DDoS-Bedrohungsbericht Q4 2025: Rekordangriff mit 31,4 Tbit/s schließt ein Jahr massiver Attacken ab

Willkommen zur 24. Ausgabe des vierteljährlichen Cloudflare-Berichts zur DDoS-Bedrohungslandschaft. In diesem Bericht bietet Cloudforce One eine umfassende Analyse der sich entwickelnden Bedrohungslandschaft von Distributed Denial of Service (DDoS)-Angriffen, basierend auf Daten aus dem Cloudflare-Netzwerk. In dieser Ausgabe konzentrieren wir uns auf das vierte Quartal 2025 und stellen die Gesamtdaten für 2025 vor.

Das vierte Quartal 2025 war geprägt von einer beispiellosen Angriffswelle des Aisuru-Kimwolf-Botnetzes, bekannt als „The Night Before Christmas”-DDoS-Kampagne. Sie richtete sich gegen Cloudflare-Kunden sowie das Dashboard und die Infrastruktur – mit HTTP-DDoS-Attacken von über 200 Millionen Anfragen pro Sekunde (rps), nur Wochen nach einem Rekordangriff mit 31,4 Terabit pro Sekunde (Tbit/s).

1. Im Jahr 2025 stiegen die DDoS-Angriffe um 121 % auf durchschnittlich 5.376 Angriffe pro Stunde, die automatisch abgewehrt wurden.

2. Im letzten Quartal des Jahres 2025 legte Hongkong um zwölf Plätze zu und war damit der weltweit am zweithäufigsten von DDoS-Angriffen betroffene Ort. Das Vereinigte Königreich machte ebenfalls einen Sprung um erstaunliche 36 Plätze und ist damit der am sechsthäufigsten angegriffene Ort.

3. Infizierte Android-Fernseher, die Teil des Aisuru-Kimwolf-Botnets sind, bombardierten das Netzwerk von Cloudflare mit hypervolumetrischen HTTP-DDoS-Angriffen, wobei sich die Telekommunikationsbranche als die am meisten angegriffene Branche erwies.

2025 hat sich die Gesamtzahl der DDoS-Angriffe auf unglaubliche 47,1 Millionen mehr als verdoppelt. Solche Angriffe haben in den letzten Jahren stark zugenommen: Zwischen 2023 und 2025 ist die Zahl der DDoS-Angriffe um 236 % gestiegen.

Cloudflare hat 2025 durchschnittlich 5.376 DDoS-Angriffe pro Stunde abgewehrt, davon waren 3.925 DDoS-Angriffe auf der Netzwerkebene und 1.451 HTTP-DDoS-Angriffe. 

Das stärkste Wachstum war bei den DDoS-Angriffen auf der Netzwerkebene zu verzeichnen, die sich im Jahresvergleich mehr als verdreifachten. Cloudflare hat im Jahr 2025 34,4 Millionen DDoS-Angriffe auf der Netzwerkebene abgewehrt, verglichen mit 11,4 Millionen im Jahr 2024.

Ein wesentlicher Teil der Angriffe auf der Netzwerkebene – etwa 13,5 Millionen – richtete sich im Rahmen einer 18-tägigen DDoS-Kampagne im ersten Quartal 2025 direkt gegen globale Internetinfrastruktur, die durch Cloudflare Magic Transit und die Infrastruktur von Cloudflare geschützt wird. Davon richteten sich 6,9 Millionen an Magic Transit-Kunden und die restlichen 6,6 Millionen richteten sich direkt gegen Cloudflare. 

Bei diesem Angriff handelte es sich um eine Multi-Vektor-DDoS-Kampagne, die SYN-Flood-Angriffe, Mirai-generierte DDoS-Angriffe und SSDP-Amplification-Angriffe umfasste, um nur einige zu nennen. Unsere Systeme haben diese Angriffe automatisch erkannt und abgewehrt. Tatsächlich haben wir die Kampagne erst bei der Erstellung unseres DDoS-Bedrohungsberichts für das erste Quartal 2025 entdeckt – ein Beispiel dafür, wie effektiv die DDoS-Abwehr von Cloudflare ist!

Im letzten Quartal 2025 ist die Zahl der DDoS-Angriffe um 31 % gegenüber dem Vorquartal und um 58 % gegenüber 2024 gestiegen. DDoS-Angriffe auf Netzwerkschicht befeuerten dieses Wachstum. Im vierten Quartal 2025 machten DDoS-Angriffe auf der Netzwerkebene 78 % aller DDoS-Angriffe aus. Die Zahl der HTTP-DDoS-Angriffe blieb gleich, stieg aber in ihrer Größe auf ein Ausmaß an, das wir seit der HTTP/2 Rapid Reset DDoS-Kampagne im Jahr 2023 nicht mehr verzeichnet haben. Diese jüngsten Anstiege wurden vom Aisuru-Kimwolf-Botnetz gestartet, auf das wir im nächsten Abschnitt eingehen werden. 

