DDoS-Angriffe (Distributed Denial of Service) haben sich zu einer alltäglichen Bedrohung für Schweizer KMU entwickelt: Das Bundesamt für Cybersicherheit (BACS) verzeichnete 2024 einen Anstieg der gemeldeten DDoS-Angriffe in der Schweiz um 42% gegenüber dem Vorjahr. Ein einziger DDoS-Angriff kann einen Online-Shop, eine Unternehmenswebsite oder kritische Geschäftsanwendungen für Stunden oder Tage vollständig lahmlegen — mit direkten Umsatzeinbussen, Reputationsschäden und Kosten, die für ein KMU existenzbedrohend sein können.

Was ist ein DDoS-Angriff?

Bei einem Distributed Denial of Service (DDoS) Angriff überfluten Angreifer ein Zielsystem — eine Website, einen Server, eine Netzwerkinfrastruktur — mit einer solchen Menge an Anfragen oder Datenpaketen, dass das System zusammenbricht und legitimen Nutzern den Dienst verweigert. “Distributed” bedeutet dabei, dass der Angriff von Tausenden oder Hunderttausenden von infizierten Geräten gleichzeitig ausgeht — einem sogenannten Botnet.

Moderne DDoS-Angriffe sind nicht nur volumetrisch brutal, sondern auch zunehmend intelligent: Sie imitieren legitimen Traffic, wechseln Angriffsvektoren dynamisch und zielen auf spezifische Schwachstellen in Anwendungen ab.

Die drei Haupttypen von DDoS-Angriffen

1. Volumetrische Angriffe

Volumetrische Angriffe sind die klassischste Form. Ziel ist es, die gesamte verfügbare Bandbreite des Opfers zu überlasten. Typische Methoden:

UDP Flood: Angreifer senden massenhaft UDP-Pakete (User Datagram Protocol) an zufällige Ports des Zielsystems. Da UDP keine Verbindungsbestätigung erfordert, kann das Ziel mit minimalem Aufwand überwältigt werden.

DNS Amplification: Angreifer nutzen öffentliche DNS-Server als Verstärker. Eine kleine Anfrage erzeugt eine viel grössere Antwort, die an das Ziel weitergeleitet wird — Amplifikationsfaktoren von bis zu 10’000 sind möglich.

ICMP Flood (Ping Flood): Massenhafter Einsatz von ICMP-Echo-Anfragen (Ping) überfordert die Netzwerkkapazität des Ziels.

Aktuelle volumetrische Angriffe erreichen Volumen von mehreren Terabit pro Sekunde — eine Grössenordnung, gegen die kein KMU ohne externe Schutzmassnahmen bestehen kann.

2. Protokollangriffe

Protokollangriffe zielen nicht auf die Bandbreite, sondern auf die Verarbeitungskapazität von Netzwerkgeräten und Servern ab.

SYN Flood: Angreifer senden massenhaft TCP-SYN-Pakete (Verbindungsanfragen), ohne den Handshake abzuschliessen. Der Server hält halboffene Verbindungen vor, bis seine Kapazität erschöpft ist.

Ping of Death: Überdimensionierte oder manipulierte Pakete bringen Netzwerkgeräte zum Absturz.

Smurf Attack: Angreifer missbrauchen ICMP-Broadcasts, um eine Lawine von Antwortpaketen auf das Ziel zu lenken.

3. Application Layer Angriffe (Layer 7)

Application Layer Angriffe sind die raffiniertertste und gefährlichste Form. Sie zielen auf Schwachstellen in Webapplikationen und -diensten ab und sind besonders schwer von legitimem Traffic zu unterscheiden.

HTTP Flood: Angreifer simulieren normale Webbrowser-Anfragen in enormem Umfang. Da jede Anfrage auf den ersten Blick legitim wirkt, sind diese Angriffe schwer zu filtern.

Slowloris: Diese Technik hält HTTP-Verbindungen künstlich offen, indem unvollständige Anfragen in kleinen Häppchen gesendet werden. Der Webserver kann keine neuen Verbindungen annehmen.

HTTPS Flood: Verschlüsselte HTTPS-Anfragen erfordern für ihre Entschlüsselung Rechenleistung — ein Angriff mit verschlüsselten Anfragen belastet den Server stärker als ein unverschlüsselter Flood.

