Lesezeit: 8 Min.
Willkommen zur 23. Ausgabe des Quartalsberichts von Cloudflare zur DDoS-Bedrohungslandschaft mit einer eingehenden Analyse der sich wandelnden Gefahren im Zusammenhang mit DDoS (Distributed Denial of Service)-Angriffen auf Grundlage von Daten aus dem Cloudflare-Netzwerk. Diesmal betrachten wir den Zeitraum vom Juli bis September 2025.
Das dritte Quartal 2025 stand ganz im Zeichen des Aisuru-Botnetzes und seiner riesigen Armee von schätzungsweise ein bis vier Millionen infizierten Hosts weltweit. Damit wurden hypervolumetrische DDoS-Angriffe ausgeführt, die regelmäßig 1 Terabit pro Sekunde (Tbit/s) und 1 Milliarde Pakete pro Sekunde überschritten haben. Die Zahl dieser Attacken ist im Quartalsvergleich um 54 % gestiegen. Im Schnitt wurden pro Tag 14 volumetrische Angriffe verzeichnet. Dabei wurden beispiellose Spitzenwerte von 29,7 Tbit/s und 14,1 Milliarden Paketen pro Sekunde erreicht.
Neben dem Thema Aisuru präsentiert der Bericht die folgenden Eckpunkte:
Der durch DDoS-Angriffe gegen KI-Unternehmen generierte Datenverkehr ist von August auf September 2025 um bis zu 347 % gestiegen, während die öffentliche Besorgnis hinsichtlich KI und die staatliche Kontrolle diesbezüglich zugenommen hat.
Die wachsende Spannung im Handelskonflikt zwischen der Europäischen Union und China um seltene Erden und Zölle für E-Fahrzeuge fallen zeitlich mit einem deutlichen Anstieg der DDoS-Angriffe auf die Bergbau-, Rohstoff- und Metallbranche sowie die Automobilindustrie im dritten Quartal 2025 zusammen.
Insgesamt haben die autonomen Abwehrmechanismen von Cloudflare im Berichtzeitraum 8,3 Millionen DDoS-Angriffe abgefangen. Das waren im Schnitt fast 3.780 DDoS-Attacken in der Stunde. Damit hat die Zahl der DDoS-Angriffe um 15 % im Quartals- und 40 % im Jahresvergleich zugelegt.
In den ersten drei Quartalen des Jahres 2025 hat Cloudflare bereits 36,2 Millionen DDoS-Angriffe abgewehrt, was gegenüber dem Gesamtjahr 2024 eine Steigerung um 170 % darstellt.
Zwischen Juli und September wurden 8,3 Millionen DDoS-Attacken von Cloudflare erkannt und neutralisiert – ein Plus von 15 % im Quartals- und 40 % im Jahresvergleich.
71 % davon (5,9 Millionen) richteten sich gegen die Netzwerkschicht, womit hier ein Zuwachs von 87 % im Quartals- und 95 % im Jahresvergleich verzeichnet wurde. Bei den restlichen 29 % (2,4 Millionen) handelte es sich um HTTP-DDoS-Attacken, die um 41 % im Quartals- und 17% im Jahresvergleich zurückgingen.
Pro Stunde hat Cloudflare im Berichtzeitraum durchschnittlich 3.780 DDoS-Angriffe abgewehrt.
Aisuru stellt mit extrem raffinierten hypervolumetrischen DDoS-Angriffen neuen Rekord auf
Durchschlagende Wirkung
Das Aisuru-Botnetz wurde unter anderem gegen Telekommunikationsanbieter, Gaming-Unternehmen, Hosting-Anbieter und Finanzdienstleister eingesetzt. Es hat laut Krebs on Security außerdem „als Begleiterscheinung weitreichende Störungen des Internets [in den USA]“ verursacht – einfach aufgrund des Umfangs des über Internet Service Provider (ISP) gerouteten Botnetz-Datenverkehrs.
Dabei sollte man sich Folgendes klarmachen: Wenn der Angriffs-Traffic von Aisuru Störungen in Teilen der US-Internetinfrastruktur verursachen kann, obwohl die ISP nicht einmal das Ziel des Angriffs waren, dann malen Sie sich aus, dann könnte er noch weitaus schwerwiegendere Folgen haben, wenn er sich direkt gegen gar nicht oder unzureichend geschützte ISP, kritische Infrastruktur, Gesundheitsversorger, Notfalldienste und Militärsysteme richten würde.
