Jedes DDoS-Verkaufsgespräch startet mit derselben Frage: Wie viele Tbps mitigieren Sie? Falsche Frage — die Antwort sagt nichts darüber aus, was an Ihrer Anwendung ankommt.
Wir wollten einen anderen Maßstab. Der DDoS Resiliency Score — ein offener Standard von Red Button Ltd. — ist das Nächstliegende, was die Branche dafür bietet. Wir liegen in der Selbstbewertung für ZERO-PROTECT bei DRS 6. Was das in Angreifer-Begriffen heißt — und wo die Skala aufhört nützlich zu sein.
Was der DRS eigentlich ist
Der DDoS Resiliency Score ist ein offener Standard, gepflegt von Red Button Ltd., einem DDoS-Testunternehmen. Er definiert sieben aufsteigende Stufen von Angreifer-Fähigkeit — analog zur Richterskala, jede Stufe exponentiell größer als die vorherige.
Es ist keine Zertifizierung. Es gibt keine Stelle, die einen DRS-6-Aufkleber vergibt. Der Standard steht unter GFDL — derselben Lizenz wie Wikipedia — und kann von jeder Organisation kostenfrei angewendet werden. Mehrere Mitigation-Anbieter publizieren ihren Score; wir sind einer davon.
Selbstbewertung funktioniert so: das Dokument lesen, die eigene Abwehr Vektor für Vektor durchgehen. Alternativ Red Button oder vergleichbare Firmen für einen externen Test beauftragen. Das Ergebnis ist dieselbe Zahl; der Unterschied ist, wer sie unterschreibt.
Die sieben Stufen in Angreifer-Begriffen
Jede Stufe bringt neue Angriffsvektoren und mehr Volumen. Die Nicknames im Standard beschreiben den Angreifer, nicht den Angriff:
| Level | Nickname | Wie das aussieht |
|---|---|---|
| 1 | Poking | Ein curl in der Schleife. Jeder mit einem Terminal. |
| 2 | Script Kiddy | Kostenlose Booter-Dienste. Gespoofte Source-IPs. Mietbar zum Preis eines Kaffees. |
| 3 | Basic | Reflection-Amplification (NTP, DNS, memcached). Standard-Repertoire der DDoS-for-Hire-Szene. |
| 4 | Sophisticated | Hunderttausende req/s, die Ihren Cache umgehen. Der Angreifer hat minimale Hausaufgaben gemacht. |
| 5 | Persistent | Millionen req/s. Headless Browser. Moderne HTTP/2-Angriffe (Rapid Reset, HTTP/2 Continuation). Slow POST. Der Angreifer hat Werkzeug. |
| 6 | Extreme | 5M req/s. 50.000-Bot-Netzwerke. Cache-Bypass. Fingerprint-Rotation. Der Angreifer kennt Ihre Origin-IP und greift sie direkt an. Werkzeug und Budget. |
| 7 | State-Sponsored | 25M req/s. 1M Bots. 5 Tbps. Selten in der Praxis. |
Die meisten realen Angriffe liegen bei Stufe 3 oder 4 — unter einer Million Anfragen pro Sekunde. Stufe 5 ist der Long-Tail; aktuelle 2025-Daten von Cloudflare und Radware verorten sie bei etwa 5% der HTTP-Angriffe. Die Schlagzeilen über Rekord-Angriffe beschreiben typischerweise Stufe-7-Kampagnen gegen Hyperscaler — nicht das Bedrohungsmodell des durchschnittlichen Betreibers.
Das Engineering ändert sich bei Stufe 6. Darunter helfen Block-Listen nach IP, ASN, Geo oder einfaches Rate-Limiting bei den meisten Problemen. Bei Stufe 6 helfen diese Werkzeuge nicht mehr. Der Angreifer hat genug Infrastruktur durchrotiert, dass auf Eigenschaften verteidigt werden muss, die nicht billig rotieren: TLS-Fingerprints, Request-Verhalten, Arbeits-Proof-Challenges, die der Angreifer tatsächlich rechnen muss.
Hier investieren die meisten Anbieter entweder massiv — oder degradieren leise.
