DDoS-Angriffe in Zeiten von AI und Automatisierung
Distributed Denial-of-Service(DDoS)-Angriffe haben sich drastisch weiterentwickelt. Mit dem Aufkommen von AI-Chatbots, der zunehmenden Verbreitung von Cloud-Infrastrukturen und Automatisierungs-Tools verfügen Angreifer heute über leistungsstarke Mittel, um Online-Dienste gezielt lahmzulegen. Grossflächige Botnets sind selbst für Personen mit minimalem technischem Know-how leicht zugänglich.
Die Fakten sind:
- Die Häufigkeit und das Ausmass von DDoS-Angriffen nehmen zu.
- Attack-as-a-Service-Plattformen machen es selbst wenig versierten Angreifern einfach und günstig, Angriffe durchzuführen.
- In der Schweiz verzeichnen Finanzinstitute und Betreiber kritischer Infrastrukturen einen Anstieg von DDoS-basierten Erpressungsversuchen.
Auch im Jahr 2025 bleiben DDoS-Angriffe eine ernsthafte Bedrohung. Das National Cyber Security Centre (NCSC) berichtet von zahlreichen Angriffen in den letzten Jahren, mit dem aktuellsten Bericht aus dem März 2025.
Angriffsart: Application-Layer DDoS (HTTP)
Webanwendungen operieren auf dem Application Layer und genau dort setzen heutige DDoS-Angriffe an. Angreifer benötigen keine enorme Bandbreite, um die Verfügbarkeit einer Webapplikation anzugreifen. Stattdessen nutzen sie ein verteiltes Netzwerk von Geräten, um legitimes Nutzerverhalten zu simulieren: durch das Aufrufen von Seiten, das Absenden von Formularen oder das Anfordern dynamisch generierten Contents. Solche harmlos wirkenden Requests machen es schwieriger, zwischen bösartigem und legitimen Traffic zu unterscheiden. Dies ist ein häufig beobachtetes Angriffsmuster für volumetrische Angriffe.
Da solche Angriffe aus aller Welt stammen können, ist nur striktes Geo-IP-Filtering keine Lösung. Es verringert die Exponierung gegenüber potenziellen Angriffen, verhindert solche verteilten Angriffe jedoch nicht vollständig.
Die meisten DDoS-Angriffe werden in weniger als 15 Minuten ausgeführt. Das unterstreicht die Bedeutung von frühzeitiger Erkennung, engen Schwellenwerten für rate-limiting und proaktiven Schutzmassnahmen.
DDoS-Resilienz mit Airlock Gateway aufbauen
Airlock Gateway bietet mehrere Schutzfunktionen, um moderne DDoS-Angriffe effizient zu erkennen, abzuwehren und zu blockieren.
Zentrale Funktionen sind:
- Rate Limiting mit DoS Attack Prevention: Kontrolliert den Zugriff auf Application Layer (siehe Dokumentation)
- Dynamic IP Blocking: Wiederholte Anfragen von bekannten bösartigen IP-Adressen werden automatisch blockiert, sobald ein festgelegter Schwellenwert erreicht wird.
- Geolocation Filtering: Beschränkt den Zugriff aus bestimmten Regionen
- Anomaly Shield: Erkennt ungewöhnliche und komplexere Angriffsmuster
- Logging & Monitoring: Für die Analyse laufender Angriffe
Wir stellen ausserdem individuell anpassbare Kibana Dashboards zur Verfügung, die bei der Analyse des Web Traffics und Definieren geeigneter Schwellwerte für rate-limiting unterstützen:
Was wir aus jüngsten DDoS-Angriffen gelernt haben
In einer aktuellen Angriffswelle haben wir eine Zunahme der Grösse und Komplexität moderner Botnets beobachtet. Jede IP-Adresse sendet dabei nur eine geringe Anzahl an Requests – was die Erkennung deutlich erschwert. Dies unterstreicht die Bedeutung der Analyse unverschlüsselten Datenverkehrs, insbesondere wenn die TLS-Terminierung von einem vorgeschalteten Reverse Proxy übernommen wird. Damit dieser wirksam funktioniert, empfehlen wir generell, den Airlock Gateway als ersten internetseitigen Reverse Proxy zu platzieren.
Gleichzeitig kann der Airlock Gateway in andere Systeme integriert werden, um verdächtige IP-Adressen bereits frühzeitig im Netzwerk zu blockieren, ohne seine Fähigkeit zur Analyse des vollständigen Traffics einzuschränken.
Zusammengefasst unterstützt Sie der Airlock Gateway, indem er:
- bösartige von legitimen Requests zuverlässig unterscheidet
- als erste Verteidigungslinie des Application Layers agiert
- in umgebende Systeme integriert werden kann, um IP-Adressen frühzeitig im Netzwerk zu blockieren. Unser Professional Services Team unterstützt Sie gerne bei der technischen Umsetzung solcher Integrationen.
Wie gehen Sie aktuell mit DDoS-Risiken um? Wir unterstützen Sie bei der Evaluation Ihrer Schutzmassnahmen.
Wurden Sie kürzlich Opfer eines DDoS-Angriffs? Haben Sie Erfahrungen oder Erkenntnisse, die Sie mit uns teilen möchten?
Wir arbeiten kontinuierlich an der Weiterentwicklung und Verbesserung des DDoS-Schutzes im Airlock Gateway und sind gespannt auf Ihre Perspektiven.
Kontaktieren Sie uns, um zu erfahren, wie Sie Ihre Webanwendungen mit Airlock Gateway wirksam vor DDoS-Angriffen schützen können.
Blognews direkt in Ihr Postfach
Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.