Angreifer treffen regionale Internetdienstanbieter in Brasilien; Telekommunikationsunternehmen sind weltweit das Ziel Nr. 1 für DDoS-Angriffe
17.527 DDoS-Angriffe in sechs Tagen. Fünf kleine Internetdienstanbieter. Ein Muster, das auf eine grundlegende Veränderung in der Art und Weise hindeutet, wie Angreifer ihre Ziele auswählen.
Zwischen dem 9. und 15. Februar 2026 ereignete sich etwas Bedeutendes im brasilianischen Internet. Die Bedrohungs-Telemetrie erfasste 17.527 DDoS-Angriffe auf das Land in einer einzigen Woche – damit lag Brasilien weltweit an zweiter Stelle, was das Angriffsvolumen angeht. Aber die Schlagzeile ist nicht der alarmierendste Teil. Es ist vielmehr der Ort, an dem diese Angriffe stattfanden.
Nicht Claro. Nicht Vivo. Keiner der großen nationalen Netzbetreiber Brasiliens. Stattdessen konzentrierten sich fast 99 Prozent aller registrierten Angriffe auf fünf kleine regionale Glasfaser-ISPs – lokale Betreiber, von denen die meisten Menschen außerhalb ihres Versorgungsgebiets noch nie gehört haben. Dies sagt uns etwas Wichtiges darüber, wie sich die DDoS-Bedrohungslandschaft entwickelt.
Die Ziele: klein, exponiert und unvorbereitet
Die fünf Internetdienstanbieter, die die Hauptlast dieser Welle zu tragen hatten, weisen ein gemeinsames Profil auf. Es handelt sich um kleine, regional ausgerichtete Glasfaserbetreiber, die nicht allgemein bekannt sind. Sie arbeiten mit geringen Margen, sind auf handelsübliche Routing-Hardware angewiesen und verfügen, was entscheidend ist, über wenig bis gar keine spezielle Infrastruktur zur Abwehr von DDoS-Angriffen.
Anzahl der Angriffe nach Zielprofil (9.–15. Februar 2026)
| Zielprofil | Angriffe |
|---|---|
| Regionaler Glasfaser-Internetdienstanbieter – Südostbrasilien | 7,630 |
| Lokaler Breitbandbetreiber – Küstenregion | 5,322 |
| Kleiner unabhängiger Internetdienstanbieter – Binnenstaat | 1,736 |
| Privat geführter Last-Mile-Anbieter | 1,686 |
| Gemeinschaftlicher Glasfaserbetreiber – Vorstadtgebiet | 872 |
Genau diese Art von Organisationen werden von Angreifern zunehmend bevorzugt: Ziele mit hohem Schaden und geringem Widerstand. Wenn ein kleiner regionaler Internetdienstanbieter ausfällt, werden nicht nur einige wenige Nutzer vom Netz getrennt. Es wird ein ganzes lokales Ökosystem aus Unternehmen, Schulen und Notfalldiensten gestört.
Die Technik: Flächenbombardement in großem Maßstab
Die bei dieser Angriffswelle beobachteten Portmuster sind aufschlussreich. Anstatt den Standard-DNS-Port (53) anzugreifen, haben die Angreifer mehrere Ports gleichzeitig überprüft: die Ports 7, 9, 10 und 11 sowie eine sequenzielle Leiter von 2048 bis 2816.
Dies ist das Kennzeichen automatisierter Skripte, die ganze /24-Subnetzblöcke mit Angriffen überziehen. Die Strategie ist gut durchdacht: Indem sie den Datenverkehr unterhalb der Reinigungsgrenzwerte pro IP verteilen, umgehen Angreifer die Erkennung einzelner Adressen und überlasten dennoch insgesamt die Upstream-Zugangsverbindungen. Es handelt sich nicht um opportunistisches Scannen, sondern um eine systematische Störung der Infrastruktur.
„Die Angriffsfläche hat sich nachgelagert verlagert – von Tier-1-Carriern zu regionalen Anbietern, die weitaus stärker exponiert und weitaus weniger geschützt sind.“
Das große Ganze: Telekommunikationsunternehmen sind jetzt weltweit das Ziel Nummer eins für DDoS-Angriffe
Diese Aktivität steht nicht isoliert da. Der DDoS-Bedrohungsbericht von Cloudflare für das vierte Quartal 2025, der in derselben Woche veröffentlicht wurde, in der diese Daten erfasst wurden, nannte Telekommunikationsunternehmen und Netzbetreiber erstmals weltweit als die am häufigsten angegriffene Branche. Hypervolumetrische Angriffe auf Telekommunikationsunternehmen machten 42 Prozent der größten registrierten Vorfälle in diesem Zeitraum aus.
Auch Brasiliens Position auf der globalen Bedrohungskarte ist gestiegen. Erst im zweiten Quartal 2025 sprang das Land um vier Plätze nach oben und wurde zum weltweit am zweithäufigsten angegriffenen Standort. Die Daten vom Februar 2026 bestätigen, dass sich dieser Trend nicht umgekehrt hat.
Was Verteidiger jetzt tun müssen
Wenn Sie mit regionalen Internetdienstanbietern zusammenarbeiten oder Peering betreiben – insbesondere in Lateinamerika –, sollten Sie die Daten dieser Woche als direkte Warnung betrachten. Das Multi-Port-Carpet-Bombing-Muster ist automatisiert und hartnäckig. Reaktive Abwehrmaßnahmen reichen nicht aus.
- Vereinbarungen über Upstream-Scrubbing sind nicht mehr optional – sie sind eine grundlegende Infrastruktur für jeden ISP.
- Das Remote Triggered Black Hole (RTBH)-Routing mit Community-Tagging sollte vor einem Angriff mit den Upstream-Anbietern ausgehandelt werden, nicht während eines Angriffs.
- Die Traffic-Baselines für /24-Subnetzblöcke sollten insgesamt überwacht werden, nicht nur pro IP, um Carpet-Bombing-Muster zu erkennen, bevor die Verbindungen gesättigt sind.
- Der Austausch von Bedrohungsinformationen zwischen regionalen Internetdienstanbietern in derselben Region sollte formalisiert werden. Angreifer betrachten diese eindeutig als zusammenhängende Angriffsfläche.
Die Zusammenführung zweier unabhängiger Datenquellen: A10 Defend Threat Control Telemetrie und Cloudflares Quartalsbericht – die zum gleichen Zeitpunkt zu derselben Schlussfolgerung kommen, ist kein Zufall. Es ist eine Bestätigung. Das Schlachtfeld hat sich verlagert, und kleine regionale Betreiber stehen nun an vorderster Front, ob sie darauf vorbereitet sind oder nicht.
Quellen: A10 Defend Threat Control 9.–15. Februar 2026), Cloudflare DDoS-Bedrohungsbericht für das 4. Quartal 2025, Cloudflare DDoS-Bedrohungsbericht für das 2. Quartal 2025