“Application Layer DDoS-Angriffe sind die neue Waffe der Wahl. Sie sind günstiger durchzuführen, schwerer zu erkennen und richten mehr Schaden an als reine Volumenangriffe. Schweizer KMU unterschätzen diese Gefahr massiv.”

— Sicherheitsexperte, Swisscom Threat Intelligence

DDoS-Angriffe in der Schweiz: Aktuelle Lage

Zahlen und Fakten

  • 42% Anstieg der gemeldeten DDoS-Angriffe in der Schweiz im Jahr 2024 (BACS Jahresbericht 2024)
  • CHF 23’000 beträgt der durchschnittliche direkte Schaden eines DDoS-Angriffs auf ein KMU in der Schweiz (Schätzung basierend auf Ausfallzeiten und Reaktionskosten)
  • 73% aller DDoS-Angriffe dauern weniger als 10 Minuten — aber die damit verbundenen Reaktions- und Wiederherstellungskosten können tagelang anfallen
  • DDoS-for-Hire-Dienste sind ab wenigen Dollar pro Stunde im Darknet erhältlich — die Hemmschwelle für Angreifer ist extrem niedrig

Bekannte DDoS-Angriffe gegen Schweizer Ziele

2023 — Schweizer Parlamentswebsite: Die Hackergruppe NoName057(16) legte im Vorfeld der Rede des ukrainischen Präsidenten Selenski vor dem Nationalrat die Website des Schweizer Parlaments mit einem DDoS-Angriff lahm. Der Angriff dauerte mehrere Stunden.

2022 — Schweizer Banken und Behörden: Eine Welle koordinierter DDoS-Angriffe traf mehrere Schweizer Banken, Versicherungen und Bundesbehörden. PostFinance, Raiffeisen und mehrere Kantonswebsites waren zeitweise nicht erreichbar.

2023 — Schweizer Flughafen: Der Flughafen Zürich meldete eine DDoS-Attacke, die vorübergehend die öffentlich zugänglichen Informationssysteme beeinträchtigte.

Diese Vorfälle zeigen: DDoS-Angriffe treffen nicht nur grosse Konzerne. Zunehmend sind politisch motivierte Hackergruppen bereit, jedes Ziel in der Schweiz anzugreifen.

DDoS-for-Hire: Die Demokratisierung des Cyberangriffs

Eines der beunruhigendsten Trends ist die Verfügbarkeit von DDoS-as-a-Service-Angeboten im Darknet. Für wenige Dollar pro Stunde kann jedermann — ohne technische Kenntnisse — einen DDoS-Angriff auf ein beliebiges Ziel beauftragen. Motive reichen von Wettbewerbssabotage und Erpressung bis hin zu persönlicher Vendetta.

Besonders KMU mit saisonalen Geschäftsspitzen (E-Commerce vor Weihnachten, Buchungsportale in der Hochsaison) sind attraktive Erpressungsziele: “Zahlen Sie CHF 5’000 oder wir legen Ihren Shop am Black Friday lahm.”

Schutz vor DDoS-Angriffen: Massnahmen für Schweizer KMU

Schutzstufe 1: Grundlegende Härtung der eigenen Infrastruktur

Bevor Sie in externe Schutzdienste investieren, sollten Sie Ihre eigene Infrastruktur optimieren:

Rate Limiting: Begrenzen Sie die Anzahl der Anfragen, die eine einzelne IP-Adresse pro Zeiteinheit stellen kann. Dies hilft gegen einfache Flood-Angriffe und Slowloris.

Anycast-Netzwerke: Wenn Sie eigene Server betreiben, verteilen Sie Traffic über mehrere geografische Standorte. Ein Angriff, der auf einen Standort zielt, wird so auf mehrere Knoten aufgeteilt.

Überkapazität: Dimensionieren Sie Ihre Infrastruktur mit einem Puffer für Lastspitzen. Dies hilft zwar nicht gegen grosse Angriffe, gibt Ihnen aber Zeit zur Reaktion.

Firewall-Regeln: Implementieren Sie Firewall-Regeln, die bekannte Angriffsmuster blockieren und geografische Filterung ermöglichen.