Wo ZERO-PROTECT liegt
Wir bewerten ZERO-PROTECT in der Selbstbewertung mit DRS 6 — „Extrem“. Abgedeckt:
- Anhaltende Angriffe mit 5 Mio. Anfragen pro Sekunde
- Bot-Netzwerke mit 50.000+ Source-IPs
- Cache-umgehende Muster (randomisierte URLs, Query-Parameter)
- Fingerprint-Rotation, die per-Fingerprint-Rate-Limits aushebelt
- Direct-IP-Vektoren, bei denen der Angreifer Ihre Origin kennt und unter Umgehung des Edge angreift
Das ist dasselbe Band, das „Extrem“ bei den öffentlich publizierten DRS-Scores der Branche abdeckt. Es absorbiert jeden kommerziell verfügbaren Booter-Dienst, den wir gesehen haben, jede Erpressungs-Kampagne, die wir im Feld beobachtet haben, und jede typische Aktivisten-Gruppen-Kampagne der letzten Jahre.
„Selbstbewertet“ ist der ehrliche Zusatz. Der Standard ist öffentlich, jeder kann die Argumentation nachvollziehen. Wir haben Red Button nicht für einen externen Test bezahlt. Falls dieser Unterschied für Ihre Beschaffung relevant ist, können wir über eine externe Auditierung reden.
Warum Selbstbewertung Tbps-Aussagen schlägt
Die Tbps-Zahlen auf Marketing-Seiten beschreiben die globale Scrubbing-Kapazität eines Anbieters über alle PoPs summiert. Nützlich für Pressemitteilungen. Nutzlos für die Dimensionierung Ihres Schutzes.
Was tatsächlich zählt, wenn ein Angriff einschlägt: wie viel Kapazität am konkreten Edge-Standort steht, an dem Ihr Traffic ankommt, welche Filter davor laufen und ob gemeinsam genutzte Kund:innen aus demselben Pool ziehen. Nichts davon reduziert sich auf eine Zahl.
Die DRS-Stufen sind eine brauchbare Annäherung, weil sie die Angriffsklasse beschreiben, der standgehalten werden kann — nicht das Aggregat, das installiert wurde. Ein Anbieter mit 200 Tbps globaler Scrubbing-Kapazität und einer DRS-4-Decke verliert gegen Stufe-5-Angriffe weit unter 200 Tbps. Die Headline-Zahl hilft nicht.
Wenn ein Anbieter Ihnen seinen DRS-Score nicht nennen kann — selbst- oder fremdbewertet — misst er sich entweder nicht selbst, oder die Antwort würde nicht in die Broschüre passen.
Wo die Skala endet
Stufe 7 heißt „staatlich gesponsert“. 25 Millionen Anfragen pro Sekunde, eine Million-Bot-Armee, 5 Terabit pro Sekunde auf der Leitung. Selten in der Praxis, und nicht das Bedrohungsmodell eines mittelständischen Betreibers, einer Hausverwaltung oder eines regionalen Stadtwerks.
Wir beanspruchen Stufe 7 nicht. Wer Stufe 7 mit eigener Edge-Infrastruktur allein behauptet, überspannt den Bogen — anhaltende 5-Tbps-Absorption braucht eine Multi-Tbps-Scrubbing-Federation, und selbst die braucht Sekunden zum Konvergieren. Falls Ihr reales Bedrohungsmodell Stufe 7 einschließt, brauchen Sie eine andere Architektur — und wir wären die Ersten, die Ihnen das sagen.
Für alle anderen: Stufe 6 ist das Band, das zählt. Es ist die praktische Decke der kommerziell verfügbaren Angriffs-Tools.
Die eine Frage, die sich lohnt
Verwenden Sie den DRS als Sanity-Check bei jedem DDoS-Anbieter-Gespräch. Drei Fragen reichen, um den meisten Marketing-Smog zu entlüften:
- Wie ist Ihr DRS-Score?
- Selbstbewertet oder extern geprüft?
- Welche Angriffsvektoren liegen außerhalb?
Die Antwort sagt mehr über den Anbieter als eine fünfzig-Folien-Präsentation. Den Standard selbst finden Sie unter ddosresiliencyscore.org — das Dokument hat keine 30 Seiten.
ZERO-PROTECT läuft auf unserem eigenen Netz (AS215197), in Deutschland, BSI-qualifiziert, mit selbstbewertetem DRS 6. Wer über sein Bedrohungsmodell sprechen will, dem nimmt das Team den Anruf entgegen, das die Plattform betreibt.