WAF

DDoS-Angriffe in Zeiten von AI und Automatisierung

#WAF
Simon Willi

DDoS-Angriffe in Zeiten von AI und Automatisierung

Distributed Denial-of-Service(DDoS)-Angriffe haben sich drastisch weiterentwickelt. Mit dem Aufkommen von AI-Chatbots, der zunehmenden Verbreitung von Cloud-Infrastrukturen und Automatisierungs-Tools verfügen Angreifer heute über leistungsstarke Mittel, um Online-Dienste gezielt lahmzulegen. Grossflächige Botnets sind selbst für Personen mit minimalem technischem Know-how leicht zugänglich. 

Die Fakten sind: 

  • Die Häufigkeit und das Ausmass von DDoS-Angriffen nehmen zu. 
  • Attack-as-a-Service-Plattformen machen es selbst wenig versierten Angreifern einfach und günstig, Angriffe durchzuführen. 
  • In der Schweiz verzeichnen Finanzinstitute und Betreiber kritischer Infrastrukturen einen Anstieg von DDoS-basierten Erpressungsversuchen.

Auch im Jahr 2025 bleiben DDoS-Angriffe eine ernsthafte Bedrohung. Das National Cyber Security Centre (NCSC) berichtet von zahlreichen Angriffen in den letzten Jahren, mit dem aktuellsten Bericht aus dem März 2025.

 

Angriffsart: Application-Layer DDoS (HTTP) 

Webanwendungen operieren auf dem Application Layer und genau dort setzen heutige DDoS-Angriffe an. Angreifer benötigen keine enorme Bandbreite, um die Verfügbarkeit einer Webapplikation anzugreifen. Stattdessen nutzen sie ein verteiltes Netzwerk von Geräten, um legitimes Nutzerverhalten zu simulieren: durch das Aufrufen von Seiten, das Absenden von Formularen oder das Anfordern dynamisch generierten Contents. Solche harmlos wirkenden Requests machen es schwieriger, zwischen bösartigem und legitimen Traffic zu unterscheiden. Dies ist ein häufig beobachtetes Angriffsmuster für volumetrische Angriffe. 

Da solche Angriffe aus aller Welt stammen können, ist nur striktes Geo-IP-Filtering keine Lösung. Es verringert die Exponierung gegenüber potenziellen Angriffen, verhindert solche verteilten Angriffe jedoch nicht vollständig. 

Die meisten DDoS-Angriffe werden in weniger als 15 Minuten ausgeführt. Das unterstreicht die Bedeutung von frühzeitiger Erkennung, engen Schwellenwerten für rate-limiting und proaktiven Schutzmassnahmen. 

 

DDoS-Resilienz mit Airlock Gateway aufbauen 

Airlock Gateway bietet mehrere Schutzfunktionen, um moderne DDoS-Angriffe effizient zu erkennen, abzuwehren und zu blockieren. 

Zentrale Funktionen sind: 

  • Rate Limiting mit DoS Attack Prevention: Kontrolliert den Zugriff auf Application Layer (siehe Dokumentation)
  • Dynamic IP Blocking: Wiederholte Anfragen von bekannten bösartigen IP-Adressen werden automatisch blockiert, sobald ein festgelegter Schwellenwert erreicht wird. 
  • Geolocation Filtering: Beschränkt den Zugriff aus bestimmten Regionen 
  • Anomaly Shield: Erkennt ungewöhnliche und komplexere Angriffsmuster 
  • Logging & Monitoring: Für die Analyse laufender Angriffe 

Wir stellen ausserdem individuell anpassbare Kibana Dashboards zur Verfügung, die bei der Analyse des Web Traffics und Definieren geeigneter Schwellwerte für rate-limiting unterstützen: 

 

Was wir aus jüngsten DDoS-Angriffen gelernt haben

In einer aktuellen Angriffswelle haben wir eine Zunahme der Grösse und Komplexität moderner Botnets beobachtet. Jede IP-Adresse sendet dabei nur eine geringe Anzahl an Requests – was die Erkennung deutlich erschwert. Dies unterstreicht die Bedeutung der Analyse unverschlüsselten Datenverkehrs, insbesondere wenn die TLS-Terminierung von einem vorgeschalteten Reverse Proxy übernommen wird. Damit dieser wirksam funktioniert, empfehlen wir generell, den Airlock Gateway als ersten internetseitigen Reverse Proxy zu platzieren.  

Gleichzeitig kann der Airlock Gateway in andere Systeme integriert werden, um verdächtige IP-Adressen bereits frühzeitig im Netzwerk zu blockieren, ohne seine Fähigkeit zur Analyse des vollständigen Traffics einzuschränken. 

Zusammengefasst unterstützt Sie der Airlock Gateway, indem er: 

  • bösartige von legitimen Requests zuverlässig unterscheidet 
  • als erste Verteidigungslinie des Application Layers agiert
  • in umgebende Systeme integriert werden kann, um IP-Adressen frühzeitig im Netzwerk zu blockieren. Unser Professional Services Team unterstützt Sie gerne bei der technischen Umsetzung solcher Integrationen. 

 

Wie gehen Sie aktuell mit DDoS-Risiken um? Wir unterstützen Sie bei der Evaluation Ihrer Schutzmassnahmen.

Wurden Sie kürzlich Opfer eines DDoS-Angriffs? Haben Sie Erfahrungen oder Erkenntnisse, die Sie mit uns teilen möchten?

Wir arbeiten kontinuierlich an der Weiterentwicklung und Verbesserung des DDoS-Schutzes im Airlock Gateway und sind gespannt auf Ihre Perspektiven.

Kontaktieren Sie uns, um zu erfahren, wie Sie Ihre Webanwendungen mit Airlock Gateway wirksam vor DDoS-Angriffen schützen können.

Quellen

FINMA-Risikomonitor
Störung bei IT-Systemen des Bundes aufgrund DDoS-Angriff
NETSCOUT DDoS Threat Intelligence Report

Blognews direkt in Ihr Postfach

Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.

Blognews abonnieren

Wir informieren Sie

-Unsere Whitepaper-

Whitepaper: Wie wird Ihr CIAM zum Erfolgsfaktor?

Steigende Anforderungen an Sicherheit und Benutzerfreundlichkeit machen Customer Identity and Access Management unverzichtbar. Finden Sie in diesem Whitepaper heraus, wie Sie mit der richtigen CIAM-Strategie Ihren Wettbewerbsvorteil sichern.

Jetzt kostenlos anfordern

Whitepaper: Sicherheit für cloudnative Anwendungen

Wie es Unternehmen gelingt, die Sicherheit von Web-Applikationen und APIs in Kubernetes zu gewährleisten lesen Sie hier im Whitepaper "Sicherheit für cloudnative Anwendungen“, das in Zusammenarbeit zwischen heise und Airlock entstanden ist.

Whitepaper anfordern

Whitepaper: Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern