Internationale Strafverfolgungsbehörden haben mit der Operation PowerOFF einen koordinierten Schlag gegen den Markt für DDoS-for-Hire geführt. 53 Domains, über die sogenannte Booter- und Stresser-Services angeboten wurden, sind abgeschaltet, vier Verdächtige wurden festgenommen und die Ermittler erhielten Zugriff auf Daten zu mehr als 3 Millionen Nutzerkonten. Damit gerät eine der niedrigschwelligsten Formen der Cyberkriminalität merklich unter Druck.
Operation PowerOFF: Umfang, Ziele und beteiligte Länder
Nach Angaben von Europol beteiligten sich Behörden aus 21 Staaten an der Aktion, darunter Australien, Österreich, Belgien, Brasilien, Bulgarien, Dänemark, Estland, Finnland, Deutschland, Japan, Lettland, Litauen, Luxemburg, die Niederlande, Polen, Portugal, Schweden, Thailand, das Vereinigte Königreich und die USA. Dieses breite Bündnis verdeutlicht, dass DDoS-for-Hire ein global verteiltes Ökosystem mit Kunden und Infrastruktur über mehrere Kontinente ist.
Im Rahmen der Razzien wurden nicht nur 53 Domains beschlagnahmt und deaktiviert, sondern auch Server, Administrationspanels, Kundendatenbanken und Protokolle der ausgeführten Angriffe sichergestellt. Zusätzlich erließen die Behörden 25 Durchsuchungsbeschlüsse, um digitale Beweise zu sammeln, Betreiber zu identifizieren und besonders aktive Kunden zu ermitteln. Die Kombination aus Infrastrukturabschaltung und Datenauswertung erhöht den Ermittlungsdruck erheblich.
Was sind DDoS-for-Hire-, Booter- und Stresser-Services?
DDoS-for-Hire-Plattformen funktionieren wie ein illegaler „DDoS-as-a-Service“-Marktplatz. Nach einer einfachen Registrierung und Bezahlung – oft anonym über Kryptowährungen – können Nutzer über ein Web-Interface Ziele definieren: Websites, Game-Server, APIs oder andere Online-Dienste. Die technische Umsetzung übernehmen Botnetze aus kompromittierten Systemen, angemietete Hochleistungsserver und spezialisierte Traffic-Generatoren.
Laut Europol gehört DDoS-for-Hire zu den am leichtesten zugänglichen Formen der Cyberkriminalität. Es sind keine vertieften Netzwerkkenntnisse nötig; die Oberflächen erinnern an legitime Cloud-Dienste, und Angriffspakete beginnen häufig im einstelligen Dollarbereich. Studien von ENISA und großen DDoS-Schutzanbietern zeigen seit Jahren, dass Angriffe mit gemieteter Infrastruktur in Umfang und Dauer kontinuierlich zunehmen und regelmäßig Spitzen von mehreren Terabit pro Sekunde erreichen.
Warum Booter-Dienste besonders riskant und strafbar sind
Viele Betreiber versuchen, sich mit der Bezeichnung als „Stresser“ oder „Lasttest-Plattform“ zu tarnen. Technisch sind diese Dienste jedoch in aller Regel darauf ausgelegt, fremde Systeme ohne Einverständnis zu überlasten. In vielen Ländern fällt dies unter Straftatbestände wie Computersabotage oder unbefugte Datenveränderung (in Deutschland u. a. § 303b StGB) sowie unter internationale Abkommen wie das Budapester Übereinkommen gegen Cyberkriminalität.
Die niedrige Einstiegshürde macht Booter-Services für sehr unterschiedliche Tätergruppen attraktiv: von Schülern und Studierenden („Script Kiddies“) über Erpresser und Wirtschaftskriminelle bis hin zu politisch motivierten Aktivisten. Professionelle Angreifer nutzen DDoS-Attacken zudem, um komplexere Angriffe zu verschleiern, etwa Datendiebstahl oder die Vorbereitung von Ransomware-Kampagnen.
Typische Täterprofile, Angriffsziele und geschäftliche Auswirkungen
Ermittler beobachten, dass DDoS-for-Hire sowohl von unerfahrenen Nutzern als auch von organisierten Gruppen eingesetzt wird. Für Letztere bieten die Dienste die Möglichkeit, bestehende Kampagnen schnell zu skalieren oder kurzfristig zusätzliche Kapazitäten zu mieten, ohne ein eigenes Botnetz aufbauen zu müssen. Damit sinkt die Einstiegshürde in hochvolumige Angriffe erheblich.
Zu den bevorzugten Zielen zählen Online-Dienste mit geringer Ausfalltoleranz: E‑Commerce-Plattformen, Zahlungsdienstleister, Banken, Gaming-Server, Medienportale und SaaS-Angebote. Bereits wenige Stunden Ausfall können zu Umsatzverlusten, SLA-Verstößen, einem Vertrauensverlust bei Kunden und nachhaltigen Reputationsschäden führen. Anbieter wie Cloudflare und Akamai berichten regelmäßig von Angriffswellen, bei denen Tausende Kunden parallel attackiert werden – ein Hinweis auf die industrielle Nutzung solcher Dienste.
Operation PowerOFF im Kontext früherer Eingriffe in DDoS-Infrastrukturen
PowerOFF steht in einer Reihe globaler Bemühungen, kriminelle DDoS-Infrastrukturen systematisch zu zerschlagen. Bereits im August 2025 meldete die US-Regierung die Zerschlagung des IoT-Botnetzes RapperBot, das seit mindestens 2021 für massive Angriffe in über 80 Ländern missbraucht wurde. Wie frühere Botnetze vom Typ Mirai nutzte auch RapperBot vor allem schlecht gesicherte IoT-Geräte, etwa Router, Kameras oder smarte Haushaltsgeräte.
Solche Operationen verfolgen drei strategische Ziele: Sie reduzieren die aktuell verfügbare Angriffskapazität, erhöhen die Kosten und das Risiko für Betreiber und sensibilisieren Nutzer für die strafrechtlichen Konsequenzen. Im Rahmen von PowerOFF versenden Behörden Warnschreiben an zehntausende identifizierte Kunden der Dienste. Diese Maßnahmen sollen klarstellen, dass auch die bloße Nutzung von DDoS-for-Hire-Angeboten verfolgbar ist.
Praktische Empfehlungen: Wie sich Unternehmen gegen DDoS-Angriffe wappnen
Die Abschaltung von 53 Domains reduziert zwar kurzfristig das Angebot, beendet die Bedrohung durch DDoS-Angriffe aber nicht. Kriminelle weichen auf neue Domains, geschlossene Foren und verschlüsselte Messenger aus. Unternehmen sollten DDoS daher als dauerhaften Betriebsrisiko-Faktor begreifen und entsprechende Vorkehrungen treffen.
Spezialisierte DDoS-Schutzmaßnahmen einführen. Sinnvoll ist der Einsatz von Cloud-basierten Scrubbing-Centern und Anti-DDoS-Lösungen auf Provider-Ebene, die großvolumigen Traffic vor dem Unternehmensnetz filtern. Moderne Dienste kombinieren Signaturerkennung mit verhaltensbasierten Analysen, um auch neuartige Angriffsvektoren abzuwehren.
Regelmäßige, legale Lasttests durchführen. Unternehmen sollten ihre kritischen Anwendungen in Zusammenarbeit mit etablierten Sicherheitspartnern testen. Seriose Anbieter simulieren Angriffe kontrolliert und vertraglich abgesichert, ohne fremde Systeme zu beeinträchtigen – im Gegensatz zu anonymen „Stresser“-Plattformen.
Incident-Response-Plan für DDoS etablieren. Ein klar definierter Ablaufplan mit Kontaktketten zu Providern, CERTs und Strafverfolgungsbehörden verkürzt Reaktionszeiten. Wichtige Elemente sind Runbooks für Notfallkonfigurationen, vordefinierte Kommunikationsstrategien und regelmäßige Übungen.
Mitarbeitende sensibilisieren. IT- und Support-Teams sollten typische Symptome eines DDoS-Angriffs erkennen können – etwa plötzliche Latenzspitzen oder ungewöhnliche Traffic-Muster – und wissen, welche Erstmaßnahmen einzuleiten sind.
Operation PowerOFF sendet ein deutliches Signal: Die internationale Strafverfolgung erhöht den Druck auf Betreiber und Nutzer von DDoS-for-Hire-Diensten spürbar. Für Unternehmen ist jetzt ein geeigneter Zeitpunkt, die eigene DDoS-Resilienz systematisch zu überprüfen, Schutztechnologien zu modernisieren und interne Prozesse zu schärfen. Wer heute in proaktive Cybersicherheit, robuste Infrastrukturen und klar definierte Notfallpläne investiert, reduziert das Risiko kostspieliger Ausfälle und stärkt langfristig das Vertrauen von Kunden und Partnern.
