Ein aktueller Bericht von Cloudflare zeigt, wie das IoT‑Botnet Aisuru innerhalb von drei Monaten mehr als 1300 DDoS‑Angriffe ausgelöst hat – darunter eine Attacke mit einer Spitzenbandbreite von 29,7 Tbit/s. Damit bewegt sich Aisuru in einer Größenordnung, die zu den stärksten jemals gemessenen DDoS‑Angriffen zählt und selbst großvolumige Internet‑Backbones an ihre Grenzen bringen kann.
Hypervolumetrische DDoS-Angriffe: Rekorde und Einordnung
Cloudflare ordnet einen großen Teil der Aisuru‑Aktivitäten der Kategorie hypervolumetrische DDoS‑Angriffe zu. Gemeint sind Attacken, die entweder mehr als 1 Tbit/s Bandbreite oder über 1 Milliarde Pakete pro Sekunde erreichen. Seit Jahresbeginn wurden 2867 Aisuru‑bezogene Angriffe registriert, knapp 45 % davon überschritten diese Schwellenwerte – ein klares Indiz für die Professionalisierung der Angreifer.
Im 3. Quartal 2025 meldete Cloudflare insgesamt 1304 hypervolumetrische DDoS‑Angriffe. Der neue Höchstwert von 29,7 Tbit/s stammt ebenfalls aus diesem Zeitraum und konnte von der Schutzinfrastruktur abgewehrt werden. Zuvor hatte Aisuru bereits einen Rekord von 22,2 Tbit/s aufgestellt. Microsoft berichtete zudem über einen Aisuru‑Angriff auf Azure mit 15,72 Tbit/s, der zeitgleich von rund 500 000 IP‑Adressen ausging. Die Spitzenattacke dauerte nur 69 Sekunden, setzte aber mit einem extrem intensiven UDP‑Flood im Schnitt Traffic auf 15 000 Ports pro Sekunde ab – genug, um unvorbereitete Netze sofort zu überlasten.
IoT-Botnet Aisuru: Aufbau, Ausnutzung und Angriffsvektoren
Schätzungen zufolge umfasst das Botnet Aisuru zwischen 1 und 4 Millionen kompromittierte Geräte. Im Fokus stehen vor allem Heim‑ und Unternehmensrouter sowie verschiedenste IoT‑Geräte – von Kameras über smarte Haushaltsgeräte bis hin zu industriellen Komponenten. Die Übernahme erfolgt typischerweise durch das Ausnutzen bekannter Schwachstellen in Firmware oder durch Brute‑Force‑Angriffe auf Standard‑ und schwache Passwörter.
Genau hier zeigt sich die strukturelle Verwundbarkeit vieler IoT‑Umgebungen: Geräte werden selten aktualisiert, sind oftmals direkt aus dem Internet erreichbar und werden vom Hersteller mit vorkonfigurierten Zugangsdaten ausgeliefert. Ohne konsequente Härtung werden sie zu leicht angreifbaren Einstiegspunkten. Für die Betreiber von Botnetzen ergibt sich dadurch ein nahezu unerschöpflicher Pool an Bandbreite, der für DDoS‑Angriffe missbraucht werden kann.
Botnet-as-a-Service: DDoS-Kapazitaet zur Miete
Cloudflare beschreibt Aisuru als botnet‑as‑a‑service. Die Betreiber nutzen die Infrastruktur nicht ausschließlich für eigene Angriffe, sondern vermieten sie an andere Tätergruppen. Damit sinken die Eintrittsbarrieren erheblich: Auch technisch weniger versierte Angreifer können hochskalierte DDoS‑Angriffe auf Bestellung durchführen – etwa im Rahmen von Erpressungsversuchen oder zur Ausschaltung von Wettbewerbern.
Betroffen sind ein breites Spektrum an Branchen: Online‑Gaming‑Plattformen, Hosting‑Provider, Telekommunikationsunternehmen und Finanzdienstleister gehören zu den bevorzugten Zielen. Selbst wenn eine Attacke formell nur eine einzelne Web‑Anwendung oder ein API adressiert, führt die schiere Datenmenge oft zu Kollateralschäden in vorgelagerten Netzen und bei anderen Kunden desselben Providers.
