In der Nacht vom 18. auf den 19. Dezember 2025 wurde eine der bislang stärksten bekannten DDoS-Attacken registriert: Das Botnet Aisuru, auch unter dem Namen Kimwolf geführt, erreichte eine Spitzenlast von 31,4 Tbit/s und bis zu 200 Millionen HTTP-Anfragen pro Sekunde. Im Fokus standen vor allem Unternehmen aus der Telekommunikationsbranche sowie zentrale Teile der Schutzinfrastruktur von Cloudflare.
Neuer DDoS-Rekord: Einordnung der Angriffswelle
Aisuru gilt seit Längerem als eines der leistungsfähigsten DDoS-Botnetze. Ihm wird bereits ein früherer Rekord zugeschrieben: eine öffentlich bekannte Attacke mit 29,7 Tbit/s. Zudem ordneten Experten von Microsoft demselben Botnet einen Angriff mit 15,72 Tbit/s und rund 500.000 beteiligten IP-Adressen zu.
Der Sprung von 29,7 auf 31,4 Tbit/s verdeutlicht, dass die Angreifer ihre Infrastruktur kontinuierlich ausbauen. Der Zuwachs an Bandbreite bei gleichzeitig extrem hoher Request-Rate weist darauf hin, dass weitere Geräte kompromittiert und die Mechanismen zur Traffic-Generierung optimiert wurden. Branchenberichte großer Provider und Organisationen wie ENISA oder BSI zeigen seit Jahren, dass DDoS-Angriffe mit zweistelligen Tbit/s-Bandbreiten keine Ausnahme mehr sind, sondern sich zunehmend zur neuen Normalität entwickeln.
Operation „Nacht vor Weihnachten“: Ziele, Opfer und Angriffsstrategie
Cloudflare beschreibt die Serie als breit angelegte, koordinierte DDoS-Kampagne, die primär auf Telekommunikationsanbieter und IT-Dienstleister abzielte. Aufgrund des Zeitpunkts erhielt sie intern den Namen „Nacht vor Weihnachten“. Ungewöhnlich ist, dass Angriffe nicht nur Kunden, sondern auch die Management- und Kontrollsysteme von Cloudflare selbst trafen.
Damit verfolgten die Angreifer eine mehrstufige Störungskette: Einerseits sollten geschützte Dienste der Kunden überlastet werden, andererseits die Kapazität der Schutzplattform selbst. Solche Doppelschläge erhöhen das Risiko, dass mehrere Verteidigungsebenen – vom DDoS-Scrubbing-Center bis zur Kundennetzinfrastruktur – gleichzeitig überlastet werden.
Auffällig war die Taktik ultrakurzer, aber sehr intensiver Angriffe. Mehr als die Hälfte der beobachteten Wellen dauerte lediglich eine bis zwei Minuten; nur etwa 6 % hielten länger an. Rund 90 % der Attacken erreichten Bandbreiten zwischen 1 und 5 Tbit/s, etwa 94 % generierten zwischen 1 und 5 Milliarden Pakete pro Sekunde. Solche „Hit-and-Run“-Angriffe erschweren die Erkennung und automatisierte Filterung, insbesondere bei Unternehmen, die nicht über permanent aktive DDoS-Schutzmechanismen verfügen.
Technische Analyse: HTTP-DDoS und Angriffe auf Layer 4
Die Kampagne kombinierte hypervolumetrische HTTP-DDoS-Angriffe auf Applikationsebene (Layer 7) mit Netzwerkangriffen auf Layer 4 (L4). Bei HTTP-DDoS wird ein Webserver oder eine API mit einer Flut formal gültiger HTTP-Anfragen überlastet. Jede einzelne Anfrage sieht legitim aus, doch die schiere Menge – hier bis zu 200 Millionen Requests pro Sekunde – bringt Webserver, Datenbanken und API-Gateways an ihre Grenze.
Parallel zielten L4-Angriffe auf den Transportlayer (TCP/UDP). Mit einer Spitzenauslastung von 31,4 Tbit/s werden primär Backbone-Verbindungen, Router und Firewalls attackiert. Bereits ein Bruchteil dieser Last kann ausreichen, um Verbindungen zu saturieren und ganze Rechenzentren oder Provider-Regionen zu isolieren.
Die Kombination aus L4-Volumenangriffen und HTTP-DDoS vergrößert die Wirkung: Zunächst werden Netzpfade und Router belastet, anschließend die eigentlichen Web- und Applikationsserver. Effektiver Schutz erfordert daher mehrschichtige Maßnahmen – von Provider-seitiger Filterung (Upstream-Filtering, BGP-Blackholing, Traffic-Umlenkung in Scrubbing-Center) bis zu spezialisierten Cloud-Diensten und Web Application Firewalls (WAF) mit automatischer Erkennung von Anomalien.
