS-Angriff funktioniert.

Inhalt

Was sind DDoS-Attacken und warum sind sie so gefährlich?

Ein DDoS-Angriff (Distributed Denial of Service) ist ein gezielter Überlastungsangriff auf Ihre IT. Dabei senden tausende oder sogar hunderttausende kompromittierter Geräte (sogenannte Botnetze) gleichzeitig Anfragen an Ihren Server, Ihre Website oder eine Online-Anwendung. Das Ziel des Angriffes besteht darin, Ihre Bandbreite, Ihre Rechenleistung oder auch Ihre Speicherkapazität so stark zu belasten, dass der legitime Datenverkehr nicht mehr verarbeitet werden kann. Dadurch wird das betroffene System verlangsamt oder ist mehr erreichbar.

Die häufigste Motivation für einen DDoS-Angriff ist Erpressung (Ransom-DDoS). Cyberkriminelle fordern dabei eine Zahlung, um die Attacke zu stoppen oder gar nicht erst zu starten. DDoS-Angriffe werden auch zur gezielten Wettbewerbssabotage oder Reputationsschädigung eingesetzt, beispielsweise bei stark transaktionsgetriebenen Geschäftsmodellen wie E-Commerce, Ticketing oder Finanzdienstleistungen. Außerdem gibt es politische oder ideologische Motive (Hacktivismus), bei denen vor allem Behörden und Organisationen angegriffen werden. Darüber hinaus können DDoS-Attacken auch als Ablenkungsmanöver für weitere Angriffe genutzt werden.

Die möglichen Schäden, die Ihrem Unternehmen durch einen erfolgreichen DDoS-Angriff entstehen können, sind enorm. Durch die Nichterreichbarkeit von Systemen folgen Betriebsausfälle, Umsatzverluste und Produktionsausfälle. Hinzu kommen Reputationsschäden, Kosten für die Wiederherstellung sowie potenzielle rechtliche Konsequenzen, beispielsweise wenn im Zuge des Angriffs Daten verloren gegangen sind.

Ein effektiver Schutz ist daher unverzichtbar. Bei jedem vierten Unternehmen sind in Deutschland 2025 Schäden durch DDoS-Attacken entstanden (Quelle: bitkom). Dabei steigt nicht nur die Zahl der erfolgreichen DDoS-Angriffe, sondern auch deren Komplexität und Volumen. DDoS-Attacken sind so konzipiert, dass sie viele klassische IT-Sicherheitsmaßnahmen wie Firewalls umgehen, da jede einzelne Anfrage, die ans System gestellt wird, als „sicher“ gilt. Verstärkt wird diese Entwicklung durch einen großen Schwarzmarkt im Darknet, auf dem kaum technisches Vorwissen nötig ist, um leicht und kostengünstig einen DDoS-Angriff zu „bestellen“ (Cybercrime-as-a-Service).

Die Anatomie einer DDoS-Attacke: So funktionieren die Angriffe

Ein DDoS-Angriff ist kein „großer Knopf“, den Cyberkriminelle einfach drücken können. Vielmehr ist er eine Kombination aus Vorbereitung, Steuerung und orchestrierter Last.


1. Vorbereitung: Aufbau eines Botnetzes

Um einen DDoS-Angriff ausführen zu können, benötigen Angreifer eine große Anzahl an Systemen bzw. infizierten Geräten, die sie gleichzeitig fernsteuern können. Meistens handelt es sich dabei um IoT-Geräte wie Kameras, Babyphones und Smart-Home-Geräte, die oft schwache Passwörter, veraltete Firmware oder offene Dienste haben. Möglich ist auch die Verwendung von Routern, Servern oder Cloud-Instanzen sowie PCs und Smartphones. In jedem Fall werden die Systeme mit einem Schadcode infiziert, der für die Nutzenden unauffällig bleibt. Als Mitglied im Botnetz wartet das Gerät dann darauf, dass auf Kommando Traffic erzeugt werden soll. Das besonders Gefährliche daran ist, dass diese Botnetze bestehen bleiben und jederzeit wieder für Angriffe eingesetzt werden können.