Statistiken zu Miet-Botnetzen und DDoS-Angriffen
Teile des Aisuru-Botnetzes können gemietet werden. Somit kann jeder potenziell ganze Länder ins Chaos stürzen, indem er Backbone-Netzwerke lahmlegt und für den Zusammenbruch von Internetverbindungen sorgt, Störungen für Millionen von Nutzern verursacht und den Zugang zu wichtigen Diensten einschränkt – und das alles für ein paar hundert bis tausend US-Dollar.
Seit Anfang des Jahres hat Cloudflare bereits 2.867 Aisuru-Angriffe abgefangen, davon allein im dritten Quartal 1.304 volumetrische Attacken, was einem Anstieg um 54 % gegenüber den vorangegangenen drei Monaten entspricht. Dies umfasste einen DDoS-Angriff mit 29,7 Tbit/s, mit dem ein neuer Weltrekord aufgestellt wurde, und eine DDoS-Attacke mit 14,1 Milliarden Paketen pro Sekunde.
Bei Ersterem handelte es sich um einen UDP-Carpet-Bombing-Angriff, im Rahmen dessen im Schnitt 15.000 Zielports pro Sekunde bombardiert wurden. Dabei wurden verschiedene Paketattribute nach dem Zufallsprinzip verteilt, um Abwehrmechanismen zu umgehen. Die Schutzsysteme von Cloudflare haben aber trotzdem sowohl diesen als auch alle anderen Angriffe völlig autonom erkannt und neutralisiert. Hier erfahren Sie mehr darüber, wie Cloudflare hypervolumetrische DDoS-Angriffe abwehrt.
Die meisten DDoS-Angriffe weisen einen relativ geringen Umfang auf, doch im dritten Quartal 2025 hat sich die Zahl der Attacken mit mehr als 100 Millionen Paketen pro Sekunde gegenüber dem Zeitraum April bis Juni um 189 % erhöht. Die Zahl der Angriffe mit mehr als 1 Tbit/s steigerte sich in derselben Zeit um 227 %. Auf HTTP-Schicht wurde bei 4 von 100 Angriffen die Schwelle von 1 Million Anfragen pro Sekunde überschritten.
Darüber hinaus dauern die meisten Attacken – 71 % der HTTP-DDoS-Angriffe und 89 % der Angriffe auf Netzwerkschicht – weniger als zehn Minuten. So schnell können weder menschliche Mitarbeitende noch On-Demand-Systeme reagieren. Unter Umständen verursacht ein kurzer Angriff von wenigen Sekunden schwerwiegende Störungen, und die Wiederherstellung des regulären Betriebs nimmt womöglich weitaus mehr Zeit in Anspruch. Technik- und Betriebsabteilungen müssen dann in einem mühsamen, mehrstufigen Prozess kritische Systeme wieder online bringen, die Datenkonsistenz in verteilten Systemen überprüfen und den sicheren, zuverlässigen Betrieb für Kunden wiederherstellen.
Die Folgen kurzlebiger (hypervolumetrischer) DDoS-Angriffe sind teilweise noch lange nach Ende der eigentlichen Attacke spürbar.
Häufigste Angriffsursprünge
Sieben der zehn wichtigsten Ursprungsländer befinden sich in Asien. Auf Platz eins steht bereits seit dem dritten Quartal 2024 ununterbrochen Indonesien, das schon zuvor zu den wichtigsten Angriffsquellen gezählt hatte. Im zweiten Quartal 2024 war das Land von niedrigeren Rängen in den vorherigen Quartalen und Jahren auf Platz zwei aufgestiegen.
Veranschaulichen lässt sich dieser Aufstieg damit, dass in nur fünf Jahren (seit dem dritten Quartal 2021) der Anteil der von Indonesien ausgehenden HTTP-DDoS-Angriffsanfragen um nicht weniger als 31.900 % zugelegt hat.
