• Start
V-Hub by Vodafone BusinessSecurityCybersecurityDDoS-Angriffe: Was dahintersteckt und wie Sie sich wirksam vor Attacken schützen
Security

DDoS-Angriffe

Was dahinter steckt und wie Sie sich wirksam vor Attacken schützen

Jetzt Netzwerk-Attacken abwehren
Portrait von Clemens Förster Clemens Förster
05.12.2025
10 Min.

    Cyberkriminelle nehmen mit Distributed-Denial-of-Service-Angriffen (DDoS) zunehmend Unternehmen ins Visier. Cloudflare blockierte bis Ende des dritten Quartal 2025 über 36,2 Millionen solcher Attacken – rund 170 Prozent mehr als im gesamten Jahr 2024. Dabei gibt es effektive Möglichkeiten, Mitarbeitende und Unternehmen vor dieser Art von Cyberattacke zu schützen.

    Inhaltsverzeichnis

    DDoS: Das Wichtigste in KürzeWas steckt hinter dem Begriff DDoS?So funktioniert ein DDoS-AngriffMögliche Folgen eines Distributed-Denial-of-Service-Angriffs

    DDoS: Das Wichtigste in Kürze

    • Die Zahl der DDoS-Attacken auf Unternehmen nimmt rasant zu.
    • DDoS nutzt Botnets aus Millionen von gekaperten Geräten und ist im Gegensatz zu einfachen DoS-Attacken schwer abzuwehren.
    • Klassische Firewalls und Provider-Schutz reichen meist nicht aus. Wirksamer Schutz vor DDoS-Angriffen erfordert cloudbasierte Mitigation und vor allem saubere Endgeräte.
    • Die Lookout-Sicherheitslösung blockiert Malware auf mobilen Geräten, verhindert neue Botnets und macht Unternehmen nachhaltig resistenter gegen DDoS-Attacken.
    DDoS Mitigation – Schutz für Ihr Unternehmensnetzwerk

    DDoS-Angriffe wirksam abwehren

    DDoS-Attacken können Webseiten und Netze in kürzester Zeit lahmlegen. Mit Vodafone DDoS Mitigation sind Sie auf der sicheren Seite:

    • Prüft und filtert Ihren gesamten Datenverkehr
    • Erkennt Bedrohungen und wehrt sie ab
    • Reagiert binnen Minuten und bereinigt Ihre Daten
    Jetzt wirksam schützen

    Was steckt hinter dem Begriff DDoS?

    Hinter dem Kürzel „DDoS“ steckt der Begriff „Distributed Denial of Service“. Ein DDoS-Angriff ist eine der häufigsten und gefährlichsten Cyberbedrohungen unserer Zeit: Tausende oder Millionen manipulierter Geräte „überschwemmen“ dabei gleichzeitig die Server eines Unternehmens, bis kein Datenverkehr mehr möglich ist. Doch so bedrohlich diese Entwicklung ist, so wirksam sind auch die verfügbaren Gegenmaßnahmen.

    So funktioniert ein DDoS-Angriff

    Potenzielle Ziele für DDoS-Attacken sind Router, Webserver, Mailserver, DNS-Server oder Dienste und Schnittstellen im Netzwerk. Meist befinden sich diese im (öffentlich zugänglichen) Internet und beantworten Systemanfragen der unterschiedlichsten Art wie beispielsweise Webservices, E-Mail-Dienste oder Datenserver.
    Zum Start eines DDoS-Angriffs greifen Kriminelle auf große Netze infizierter Systeme zurück, sogenannte Botnetze. Über Sicherheitslücken werden zuvor harmlose Geräte mit Schadsoftware versehen und anschließend zentral gesteuert, um zeitgleich eine massive Angriffslast zu erzeugen.
    Meist verwenden die Cyberkriminellen Botnetze, um massenhaft Rechnersysteme (auch von Privatpersonen) für den Angriff zu vereinen und damit selbst Hochleistungsserver in die Knie zu zwingen. Computer oder allgemeiner infizierte Geräte, die an so einem Botnet-Angriff beteiligt sind, bezeichnet man als „Bot“, „Zombie“ oder auch „Slave“. Diese nehmen häufig nicht nur am Angriff selbst teil, sondern sorgen auch für die Verbreitung der zugrundeliegenden Malware.
    Über diese Botsysteme ist es den Verantwortlichen überhaupt erst möglich, DDoS-Attacken zu steuern, um beispielsweise massenhaft Anfragen an andere Rechner zu senden. Ein angegriffenes System, das über keinerlei Schutzvorrichtung gegen solche Attacken verfügt, ist meist innerhalb von Sekunden nicht mehr in der Lage, die Last zu bewältigen.
    Mögliche Folgen sind ein eingeschränktes Antwortverhalten oder der komplette Ausfall von Systemen. Im Zuge dieser Eliminierung von Systemen folgen häufig nachgelagerte Attacken durch andere Malware, was den Schaden erheblich vergrößert.
    Grafische Darstellung eines klassischen DDoS-Angriffs über mehrere Slave-Rechner.
    Rechner im Botnetz können sowohl Ziel des Angriffs als auch angreifender Bestandteil des Netzwerkes sein.
    Jetzt Netzwerk-Attacken abwehren