2. Steuerung: Command-and-Control (C2)

Angreifer benötigen eine Steuerungsebene, um alle Bots in ihrem Botnetz gleichzeitig ansprechen zu können. Dies kann zentral über einen C2-Server, dezentral mit wechselnden Domains und IP-Adressen oder im Peer-to-Peer-Ansatz (P2P) erfolgen, bei dem die Bots die Befehle untereinander verteilen.


3. Ausführung: Koordinierte Angriffswellen zur Überlastung

Ein typischer DDoS-Angriff findet in Wellen statt, um gängige Abwehrmechanismen zu umgehen. Dabei gibt es unterschiedliche Typen:

Ramp-up: Der Angriff beginnt langsam und steigert sich dann, um die Limits des IT-Systems zu testen und den Beginn zu verschleiern.

Bursts: Der Angriff erfolgt in kurzen, aber heftigen Peaks, um die Filter zu überfordern.

Multi-Vector: Es werden mehrere Angriffsarten kombiniert oder finden im Wechsel statt, um das Abwehrsystem zu überfordern.

Adaptiv: Die Angreifer reagieren während der Attacke flexibel auf Gegenmaßnahmen wie IP-Blocking, Captchas oder WAF-Regeln.

Typische Ziele bei einer DDoS-Attacke auf Unternehmen sind Server, einzelne Applikationen, Dienste wie DNS, Mail-Gateways oder VPN-Portale sowie Netzwerkkomponenten wie Firewalls, Load Balancer, Router oder die Internetanbindung. DDoS-Angriffe müssen nicht unbedingt Ihre Server erreichen, um erheblichen Schaden anzurichten. Oft reicht es, den Engpass bis dahin zu stören, um ein Unternehmen lahmzulegen.

 

Botnet vs. Reflection/Amplification

Heutzutage stammt nicht mehr jede DDoS-Welle ausschließlich von Bots. Oft werden Angriffe mit der Reflection/Amplification-Taktik verstärkt (Reflektion und Verstärkung). Dabei senden Bots kleine Anfragen mit der gespooften Absenderadresse des Opfers an offene Dienste im Internet. Diese senden dann große Antworten an das Opfer zurück. So entsteht beim Opfer ein sehr hoher Traffic, während der Aufwand für den Angreifer gering bleibt.

Gängige DDoS-Angriffsmethoden im Detail: Layer 3, 4 und 7

DDoS-Attacken lassen sich in die Kategorien volumetrisch, protokollbasiert und applikationsbasiert unterteilen, die gut mit den Layern aus dem OSI-Schichtenmodell für IT-System

 

OSI-Layer 3 –
Netzwerk (Volumetrisch)

OS-Layer 4 –
Transport (Volumetrisch/Protokoll­basiert)

OSI-Layer 7 –
Application (Anwendungsbasiert)

Ziel

Ihre Bandbreite bzw. das Routing und Ihre Netzwerk­pfade werden gezielt überlastet.

Ihre Verbindungsverwaltung wird überfordert und Ihre Ressourcen wie Server oder Firewalls werden gezielt erschöpft.

Nicht nur die Leitung, sondern auch die Rechenlogik und die Ressourcen einer Anwendung oder eines Webservers werden gezielt ausgereizt.

Mecha­nik

Sehr viele IP-Pakete werden gleichzeitig an Sie gesendet.

Es wird z. B. eine massive Anzahl an Verbindungs­aufbau­versuchen gestartet.

Viele scheinbar legitime Anfragen werden an die Anwendung gestellt (z. B. Suchanfragen oder Logins) oder es werden wenige Anfragen gestellt, die aber mit maximalem Aufwand beantwortet werden müssen.

Beispiele

UDP-Floods, DNS-Amplification, NTP-Amplification, ICMP-Floods, SYN-Floods

Ping of Death, Smurf-DDoS, fragmentierte Paket-Angriffe

HTTP-Floods, GET/POST-Floods, Slowloris, RUDY (R-U-Dead-Yet?)

