Im ersten Halbjahr 2025 wurden 438 Terabyte DDoS-Traffic bewegt. Das entspricht mehr als sieben Jahren ununterbrochenem Netflix-Streaming in 4K. Jens-Philipp Jung, CEO des Anbieters von Cybersicherheitslösungen Link11, im Interview. [...]
Die digitale Bedrohungslage in Europa ist im Jahr 2025 auf einem neuen Höchststand angekommen. Ein massiver Anstieg von DDoS-Angriffen, rasant wachsende Angriffsdimensionen und hochentwickelte Taktiken stellen Unternehmen und kritische Infrastrukturen vor nie dagewesene Herausforderungen. Politische Motive, technologische Fortschritte und die Professionalisierung der Angreifer treiben die Eskalation weiter voran. Das besagen die Ergebnisse des European-Cyber-Reports von Link11. Jens-Philipp Jung, Gründer und CEO von Link11, analysiert im Interview mit ITWELT.at die aktuellen Trends, die Rolle von KI und Cloud-Technologien und zeigt auf, wie Organisationen ihre digitale Resilienz stärken können.
Der Report beschreibt eine Zunahme der DDoS-Angriffe um 225 Prozent. Neben der schieren Quantität sprechen Sie von einer „qualitativen Weiterentwicklung“. Was genau verstehen Sie darunter, und welche Verschiebung in Taktik und Professionalität der Angreifer ist für Sie die besorgniserregendste Entwicklung im ersten Halbjahr 2025?
Ein Beispiel für eine qualitative Weiterentwicklung ist, dass es Angreifern während eines DDoS-Angriffs gelingt, auf Abwehrmechanismen zu reagieren und in kürzester Zeit IP-Adressen zu wechseln. Das zeigt sich besonders bei Angriffen auf Anwendungsebene (Layer 7), bei denen es inzwischen immer schwerer wird, bösartigen Traffic von normalem User-Verhalten zu unterscheiden.
Welche geopolitischen und technologischen Faktoren sehen Sie als Haupttriebfedern dieser Eskalation, und wie beeinflussen sie die Professionalisierung der Angreifer?
Ich sehe zwei wesentliche Treiber für die aktuelle Eskalation. Erstens führen Konflikte im Nahen Osten und in Osteuropa sowie der strategische Wettbewerb zwischen Großmächten dazu, dass der Cyberspace immer stärker für politische und militärische Zwecke genutzt wird, oft unter Einbindung krimineller Infrastrukturen. Zweitens erleichtert künstliche Intelligenz es Angreifern, automatisierte Attacken durchzuführen und sogar komplexe Angriffsprogramme zu erstellen. Beides zusammen beschleunigt die Professionalisierung der Angreifer massiv.
Rechnen Sie damit, dass diese exponentielle Wachstumsrate nachhaltig ist, oder sehen Sie Anzeichen für eine Plateaubildung? Was könnte diese Entwicklung am ehesten bremsen?
Die steigenden Angriffszahlen werden nicht nur von uns, sondern auch von anderen Cybersecurity-Firmen beobachtet. Zwar ist ein Sinken der Angriffszahlen nicht ausgeschlossen, doch angesichts der zunehmenden Vernetzung, immer größer werdenden Rechenkapazitäten, des wachsenden IoT-Markts sowie der blühenden Cybercrime-as-a-Service-Industrie halte ich das für eher unwahrscheinlich. Solange DDoS-Angriffe ihren Zweck erfüllen und die nötigen Ressourcen dafür zur Verfügung stehen, können auch Ermittlungserfolge und die Stilllegung der sogenannten „DDoS-Stresser-Dienste” die Entwicklung nicht bremsen. Wichtig ist stattdessen, dass sich potenzielle Ziele resilient aufstellen und effiziente Schutzmechanismen einsetzen.
Sie beschreiben eine Verschiebung von „roher Gewalt“ (Volumen) hin zu „Präzision“ (raffinierte Taktiken). Was bedeutet dieser qualitative Wandel für die grundlegende Architektur von Cyber-Resilienz-Strategien? Müssen Sicherheitskonzepte neu gedacht werden?