    Mögliche Folgen eines Distributed-Denial-of-Service-Angriffs

    Ein DDoS-Angriff auf ein Unternehmen kann zu Serviceausfällen führen, Umsatzverluste verursachen und das Vertrauen der Kund:innen erschüttern. Neben den technischen Ausfällen mit Folgeschäden nehmen häufig auch die Marke und das Image des Unternehmens Schaden. Dazu kommen regulatorische Konsequenzen, wenn personenbezogene Daten betroffen sind oder wenn das Unternehmen Compliance-Anforderungen nicht erfüllt. Insgesamt kann ein DDoS-Angriff die Wettbewerbsfähigkeit des Unternehmens beeinträchtigen und erhebliche finanzielle Folgen nach sich ziehen.
    Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

    Whitepaper: Cyber Security

    Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

    • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
    • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
    • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
    Jetzt kostenlos downloaden

    DoS vs. DDoS – Unterschiede zwischen Denial of Service und Distributed Denial of Service

    Der entscheidende Unterschied zwischen DoS- und DDoS-Attacken liegt darin, dass ein klassischer DoS-Angriff aus einer einzigen Quelle stammt. Der:die Angreifer:in erzeugt mit einem oder wenigen Systemen ein derart hohes Anfragevolumen, dass der Zielserver überlastet wird und Nutzer:innen keinen Zugriff mehr erhalten.
    Ein DDoS-Angriff setzt dagegen ein Botnet aus Tausenden oder Millionen kompromittierten Geräten ein. Diese verteilten Systeme starten den Angriff synchron aus allen möglichen Richtungen, multiplizieren das Traffic-Volumen und erschweren eine effektive Abwehr, da der Datenstrom aus dem gesamten Internet kommt.
    Kurz gesagt: DoS-Angriffe lassen sich in der Regel auf einzelne Quellen eingrenzen und blockieren. DDoS-Angriffe treffen Unternehmen aus beliebigen Richtungen im globalen Netz und können auch große IT-Infrastrukturen lahmlegen. Genau das macht Distributed-Denial-of-Service-Attacken so gefährlich.

