Zurück zum Blog

Folgen und abonnieren

Nur auf Englisch verfügbar

Diese Seite ist momentan nur auf Englisch verfügbar. Wir entschuldigen uns für die Unannehmlichkeiten. Bitte besuchen Sie diese Seite später noch einmal.

DDoS im Dezember

Simran Khalsa

Staff Security Researcher

David King

Product Marketing Manager, Security

Fastly Security Research Team

Fastly Security Research Team, Fastly

Sicherheit Brancheneinblicke

Trends und umsetzbare Erkenntnisse aus DDoS-Angriffen auf Anwendungen im Dezember 2024

DDoS-Angriffe auf Anwendungen stellen eine erhebliche Bedrohung für jede Internetanwendung oder API dar. Sie können die Performance und Verfügbarkeit von Services für Endnutzer unterbrechen und möglicherweise zu Umsatzeinbußen für Unternehmen führen. Diese Angriffe richten sich speziell gegen Layer-7- Services, wie z. B. Webanwendungen, und versuchen, die Serverressourcen mit einem relativ geringen Volumen an raffiniert gestalteten HTTP-Anfragen zu überlasten. Im Gegenteil zu Netzwerk-DDoS-Angriffen, die darauf ausgerichtet sind, die Netzwerkinfrastruktur mit massiven Traffic-Mengen zu überwältigen, die oft in Terabit pro Sekunde (Tbps) gemessen werden, nutzen Anwendungs-DDoS-Angriffe Schwachstellen im Anwendungscode oder in der Protokollimplementierung aus, um mit relativ wenig Traffic Störungen zu verursachen. Dadurch sind sie zwar schwerer zu erkennen, aber nicht ungefährlicher.

Fastly arbeitet mit Unternehmen auf der ganzen Welt in großem Umfang zusammen und nutzt die Telemetrie unserer globalen Infrastruktur und Fastly DDoS-Schutz, um den Angriffs-Traffic zu erkennen und abzuwehren. In diesem Bericht geben wir anonymisierte Daten, Einsichten und umsetzbare Empfehlungen zu den neuesten DDoS-Trends bei Anwendungen weiter, damit Sie Ihre Sicherheitsinitiativen verstärken können.

Wichtigste Erkenntnisse

  1. Fastly beobachtete im Vergleich zum Vormonat einen Anstieg der mit DDoS-Angriffen verbundenen Anfragen um 249 %.

  2. Am Wochenende (Samstag und Sonntag UTC) waren Unternehmen am seltensten von DDoS-Aktivitäten betroffen. 

  3. Fast die Hälfte der erkannten Angriffe richtete sich gegen Unternehmen aus der Medien- und Unterhaltungsbranche, gefolgt von Unternehmen aus den Bereichen Hochtechnologie und Handel.

Traffic-Trends

Im Dezember erkannte Fastly DDoS-Schutz Milliarden von Anfragen im Zusammenhang mit DDoS-Angriffen auf Anwendungen (Abbildung 1).

Beim Vergleich des gesamten DDoS-Angriffsvolumens, das von November 2024 bis Dezember 2024 beobachtet wurde, wurden im Dezember 2,5-mal (249 %) mehr Anfragen mit Angriffen verbunden. In Abbildung 1 ist zu erkennen, dass die Zahl der Angriffe an 6 Tagen im Vergleich zum restlichen Dezember deutlich anstieg. Diese Spikes machten zusammen 62,5 % des Angriffsvolumens im gesamten Monat aus.. Bei näherer Betrachtung zeigt sich, dass der Anstieg an 5 dieser 6 Tage vor allem auf einen Anstieg der Zahl angegriffener Organisationen um 77 % zurückzuführen ist. Der Ausreißer? 4. Dezember. An diesem Tag lag die Zahl der angegriffenen Organisationen um 38 % unter dem monatlichen Durchschnitt, aber die Angriffe waren viel umfangreicher.

Feiertagsflaute und Wochenendpausen

Während zu Beginn des Monats beträchtliche Aktivitäten zu verzeichnen waren, ging das Volumen des Attacken-Traffics in der zweiten Monatshälfte deutlich zurück, was möglicherweise darauf hindeutet, dass die Angreifer, wie viele von uns, ebenfalls eine Feiertagspause einlegten. Vergleicht man die erste Hälfte des Dezembers mit der zweiten, so ist ein Rückgang der beobachteten DDoS-Angriffe um ~60 % zu verzeichnen (Abbildung 2).

Bei der Überprüfung der kumulativen Anzahl von DDoS-Angriffen auf einen Service anstelle des Volumens der Anfragen (Abbildung 3) wurde in der zweiten Monatshälfte der gleiche Abwärtstrend beobachtet.

Dies ist ein weiterer Hinweis darauf, dass die Angreifer sich zurücklehnen und die Feiertage genießen, anstatt ihre üblichen Angriffe zu starten. Eine alternative Erklärung könnte sein, dass die Operation Poweroff zu dem bemerkenswerten Unterschied in der DDoS-Aktivität in der zweiten Monatshälfte beigetragen hat.  Am 11. Dezember gab Europol bekannt, dass im Rahmen der laufenden Operation 27 der populärsten DDoS-Plattformen beschlagnahmt wurden, die Angreifer für ihre Angriffe nutzen. Wir werden weiter beobachten, wie sich dieser Trend im Januar fortsetzt.

