Zurück zum Blog

Folgen und abonnieren

DDoS im Mai

Liam Mayron

Principal Product Manager

David King

Senior Product Marketing Manager, Security

Security

Fastlys exklusiver monatlicher DDoS-Wetterbericht für Mai 2025 stellt fest, dass im Mai fast zwei neue Angriffe pro Minute gestartet werden.

Das sofortige globale Netzwerk von Fastly hat Billionen von versuchten DDoS-Angriffen auf den Layern 3 und 4 gestoppt. Allerdings sind raffinierte neue Layer-7-Angriffe schwerer zu erkennen und potenziell weitaus gefährlicher. Diese erhebliche Bedrohung für die Performance und Verfügbarkeit jeder internetbasierten App oder API setzt Nutzer und Organisationen einem Risiko aus. Fastly verwendet Telemetrie aus unserem 427 Terabit pro Sekunde* globalen Edge-Netzwerk, das 1,8 Billionen Anfragen pro Tag** und Fastly DDoS-Schutz bearbeitet, um einzigartige Einblicke in das globale Anwendungs-DDoS-„Wetter“ zu liefern – der einzige monatliche Bericht dieser Art. Nutzen Sie anonymisierte Daten, Erkenntnisse und umsetzbare Ratschläge zu den neuesten DDoS-Trends bei Apps, um Ihre Sicherheitsinitiativen zu stärken.

Der Einfluss von Produktverbesserungen in Berichten

Fastly bekämpft seit über einem Jahrzehnt massive DDoS-Angriffe und nutzt seine Plattform und andere Lösungen, um diese Bedrohungen einzudämmen. Wir haben jedoch im Oktober 2024 DDoS-Schutz eingeführt, um unseren Kunden eine adaptive und automatische Abwehr zu bieten. Seitdem haben wir weiter hart daran gearbeitet, DDoS-Schutz zur besten Lösung für App-DDoS auf dem Markt zu machen. Während wir schon ausführlich über die Leistungsfähigkeit der adaptiven Attribute Unmasking -Engine der Lösung bei der Bekämpfung von Angriffen gesprochen haben, arbeiten wir fleißig daran, die Basis zu verbessern und die Erkennung weiter zu optimieren.

Unsere Verbesserungen haben die Erkennungszeit weiter verkürzt und gleichzeitig die Transparenz der Lösung in Bezug auf DDoS-Angriffe erhöht (insbesondere kürzere, kleinere Angriffe). Wir verbessern kontinuierlich unsere Kernfunktionen zur Erkennung und Abwehr, und sie spielen wahrscheinlich eine Rolle dabei, warum wir im April und Mai einen stetigen Anstieg der Angriffszahlen verzeichneten. Wir erwarten, dass sich der Einfluss solcher Verbesserungen in unseren Berichten zeigt, da wir das Produkt kontinuierlich verfeinern, um es für Kunden wie Sie noch besser zu machen. Nach dieser Vorbemerkung kommen wir nun zu den Ergebnissen.

Wichtigste Erkenntnisse

  1. Der DDoS-Schutz von Fastly verzeichnete im Mai durchschnittlich fast zwei Angriffe pro Minute.

  2. Der höchste Prozentsatz der Angriffe im Mai wurde donnerstags und freitags zwischen 14:00 und 20:00 Uhr UTC gestartet. 

  3. Wenn ein Land als Teil einer automatisch generierten Regel verwendet wird, sind die Vereinigten Staaten am häufigsten (41 %).

DDoS-Traffic-Trends

App-DDoS-Angriffe im Mai waren im Allgemeinen über den gesamten Monat verteilt, mit nur einem großen Höhepunkt am6. Mai 2025, als die kumulativen Angriffe des Tages 1,8-mal größer waren als der Monatsdurchschnitt. Während sich die Angriffe am 6. Mai auf Unternehmen aus dem Bereich Medien und Unterhaltung konzentrierten und 93 % des Gesamtvolumens des Tages ausmachten, scheinen die Angriffe nicht Teil einer koordinierten Kampagne zu sein, da die angegriffenen Unternehmen innerhalb der Branche nicht in ähnlichen Geschäftsfeldern tätig sind.