Abwehr­mechanis­men

ISP-Filtering, BGP-Umleitung, Scrubbing-Center, Blackholing

SYN-Cookies, Stateful Inspection, Connection-Limits, Rate Limiting

WAF, Bot-Management, Rate-Limits pro Session/API, Caching

Wo sollte die Abwehr spätestens stattfinden?

Vor Ihrer eigenen Infrastruktur, bevor der schädliche Traffic Sie erreicht.

Am Netzwerkrand und in einem Scrubbing-Center

Auf der Anwendungsebene


Generell gilt: Je niedriger der Layer, desto früher muss der Angriff gestoppt werden. Idealerweise noch vor der eigenen Infrastruktur.

Strategien zur Abwehr von DDoS-Attacken

Um DDoS-Angriffe effektiv abzuwehren, benötigen Sie eine Kombination aus präventiven Maßnahmen, robusten Erkennungssystemen und schnellen Reaktionsplänen. Entscheidend ist zudem eine professionelle DDoS-Mitigation, bei der „schlechte“ Anfragen an Ihr System bereits herausgefiltert werden, bevor sie Ihr Netzwerk jemals erreichen.

Proaktive DDoS-Prävention: 10 entscheidende Schritte

Mit unserer Checkliste sind Sie in zehn Schritten bestmöglich auf einen DDoS-Angriff vorbereitet:

  1. Führen Sie eine detaillierte Risikoanalyse durch und identifizieren Sie Ihre kritischsten Systeme und Prozesse.
  2. Sorgen Sie für ausreichende und skalierbare Bandbreitenkapazitäten.
  3. Härten Sie Ihre Netzwerkinfrastruktur, indem Sie Firewalls, Router etc. automatisch updaten und deren Konfiguration regelmäßig überprüfen.
  4. Implementieren Sie fortschrittliches Traffic-Monitoring und eine KI-gestützte Anomalieerkennung (IDS/IPS).
  5. Nutzen Sie Web Application Firewalls (WAFs) zum Schutz vor Layer-7-Attacken.
  6. Richten Sie geografisch basiertes IP-Blocking und ein Rate Limiting gegen verdächtigen Traffic ein.
  7. Sichern Sie Ihre DNS-Infrastruktur mit redundanten DNS-Servern und automatischen Failovern.
  8. Führen Sie regelmäßig Sicherheitsaudits und Penetrationstests durch.
  9. Entwickeln und testen Sie einen detaillierten Notfallplan für die verschiedenen DDoS-Szenarien.
  10. Arbeiten Sie mit einem spezialisierten Anbieter für DDoS-Schutz zusammen, um Angriffe zu stoppen, bevor sie Ihr System erreichen.

Sofortmaßnahmen im Angriffsfall: Ihr Notfallplan

Eine DDoS-Attacke auf Ihr Unternehmen können Sie, wie alle anderen Cyberangriffe auch, nicht direkt verhindern. Sie können jedoch den potenziellen Schaden minimieren. Das Ziel Ihres Notfallplans sollte daher immer darin bestehen, Ihre Verfügbarkeit zu sichern, Ihre Reaktionszeit auf den Angriff zu minimieren und Ihre Geschäftsschäden zu begrenzen. Im Kern sollte Ihr Plan dieser Logik folgen: Vorbereitung ➔ Erkennung ➔ Eindämmung ➔ Stabilisierung ➔ Nachbereitung.

1. Vorbereitung

Damit Ihr Notfallplan wirksam ist, sollten wesentliche Entscheidungen bereits vor dem Angriff getroffen werden. Dazu gehören unter anderem die Definition kritischer Assets, die Einführung technischer Schutzmaßnahmen wie einer professionellen DDoS-Mitigation, die Festlegung klarer Verantwortlichkeiten und Kommunikationswege sowie ein kontinuierliches Monitoring, damit Sie bei Auffälligkeiten alarmiert werden.

