DDoS-Angriffe im Zeitalter von Künstlicher Intelligenz und Automatisierung

DDoS-Angriffe – also gezielte Überlastungen von Online-Diensten – sind heute raffinierter und gefährlicher denn je. Mit dem Siegeszug von KI-gestützten Chatbots, der wachsenden Nutzung von Cloud-Technologien und immer leistungsfähigeren Automatisierungstools haben Cyberkriminelle ein ganzes Arsenal an neuen Möglichkeiten zur Hand. Groß angelegte Botnetze, die früher technisches Spezialwissen erforderten, stehen inzwischen selbst Laien zur Verfügung. Der Aufwand, digitale Infrastrukturen lahmzulegen, war noch nie so gering – die Bedrohung dafür umso größer.

Die Fakten sind:

• Die Häufigkeit und das Ausmass von DDoS-Angriffen nehmen zu. 
• Attack-as-a-Service-Plattformen machen es selbst wenig versierten Angreifern einfach und günstig, Angriffe durchzuführen.
• In der Schweiz verzeichnen Finanzinstitute und Betreiber kritischer Infrastrukturen einen Anstieg von DDoS-basierten Erpressungsversuchen.

Auch im Jahr 2025 bleiben DDoS-Angriffe eine ernsthafte Bedrohung. Das National Cyber Security Centre (NCSC) berichtet von zahlreichen Angriffen in den letzten Jahren, mit dem aktuellsten Bericht aus dem März 2025.

Angriffsart: Application-Layer DDoS (HTTP)

Webanwendungen operieren auf dem Application Layer und genau dort setzen heutige DDoS-Angriffe an. Angreifer benötigen keine enorme Bandbreite, um die Verfügbarkeit einer Webapplikation anzugreifen. Stattdessen nutzen sie ein verteiltes Netzwerk von Geräten, um legitimes Nutzerverhalten zu simulieren: durch das Aufrufen von Seiten, das Absenden von Formularen oder das Anfordern dynamisch generierten Contents. Solche harmlos wirkenden Requests machen es schwieriger, zwischen bösartigem und legitimen Traffic zu unterscheiden. Dies ist ein häufig beobachtetes Angriffsmuster für volumetrische Angriffe.

Da solche Angriffe aus aller Welt stammen können, ist nur striktes Geo-IP-Filtering keine Lösung. Es verringert die Exponierung gegenüber potenziellen Angriffen, verhindert solche verteilten Angriffe jedoch nicht vollständig.

Die meisten DDoS-Angriffe werden in weniger als 15 Minuten ausgeführt. Das unterstreicht die Bedeutung von frühzeitiger Erkennung, engen Schwellenwerten für rate-limiting und proaktiven Schutzmassnahmen.

DDoS-Resilienz mit Airlock Gateway aufbauen 

Airlock Gateway bietet mehrere Schutzfunktionen, um moderne DDoS-Angriffe effizient zu erkennen, abzuwehren und zu blockieren.

Zentrale Funktionen sind: 

• Rate Limiting mit DoS Attack Prevention: Kontrolliert den Zugriff auf Application Layer (siehe Dokumentation)
• Dynamic IP Blocking: Wiederholte Anfragen von bekannten bösartigen IP-Adressen werden automatisch blockiert, sobald ein festgelegter Schwellenwert erreicht wird.
• Geolocation Filtering: Beschränkt den Zugriff aus bestimmten Regionen
• Anomaly Shield: Erkennt ungewöhnliche und komplexere Angriffsmuster
• Logging & Monitoring: Für die Analyse laufender Angriffe

Wir stellen ausserdem individuell anpassbare Kibana Dashboards zur Verfügung, die bei der Analyse des Web Traffics und Definieren geeigneter Schwellwerte für rate-limiting unterstützen:

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky