{"id":31882,"date":"2026-03-18T13:39:56","date_gmt":"2026-03-18T12:39:56","guid":{"rendered":"https:\/\/zero.bs\/?p=31882"},"modified":"2026-05-13T16:11:45","modified_gmt":"2026-05-13T14:11:45","slug":"certainity-interview-ddos","status":"publish","type":"post","link":"https:\/\/zero.bs\/en\/certainity-interview-ddos\/","title":{"rendered":"Interview CERTAINITY"},"content":{"rendered":"
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"DDoS\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

\u201eDDoS ist so einfach wie eine Scheibe einzuschlagen\u201c<\/h3>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t
18. M\u00e4rz 2026 \u2013 Interview von Laura Kaltenbrunner, CERTAINITY, mit Markus Manzke, CTO \/ zeroBS<\/h6>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Zero Bullshit \u2013 der Name ist Programm. 2017 gegr\u00fcndet hat sich zeroBS ganz auf das Thema DDoS-Resilienz spezialisiert. Statt selbst Schutzl\u00f6sungen zu verkaufen, konzentriert sich das Unternehmen darauf, Systeme und Organisationen auf Angriffe vorzubereiten, sie gezielt zu testen und anschlie\u00dfend die richtigen Ma\u00dfnahmen abzuleiten. Neben klassischen DDoS-Tests bietet zeroBS auch Architekturberatung und mit einer eigenen Plattform sogar die M\u00f6glichkeit, Angriffe selbst zu simulieren \u2013 DDoS-as-a-Service sozusagen. In unserem Interview gibt uns Markus Manzke, CTO von zeroBS, Einblick in die aktuellen Entwicklungen im Bereich DDoS, erkl\u00e4rt, warum diese Angriffsform so gef\u00e4hrlich ist \u2013 und wie Unternehmen sich effektiv darauf vorbereiten k\u00f6nnen.<\/em><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t
Laura Kaltenbrunner: Beginnen wir ganz grundlegend: Was genau ist eigentlich ein DDoS-Angriff \u2013 und wie unterscheidet er sich von anderen Cyber-Attacken? <\/h6>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Markus Manzke:<\/strong> Ganz einfach gesagt: DDoS ist ein \u00dcberlastungsangriff. Man versucht, so viel Traffic auf ein Netzwerk oder eine Applikation zu schie\u00dfen, dass kein legitimer Traffic mehr durchkommt. Man kann sich das so vorstellen: Aldi hat fr\u00fcher superg\u00fcnstige, superstarke PCs verkauft. Alle sind gleichzeitig hingelaufen und haben sich darum gerissen. Am Ende kam dadurch aber dann keiner mehr rein.<\/p>

Das ist im Grunde ein DDoS-Angriff. Also: Extrem viele Anfragen an ein System, so stark, dass das System nicht mehr alle beantworten kann und selbst die echten Nutzer nicht mehr durchkommen.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t
Laura Kaltenbrunner: Was macht DDoS so besonders? <\/h6>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Markus Manzke:<\/strong> DDoS ist die Waffe des kleinen Mannes. Jeder kann einen DDoS-Angriff f\u00fcr 10 Euro kaufen oder selbst durchf\u00fchren. Ich muss nicht \u2013 wie bei anderen Cyberangriffen \u2013 in ein Netzwerk eindringen oder mich irgendwo durchk\u00e4mpfen. DDoS ist so einfach wie eine Scheibe einzuschlagen.<\/p>

Und es funktioniert theoretisch bei jedem Unternehmen, das sich nach au\u00dfen exponiert. Am leichtesten geht es nat\u00fcrlich bei ungesch\u00fctzten Systemen \u2013das kann buchst\u00e4blich jeder 16-J\u00e4hrige mit etwas krimineller Energie.<\/p>

Der Effekt ist aber gro\u00df: Stell dir vor, jemand schie\u00dft die elektronische Gesundheitsakte ab \u2013 kein Arzt kann mehr etwas eintragen. Die Auswirkungen auf die Gesellschaft sind massiv.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t
Laura Kaltenbrunner: Wie hat sich die Bedrohungslage in den letzten Jahren ver\u00e4ndert? <\/h6>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Markus Manzke:<\/strong> In der Form, wie wir sie heute kennen, gibt es DDoS-Angriffe seit etwa 2010. Damals haben Gruppen wie Anonymous gezeigt: Wenn sich Tausende zusammenschlie\u00dfen und gleichzeitig auf ein Ziel schie\u00dfen, um es offline zu nehmen, dann schaffen sie es auch.<\/p>