Der Wandel hin zu präzisen Angriffen macht deutlich: Eine große Netzbandbreite allein reicht nicht mehr aus. Entscheidend sind intelligente Algorithmen, die schadhafte Datenpakete zuverlässig erkennen, wie es Antivirus-Lösungen seit Jahren vormachen. Genau hier setzt der Next-Generation-DDoS-Schutz an, der auf Deep Packet Inspection und KI-gestützte Analyse setzt. Klassische volumetrische DDoS-Lösungen stoßen dabei an ihre Grenzen. Für Europa bedeutet dies zugleich, digitale Souveränität aufzubauen, da wir sonst in Abhängigkeit geraten würden.
Das kumulierte Angriffsvolumen von 438 Terabyte entspricht sieben Jahren ununterbrochenem 4K-Netflix-Streaming. Und mit Spitzenwerten von 1,2 Tbit/s und 207 Millionen Paketen pro Sekunde erreichen Angriffe neue Dimensionen. Welche Rolle spielt dabei KI und wie muss die Industrie ihre Strategien anpassen?
Angriffe dieser Größenordnung würden die allermeisten Netzwerke schlicht überlasten. Weniger als fünf Prozent der globalen Netze verfügen über die nötige Kapazität, um solche Volumina abzufangen. Deshalb sind spezialisierte Anbieter mit entsprechender Infrastruktur notwendig. Klassische Filter oder manuelle Eingriffe reichen hier nicht mehr aus. KI ist entscheidend, um in Echtzeit zwischen legitimen und schädlichen Datenpaketen zu unterscheiden und automatisiert zu reagieren. Für die Industrie bedeutet das: Automatisierung, Zero Trust und souveräne Infrastrukturen sind unverzichtbar, um auch in Extremszenarien widerstandsfähig zu bleiben.
Wie sehen Sie grundsätzlich die künftige Entwicklung von DDoS-Angriffen angesichts technologischer Trends wie KI und IoT?
Künftig werden DDoS-Angriffe noch komplexer: Einerseits steigt durch IoT-Geräte die Angriffsfläche rasant, andererseits lassen sich Attacken durch KI gezielter, dynamischer und schwerer erkennbar steuern. Umso wichtiger ist es deshalb, dass auch die Abwehr KI-gestützt arbeitet und Resilienzstrategien grundlegend neu gedacht werden.
Welche Innovationen oder neuen Technologien sind notwendig, um der zunehmenden Komplexität und Größe von DDoS-Attacken gewachsen zu sein?
Um DDoS-Angriffen der nächsten Generation standzuhalten, sind vor allem KI-gestützte Abwehrmechanismen erforderlich, die den Traffic in Echtzeit analysieren und automatisch reagieren können. Ergänzend sind souveräne Cloud-Infrastrukturen wichtig, die unabhängig skalieren und auch in Extremsituationen stabil bleiben. Nur durch die Kombination aus Automatisierung, Zero-Trust-Architekturen und europäischer Technologie lassen sich Sicherheit und digitale Souveränität langfristig gewährleisten.
Im Report wird auch ein deutlicher Anstieg präziser Layer-7-DDoS-Angriffe beschrieben, die sich im legitimen Traffic tarnen. Wie funktionieren diese Angriffsmethoden technisch und warum stellen sie eine besondere Herausforderung dar?
Bei Layer-7-Angriffen wird die Anwendungsebene direkt angegriffen, also Webserver, APIs oder Datenbanken. Technisch gesehen imitieren sie legitime Nutzeranfragen, indem sie beispielsweise Login- oder Suchfunktionen massenhaft aufrufen. Dadurch wirken sie wie normaler Traffic und umgehen klassische Filter problemlos. Die Herausforderung besteht darin, dass es nicht um schiere Datenmengen, sondern um gezielte Überlastung kritischer Funktionen geht. Nur KI-gestützte Systeme, die in Echtzeit Muster erkennen und zwischen echten und manipulierten Anfragen unterscheiden können, bieten hier wirksamen Schutz.