    DDoS-Angriffe: Diese Arten gibt es

    Cyber-Kriminelle nutzen unterschiedliche Arten von DDoS-Angriffen, wobei die Methoden nach den Netzwerkschichten des OSI-Modells klassifiziert sind. OSI-Modell steht für „Open Systems Interconnection Modell“ und ist ein Referenzmodell für Netzwerkprotokolle. Das OSI-Modell kennt insgesamt sieben Schichten.
    Jede Schicht des OSI-Modells repräsentiert einen bestimmten Teil des Netzwerks. Angreifer:innen zielen auf verschiedene Ebenen ab; je nachdem, welche Art von web- oder internetbezogenen Ressourcen sie stören möchten.
    Die einfachste Form des Angriffs besteht darin, Systemressourcen oder Netzwerkbandbreiten zu überlasten. Dabei werden die Netzwerk- und die Transportschicht des Netzwerks (Layer 3 und 4) blockiert. Die Angreifer:innen setzen hierbei auf Volumen und Masse der Anfragen, um ihre Ziele zu erreichen. Die Menge des erzeugten Traffics führt dabei in der Summe beim Anfrageziel zu einer Überlastung der Systeme.
    Protokollangriffe hingegen ziehen sich durch mehrere Schichten des OSI-Modells. Über die klassischen Internetprotokolle (XMPP, https, DNS, SMTP, TCP, UDP usw.) versuchen Angreifer:innen, die Rechenkapazität verschiedener Netzwerkinfrastrukturressourcen wie Router, Server oder Firewalls zu überlasten.
    Weit verbreitet ist auch die Blockade auf Anwendungsebene (Layer 7). Die Angriffsmuster von DDoS-Attacken ändern sich jedoch ständig und stehen im Wettbewerb mit immer besseren Schutzmaßnahmen. Diese orientieren sich ebenfalls an aktuellen Angriffsmustern und werden laufend weiterentwickelt.
    Grafische Darstellung der übereinander angeordneten sieben Schichten des ISO/OSI-Schichtenmodells mit der Anwendungsschicht als oberster bis hin zur Bitübertragungsschicht als unterster Ebene.
    In der Netzwerktechnik hat sich das OSI-Schichtenmodell etabliert, um komplexe Vorgänge innerhalb des Netzes aufzugliedern.

    DDoS-Mechanismen und deren Abwehr

    DDoS-Angriffe unterscheiden sich stark in ihrer technischen Umsetzung, verfolgen jedoch stets dasselbe Ziel: Systeme durch Überlastung lahmzulegen. Je nach Angriffstyp setzen sie auf Protokollmissbrauch, Anwendungsanfragen oder die gezielte Verstärkung von Datenströmen. Zu den wichtigsten DDoS-Attacken zählen nachfolgende Methoden:

    SYN-Flood

    Bei SYN-Flood-Angriffen missbrauchen Angreifer:innen den TCP-Verbindungsaufbau. Der Server hält zahlreiche halboffene Verbindungen bereit, bis keine neuen Anfragen mehr verarbeitet werden können. Die Folge: Legitime Nutzer:innen kommen nicht mehr durch.

    HTTP-Flood

    HTTP-Floods setzen auf eine Vielzahl scheinbar normaler Webanfragen. Da sie sich kaum von regulärem Traffic unterscheiden, werden sie oft spät erkannt. Wirksamer Schutz erfordert eine Analyse auf Anwendungsebene, z.B. durch eine Web Application Firewall (WAF).

    Slowloris

    Slowloris-Angriffe halten Verbindungen bewusst lange offen und binden so Serverressourcen. Die Attacke entwickelt sich schleichend, kann aber über längere Zeit massive Auswirkungen haben. Klassische Schutzmechanismen greifen hier oft zu spät.

    DNS-Amplification

    Bei DNS-Amplification-Angriffen nutzen Cyber-Kriminelle offene DNS-Server, um Datenströme stark zu vervielfachen. Kleine Anfragen erzeugen extrem lange Antworten, die das Zielsystem überlasten. Die eigentlichen Angreifer:innen bleiben dabei meist verborgen.

    DRDoS

    DRDoS-Angriffe leiten die Attacke über unbeteiligte Drittsysteme um. Durch IP-Spoofing erscheint der Traffic legitim, während das Zielsystem überlastet wird. Die Identifikation der Angreifer:innen ist besonders schwierig. Die Abkürzung DRDoS steht dabei für „Distributed Reflected Denial of Service“, was auf die verteilte Ausführung und die Reflexion über Drittsysteme hindeutet.
    Die Übersicht zeigt, auf welchen Ebenen DDoS-Angriffe ansetzen und welche Auswirkungen sie haben.
    SYN-Flood
    Protokollebene (Layer 4)
    Server können keine neuen Verbindungen mehr annehmen
    Ausnutzen halboffener TCP-Verbindungen
    HTTP-Flood
    Anwendungsebene (Layer 7)
    Webanwendungen brechen unter Last zusammen
    Anfragen wirken wie legitimer Traffic
    Slowloris
    Anwendungsebene (Layer 7)
    Ressourcen werden über lange Zeit blockiert
    Langsam, schwer zu erkennen
    DNS-Amplification
    Netzwerkebene
    Massive Traffic-Spitzen
    Verstärkung kleiner Anfragen
    DRDoS
    Netzwerkebene
    Überlastung über Drittsysteme
    Verschleierung der Angreifer
    Angriffsebene
    Typische Wirkung
    Besonderheit