Ab 2013 wurde das dann zu einem echten Business. Seit rund zehn Jahren ist das Angebot f\u00fcr derartige Angriffe relativ stabil \u2013 wenn zehn Anbieter verschwinden, tauchen zwanzig neue auf. Was sich aber ge\u00e4ndert hat, ist die geopolitische Lage. Covid, Russland, Israel \u2013 all das hatte Auswirkungen. Staatsnahe DDoS-Gruppen wurden vielf\u00e4ltiger.<\/p>

Zudem k\u00f6nnen kleinere Gruppen heute deutlich mehr. Sie lernen von den Gro\u00dfen wie z.B. Killnet. Die haben die russische Invasion in der Ukraine hacktivistisch begleitet, waren erfolgreich in den Medien, und viele kleine Gruppen haben sich das abgeschaut.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t
Laura Kaltenbrunner: Wie sieht es auf Seiten der Verteidiger aus? <\/h6>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Markus Manzke:<\/strong> Auf der Verteidigungsseite sind wir bei klassischen Volumenangriffen gut aufgestellt \u2013 wenn man Schutz hat und den regelm\u00e4\u00dfig testet. Da kommt kaum noch was durch. Schwieriger wird es bei Applikationen. Eine Bank hat heute zig Services nach au\u00dfen – das alles ist Angriffsoberfl\u00e4che. Und je mehr Applikationen und Angriffsoberfl\u00e4chen, desto komplexer wird es auch.<\/p>

Ein Beispiel: Wir hatten eine Architekturberatung und es sah alles recht gut aus, bis wir gemerkt haben \u2013 Jira, eigentlich nur f\u00fcr intern gedacht, war \u00fcber eine Firewall nach au\u00dfen hin offen. Ein Angreifer konnte dadurch die zentrale Firewall in Mitleidenschaft ziehen und damit gleich mehrere damit verbundene Systeme besch\u00e4digen.<\/p>

Die eigentliche Herausforderung auf Verteidigerseite ist also heutzutage zu verstehen, wie alles miteinander verbunden ist.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t
Laura Kaltenbrunner: Was genau passiert bei eurer Architekturberatung?<\/h6>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Markus Manzke:<\/strong> Wir schauen uns an, was ein Angreifer von au\u00dfen sieht \u2013 und wie der Datenfluss bis zur Applikation l\u00e4uft und zur\u00fcck. Dann pr\u00fcfen wir die Angriffsoberfl\u00e4che: Wo k\u00f6nnte jemand angreifen, und was passiert, wenn er das tut?<\/p>

Ein Beispiel f\u00fcr einen kritischen Angriff mit unvorhergesehenen Folgen: Viele Unternehmen haben ein geregeltes Access Management mit 2-Faktor-Authentifizierung auf allen Applikationen. Wenn ich zuerst das 2-Faktor-Authentifizierungs-System abschie\u00dfe, kommt kein Mitarbeiter mehr in seine Applikationen rein. Dann kann der Angreifer sich in Ruhe weitere Ziele aussuchen, weil gerade sowieso keiner mehr Zugriff hat.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t
Laura Kaltenbrunner: Aktuell h\u00f6rt man viel von Gruppen wie NoName057(16). Welche Rolle spielen die?<\/h6>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Markus Manzke:<\/strong> Die sind eine Stufe \u00fcber den 10-Euro-Angriffen aus dem Internet, aber nicht die gef\u00e4hrlichsten. NoName ist jedoch eine der aktivsten Gruppen \u2013 sie machen seit zwei Jahren fast t\u00e4glich Angriffe. Die haben eine richtige Infrastruktur inklusive Bonus-System aufgebaut. So vergeben sie beispielsweise Bonus-Auszahlungen in Form von Kryptow\u00e4hrungen an die, die am meisten Angriffe ausf\u00fchren.<\/p>

Ihr Modus Operandi: Jede Woche ein anderes Land. Sie greifen dort viel Logistik, Flugh\u00e4fen, Banken oder lokale Transportunternehmen an \u2013 zum Beispiel in Deutschland die Stadtbahnen in Hannover oder M\u00fcnchen. Aber eigentlich wird mittlerweile alles angegriffen \u2013 vom Finanzamt bis zum Bundestag. Oft wissen sie selbst nicht genau, was sie da treffen. Aber etwa die H\u00e4lfte der Ziele sind Ministerien oder Regierungswebseiten.<\/p>