2. Erkennung

Im nächsten Schritt müssen Sie schnellstmöglich erkennen, dass Sie angegriffen werden, um welche Art von DDoS-Attacke es sich handelt und welche Systeme betroffen sind. Informieren Sie alle wichtigen Stellen.

3. Eindämmung

Je schneller Sie den Angriff eindämmen, desto geringer ist der entstehende Schaden. Aktivieren Sie bei Bedarf die Traffic-Umleitung in ein externes Scrubbing-Center und leiten Sie weitere technische Sofortmaßnahmen wie Geoblocking oder eine Rate-Limit-Verschärfung ein. Wichtig ist, dass Sie Ihre Infrastruktur stabilisieren und alle getroffenen Maßnahmen dokumentieren. Gegebenenfalls muss auch eine Strafanzeige erstattet werden oder eine Meldung an Behörden erfolgen.

4. Stabilisierung

Im nächsten Schritt geht es darum, Ihre Systeme schrittweise wieder zu normalisieren. Fahren Sie Ihre Schutzmaßnahmen jedoch nicht sofort zurück, sondern intensivieren Sie Ihr Monitoring. Gerade bei DDoS-Attacken kommt es häufig zu Folgeangriffen.

5. Nachbereitung

Wie jeder andere Sicherheitsvorfall muss auch ein DDoS-Angriff sorgfältig nachbereitet werden. Welche Systeme wurden wie angegriffen? Wie hoch waren die Schäden? Welche Langzeitfolgen gibt es? So können Sie die Wirksamkeit Ihrer Schutzmaßnahmen bewerten und Sicherheitslücken schließen.

Effektiver DDoS-Schutz: Architekturen und Lösungen

Beim Schutz vor DDoS-Attacken spielen zwei Schlüsselkonzepte eine Rolle: Mitigation und Scrubbing. Bei der DDoS-Mitigation wird der bösartige Traffic vom legitimen Datenverkehr getrennt, sodass nur „saubere“ Datenpakete zu Ihnen gelangen. „Scrubbing“ (zu Deutsch: Schrubben) bezeichnet dabei die eigentliche Reinigungsinstanz, die in der Regel in hochskalierten Rechenzentren läuft.

Ein Scrubbing-Prozess läuft wie folgt ab:

  1. Der Angriff wird erkannt.
  2. Der Datenverkehr wird umgeleitet.
  3. Der Traffic läuft durch ein Scrubbing-Center.
  4. Dort wird er analysiert, gefiltert und bereinigt.
  5. Der legitime Datenverkehr wird zurück zum Unternehmen geleitet.

Das Scrubbing-Center verfügt in der Regel über eine Bandbreite von mehreren 100Gbit/s bis Terabit/s und kann so den Traffic filtern. Hier werden beispielsweise gefälschte IP-Pakete oder solche, die von bestimmten IP-Adressen oder Orten versendet wurden, erkannt. Auch Protokollmissbrauch (Layer-4-Attacken) und Angriffe auf Anwendungsebene (Layer 7) können hier analysiert und gefiltert werden. Eine moderne Mitigation führt zudem eine verhaltensbasierte Erkennung durch. So können bereits leichte Abweichungen vom normalen Traffic gefunden und bewertet werden. Anschließend wird der bereinigte Datenverkehr an Sie zurückgeleitet.

Always-on- vs. On-demand-Mitigation Always-on: Sämtlicher Traffic läuft permanent durch die Mitigationsinfrastruktur. Das ermöglicht eine sehr schnelle Reaktion, verursacht jedoch höhere laufende Kosten. On-demand: Im Normalbetrieb erreicht Sie jeder Traffic direkt und nur bei einem Angriff wird umgeleitet. Das ist günstiger, bedeutet aber eine Verzögerung in der Abwehr.

Always-on- vs. On-demand-Mitigation

Always-on

Sämtlicher Traffic läuft permanent durch die Mitigationsinfrastruktur. Das ermöglicht eine sehr schnelle Reaktion, verursacht jedoch höhere laufende Kosten.

On-demand

Im Normalbetrieb erreicht Sie jeder Traffic direkt und nur bei einem Angriff wird umgeleitet. Das ist günstiger, bedeutet aber eine Verzögerung in der Abwehr.

Cloud, On-Premise oder Hybrid: Die richtige Schutzarchitektur wählen

Im Wesentlichen gibt es drei Möglichkeiten, einen wirksamen DDoS-Schutz aufzubauen: In der Cloud, bei Ihnen vor Ort (On-Premise) oder hybrid. Die Wahl der passenden DDoS-Schutzarchitektur ist eine strategische Entscheidung und hängt maßgeblich von Ihrem Geschäftsmodell, Ihrem Risikoprofil, Ihren regulatorischen Anforderungen und Ihrer technischen Reife ab.

 

Cloud-basierter Schutz

On-Premise-Schutz

Hybridlösung

Charakteristik

Der Traffic wird über ein externes Scrubbing-Center geleitet

Dedizierte DDoS-Abwehr im eigenen Rechenzentrum oder am Netzwerkrand

Lokal werden kleinere Angriffe gefiltert, große Volumenangriffe werden automatisch an das Scrubbing-Center umgeleitet

Investitionskosten (CAPEX)

Gering (Servicemodell)

Hoch (Hardware, Implementierung)

Mittel bis hoch

Laufende Kosten (OPEX)

Planbar, abonnementbasiert

Wartung, Updates, Personal

Kombiniert

Verwaltungs­aufwand

Gering

Hoch

Mittel

Skalierbarkeit

Sehr hoch, Änderungen meist monatlich möglich

Begrenzt; Änderungen sind meist mit Investitionen und Personalkosten verbunden

Mittel; abhängig von der Verteilung der Aufgaben

Schutz gegen große volumetrische Angriffe

Sehr gut

Eingeschränkt (die eigene Internetanbindung bleibt ein Engpass)

Mittel bis sehr gut

Latenz

Minimal erhöht durch die Umleitung

Sehr gering

Sehr gering

Reaktionszeit im Angriff

Sehr schnell (gerade beim Always-on-Modell)

Oft abhängig von einzelnen Personen

Gut bis sehr schnell

Abhängigkeit vom Provider

Hoch

Gering

Mittel

Kontroll­möglich­keiten/
Transparenz

Anbieter liefert regelmäßig ein auditfähiges Reporting

Hoch, aber oft zeit- und ressourcenintensiv

Hoch

Datenschutz/­Datenhoheit

Zertifizierte Anbieter arbeiten DSGVO-konform

Vollständig intern

Selektiv extern

Komplexi­tät der Implemen­tierung

Gering bis mittel

Hoch

Hoch

Schutz vor Layer-7-Angriffen

Sehr gut (WAF/CDN sind i. d. R. integriert)

Möglich, aber Zusatzmodule notwendig

Mittel bis sehr gut

Geeignet für
Multi-Cloud-
Umge­bungen

Sehr gut

Eingeschränkt

Sehr gut

Geeignet für

• KMUs ohne eigenes Security-Team
• Unternehmen mit stark internetbasiertem Geschäftsmodell (E-Commerce, SaaS-Anbieter)

• Unternehmen mit eigenem SOC/Netzwerkteam
• Unternehmen mit strengen regulatorischen Anforderungen (z.B. Finanzdienstleister)

• Mittelständische Unternehmen mit hoher digitaler Abhängigkeit
• Betreiber kritischer Online-Plattformen
• Organisationen mit erhöhtem Bedrohungsprofil