Das Volumen der DDoS-Angriffe hat im Jahr 2025 jeden Monat zugenommen, bis Mai, als das monatliche Angriffsvolumen im Vergleich zu April um weniger als 1 % kleiner war. Wir werden diesen Trend in den kommenden Monaten weiterhin überwachen. Hier wird noch mehr kommen!

Der größte Angriff, den der Fastly DDoS-Schutz im Mai erkannte, dauerte über eine Stunde und umfasste mehr als 1 Million Anforderungen pro Sekunde (RPS). Obwohl dieser Angriff nicht so groß ist wie der 250-Millionen-RPS-Angriff, den wir in einem früheren Blog beschrieben haben, bietet er einen Einblick in die anhaltenden Angriffsfähigkeiten der Angreifer.

Angriffstrends

Die Ereignisse kamen im Rahmen unseres neuesten Updates für den Fastly DDoS-Schutz. Damit kommen zwei wichtige Merkmale: Veranstaltungen und Veranstaltungsdetails. Stellen Sie sich vor, dass jedes Ereignis ein individueller Angriff ist und die Ereignisdetails es den Kunden ermöglichen, tiefer in die Art und Weise einzutauchen, wie er abgewehrt wurde. Im Mai beobachtete der Fastly DDoS-Schutz 77.459 kumulative DDoS-Angriffe, die wir als Ereignisse einstufen. Wenn wir sie gleichmäßig verteilen würden, hätten wir im Mai fast zwei Veranstaltungen jede Minute gesehen!

In früheren Ausgaben des Berichts haben wir eine Heatmap erstellt, die die Verteilung des Angriffsvolumens nach Stunden und Tagen der Woche veranschaulicht. Diesen Monat haben wir uns dafür entschieden, diese Heatmap neu zu erstellen, aber sie stattdessen durch die Linse von Ereignissen nach Stunden und Wochentagen zu betrachten.

Wenn wir Angriffe durch die Linse von Ereignissen beobachten, stellen wir fest, dass Angriffe zwar die ganze Woche über zu jeder Tageszeit stattfinden, die meisten Angriffe jedoch am Donnerstag und Freitag zwischen 14:00 und 20:00 Uhr UTC auftreten. Dies ist besonders interessant, wenn man bedenkt, dass diese Zeitspanne während der Geschäftszeiten in den meisten westlichen Ländern liegt. In Verbindung mit dem Einblick, dass die Mehrheit der Angriffe, für die wir automatisch Regeln erstellen konnten, auf die Vereinigten Staaten abzielte, gelangen wir zu einem interessanten Schluss. Während wir normalerweise beobachten, dass Angriffe in der westlichen Welt außerhalb der Geschäftszeiten oder am Wochenende stattfinden, trafen die Angriffe im Mai diese Organisationen, während sie wahrscheinlich SOC-Mitglieder mit Blick auf die Bildschirme in der Region hatten. Ohne zusätzliche Informationen von jedem Kunden ist es schwer, genau zu wissen, warum der Mai von dem etablierten Trend abgewichen ist, aber einige mögliche Erklärungen könnten sein:

  1. Lösegeldversuche: Obwohl jeder in diesem Bericht beobachtete Angriff mit dem Fastly DDoS-Schutz im Blocking-Modus abgewehrt werden könnte, hat nicht jeder Kunde den Wechsel vollzogen, und offene Angriffe wie diese könnten durchgeführt worden sein, um die Aufmerksamkeit der SOC-Analysten zu erregen und die Vorherrschaft zu demonstrieren.

  2. Antwort auf geopolitische Veränderungen: Zwischen politischen Entscheidungen in den Vereinigten Staaten, Europa und Teilen der APAC-Region haben Angreifer möglicherweise Angriffe auf Fastly-Kunden im Bereich Medien und Unterhaltung gestartet, als Reaktion auf Posts und Nachrichten, die sie als auslösend empfanden.

Wir haben in diesen Berichten immer das Angriffsvolumen im Vergleich zur Angriffsanzahl berücksichtigt, werden nun aber Ereignisse verwenden, um die Angriffsanzahl als noch genauere Messgröße für die Anzahl der Angriffe darzustellen, die Fastly-Kunden beobachten. Glücklicherweise für die bisherigen Leser sind die Daten sehr ähnlich zu dem, was wir in den vergangenen Monaten sowohl in der Branche als auch bei den Unternehmensgrößen beobachtet haben. 