Die Angreifer haben sich nicht nur über die Feiertage zurückgezogen, sondern waren auch an den Wochenenden in diesem Monat merklich weniger aktiv. Samstags und sonntags (UTC) wurden die wenigsten DDoS-Anfragen erkannt. Am seltensten waren Unternehmen an Wochenenden von DDoS-Aktivitäten betroffen: Nur 12 % der wöchentlichen Anfragen entfielen auf diese Tage (siehe Abbildung 4). Vielleicht ziehen es die Angreifer vor, in der Zeit zuzuschlagen, in der die Websites am häufigsten besucht werden, um die Störung zu maximieren, wenn es am meisten darauf ankommt.

Organisatorische Trends

Betrachtet man die DDoS-Angriffe im Dezember unter dem Fokus, wer angegriffen wurde, so waren drei Branchen von den meisten DDoS-Anfragen betroffen: Medien und Unterhaltung, Hochtechnologie und Handel (Abbildung 5). Zu den anderen angegriffenen Branchen gehörten unter anderem Organisationen aus dem öffentlichen Sektor, dem Gesundheitswesen und den Finanzdienstleistungen.

Aber wie groß waren diese Organisationen? Wenn Sie als Leser nicht für ein renommiertes Unternehmen arbeiten, sollten Sie sich angesichts der Statistiken, die wir im Dezember beobachtet haben, Sorgen über Anwendungs-DDoS machen? Ja. Wir haben die Anzahl der DDoS-Angriffe auf Anwendungen, die Unternehmen im Dezember verzeichneten, mit ihren jährlichen Umsatzschätzungen in Beziehung gesetzt. Um die Übersicht zu erleichtern, haben wir die Umsatzklassen in vier Gruppen unterteilt:

  • Enterprise: Mehr als 1 Mrd. US-Dollar

  • Kommerziell: Zwischen 100 Mio. und 1 Mrd. US-Dollar

  • Kleine und mittelgroße Unternehmen (Small and Medium Businesses (SMB)): Weniger als 100 Mio. USD

  • Nicht angegeben: Für diese konnten wir keine zuverlässigen Jahreseinnahmen ermitteln. Diese sind wohl eher im SMB- oder kommerziellen Bereich angesiedelt, da sie nicht öffentlich sind oder nur wenige Informationen preisgeben(Abbildung 6).

Selbst die kleinsten Organisationen sind von DDoS-Angriffen auf Anwendungen betroffen, insbesondere wenn ein Teil der nicht offengelegten Kategorie hypothetisch auf sie zurückzuführen ist. Sobald ein Unternehmen die Umsatzschwelle von 100 Millionen US-Dollar überschritten hatte, wurden sie von den Angreifern gleichermaßen behandelt, wobei die Prozentsätze für die Zuordnung der Angriffe im Dezember nahezu identisch waren.

Umsetzbare Handlungsempfehlungen

Was sollten Sie also aus all diesen Informationen lernen?

Es ist wichtig zu beachten, dass diese Daten nur die Daten eines Monats repräsentieren und mit den Erkenntnissen aus Ihren Beobachtungstools und längerfristigen Untersuchungen kombiniert werden sollten, um einen umfassenden Überblick zu erhalten. Allein aus diesen Daten lassen sich jedoch einige wichtige Erkenntnisse gewinnen, die Sie in Ihre bestehenden Sicherheitsmaßnahmen integrieren können:

  • Unternehmen sollten ihr Security Operations Center (SOC) rund um die Uhr mit Personal besetzen, aber laut den Daten dieses Monats ist es am wichtigsten, dass sie während der Geschäftswoche (UTC) mit Personal besetzt sind.

  • Unternehmen, die in den Bereichen Medien und Unterhaltung, Hochtechnologie oder Handel tätig sind, sollten ihrer Abwehr von DDoS-Angriffen auf Anwendungen besondere Aufmerksamkeit schenken. Dies ist besonders wichtig angesichts der zunehmenden Zahl von Angriffen und der Bedeutung von Verfügbarkeit und Betriebszeit für die Erreichung der Unternehmensziele. 

  • Unternehmen jeder Größe sollten sicherstellen, dass sie über Tools zum Schutz vor DDoS-Angriffen auf Anwendungen verfügen. Während gewerbliche und große Unternehmen am ehesten betroffen sind und sicherstellen sollten, dass sie über robuste Lösungen verfügen, die in der Lage sind, das regelmäßig steigende Volumen zu bewältigen, sind auch kleine und mittelgroße Unternehmen betroffen und sollten über ein gewisses Maß an Tools verfügen. Jede Anwendung und jede API im Internet ist in gewisser Weise für diese Art von Angriffen anfällig.

Automatische Abwehr disruptiver und verteilter Angriffe

Natürlich wären wir unachtsam, wenn wir Sie nicht daran erinnern würden, dass Lösungen wie Fastly DDoS-Schutz automatisch die in diesem Bericht beschriebenen Angriffe stoppen. Hätte sich der Kunde im Blocking Mode befunden, wäre jede erkannte Angriffsanfrage blockiert worden. Fastly DDoS-Schutz nutzt die enorme Bandbreite und adaptiven Methoden unseres Netzwerks aus, sodass Sie ohne Konfigurationsaufwand leistungsstarke und unterbrechungsfreie Erlebnisse bieten können. Setzen Sie sich mit uns in Verbindung, um mehr zu erfahren.

Fastly
© Fastly 2025