Blackholing als letzter Ausweg: Im Notfall kann der gesamte Traffic zu einer angegriffenen IP-Adresse “ins Nirgendwo” umgeleitet werden. Dies beendet den Angriff, macht aber auch das eigene System unerreichbar.

Schutzstufe 2: Externe DDoS-Schutzdienste

Für die meisten KMU ist externer DDoS-Schutz die einzig praktikable Lösung gegen ernsthafte Angriffe.

Cloudflare (Magic Transit / Pro/Business Plans) Cloudflare ist der weltweit grösste DDoS-Schutzdienst mit Kapazitäten von über 250 Terabit pro Sekunde. Die Basisversion (Free Plan) bietet bereits grundlegenden Schutz für Websites. Business-Pläne (ab ca. CHF 200/Monat) bieten erweiterter Schutz für KMU.

Vorteile: Einfache Einrichtung (DNS-Änderung genügt), globales Netzwerk, kostenlose Basisversion. Nachteile: Alle Daten laufen über amerikanische Infrastruktur — Datenschutzbedenken für sensible Geschäftsdaten.

Akamai Prolexic Akamai bietet Enterprise-grade DDoS-Schutz mit 24/7-SOC (Security Operations Center). Besonders stark bei Application Layer Angriffen. Preise beginnen ab ca. USD 5’000/Monat — eher für grössere KMU und Mittelständler geeignet.

Radware Radware bietet flexible Schutzlösungen auch für KMU, mit hybriden Deployment-Optionen (Cloud + On-Premises). Besonders interessant für Unternehmen mit hohen Datenschutzanforderungen.

Swiss Provider: Init7 Scrubbing Center Der Schweizer Provider Init7 bietet ein lokales DDoS-Scrubbing-Center — für Unternehmen, die aus Datenschutzgründen bevorzugen, dass ihr Traffic durch schweizerische Infrastruktur bereinigt wird. Dies ist besonders relevant im Kontext des nDSG.

Swisscom und Sunrise Business Protection Beide grossen Schweizer Carrier bieten ihren Geschäftskunden DDoS-Schutz als Add-on. Vorteil: Der Schutz greift bereits beim Provider, bevor schädlicher Traffic Ihre Infrastruktur erreicht.

Schutzstufe 3: Content Delivery Networks (CDN)

Ein CDN (Content Delivery Network) verteilt statische Inhalte Ihrer Website auf Server weltweit. DDoS-Traffic wird so auf viele Knoten aufgeteilt, was volumetrische Angriffe erheblich abschwächt. CDNs wie Cloudflare, Fastly oder AWS CloudFront bieten diese Funktionalität.

Incident Response Plan

Kein Schutz ist perfekt. Jedes KMU sollte einen DDoS-Incident-Response-Plan haben:

  1. Erkennung: Wie erfahren Sie von einem laufenden Angriff? Monitoring und Alerting sind essenziell.
  2. Erste Reaktion: Wer ist im Unternehmen verantwortlich? Wer muss informiert werden?
  3. Technische Gegenmassnahmen: Welche Massnahmen können Sie sofort ergreifen?
  4. Externe Hilfe: Wann kontaktieren Sie Ihren Provider oder einen Sicherheitsdienstleister?
  5. Kommunikation: Wie informieren Sie Kunden über Ausfälle?
  6. Meldung: DDoS-Angriffe können beim BACS gemeldet werden.

Eine gründliche Checkliste für den Umgang mit Sicherheitsvorfällen finden Sie in unserer Cybersecurity-Checkliste für KMU.

Kosten und wirtschaftliche Auswirkungen von DDoS-Angriffen

Direkte Kosten

Umsatzeinbussen: Ein E-Commerce-Shop, der während eines Black-Friday-DDoS-Angriffs für 6 Stunden nicht erreichbar ist, verliert unter Umständen CHF 50’000 oder mehr an Umsatz.

Reaktionskosten: IT-Fachkräfte, externe Sicherheitsberater und Overtime kosten schnell CHF 5’000 bis 20’000 pro Vorfall.

Infrastrukturkosten: Notfall-Bandbreite, zusätzliche Server-Kapazität und kurzfristig gebuchte Schutzdienste erhöhen die Kosten weiter.

Indirekte Kosten

Reputationsschaden: Kunden, die Ihre Website nicht erreichen können, wechseln zum Konkurrenten. Eine IBM-Studie zeigt, dass 60% der betroffenen Kunden nach einem schwerwiegenden Ausfall keine zweite Chance geben.