Wenn man die Angriffe in den Branchen betrachtet, auf die sie abzielen, bleibt Medien und Unterhaltung weiterhin das Hauptziel der Angreifer. Ähnlich wie bei unserer Hypothese, warum die Angriffe im Mai in der westlichen Welt größtenteils während der Geschäftszeiten stattfanden, könnte es sowohl bei Hacktivisten als auch bei motivierten Angreifern zu einer erhöhten Motivation gekommen sein, Angriffe gegen Organisationen zu starten, die Inhalte zeigten, die ihren Ansichten widersprachen. Während wir normalerweise sehen, dass Medien und Unterhaltung einen geringeren Anteil an Angriffszahlen hat, deutet ihr Anteil von über der Hälfte aller Ereignisse darauf hin, dass die Angriffe auf diese Branche vergleichsweise kleiner waren als beispielsweise im April, aber häufiger.

Wenn man die Angriffe nach Unternehmensgröße betrachtet, zeigt sich, dass die überwiegende Mehrheit (66 %) des Angriffsvolumens im Mai auf Unternehmen in Enterprise-Größe abzielt. Für diejenigen, die diese Berichte noch nicht kennen, hier die Aufschlüsselung der Unternehmensgröße:

  • Großunternehmen: Mehr als 1 Milliarde Dollar

  • Kommerziell: Zwischen 100 Millionen und 1 Milliarde Dollar

  • Kleine und mittelständische Unternehmen (KMU): Weniger als 100 Millionen Dollar

Im Gegensatz dazu ist die Anzahl der Veranstaltungen größtenteils an KMU gebunden. Während das Angriffsvolumen bei Enterprise-Organisationen im Vergleich zu den Vormonaten deutlich gestiegen ist, entspricht dieser Trend der Beobachtung, dass Enterprise-Organisationen ein höheres Angriffsvolumen erhalten, während KMU mehr Einzelangriffe verzeichnen. 

Trends zur Risikominderung

Als Teil der Ereignisdetails zeigt Fastlys DDoS-Schutz jede Regel an, die mit einem Ereignis verknüpft ist. Anhand dieser Regeln können wir Trends in den Eigenschaften eines Angriffs erkennen, die den Teams helfen, ihre Sicherheitsrichtlinien zu gestalten.

Im Mai waren durchschnittlich 3,2 Regeln erforderlich, um ein Ereignis zu entschärfen. Wie wir bereits angedeutet haben, enthielten 67 % der Regeln das Land des Angreifers als Teil der automatisch generierten Regel. Die fünf wichtigsten Länder, die in der Regel enthalten waren, sind:

  1. Vereinigte Staaten (41%)

  2. Deutschland (9 %)

  3. Niederlande (5%)

  4. Indonesien (5 %).

  5. Singapur (5 %)

Im April-Bericht stellten wir fest, dass es zwar wahrscheinlich ist, dass ein Teil der Angriffe von amerikanischen Cyberangreifern ausgeht, das Einrichten von serverlosen Instanzen jedoch unglaublich zugänglich und unkompliziert ist. Mit geringem Aufwand können Angreifer das autonome System (AS) ihrer Wahl nutzen und ihre Angriffe von nahezu jedem Ort der Welt aus starten, unabhängig von ihrem tatsächlichen Standort. Dies ist eine Erklärung dafür, warum die Vereinigten Staaten häufig in Regeln erwähnt werden. Das oder … die Vereinigten Staaten sind einfach voller Angreifer – die Zeit wird es zeigen. 

Ein weiteres Attribut, das im Rahmen der Fastly DDoS-Schutzregeln verwendet wird, ist die IP-Adresse. In einigen Fällen kann ein Angriff auf eine einzelne IP-Adresse eingegrenzt werden, und dies geschah im Mai in 35 % der Fälle.