Am häufigsten angegriffene Branchen
Seltene Erden im Visier
DDoS-Angriffe auf die Bergbau-, Rohstoff- und Metallindustrie haben im Berichtzeitraum stark zugenommen. Laut zahlreichen Medien sind während des 25. EU-China-Handelsgipfels wachsende Spannungen rund um Zölle auf Elektrofahrzeuge, den Export seltener Erden und Cybersicherheitsprobleme aufgetreten. Wie die BBC berichtete, hat „China auch die Ausfuhrkontrollen für seltene Erden und kritische mineralische Rohstoffe verschärft.“ Die Bergbau-, Rohstoff- und Metallindustrie ist in der globalen Rangliste um 24 Plätze aufgestiegen und war zuletzt die 49. am häufigsten angegriffene Branche weltweit.
Den größten Zuwachs bei DDoS-Angriffen verzeichnete der Automobilsektor, der in nur einem Quartal 62 Plätze zulegte und nun an sechster Stelle der am häufigsten angegriffenen Branche der Welt steht. Auch die DDoS-Angriffe auf Cybersicherheitsfirmen haben spürbar zugenommen. Die Branche ist in der Rangliste um 17 Plätze auf Rang 13 aufgestiegen.
Zuwachs von 347 % bei DDoS-Angriffen auf KI
Im September 2025 ergab eine Umfrage des Tony Blair Institute, dass KI von den Britinnen und Briten eher als wirtschaftliches Risiko denn als Chance betrachtet wird, weshalb in den Medien über Automatisierung und Vertrauen debattiert wurde. Die UK Law Commission hat eine Überprüfung der staatlichen Nutzung von KI eingeleitet, sodass in diesem Monat die Themen KI-Ethik und -Regulierung sowie die Einführung generativer KI in aller Munde waren. Im September 2025 hat Cloudflare außerdem Steigerungen um bis zu 347 % im Monatsvergleich bei dem durch HTTP-DDoS-Angriffe auf Anbieter generativer KI verursachten Traffic verzeichnet (basierend auf einer Stichprobe führender Anbieter solcher Dienste).
Die Top 10
Am häufigsten angegriffen wurde im dritten Quartal 2025 die Branche Informationstechnologie und Dienstleistungen. Dahinter folgten der Telekommunikationssektor und der Bereich Glücksspiel und Casinos. Zu vermerken war auch ein Anstieg der Automobilbranche um 62 Plätze gegenüber dem Vorquartal. Im Segment Medien, Produktion und Verlagswesen wurde ebenfalls ein starker Anstieg registriert, gefolgt von der Banken- und Finanzdienstleistungsbranche, dem Einzelhandel und dem Bereich Unterhaltungselektronik.
Die am häufigsten angegriffenen Länder
Es besteht ein direkter Zusammenhang zwischen geopolitischen Ereignissen und DDoS-Angriffen.
Der Plünderung Einhalt gebieten
„Lootuvaifi“ („Gebietet der Plünderung Einhalt!“ auf Maledivisch) ist zum Schlachtruf bei den Malediven-Protesten im Jahr 2025 geworden. Dabei sind Demonstranten auf die Straße gegangen, um gegen die „wahrgenommene staatliche Korruption und den wahrgenommenen demokratischen Rückschritt“ zu protestieren. Die Bewegung erreichte mit dem Mediengesetz zum „Ende der freien Meinungsäußerung“ ihren Höhepunkt, das laut dem Hohen Kommissar der Vereinten Nationen für Menschenrechte „die Medienfreiheit und das Recht auf freie Meinungsäußerung für die Menschen auf den Malediven ernstlich untergraben wird, sollte es nicht zurückgezogen werden“. Diese Proteste gingen mit einer Flut von DDoS-Angriffen einher. Entsprechend waren die Malediven das Land, das den stärksten Zuwachs bei diesen Attacken verzeichnete. Es registrierte deshalb im dritten Quartal 2025 einen Anstieg um 125 Plätze und wurde zu dem 38. am häufigsten angegriffenen Land der Welt.