Die Auswirkungen von NoName sind heute meist begrenzt, da sich ihre Angriffstaktiken seit einiger Zeit wiederholen. Aber wenn sie pl\u00f6tzlich ihren Modus \u00e4ndern w\u00fcrden, ginge das Spiel wieder von vorn los und man m\u00fcsste sich neu vorbereiten.<\/p>

Das Ziel solcher Gruppen ist jedenfalls h\u00e4ufig Aufmerksamkeit \u2013 oft im Sinne einer hybriden Kriegsf\u00fchrung.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t
Laura Kaltenbrunner: Wie ist das DDoS-\u00d6kosystem aufgebaut? Wer verdient daran?<\/h6>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Markus Manzke:<\/strong> Fr\u00fcher gab es viele Erpressungsversuche im Zusammenhang mit DDoS, heute ist das eher selten. Das Business funktioniert einerseits \u00fcber Booter-Services \u2013 also kleine Botnetze, die man stundenweise mieten kann. Andererseits gibt es auch richtige Marktpl\u00e4tze, wo Profis ihre Dienste anbieten \u2013 mit Bewertungen, Rankings und allem drum und dran. Da sind teilweise so professionelle Leute unterwegs, dass selbst wir sagen: Hut ab.<\/p>

Dann gibt\u2019s Botnetz-Operatoren, die keine Booter betreiben, sondern ihre Bots auf den Marktpl\u00e4tzen anbieten. Man kann da 20.000 bis 50.000 Bots kaufen. Das ist ein lukratives Gesch\u00e4ft. Wir haben mal eine Kampagne aufgekl\u00e4rt, die hat 20.000 Dollar im Monat gekostet. Nach Abzug der Kosten hat der Angreifer rund 10.000 verdient \u2013 steuerfrei. Wenn der in z.B. Asien sitzt, lebt er davon richtig gut. Bei Gruppen wie NoName gibt\u2019s sicher irgendeine Form staatlicher Toleranz oder Finanzierung im Hintergrund \u2013 anders ist die t\u00e4gliche Aktivit\u00e4t seit zwei Jahren kaum erkl\u00e4rbar.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t
Laura Kaltenbrunner: Was sind die besten Schutzma\u00dfnahmen \u2013 auch f\u00fcr Unternehmen ohne gro\u00dfes Budget?<\/h6>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Markus Manzke:<\/strong> Ganz klar: Dienstleister. Wer keine 24-Stunden-DDoS-Operation hat, sollte zu Profis gehen. Man wird es sonst allein nicht hinkriegen. Wir hatten fr\u00fcher eine Zeit, da waren \u00fcber 80 % unserer Kunden vorher schon betroffen. Das ist weniger geworden \u2013 heute kommen rund 30 % wegen Compliance, 30 %, weil sie mal richtig auf die Nase bekommen haben, und 30 %, weil sie sagen: Das Risiko ist zu hoch, um es zu ignorieren.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t
Laura Kaltenbrunner: Viele Unternehmen erleben regelm\u00e4\u00dfig erfolglose Angriffe. Reichen solche \u201eLive-Tests\u201c aus?<\/h6>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Markus Manzke:<\/strong> Kommt drauf an, wie die Bedrohungslage des jeweiligen Unternehmens ist. Wenn wir sehen, dass die Bedrohungslage NoName bzw. deren Level ist, und eine Firma regelm\u00e4\u00dfig NoName-Angriffe abwehrt \u2013 Hut ab, alles gut, kein Handlungsbedarf.<\/p>

Wenn aber die Bedrohungslage h\u00f6her ist \u2013 wie zum Beispiel bei Banken \u2013 dann empfehlen wir, gezielt komplexere Angriffe zu testen.<\/p>

Generell: Wir schauen uns immer zuerst die Bedrohungslage an und die Angriffsoberfl\u00e4che. Erst auf Basis davon wei\u00df man, was man testen muss.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t
Laura Kaltenbrunner: Woran erkennt man, dass ein System wirklich belastbar ist?<\/h6>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Markus Manzke:<\/strong> Wir monitoren Angreifer und teilen sie in Level ein \u2013 das nennt sich DDoS Resiliency Score, kurz DRS. Level 3 ist der Klassiker: das ist zum Beispiel ein w\u00fctender Bankkunde, der mit einem Booter-Service die Hauptwebseite seiner Bank beschie\u00dft.<\/p>