Vom IoT-Botnet zum Android-TV-Angreifer
Frühere Analysen ordneten Aisuru hauptsächlich Netzen aus kompromittierten IoT-Geräten und Heimroutern zu. In der aktuellen Kampagne „Nacht vor Weihnachten“ wurde jedoch ein signifikanter Anteil des Angriffstraffics von Android-TV-basierten Geräten beobachtet.
Aus Sicherheitssicht ist dieser Schritt folgerichtig. Smarte Fernseher und Streaming-Boxen:
- sind meist dauerhaft mit dem Internet verbunden,
- werden von Nutzern selten aktualisiert,
- arbeiten mit standardisierten, oft vorhersehbaren Konfigurationen,
- und sind häufig mit Werkspasswörtern oder schwachen Zugangsdaten ausgestattet.
Gleichzeitig verfügen viele Android-TV-Geräte über leistungsfähige Prozessoren und gute Netzwerkbandbreiten. Damit eignen sie sich besonders gut als hochmoderne Traffic-Generatoren in Botnetzen. Sicherheitsbehörden warnen seit Jahren davor, dass schlecht gesicherte IoT- und Smart-Home-Geräte zu einem der wichtigsten Angriffshebel für DDoS-Betreiber werden – Aisuru bestätigt diese Entwicklung nun eindrucksvoll.
Abwehrstrategien: So bereiten sich Unternehmen auf DDoS-Angriffe mit 30+ Tbit/s vor
Der Vorfall unterstreicht, dass klassische Firewalls und einfache Rate-Limits für kritische Online-Dienste nicht mehr ausreichen. Organisationen in Telekommunikation, Finanzbranche, E‑Commerce und anderen Online-Sektoren sollten mindestens folgende Maßnahmen etablieren:
1. Enge Kooperation mit Netzbetreibern
Unternehmen sollten klare Prozesse mit ihren Internetprovidern definieren, um Upstream-Filtering und Traffic-Umlenkung in Scrubbing-Center bereits in der Carrier-Infrastruktur zu ermöglichen. Ziel ist, volumetrische Angriffe abzufangen, bevor sie das eigene Rechenzentrum erreichen.
2. Spezialisierte DDoS-Schutzdienste
Ein mehrschichtiger Schutz auf L3/L4 (Netzwerkebene) und L7 (Applikationsebene) mit automatischer Erkennung und Mitigation ist essenziell. Moderne Dienste kombinieren verteilte Anycast-Netzwerke, Signatur- und Verhaltensanalyse sowie flexible Regeln, um legitimen Traffic von Angriffen zu trennen.
3. Regelmäßige Tests und Notfallübungen
DDoS-Drills, Penetrationstests und Red-Team-Übungen helfen, Reaktionszeiten zu messen, Alarme zu justieren und technische sowie organisatorische Lücken zu identifizieren. Notfallpläne sollten klare Verantwortlichkeiten, Kommunikationswege und Eskalationsstufen enthalten.
4. Härtung von IoT- und Smart-Home-Umgebungen
Unternehmen sollten eigene vernetzte Geräte inventarisieren, Standardpasswörter konsequent ändern, Firmware regelmäßig aktualisieren und IoT-Komponenten in eigene Netzwerksegmente auslagern. Auch Internetprovider können durch Vorgaben, Scans und Aufklärung dazu beitragen, Botnet-Rekrutierung zu erschweren.
5. Business-Continuity-Planung
Ein belastbarer Business Continuity Plan (BCP) umfasst redundante Internetanbindungen, Georedundanz über mehrere Rechenzentren und Clouds, sowie klare Fallback-Szenarien – etwa die temporäre Degradierung nicht-kritischer Dienste, um Kernfunktionen verfügbar zu halten.
Die Aisuru-Kampagne macht deutlich, dass DDoS-Angriffe im Bereich von über 30 Tbit/s und die Einbindung neuer Geräteklassen wie Android-TV-Systeme keine theoretische Bedrohung mehr sind. Organisationen, deren Geschäftsmodell von der Verfügbarkeit digitaler Dienste abhängt, sollten DDoS-Schutz als kontinuierlichen Risiko-Management-Prozess verstehen – nicht als einmalige Investition in Hardware. Wer jetzt Architektur, Prozesse und Kooperationen mit Providern überprüft, reduziert die Wahrscheinlichkeit, dass die nächste „Nacht vor Weihnachten“ auf Kosten der eigenen Infrastruktur stattfindet.