Auch Jo-Jo-DDoS-Angriffe sind eine neuartige Angriffstechnik, die Cloud-Auto-Scaling ausnutzt. Können Sie uns erklären, wie diese Angriffe genau ablaufen und welche spezifischen Risiken sie für Unternehmen darstellen?
Jo-Jo-DDoS-Angriffe nutzen Auto-Scaling in der Cloud aus. Die Angreifer erzeugen abwechselnd Lastspitzen und Ruhephasen, sodass die Systeme ständig hoch- und runtergefahren werden. Das treibt die Kosten für Unternehmen in die Höhe, belastet ihre Ressourcen, verschlechtert die Performance und kann zur Instabilität ihrer Dienste führen. Das Risiko liegt weniger im Totalausfall als in der finanziellen Belastung und dem unberechenbaren Betriebsverhalten.
Politisch motivierte Gruppen wie NoName057(16) haben gezielt kritische Infrastrukturen in Europa attackiert. Wie bewerten Sie diesen Trend und welche Sektoren sind besonders betroffen? Wie wirken sich geopolitische Ereignisse konkret auf das Bedrohungsniveau und die Taktiken der Angreifer aus?
Ich sehe die gezielten Angriffe durch politisch motivierte Gruppen wie „NoName057(16)” als alarmierenden Trend. Besonders betroffen sind kritische Sektoren wie Energie, Telekommunikation, Transport und öffentliche Verwaltung, da Störungen in diesen Bereichen unmittelbar weitreichende Folgen hätten. Geopolitische Ereignisse wirken wie ein Beschleuniger für Cyberangriffe, da sie das Bedrohungsniveau erhöhen, indem sie politisch motivierte Gruppen dazu verleiten, gezielter und aggressiver zu agieren. Gleichzeitig verändern sich die Taktiken: Angriffe werden raffinierter und häufig verschleiert durchgeführt. Teilweise werden kriminelle Infrastrukturen genutzt, um die Verantwortung zu verschleiern und kritische Systeme gezielt zu destabilisieren.
Wie verändert das die Angriffswelt und welche Gegenmaßnahmen empfehlen Sie?
Die Angriffswelt wird immer dynamischer und komplexer: Angriffe werden gezielter und raffinierter durchgeführt und nutzen dabei neue Technologien wie KI und Automatisierung aus. Als Gegenmaßnahmen empfehle ich Echtzeit-Monitoring, KI-gestützte Anomalie-Erkennung, Zero-Trust-Architekturen sowie souveräne, skalierbare Cloud-Infrastrukturen, um technische und wirtschaftliche Risiken wirksam zu begrenzen.
Der Report nennt, dass nur 2 Prozent der Unternehmen eine unternehmensweit verankerte Cyber-Resilienz besitzen. Was sind die wichtigsten Elemente einer solchen Resilienzstrategie?
Eine unternehmensweit verankerte Cyber-Resilienz umfasst mehrere Kernelemente: eine klare Governance und Verantwortlichkeiten, kontinuierliches Echtzeit-Monitoring, eine KI-gestützte Bedrohungserkennung, Zero-Trust-Architekturen, regelmäßige Tests und Schulungen sowie die Integration von Sicherheitsaspekten in alle Entwicklungs- und Betriebsprozesse. Nur so können Unternehmen Angriffe früh erkennen, schnell reagieren und ihre kritischen Systeme langfristig schützen.
Gibt es neue Konzepte oder Ansätze, die über klassische volumetrische Abwehrmaßnahmen hinausgehen und die Branche in Zukunft prägen könnten?
Ja, die Branche bewegt sich weg von rein volumetrischen Abwehrmaßnahmen und hin zu intelligenten, adaptiven Konzepten. Künftig werden KI-gestützte Echtzeit-Analysen, Zero-Trust-Architekturen, API-Security, automatisierte Incident-Response und resiliente Cloud-Infrastrukturen entscheidend sein, um komplexe, gezielte Angriffe frühzeitig zu erkennen und abzuwehren.
Be the first to comment