Vergleichen Sie dies mit unseren Ergebnissen vom April (31 %), und Sie werden nur einen leichten Anstieg in der Verteilung feststellen. Aus diesem Einblick können wir ableiten, dass sich die DDoS-Landschaft von Apps in Bezug auf ihre Angriffsmethoden relativ langsam verändert. Das Stoppen von Angriffen auf der Ebene einer einzelnen Organisation ist komplex und erfordert wahrscheinlich eine Form der automatisierten Intervention. Jedoch können wir aus der Perspektive von Fastly erkennen, dass es bei der Mehrzahl der Angriffe jeden Monat gemeinsame wiederkehrende Themen gibt. Während das Volumen im Laufe des Jahres zugenommen hat, sind die Angriffe selbst aus einer makroskopischen Perspektive weitgehend gleich geblieben. Dies könnte daran liegen, dass Angreifer mit dem aktuellen Ansatz erfolgreich sind. 

Obwohl Kunden mit Zugriff auf Tools wie Fastly DDoS Protection sich über derartige Angriffe keine Sorgen machen müssen, könnte die langsame Änderungsrate darauf hindeuten, dass ein hoher Prozentsatz der Organisationen weltweit entweder keinen Zugriff auf dieses Schutzniveau hat oder dass der vorhandene Schutz unzureichend ist. Andernfalls wäre es sinnlos, diese Angriffe überhaupt zu starten.

Umsetzbare Handlungsempfehlungen

Was sollten Sie also aus all diesen Informationen mitnehmen?

Es ist wichtig zu beachten, dass dieser Bericht nur einen Monat an Daten darstellt und in Verbindung mit First-Party-Erkenntnissen aus Ihren Observability-Tools und längerfristigen Recherchen verwendet werden sollte, um einen umfassenden Überblick zu erhalten. Allein aus diesen Daten lassen sich jedoch einige wichtige Erkenntnisse gewinnen, die Sie in Ihre bestehenden Sicherheitsmaßnahmen integrieren können:

  1. Das Angriffsvolumen war im Mai etwas geringer als im April, aber immer noch weitaus höher als in jedem anderen Monat des ersten Quartals. Obwohl das Caching von Inhalten die Belastung der Origin-Server teilweise verringern kann, sollten Organisationen die Implementierung dedizierter DDoS-Lösungen in Betracht ziehen, die sich an die unterschiedlichen Muster des legitimen und Angriffs-Traffic anpassen können.

  2. Sicherheitsexperten und Unternehmensleiter sollten die Bedrohungslandschaft verstehen, die spezifischen Risiken für ihre Branche einschätzen und entsprechende Verteidigungsstrategien umsetzen. Zum Beispiel ist ein Unternehmen, das sich auf die Vermittlung von Haustieren konzentriert, wahrscheinlich ein weniger attraktives Ziel im Vergleich zu einem Medienunternehmen, das Bedrohungen von Hacktivisten bis hin zu staatlichen Akteuren ausgesetzt sein kann.

  3. Das Angriffsvolumen blieb die ganze Woche über relativ konstant, erreichte jedoch am Donnerstag und Freitag zwischen 14:00 und 20:00 Uhr (UTC) seinen Höhepunkt, was die Bedeutung eines rund um die Uhr an 365 Tagen im Jahr besetzten Security Operations Center (SOC) für Unternehmen, die in EMEA oder APAC tätig sind, unterstreicht.

Automatische Abwehr disruptiver und verteilter Angriffe

Wie immer möchten wir Sie daran erinnern, dass Lösungen wie Fastly DDoS Protection die in diesem Bericht beschriebenen Angriffe automatisch stoppen und Ihnen die nötigen Einblicke geben, um die Wirksamkeit schnell zu überprüfen. Fastly DDoS Protection wird von Ihren Kollegen auf Gartner Peer Insights mit 4,7/5 Sternen bewertet und nutzt die enorme Bandbreite und adaptiven Techniken unseres Netzwerks, um sicherzustellen, dass Ihre Websites schnell und verfügbar bleiben, und das alles ohne erforderliche Konfiguration. Beginnen Sie noch heute mit der Nutzung unserer adaptiven Technologie heute und erhalten Sie bis zu 500.000 Anforderung kostenlos, oder kontaktieren Sie unser Team, um mehr zu erfahren.

* Stand: 31. März 2025

** Stand 2023-07-31

Fastly
© Fastly 2025