SEO-Auswirkungen: Suchmaschinen registrieren Ausfälle. Ranking-Verluste nach einem längeren DDoS-Angriff können Monate anhalten.

Vertragliche Konsequenzen: Unternehmen mit SLA-basierten Verträgen riskieren Vertragsstrafen, wenn die vereinbarte Verfügbarkeit nicht eingehalten wird.

Gesamtschaden

Der durchschnittliche Gesamtschaden eines DDoS-Angriffs auf ein KMU beträgt laut Corero Network Security zwischen USD 50’000 und USD 120’000 — wenn man direkte und indirekte Kosten zusammenrechnet.

DDoS im Kontext der Gesamtsicherheit

DDoS-Angriffe werden oft als Ablenkungsmanöver eingesetzt: Während das IT-Team mit dem Ausfall beschäftigt ist, startet der eigentliche Angriff — ob Ransomware oder Datendiebstahl. Dieses Muster macht DDoS zu einem Teil eines grösseren Bedrohungsbildes, das einen vollständigen Sicherheitsansatz erfordert.

Besonders Phishing und DDoS werden häufig kombiniert eingesetzt. Mitarbeitende, die durch den Druck eines laufenden Angriffs gestresst sind, klicken häufiger auf verdächtige Links.

Für Unternehmen im regulierten Bereich — insbesondere im Finanzsektor — gelten besondere Anforderungen an die Resilienz gegenüber DDoS-Angriffen. Mehr dazu in unserem Beitrag zur Cybersecurity im Finanzsektor Schweiz.

Red Teaming und DDoS-Resilienz

“DDoS-Resilienz ist keine Frage von mehr Bandbreite — es ist eine Frage der Architektur, der Prozesse und der Reaktionsfähigkeit. Red Teaming testet genau diese drei Dimensionen unter realistischen Bedingungen.”

— Red Team Spezialist, SWITCH Security

Klassische Penetrationstests simulieren in der Regel keinen DDoS-Angriff, da das Ziel ist, Systeme nicht zu beschädigen. Red Teaming kann hingegen folgende DDoS-relevante Aspekte testen:

Resilienz-Assessment: Das Red Team analysiert Ihre Infrastruktur auf Engpässe und Single Points of Failure, die bei einem DDoS-Angriff besonders anfällig wären.

Incident Response Testing: Das Red Team simuliert einen Angriff und beobachtet, wie schnell und effektiv Ihr Team reagiert. Schwachstellen im Response-Prozess werden so sichtbar, bevor ein echter Angriff kommt.

Ablenkungsmanöver-Simulation: Das Red Team führt einen simulierten DDoS durch (bei vereinbarter Schutzumgebung) und prüft gleichzeitig, ob Ihr SOC auch dann andere Angriffsvektoren erkennt.

Firewall- und Rate-Limiting-Tests: Das Red Team prüft, ob Ihre konfigurierten Schutzmechanismen tatsächlich wirksam sind.

Den Unterschied zwischen verschiedenen Testansätzen erklärt unser Artikel Red Teaming vs. Penetrationstest.

Fazit

DDoS-Angriffe sind in der Schweiz zur Normalität geworden — nicht nur für grosse Konzerne, sondern zunehmend auch für KMU. Die Verfügbarkeit von DDoS-for-Hire-Diensten im Darknet hat die Hemmschwelle für Angreifer auf ein Minimum gesenkt. Gleichzeitig ist der wirtschaftliche Schaden eines erfolgreichen Angriffs für ein KMU potenziell existenzbedrohend.

Die gute Nachricht: Effektiver DDoS-Schutz ist auch für KMU erschwinglich und umsetzbar. Externe Schutzdienste wie Cloudflare, kombiniert mit einer gehärteten Infrastruktur, einem klaren Incident-Response-Plan und regelmässigen Tests, reduzieren das Risiko erheblich.

Wie gut ist Ihre Infrastruktur auf einen DDoS-Angriff vorbereitet? Ein professionelles Red Teaming testet Ihre DDoS-Resilienz und Ihren Incident-Response-Prozess — bevor ein echter Angreifer es tut. Fordern Sie jetzt eine unverbindliche Erstberatung an.