EWE: Ihr starker Partner gegen DDoS-Attacken

Ein erfolgreicher DDoS-Angriff kostet kleine und mittelständische Unternehmen im Durchschnitt 100.000 Euro. Damit Ihnen das nicht passiert, stehen wir Ihnen als erfahrener Partner bei der Abwehr von DDoS-Angriffen zur Seite. Bei aktiviertem Schutz werden alle Datenverbindungen zwischen Ihnen und unserem Kernnetz, dem EWE IP-Backbone, analysiert, bevor sie Ihre Firewall erreichen. In unserem leistungsstarken Scrubbing-Center filtern wir alle „bösartigen“ Datenpakete heraus und leiten nur die „gutartigen“ Anfragen an Sie weiter. Unsere Administrator:innen in unserem Network Operation Center (NOC) überwachen die Netzwerke rund um die Uhr, um DDoS-Attacken frühzeitig zu erkennen und abzuwehren. Die dafür benötigten leistungsstarken Rechenzentren befinden sich direkt bei uns in der Region in Oldenburg und Osnabrück und sind nach den höchsten Standards zertifiziert. Unsere erfahrenen IT-Sicherheitsfachleute stimmen gern mit Ihnen eine individuelle DDoS-Schutzlösung ab, damit Sie, Ihre Server, Ihr Online-Shop, Ihre Website etc. immer erreichbar bleiben.

Unsere Expertise: BSI-zertifizierter Schutz und 24/7-Monitoring

EWE ist eines von nur 23 Unternehmen in Deutschland, das die strengen Kriterien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erfüllt, um als DDoS-Mitigation-Dienstleister qualifiziert zu werden. Im Rahmen der Qualifizierung wurde unser Leistungsangebot intensiv geprüft und wir haben in Tests bewiesen, dass EWE unterschiedlichste Angriffssituationen fach- und zielgerichtet bewältigen kann. Damit sind Unternehmen jeder Größe sowie solche, die zur kritischen Infrastruktur gehören, bei uns bestens aufgehoben.

Da wir als Energieversorger und Anbieter von Managed Services im Bereich IT-Sicherheit ebenfalls als KRITIS-Unternehmen gelten, profitieren Sie neben unserer Qualifizierung auch von unserer langjährigen Erfahrung in der Absicherung unserer eigenen Netze. Unser hochqualifiziertes Expertenteam überwacht und überprüft unser Netz rund um die Uhr, 24/7/365. Somit sind Sie nicht nur während der Arbeitszeiten, sondern auch nachts, am Wochenende oder an Feiertagen vor DDoS-Attacken geschützt.

Zudem bieten wir Ihnen individuelle, skalierbare DDoS-Lösungen passend zu Ihrer Bedrohungslage und Unternehmensgröße. Damit Sie jederzeit volle Transparenz haben, liefern wir Ihnen regelmäßig Reports über abgewehrte Attacken sowie eine detaillierte Traffic-Analyse.

Im Durchschnitt wehren wir täglich 16 DDoS-Angriffe ab.

Alle 90 Minuten muss unser Schutzsystem eingreifen, um Attacken auf unsere Kund:innen abzuwehren.

Compliance sicherstellen: Unterstützung bei BSI-Grundschutz und NIS2

Unternehmen sehen sich heute mit einer Vielzahl gesetzlicher Regelungen konfrontiert. Dazu zählen die DGVO, die ISO-Norm 27001, die NIS2-Richtlinie der EU und der empfohlene BSI-Grundschutz. Sie alle fordern IT-Sicherheitsmaßnahmen. Die EWE DDoS-Schutzlösungen können Unternehmen zuverlässig dabei helfen, diese Compliance-Anforderungen zu erfüllen. In den Vorgaben werden meist keine expliziten Technologien gefordert, sondern ein IT-Sicherheitskonzept „auf dem aktuellen Stand der Technik“. Eine professionelle DDoS-Mitigation fällt definitiv in diese Kategorie. Gerade für Unternehmen, die gemäß der NIS2-Richtlinie zur kritischen Infrastruktur zählen, ist ein DDoS-Schutz unerlässlich, da er Betriebsausfälle verhindern kann. Gern beraten wir Sie zu Ihren individuellen gesetzlichen und Compliance-Anforderungen und erarbeiten mit Ihnen ein passendes 360°-IT-Sicherheitskonzept.

➔ Erfahren Sie mehr darüber, wie Sie die NIS2-Richtlinie umsetzen können, in unserem Artikel „Die NIS2-Richtlinie: Pflichten, Fristen & Sektoren kompakt erklärt“.