Am Freitag, den 19. Dezember 2025, begann das Aisuru-Kimwolf-Botnet, die Cloudflare-Infrastruktur und Cloudflare-Kunden mit hypervolumetrischen DDoS-Angriffen zu bombardieren. Was an dieser Kampagne neu war, war ihre Größe: Das Botnetz nutzte hypervolumetrische HTTP-DDoS-Angriffe mit einer Geschwindigkeit von mehr als 20 Millionen Anfragen pro Sekunde (Mrps).

Das Aisuru-Kimwolf-Botnet ist eine riesige Ansammlung von mit Schadsoftware infizierten Geräten, in erster Linie Android TVs. Das Botnetz umfasst schätzungsweise ein bis vier Millionen infizierte Hosts. Er ist in der Lage, DDoS-Angriffe zu starten, die kritische Infrastrukturen lahmlegen, die meisten älteren cloudbasierten DDoS-Schutzlösungen zum Absturz bringen und sogar die Konnektivität ganzer Länder unterbrechen.

Während der gesamten Kampagne haben die autonomen DDoS-Abwehrsysteme von Cloudflare alle diese Attacken erkannt und abgewehrt: 384 paketintensive Angriffe, 329 bit-intensive Angriffe und 189 anfrageintensive Angriffe. Somit wurden insgesamt 902 hypervolumetrische DDoS-Angriffe verzeichnet, was im Durchschnitt 53 Angriffen pro Tag entspricht.

Die durchschnittliche Größe der hypervolumetrischen DDoS-Angriffe während der Kampagne betrug 3 Milliarden Pakete pro Sekunde, 4 Tbit/s und 54 Millionen Anfragen pro Sekunde (Mrps). Die während der Kampagne verzeichneten Höchstraten betrugen 9 Milliarden pro Sekunde, 24 Tbit/s und 205 Millionen Anfragen pro Sekunde (Mrps).

Zum Vergleich: Das Ausmaß eines DDoS-Angriffs mit 205 Millionen Anfragen pro Sekunde ist vergleichbar mit der kombinierten Bevölkerung des Vereinigten Königreichs, Deutschlands und Spaniens, die alle gleichzeitig eine Website-Adresse eingeben und dann in derselben Sekunde die Eingabetaste drücken.

So eindrucksvoll die „The Night Before Christmas“-Kampagne auch war – sie machte nur einen kleinen Teil der hypervolumetrischen DDoS-Angriffe im Jahr 2025 aus.

Im Jahr 2025 beobachtete Cloudflare einen kontinuierlichen Anstieg bei hypervolumetrischen DDoS-Angriffen. Im 4. Quartal 2025 nahmen hypervolumetrische Angriffe im Quartalsvergleich um 40 % zu.

Mit der Zunahme der Angriffe im Jahr 2025 wuchs auch deren Umfang – um über 700 %. Ein Angriff erreichte 31,4 Tbit/s und dauerte nur 35 Sekunden. Die folgende Grafik zeigt das schnelle Wachstum der DDoS-Angriffsgrößen, wie von Cloudflare erkannt und abgewehrt – jeder einzelne ein Weltrekord, also der jeweils größte, der je öffentlich bekannt gemacht wurde.

Wie alle anderen Angriffe wurde auch der 31,4-Tbit/s-DDoS-Angriff automatisch durch die autonome Abwehr von Cloudflare erkannt und abgewehrt – dank der Fähigkeit, sich anzupassen und Botnetze wie Aisuru-Kimwolf blitzschnell zu erfassen.

Die meisten dieser hypervolumetrischen DDoS-Angriffe richteten sich gegen Cloudflare-Kunden aus der Telekommunikations-, Service-Provider- und Carrier-Branche. Auch Cloudflare-Kunden aus der Gaming-Branche und Kunden, die generative KI-Dienste anbieten, wurden stark ins Visier genommen. Schließlich wurde die Cloudflare-eigene Infrastruktur selbst zum Ziel mehrerer Angriffsvektoren wie HTTP-Floods, DNS-Angriffe und UDP-Floods.

Bei der Analyse von DDoS-Angriffen aller Größenordnungen wurde die Telekommunikations-, Service-Provider- und Carrier-Branche ebenfalls am stärksten betroffen. Zuvor hatte die Informations- und Dienstleistungsbranche diesen unglücklichen Titel inne.

Die Branchen Glücksspiel und Casinos sowie die Gaming-Branche belegten den dritten bzw. vierten Platz. Die größten Veränderungen in den Top 10 des Quartals gab es in den Branchen Computersoftware und Unternehmensdienstleistungen, die beide mehrere Plätze zulegten. 

Die am häufigsten angegriffenen Branchen sind definiert durch ihre Rolle als kritische Infrastruktur, als zentrales Rückgrat für andere Unternehmen oder durch ihre unmittelbare, hohe finanzielle Anfälligkeit für Dienstunterbrechungen und Latenz.