„Alles blockieren“
Im September 2025 wurde von französischen Gewerkschaften die landesweite Protestbewegung „Bloquons Tout“ (Alles blockieren) ins Leben gerufen, die sich gegen die Regierung von Präsident Macron und dabei insbesondere gegen neue Sparmaßnahmen, Änderungen des Rentensystems und steigende Lebenskosten richtete. Während die Gewerkschaften zu koordinierten Streiks und Verkehrsblockaden aufriefen, um das Land lahmzulegen, wurden französische Websites und Internetdienste mit mehreren Wellen von DDoS-Angriffen überzogen. Frankreich sprang deshalb gegenüber dem vorangegangenen Quartal um 65 Plätze nach oben und wurde zum 18. am häufigsten angegriffenen Land der Welt.
„Die rote Linie für Gaza in Brüssel ziehen“
In mehreren Ländern wurde eine Zunahme bei den DDoS-Angriffen in Verbindung mit Protesten beobachtet. Zum Beispiel registrierte Belgien einen sprunghaften Anstieg um 63 Plätze auf Rang 74 unter den am stärksten attackierten Ländern weltweit, als „Zehntausende von Demonstranten in Brüssel die rote Linie für Gaza zogen“.
Die Top 10
Am häufigsten angegriffen wurde im Berichtzeitraum erneut China, gefolgt von der Türkei und Deutschland. Die bemerkenswerteste Veränderung in diesem Quartal war eine Zunahme der DDoS-Angriffe auf die Vereinigten Staaten, die deshalb um 11 Plätze und Rang 5 aufstiegen. Den größten Zuwachs innerhalb der Top 10 verzeichneten die Philippinen, die um 20 Plätze zulegten.
DDoS-Angriffe auf Netzwerkschicht
Die Zahl der UDP-DDoS-Angriffe, die teilweise durch Aisuru-Attacken unterfüttert wurden, erhöhte sich im Quartalsvergleich um 231 %. Es handelte sich damit um den wichtigsten Vektor für Angriffe auf Netzwerkschicht. DNS-Flood-Attacken belegten den zweiten Platz, SYN-Flood-Angriffe den dritten und ICMP-Flood-Attacken den vierten. Dies deckte etwas mehr als die Hälfte aller DDoS-Angriffe auf Netzwerkschicht ab.
Zwar sind seit dem großen Debüt des Mirai-Botnetzes mittlerweile fast zehn Jahre vergangen, doch damit verbundene DDoS-Angriffe sind nach wie vor weit verbreitet. So entfallen von 100 DDoS-Attacken auf Netzwerkschicht jeweils knapp zwei auf Varianten des Mirai-Botnetzes.
HTTP-DDoS-Angriffe
Annähernd 70 % der HTTP-DDoS-Angriffe gingen von Botnetzen aus, die Cloudflare bereits bekannt waren. Dies verdeutlicht einen der Vorteile der Nutzung von Cloudflare: Sobald ein Botnetz einen der Millionen Cloudflare-Kunden angreift, sind alle anderen automatisch vor diesem Botnetz geschützt.
Weitere rund 20 % der HTTP-DDoS-Angriffe stammten von Fake- oder Headless-Browsern oder enthielten verdächtige HTTP-Attribute. Die restlichen ca. 10 % setzten sich aus einer Kombination aus generischen Flood-Angriffen, ungewöhnlichen Anfragen, Cache-Busting-Attacken und Angriffen auf Login-Endpunkte zusammen.
Warum herkömmliche DDoS-Lösungen nicht mehr ausreichen
Raffinesse und Umfang von DDoS-Angriffen haben in der letzten Zeit stark zugenommen und übertreffen inzwischen alles, was man sich noch vor ein paar Jahren hätte ausmalen können. Viele Unternehmen haben Mühe, mit dieser Veränderung der Bedrohungslandschaft Schritt zu halten.
Wenn Firmen zu ihrer Verteidigung noch lokale Appliances oder Scrubbing-Center-Lösungen auf Abruf nutzen, tun sie angesichts der aktuellen Bedrohungslage womöglich gut daran, ihre Verteidigungsstrategie zu überdenken.
Cloudflare hat ein riesiges globales Netzwerk und autonome DDoS-Abwehrsysteme vorzuweisen. Außerdem bieten wir allen Kunden kostenlosen DDoS-Schutz ohne Volumenbegrenzung – und zwar unabhängig von der Größe, der Dauer oder der Zahl der DDoS-Angriffe, denen sie ausgesetzt sind.