Level 4 ist dann schon NoName \u2013 die wissen z.B., dass es auch Login-Bereiche gibt, schicken massenhaft Fake-Logins und zwingen das System, immer wieder neu zu rechnen, bis das System einknickt.<\/p>

Ab Level 5 wird es komplex \u2013 da kommen neue Methoden dazu. Level 6 ist schlussendlich staatlich gesponsert, da gibt es dann auch kein Limit mehr. Wenn China beschlie\u00dft, so einen Angriff zu fahren, dann stirbt das Internet \u2013 das nennt man dann eine \u201eMaestro Attacke\u201c.<\/p>

Wir testen Unternehmen immer auf dem Level, das ihrer Bedrohungslage entspricht \u2013 und das funktioniert sehr gut.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t
Laura Kaltenbrunner: Wie geht es weiter \u2013 was erwartet uns in den n\u00e4chsten Jahren?<\/h6>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Markus Manzke:<\/strong> Wir sehen gerade zwei Entwicklungen.<\/p>

Erstens: sogenannte Pulsewave-Angriff. Das sind extrem kurze Attacken, teilweise unter f\u00fcnf Sekunden. Eine Anomalie-Erkennung braucht immer ein bisschen Zeit \u2013 z.B. eben f\u00fcnf Sekunden – um einen Angriff zu erkennen. Der Impact ist aber bereits da, das Ziel ist down. Dann pausieren die Angreifer, nach 15 Sekunden ist das System wieder online, und nach weiteren 15 Sekunden geht es erneut mit dem Angriff los. So kriegt man 50 % Downtime, ohne, dass man es unmittelbar bemerkt.<\/p>

Zweitens: breite Angriffe auf alles, was da ist \u2013 in der Hoffnung, dass irgendwo etwas kaputtgeht. Der Traffic pro Ziel ist gering und dadurch oft unter der Wahrnehmungsgrenze, aber wenn alles \u00fcber eine zentrale Firewall oder einen Load Balancer l\u00e4uft, hat man schlussendlich trotzdem einen \u00dcberlastungseffekt.<\/p>

Zudem kommt immer mehr KI ins Spiel \u2013 zum Beispiel zum L\u00f6sen von Captchas oder f\u00fcr menschlich aussehende Webseiten-Interaktionen. Zusammengefasst kann man sagen, dass wir klassische IoT-Angriffe heutzutage schon einigerma\u00dfen im Griff haben, aber das Ganze ist wie \u00fcberall in der Cyber Security ein Wettr\u00fcsten. Was heute nur Profis k\u00f6nnen, k\u00f6nnen in einem Jahr Halb-Profis \u2013 und in zwei Jahren die Booter-Services.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t

\n\t\t\t
\n\t\t\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>","protected":false},"excerpt":{"rendered":"

\u201eDDoS ist so einfach wie eine Scheibe einzuschlagen\u201c 18. M\u00e4rz 2026 \u2013 Interview von Laura Kaltenbrunner, CERTAINITY, mit…<\/p>","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-31882","post","type-post","status-publish","format-standard","hentry","category-interviews-zerobs"],"acf":[],"_links":{"self":[{"href":"https:\/\/zero.bs\/en\/wp-json\/wp\/v2\/posts\/31882","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/zero.bs\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/zero.bs\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/zero.bs\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/zero.bs\/en\/wp-json\/wp\/v2\/comments?post=31882"}],"version-history":[{"count":3,"href":"https:\/\/zero.bs\/en\/wp-json\/wp\/v2\/posts\/31882\/revisions"}],"predecessor-version":[{"id":31936,"href":"https:\/\/zero.bs\/en\/wp-json\/wp\/v2\/posts\/31882\/revisions\/31936"}],"wp:attachment":[{"href":"https:\/\/zero.bs\/en\/wp-json\/wp\/v2\/media?parent=31882"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/zero.bs\/en\/wp-json\/wp\/v2\/categories?post=31882"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/zero.bs\/en\/wp-json\/wp\/v2\/tags?post=31882"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}