    DDoS-Angriff: So können Unternehmen eine Attacke abwehren

    Moderne DDoS-Abwehr setzt dort an, wo Angriffe entstehen: im Netz. Netzbasierte DDoS Mitigation analysiert den Datenverkehr in Echtzeit, filtert schädliche Anfragen heraus und leitet nur bereinigten Traffic an die Zielsysteme weiter. So bleiben Webservices und IP-Dienste auch bei laufenden Angriffen verfügbar – ohne die eigene Infrastruktur zusätzlich zu belasten.

    Checkliste beim Vorgehen gegen DDoS-Angriffe

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Informationsblatt mit Verhaltensregeln für akute DDoS-Angriffen für Unternehmen veröffentlicht. Die darauf aufbauende und hier erweiterte Checkliste hilft, einer DDoS-Attacke wirksam zu begegnen:
    • Berichten Sie den Vorfall entsprechend der internen Richtlinien an das Management, um den Vorfall zu eskalieren.
    • Binden Sie Ihren Internet-Service-Provider (ISP) bzw. Hosting-Provider frühzeitig ein.
    • Schalten Sie Ihre Rechtsabteilung oder Ihre Anwaltskanzlei ein und stellen Sie Strafanzeige bei der örtlichen Polizei.
    • Bereiten Sie für die Presse- und Öffentlichkeitsarbeit Informationen zum Vorfall vor, um bei möglichen Presseanfragen auskunftsfähig zu sein.
    • Prüfen Sie eine mögliche Meldepflicht nach DSGVO Art. 33 bei Beeinträchtigung der Verfügbarkeit.
    • Informieren Sie ggf. Vertragspartner:innen und/oder Kund:innen zeitnah über die möglichen Einschränkungen von Diensten und eventuelle Datenverluste.
    • Dokumentieren Sie den Angriff durch Sicherung von Logs, Traffic-Daten und Screenshots.
    • Prüfen Sie parallel auf andere Angriffe auf die IT-Sicherheit, da DDoS-Attacken oft als Ablenkung dienen.
    • Stellen Sie die Erreichbarkeit kritischer interner Systeme durch alternative Zugänge sicher.
    • Überwachen Sie die Auslastung von Bandbreite, CPU und Speicher während des gesamten Vorfalls.
    • Passen Sie die Firewall-Regeln an, um legitimen Traffic zu schützen.
    • Melden Sie den Schaden zeitnah Ihrer Cyber-Versicherung, falls vorhanden.
    • Berichten Sie den Vorfall an das BSI: Das BSI ist als zentrale IT-Sicherheitsbehörde an Berichten über größere DDoS-Angriffe interessiert – speziell von Betroffenen. So können die Expert:innen die aktuelle IT-Bedrohungslage in Deutschland analysieren. Berichte an das BSI sind freiwillig und es behandelt sie vertraulich.
    • Führen Sie nach Abklingen des Angriffs eine Lessons-Learned-Besprechung durch, um systematisch positive und negative Erfahrungen aus dem Vorfall zu dokumentieren und daraus Erkenntnisse zu gewinnen.
    Empfohlener externer Inhalt
    Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
    Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
    Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
    Datenschutzerklärung

