Cloudflare hat die 24. Ausgabe seines Quarterly DDoS Threat Reports veröffentlicht und analysiert darin die Entwicklungen im 4. Quartal 2025. Das Fazit: Die weltweite DDoS-Bedrohungslage hat sich 2025 deutlich verschärft – sowohl in der Anzahl der Angriffe als auch in deren Intensität. Im Gesamtjahr 2025 verzeichnete Cloudflare 47,1 Millionen DDoS-Angriffe, womit sich das Angriffsgeschehen mehr als verdoppelt hat (2024: 21,3 Millionen). Das entspricht einem Anstieg von 121 % innerhalb eines Jahres. Zum Vergleich: 2023 lag die Zahl der registrierten DDoS-Angriffe noch bei 14 Millionen. Insgesamt musste Cloudflare 2025 im Durchschnitt 5.376 DDoS-Angriffe pro Stunde abwehren.
Besonders stark wuchs die Zahl der DDoS-Angriffe auf Netzwerkebene. Diese nahmen 2025 im Jahresvergleich mehr als um das Dreifache zu: Cloudflare mitigierte 34,4 Millionen Netzwerkebenen-Angriffe gegenüber 11,4 Millionen im Jahr 2024. Ein erheblicher Anteil (etwa etwa 13,5 Millionen) entfiel dabei auf Angriffe gegen die globale Internet-Infrastruktur, die durch Cloudflare Magic Transit und die Infrastruktur von Cloudflare generell geschützt ist. In einem 18-tägigen Angriffsgeschehen im ersten Quartal 2025 richteten sich 6,9 Millionen Angriffe gegen Magic Transit-Kunden, die restlichen 6,6 Millionen direkt gegen Cloudflare. Die Angriffe umfassten mehrere Vektoren, darunter SYN-Floods, Mirai-generierte Attacken sowie SSDP-Amplification-Angriffe. Bemerkenswert: Cloudflare stellte nach eigenen Angaben fest, dass diese Angriffe automatisiert abgewehrt wurden, ohne dass menschliches Eingreifen erforderlich war.
Im 4. Quartal 2025 setzte sich der Trend fort: Die Gesamtzahl der DDoS-Angriffe stieg um 31 % gegenüber dem Vorquartal und um 58 % im Jahresvergleich. Treiber waren erneut Netzwerkebenen-Angriffe, die im vierten Quartal 78 % aller DDoS-Angriffe ausmachten. Insgesamt registrierte Cloudflare in Q4 8,5 Millionen Netzwerkebenen-Angriffe. Während die Menge der HTTP-DDoS-Angriffe im Quartal stabil blieb, nahmen diese deutlich an Größe zu und erreichten erneut Dimensionen, wie sie zuletzt während der HTTP/2 Rapid Reset-Kampagne 2023 beobachtet wurden.
Ein zentrales Ereignis des Quartals war die von Cloudflare als „The Night Before Christmas“ bezeichnete Angriffswelle des Aisuru/Kimwolf-Botnets. Die Kampagne, die am 19. Dezember 2025 anfing, richtete sich sowohl gegen Cloudflare-Kunden als auch gegen Cloudflares Infrastruktur. Neu war hier vor allem das Ausmaß der Attacken: Das Botnetz nutzte hypervolumetrische HTTP-DDoS-Angriffe mit Raten von über 20 Millionen Anfragen pro Sekunde (Mrps).
Die während der Kampagne aufgezeichneten Höchstwerte lagen bei 9 Bpps, 24 Tbps und 205 Mrps. Um dies in Relation zu setzen: Das Ausmaß eines DDoS-Angriffs mit 205 Mrps ist vergleichbar mit der Gesamtbevölkerung Großbritanniens, Deutschlands und Spaniens, die gleichzeitig eine Website-Adresse eingibt und schließlich im selben Moment die Eingabetaste drückt.
Auch bei den Branchen und Regionen lassen sich deutliche Verschiebungen erkennen. Die Telekommunikationsbranche stieg im vierten Quartal zum am häufigsten angegriffenen Sektor auf und überholte damit die IT- und Dienstleistungsbranche. Die am stärksten angegriffenen Branchen zeichnen sich oft durch ihre Bedeutung als Teil der kritischen Infrastruktur, als zentrales Rückgrat für andere Unternehmen oder durch ihre unmittelbare, hohe finanzielle Anfälligkeit gegenüber Ausfällen und Latenzzeiten aus.
Regional betrachtet bleibt das Angriffsgeschehen zwar in Teilen stabil – unter den Top-Zielen finden sich weiterhin u. a. China, Deutschland, Brasilien und die USA –, gleichzeitig gab es auffällige Sprünge: Hongkong machte im Ranking der weltweit meistangegriffenen Ziele zwölf Plätze gut und stieg auf Rang 2 auf. Die größere Überraschung war jedoch der Aufstieg von Großbritannien, das in diesem Quartal um erstaunliche 36 Plätze nach oben kletterte und damit zum sechsthäufigsten Angriffsziel avancierte.
Bei den Angriffsquellen verlor Indonesien nach einem Jahr an der Spitze seine Position und fiel auf Rang 3 zurück. Bangladesch wurde im vierten Quartal 2025 zur größten Quelle von DDoS-Angriffen, während Argentinien um 20 Plätze auf Rang 4 sprang. Gleichzeitig stieg Ecuador um zwei Plätze auf und stellt nun die zweitgrößte Quelle dar. Cloudflare hebt zudem hervor, dass sich die Top-Angriffsquellen zunehmend auf große und leistungsfähige Netzwerkinfrastrukturen stützen – darunter insbesondere Cloud- und Hosting-Plattformen sowie Telekommunikationsanbieter.
Insgesamt zeigt der Bericht eine weitere Eskalation der globalen DDoS-Bedrohung – sowohl hinsichtlich der Anzahl als auch der Stärke der Angriffe. Die Ergebnisse unterstreichen die wachsenden Herausforderungen für Unternehmen, Betreiber kritischer Infrastrukturen und Internetdienstleister weltweit. Betriebe, die derzeit noch auf On-premise Mitigation und On-Demand-Scrubbing-Center setzen, sollten ihre Verteidigungsstrategie dringend überdenken.