Die DDoS-Landschaft zeigte 2025 sowohl vorhersehbare Stabilität als auch deutliche Verschiebungen bei den meistangegriffenen Regionen weltweit. Zu den Top 5 gehörten China, Deutschland, Brasilien und die USA – ein dauerhaft attraktives Ziel für Angreifer.

Hongkong machte einen bedeutenden Schritt und sprang um zwölf Plätze auf Platz zwei. Noch bemerkenswerter war jedoch der rasante Aufstieg des Vereinigten Königreichs, das in diesem Quartal ganze 36 Plätze gutmachte und nun auf Platz sechs der meistangegriffenen Regionen liegt.  

Vietnam behauptete seinen Platz als siebtmeist angegriffene Region. Dahinter folgten Aserbaidschan (Platz 8), Indien (Platz 9) und Singapur (Platz 10).

Bangladesch löste im vierten Quartal 2025 Indonesien als wichtigstes Ursprungsland von DDoS-Angriffen ab. Indonesien fiel nach einem Jahr an der Spitze auf Platz drei zurück. Ecuador stieg um zwei Plätze auf und wurde zum zweitwichtigsten Ursprungsland.

Auffällig ist der Sprung Argentiniens um ganze 20 Plätze – damit wurde es zur viertgrößten Quelle von DDoS-Angriffen. Hongkong stieg um drei Plätze auf und belegte Rang 5. Auf Platz 6 folgte die Ukraine, danach Vietnam, Taiwan, Singapur und Peru.

Die Top-10-Liste der Netzwerke, von denen Angriffe ausgehen, liest sich wie eine Liste von Internet-Giganten und zeigt eindrucksvoll, wie moderne DDoS-Angriffe aufgebaut sind. Der gemeinsame Nenner: Bedrohungsakteure nutzen die weltweit leistungsfähigste und am leichtesten zugängliche Infrastruktur – vor allem große, öffentlich erreichbare Dienste. 

Wir sehen, dass die meisten DDoS-Angriffe von IP-Adressen kommen, die mit Cloud-Computing-Plattformen und Cloud-Infrastrukturanbietern in Verbindung stehen, darunter DigitalOcean (AS 14061), Microsoft (AS 8075), Tencent (AS 132203), Oracle (AS 31898), und Hetzner (AS 24940). Dies zeigt den engen Zusammenhang zwischen einfach bereitzustellenden virtuellen Maschinen und umfangreichen Angriffen. Diesen Cloud-Quellen, die sich stark in den Vereinigten Staaten konzentrieren, folgt eine beträchtliche Anzahl von Angriffen, die von IP-Adressen traditioneller Telekommunikationsanbieter (Telcos) ausgehen. Diese TK-Unternehmen, die vor allem aus dem asiatisch-pazifischen Raum (einschließlich Vietnam, China, Malaysia und Taiwan) stammen, komplettieren die restlichen Top 10.

Die geografische und organisatorische Vielfalt bestätigt eine zweigleisige Realität: Zwar geht das größte Volumen häufig von globalen Cloud-Zentren aus, doch das Problem ist weltweit verteilt – über die wichtigsten Pfade des Internets in aller Welt hinweg. Viele DDoS-Angriffe nutzen Tausende unterschiedlicher Quell-ASNs, was die globale Verbreitung von Botnet-Knoten deutlich macht.

Um Hosting-Anbietern, Cloud-Computing-Plattformen und Internet-Service-Providern dabei zu helfen, die missbräuchlichen IP-Adressen/Konten zu identifizieren und zu entfernen, die diese Angriffe starten, nutzen wir den einzigartigen Überblick von Cloudflare über DDoS-Angriffe, um einen kostenlosen DDoS-Botnet-Bedrohungsfeed für Service-Provider bereitzustellen. 

Über 800 Netzwerke weltweit haben sich diesem Feed angeschlossen, und die Community hat bereits hervorragend zusammengearbeitet, um Botnet-Knoten zu zerschlagen.

DDoS-Angriffe werden zunehmend komplexer und größer – und übersteigen längst das bisher Vorstellbare. Diese dynamische Bedrohungslage stellt viele Organisationen vor große Herausforderungen. Wer noch auf lokale Schutzsysteme oder On-Demand-Scrubbing setzt, sollte seine Abwehrstrategie überdenken.

Cloudflare hat es sich zur Aufgabe gemacht, allen seinen Kunden kostenlosen, unbegrenzten DDoS-Schutz zu bieten – unabhängig von der Größe, Dauer oder dem Volumen der Angriffe. Dafür nutzt es sein riesiges globales Netzwerk und seine autonomen DDoS-Abwehrsysteme.

Mit der Mission, das Internet zu schützen, nutzt Cloudforce One Telemetriedaten aus dem globalen Netzwerk von Cloudflare – das etwa 20 % des Internets schützt –, um Bedrohungen zu analysieren und gezielt darauf zu reagieren. So werden kritische Systeme von Millionen Organisationen weltweit geschützt.