    DDoS-Abwehrdienste für Unternehmen

    Einige Branchen sind ganz besonders von DDoS-Angriffen betroffen, beispielsweise das Finanzwesen, Behörden, Handel und Telekommunikation. Hacker:innen sehen diese Bereiche oft als attraktive Ziele und erhoffen sich hohe Lösegeldzahlungen, da Ausfälle von Servern und Webseiten schnell zu erheblichen wirtschaftlichen Schäden führen.
    • Es gibt eine ganze Reihe an Services, die Unternehmen beim Schutz vor Distributed-Denial-of-Service-Angriffen unterstützen. Diese Dienste umfassen verschiedene Verfahren, um den Datenverkehr zu überwachen, Angriffe zu erkennen und zu blockieren sowie um die betroffenen Systeme zu entlasten. Zu diesen Diensten gehören:
    • Traffic-Filtering: Die Überwachung des eingehenden Datenverkehrs hilft dabei, verdächtige Muster zu erkennen und den Angriffsverkehr zu blockieren, während legitimer Datenverkehr durchgelassen wird.
    • Intrusion-Detection-Systeme(IDS): Diese Systeme überwachen Netzwerke, um verdächtige Aktivitäten oder potenzielle Angriffe zu erkennen. Außerdem können sie bei einer Gefährdungslage alarmieren sowie Gegenmaßnahmen einleiten.
    • DDoS Mitigation: Unter diesen Begriff fallen verschiedene Techniken, um auf akute DDoS-Angriffe zu reagieren und die Verfügbarkeit der Dienste aufrechtzuerhalten.
    • Content Delivery Networks (CDNs): Verteilte Netzwerke werden genutzt, um den Datenverkehr aufzuteilen und Angriffe abzufangen, bevor diese das interne Netzwerk des Unternehmens erreichen.
    • Angriffsanalysen und Security-Bulletins: Die Analyse von Angriffsmustern hilft, Trends zu erkennen und Abwehrstrategien anzupassen. Newsletter und Veröffentlichungen wie Bulletins helfen dabei, über Angriffe zu informieren und Vorsorgemaßnahmen auf aktuellem Stand zu halten.
    • Maßnahmen zur Notfallwiederherstellung: Definieren Sie Prozesse und bereiten Sie Notfallverfahren vor, die im Falle eines DDoS-Angriffs greifen. Nur dann können Sie Ihre Dienste schnellstmöglich wiederherstellen. IT-Notfallhandbücher helfen dabei, diese Informationen unternehmensweit vorzuhalten.
    Stadtansicht mit Symbolen für Verkehrsmittel

    Cyber Security für Ihr Business

    Mit unseren Sicherheitslösungen schützen Sie Ihr Unternehmen vor Viren, Industrie-Spionage, Cyber-Angriffen und unautorisiertem Zugriff auf Ihre Netze.

    • Sichere Kommunikation
    • Für Homeoffice und Büro
    • Globales, sicheres Log-in-Verfahren
    Jetzt informieren

    Unser Fazit: Darum ist DDoS-Abwehr so wichtig

    DDoS-Angriffe nehmen seit Jahren an Häufigkeit, Dauer und Komplexität zu. Gleichzeitig werden Attacken gezielter und schwerer von regulärem Datenverkehr zu unterscheiden. DDoS-Angriffe gehören heute zu den größten Risiken für die Verfügbarkeit digitaler Geschäftsprozesse. Sie treffen Unternehmen oft unerwartet, verursachen Ausfälle, Umsatzverluste und Imageschäden – und lassen sich mit klassischen Schutzmechanismen kaum zuverlässig abwehren.
    Mit Diensten wie der Vodafone DDoS Mitigation schützen Sie Ihre IT-Infrastruktur dort, wo Angriffe entstehen: im Netz. Angriffe werden frühzeitig erkannt, automatisch abgewehrt und erreichen Ihre Systeme erst gar nicht. Wenn Sie die Verfügbarkeit Ihrer Services sichern wollen, sollten Sie DDoS-Abwehr nicht aufschieben – sondern jetzt handeln.
    Jetzt Netzwerk-Attacken abwehren

    DDoS: Häufig gestellte Fragen (FAQ)

    Portrait von Clemens Förster Clemens Förster
    05.12.2025
      # Tags:CybersecurityServiceTippsSicherheit
      Das könnte Sie auch interessieren:
      Security

      Privacy by Design

      In diesem Artikel finden Sie einen umfassenden Leitfaden für die effiziente und rechtskonforme Umsetzung des Datenschutzes gemäß DSGVO – mit den wichtigsten Grundlagen, praxisnahen Beispielen und konkreten Maßnahmen für Unternehmen.

      Weiterlesen

      Digitalisierungsberatung

      Die Beraterinnen und Berater helfen Ihnen kostenlos und unabhängig bei praktischen Fragen und geben konkrete Tipps. Vereinbaren Sie einen unverbindlichen Termin um Ihr Anliegen zu besprechen.

      Termin vereinbaren