FAQ

Besonders häufig betroffen sind:

- E-Commerce und Onlinehandel
- Finanzdienstleister und FinTechs
- SaaS- und Cloudanbieter
- Gaming- und Streamingplattformen
- Behörden und öffentliche Einrichtungen
- Telekommunikations- und Energieversorger

Grundsätzlich gilt: Je stärker ein Geschäftsmodell von digitaler Verfügbarkeit abhängt, desto attraktiver ist es als Ziel. Sicher ist niemand.

Nein, denn eine klassische Firewall ist für die Abwehr einzelner unzulässiger Zugriffe konzipiert, nicht für die Abwehr massiver Volumenangriffe. Bei einem DDoS-Angriff ist die Firewall oft selbst das Ziel und bricht unter der Flut der Anfragen zusammen, sodass Ihr Netzwerk ungeschützt ist. Einige Modelle schalten auch sich und das Netzwerk ab, sodass Sie trotzdem nicht arbeitsfähig sind. Wirksamen Schutz bieten nur spezialisierte DDoS-Mitigation-Systeme sowie Scrubbing-Dienste.

Typische Frühindikatoren sind:

- Plötzliche, ungewöhnliche Traffic-Spitzen
- Erhöhte Latenzzeiten
- Verbindungsabbrüche oder Timeouts
- Stark steigende CPU- oder State-Table-Auslastung
- Auffällige Häufung identischer Anfragen oder IP-Bereiche

Wichtig ist hier immer ein Vergleich mit den bekannten, „gewöhnlichen“ Traffic-Baselines. In manchen Fällen geht dem Angriff ein Drohbrief oder ein Erpresserschreiben voraus.

Das Spektrum reicht hier von wenigen Minuten bis hin zu mehreren Tagen. Die meisten Angriffe dauern zwischen 20 Minuten und einigen Stunden. In Erpressungsszenarien oder bei politisch motivierten Kampagnen können Angriffe auch wiederholt oder über mehrere Tage hinweg auftreten.

Das ist sehr unterschiedlich, aber im Durchschnitt müssen Sie mit 100.000 Euro rechnen. Neben dem direkten Umsatzverlust entstehen Kosten auch durch

- Produktionsausfälle
- SLA-Vertragsstrafen
- Incident-Response-Kosten
- Wiederherstellungskosten
- Investitionen in nachträgliche Schutzmaßnahmen
- Reputationsschäden und Kundenabwanderung
- Mögliche Rechtskosten

Den Kosten für Schutzmaßnahmen müssen immer die potenziellen Kosten für einen erfolgreichen Angriff gegenübergestellt werden.

Bei einer DoS-Attacke (Denial of Service) erfolgt der Angriff von nur einer Quelle, während eine DDoS-Attacke (Distributed Denial of Service) von vielen verteilten Systemen (Botnet) ausgeht. Durch diese Verteilung ist ein DDoS-Angriff deutlich schwerer zu blockieren und für die Cyberkriminellen wesentlich einfacher zu skalieren.

Ja. Neben technischer DDoS-Mitigation bieten wir Ihnen auch präventive Beratung zum Thema IT-Sicherheit allgemein sowie zum DDoS-Schutz im Besonderen an. Dazu gehören unter anderem:

- Analyse der bestehenden Netz- und Sicherheitsarchitektur
- Bewertung von Schwachstellen
- Empfehlung geeigneter Mitigation-Modelle (Cloud, On-Premise, Hybrid)
- Integration in bestehende Security- und ISMS-Strukturen
- Monitoringkonzepte bis hin zu einem SOCaaS

Ja. Viele Angriffe erfolgen automatisiert oder opportunistisch. KMU sind häufig weniger stark geschützt und daher leichter angreifbar. Zudem gibt es einen wachsenden Schwarzmarkt für DDoS-Angriffe als Dienstleistung.
Ja. In einigen Fällen werden DDoS-Attacken eingesetzt, um die IT-Teams zu binden, während parallel dazu gezielt Angriffe auf Daten oder Systeme stattfinden.
Das hängt von Ihrem Vertrag ab. Viele Versicherungen decken Betriebsunterbrechungen und Incident-Response-Kosten ab, verlangen jedoch nachweisbare Präventions- und Sicherheitsmaßnahmen.
Mindestens einmal jährlich oder bei wesentlichen Änderungen an der Infrastruktur.