Globale DDoS-Trends und Risiken fuer die Internet-Infrastruktur
Im Durchschnitt musste Cloudflare im dritten Quartal rund 3780 DDoS‑Angriffe pro Stunde abwehren. Die Zahl der Angriffe mit mehr als 100 Millionen Paketen pro Sekunde stieg im Vergleich zum Vorquartal um 189 %, Vorfälle mit über 1 Tbit/s legten sogar um 227 % zu. Hauptquellen des schädlichen Traffics waren Indonesien, Thailand, Bangladesch und Ecuador, während vor allem China, die Türkei, Deutschland, Brasilien und die USA im Fadenkreuz der Angreifer standen.
Angriffe im Bereich von mehr als 10 Tbit/s entwickeln sich zu einem systemischen Risiko für das Internet. Laut Cloudflare kann die schiere Bandbreite von Aisuru‑Kampagnen magistrale Providerstrecken überlasten, selbst wenn diese nicht direkt Ziel der Attacke sind. Die Folgen reichen von erhöhten Latenzen und Paketverlusten bis hin zu regionalen Ausfällen von Cloud‑Diensten, DNS‑Infrastruktur oder Zahlungsdiensten – mit unmittelbaren wirtschaftlichen Konsequenzen.
Warum Sekundenangriffe stundenlange Ausfaelle verursachen koennen
Die Dauer eines DDoS‑Angriffs ist nur bedingt aussagekräftig für den realen Schaden. Auch eine Attacke von wenigen Sekunden kann kritische Systeme aus dem Tritt bringen, wenn sie zentrale Netzwerkpfade oder Kernkomponenten trifft. Die anschließende Wiederherstellung ist komplex: Teams müssen Dienste schrittweise wieder online bringen, verteilte Datenbestände auf Konsistenz prüfen, Monitoring‑Lücken schließen und sicherstellen, dass keine weiteren Störungen oder Folgeangriffe aktiv sind. Dieser Prozess kann deutlich länger dauern als der eigentliche Angriff.
Strategien zum Schutz vor hypervolumetrischen DDoS-Angriffen
Angesichts der zunehmenden Leistungsfähigkeit von Botnets wie Aisuru wird Unternehmen empfohlen, ihre Strategien zum Schutz vor DDoS-Angriffen zu überdenken. Zu den wichtigsten Maßnahmen gehören:
- Nutzung spezialisierter DDoS-Dienste mit Traffic-Filterung auf Seiten des Providers (Cloudflare, ähnliche Lösungen).
- Plan für die Reaktion auf Vorfälle: Eskalationsregeln, Ansprechpartner, Szenarien für die Umleitung des Datenverkehrs und die Einschränkung der Funktionalität.
- Schutz der IoT- und Netzwerkinfrastruktur: Deaktivierung des Standard-Fernzugriffs, Änderung der Standardpasswörter, regelmäßige Aktualisierung der Firmware, Einschränkung der Zugänglichkeit von Geräten aus dem Internet.
- Testen der Ausfallsicherheit durch Stresstests und Simulation von DDoS-Szenarien.
Die Zunahme der Stärke und Häufigkeit von Hyper-Volume-DDoS-Angriffen, wie sie vom Botnetz Aisuru demonstriert wurde, zeigt, dass Unternehmen sich nicht mehr auf veraltete Modelle der Perimeter-Sicherheit verlassen können. Eine Infrastruktur, die auf eine „normale” Auslastung ausgerichtet ist, entspricht nicht mehr dem tatsächlichen Bedrohungsniveau. Unternehmen, Anbieter digitaler Dienste und Eigentümer kritischer Infrastrukturen müssen im Voraus in DDoS-Schutz, die Verbesserung der Netzwerkstabilität und grundlegende IoT-Sicherheitsmaßnahmen investieren, um nicht das nächste Ziel eines Rekordangriffs zu werden.
