In unseren Erstberatungsgesprächen kommt häufig die Frage auf, wie viel Mitigationskapazität unsere Plattform hat oder haben kann. 5 Tbps? 10 Tbps? Mehr? Die Frage ist verständlich — die Schlagzeilen über Rekord-Angriffe suggerieren, dass genau das der entscheidende Faktor ist.
Wir lenken den Fokus typischerweise um. Erst auf die Statistiken — denn die Realität sieht anders aus als die Schlagzeilen. Dann auf die Fragen, die wirklich zählen: Wie viel dieser Kapazität gehört Ihnen? Was passiert, wenn ein anderer Kunde auf derselben Plattform angegriffen wird? Und was kostet es, wenn es Sie trifft?
Das 99. Perzentil
Die Daten sind eindeutig. Basierend auf öffentlich verfügbaren Statistiken großer Mitigationsanbieter (Cloudflare, Q1–Q4 2025) liegt die überwältigende Mehrheit aller DDoS-Angriffe weit unter den Zahlen, die in der Presse landen.
| Angriffsvektor | 99. Perzentil | Verbleibendes 1% | Rekord |
|---|---|---|---|
| Volumetrisch / Amplification | < 10 Gbps | 10–100 Gbps | 31,4 Tbps |
| Protokoll-Exhaustion (SYN/ACK) | < 1 Mpps | 1–100 Mpps | 9 Bpps |
| L7 HTTP Floods | < 1M req/s | 1–100M req/s | 205M req/s |
Beachten Sie die mittlere Spalte. 99 von 100 volumetrischen Angriffen sind kleiner als 10 Gbps. 99 von 100 SYN-Floods liegen unter 1 Mpps. Der typische DDoS-Angriff, der Ihr Unternehmen trifft, hat mit dem Rekord-Angriff ungefähr so viel gemeinsam wie ein Regenschauer mit einem Hurrikan.
Das heißt nicht, dass große Angriffe irrelevant sind. Es heißt, dass Ihr Bedrohungsmodell auf dem 99. Perzentil basieren sollte, vielleicht dem 99,9. Perzentil — nicht auf dem Rekord. Und wenn 99% aller Angriffe in dieser Größenordnung liegen, lautet die Frage nicht, ob Ihr Anbieter sie bewältigen kann. Sondern ob Ihr Anteil an der Plattform tatsächlich verfügbar ist, wenn Sie ihn brauchen.
Die Schlagzeilen-Angriffe
31,4 Tbps. Das klingt beeindruckend — und das soll es auch. Cloudflare, Akamai und andere veröffentlichen regelmäßig ihre Rekord-Mitigationen. Das ist gutes Marketing und liefert Schlagzeilen.
Was dabei untergeht: Diese Angriffe treffen fast ausschließlich globale Infrastruktur-Anbieter selbst oder deren größte Kunden. Sie werden von staatlich finanzierten Akteuren oder massiven Botnetzen erzeugt. Ein mittelständisches Unternehmen mit einem Online-Shop, einem Kundenportal oder einer SaaS-Anwendung ist nicht das Ziel solcher Angriffe.
Die Angriffe, die den Mittelstand treffen, kommen aus einer anderen Kategorie: 2–5 Gbps UDP-Floods, SYN-Floods mit ein paar hunderttausend Paketen pro Sekunde, HTTP-Floods mit einigen hunderttausend bis niedrigen Millionen Requests pro Sekunde aus günstigen Botnetzen. Nicht spektakulär, aber ausreichend, um ungeschützte Infrastruktur für Stunden lahmzulegen.
Wenn ein Anbieter Ihnen erzählt, er schütze Sie vor 100-Tbps-Angriffen, stellen Sie die Fragen, die nicht im Datenblatt stehen. Wie sieht meine Verfügbarkeit aus, wenn ein anderer Kunde auf derselben Plattform mit einem großen Angriff getroffen wird? Ist die Scrubbing-Kapazität für mich dediziert, oder teile ich sie mit hunderten anderen Mandanten? Und wenn etwas schiefgeht — kann ich einen Techniker anrufen, der mein Setup kennt, oder bin ich Ticket #47.291 in einer Warteschlange, die drei Wochen zur Eskalation braucht?
Die Antworten sind bei den meisten Shared-Plattformen vorhersehbar. Sie teilen sich alles. Der 50-Gbps-Angriff Ihres Nachbarn frisst Ihre Scrubbing-Kapazität auf. Und Support ist ein Callcenter im Ausland.
Wie Sie Ihren Schutz richtig dimensionieren
Die Tabelle oben liefert die Antwort: Dimensionieren Sie für das 99,9. Perzentil, nicht für den Rekord.
Das bedeutet konkret: Ihr DDoS-Schutz muss zuverlässig mit Angriffen bis 100 Gbps (volumetrisch), bis 100 Mpps (Protokoll) und bis 100M req/s (L7) umgehen können — die mittlere Spalte in der Tabelle oben. Das deckt 99,9% aller Angriffe ab, die Sie realistisch treffen werden. Aber „zuverlässig“ ist das Schlüsselwort — es heißt, dass die Kapazität für Sie verfügbar sein muss, nicht nur theoretisch auf einer Shared-Plattform existiert.
Für den verbleibenden Bruchteil brauchen Sie einen klaren Eskalationspfad — keinen Marketing-Spruch über unbegrenzte Kapazität. Ehrliche Fragen an Ihren Anbieter:
- Ist meine Scrubbing-Kapazität dediziert oder mit anderen Mandanten geteilt?
- Was passiert mit meinem Traffic, wenn ein anderer Kunde auf der Plattform angegriffen wird?
- Was passiert, wenn ein Angriff die lokale Edge-Kapazität übersteigt?
- Kann ich während eines Vorfalls einen Techniker anrufen, oder ist Support nur per Ticket?
- Wie schnell eskaliert L1-Support zu jemandem, der tatsächlich helfen kann?
- Was deckt L7-Schutz ab — nur Rate Limiting oder echte Bot-Erkennung?
Dediziert schlägt groß. Auf dem Papier sieht eine 100-Tbps-Shared-Plattform beeindruckender aus als ein dediziertes Setup mit 500 Gbps. In der Praxis ist das dedizierte Setup oft stabiler — weil die gesamte Kapazität Ihnen gehört. Keine Noisy Neighbors. Keine Überraschungseinbrüche, weil die Kampagne eines anderen Mandanten ein Botnet angelockt hat. Eine dedizierte Leitung, die 99,9% aller Angriffe abfängt, mit der Vorhersehbarkeit, die Shared-Plattformen nicht bieten können.
Support zählt mehr als Datenblätter. Während eines aktiven Angriffs wird der Unterschied zwischen einem direkten Anruf beim Anbieter und dem Warten in einer Ticket-Warteschlange in Stunden Downtime gemessen. Wenn Ihr DDoS-Mitigationsanbieter Support als Kostenstelle behandelt, erfahren Sie das im denkbar schlechtesten Moment. Fragen Sie nach dem Eskalationspfad, bevor Sie unterschreiben — nicht während des Vorfalls.
ZERO-PROTECT: DDoS-Schutz für den Mittelstand
10 Mitigationsschichten von BGP Flowspec bis WAF. Eigenes Netzwerk (AS215197), Direct Peering mit DE-CIX Frankfurt und AMS-IX.