Fazit: Resilienz gegenüber DDoS-Attacken systematisch aufbauen

DDoS-Angriffe stellen eine stetige und sich weiterentwickelnde Bedrohung für Unternehmen aller Größen und Branchen dar. Herkömmliche IT-Sicherheitsmaßnahmen wie Firewalls bieten keinen Schutz, da sie teilweise selbst das Ziel der Angriffe sind. Ein technisches Verständnis dieses Angriffstyps und der unterschiedlichen Methoden ist daher entscheidend für eine effektive Abwehr. Ein umfassender Schutz kombiniert eine gründliche Risikoanalyse, proaktive Maßnahmen, moderne Detektionstechnologien und einen robusten Notfallplan. Unverzichtbar ist das Scrubbing, also die Trennung des schadhaften Traffics von den legitimen Datenpaketen. Dies kann entweder bei Ihnen vor Ort erfolgen oder von einem professionellen Dienstleister übernommen werden, der Ihren Traffic reinigt, bevor er Sie erreicht. Wir als EWE stehen Ihnen dabei als erfahrener und BSI-qualifizierter Partner zur Seite und finden die passende DDoS-Schutzlösung für Sie. In unseren hochsicheren und hochperformanten Rechenzentren arbeitet unser IT-Security-Team ununterbrochen daran, Sie vor Gefahren wie einem DDoS-Angriff zu schützen. So können Sie sich ganz entspannt Ihrem Kerngeschäft widmen, ohne Angst haben zu müssen, dass Ihre IT ausfällt.

Sie haben Fragen oder wünschen eine Beratung?

Geben Sie einfach Ihre Postleitzahl ein und finden auf Anhieb Ihren EWE-Kontakt in der Nähe.

Das könnte Sie auch interessieren

Ein Mitarbeiter vor zwei rot erleuchteten Bildschirmen, auf denen der Hinweis "Critical Error" zu lesen ist

DDoS-Schutz

Wir wehren DDoS-Attacken ab noch bevor diese bei Ihnen ankommen – und schützen Ihr Unternehmen so vor unabsehbaren Folgekosten. Wappnen Sie sich jetzt gegen DDoS-Attacken und vereinbaren Sie ein kostenloses Beratungsgespräch.

    Mehr erfahren
    Ein Vorhängeschloss auf einer Platine, durch die Codes und Lichtstrahlen laufen

    DDoS-Whitepaper

    Wie genau können Sie sich vor DDoS-Angriffen schützen und sind Sie überhaupt ein potenzielles Ziel? Lesen Sie mehr darüber in unserem kostenlosen Whitepaper „DDoS-Angriffe – Eine Gefahr für jedes Unternehmen“.

      Mehr erfahren
      Ein Mann sitzt im Büro vor einem Laptop und grübelt über einen erfolgreichen Cyberangriff auf seinen Arbeitgeber nach.

      IT-Basisschutz

      Mit welchen weiteren konkreten Maßnahmen Sie Ihr Unternehmen wirksam vor Gefahren aus dem Internet schützen können, erfahren Sie in unserem Artikel „IT-Basisschutz für Unternehmen: Mehr als nur Technik“.

        Mehr erfahren
        Zwei junge Männer am Schreibtisch in einem Büro. Einer der Männer sitzt auf seinem Stuhl und zeigt mit seinem Arm auf seinen Monitor. Der andere Mann steht neben ihm und schaut auf den Monitor.

        Managed Security

        Welche IT-Sicherheitsaufgaben sich gut an externe Dienstleister auslagern lassen, erfahren Sie in unserem Artikel „Managed Security Services: IT-Sicherheit smart auslagern – Ihr umfassender Ratgeber“.