Im Zentrum von Andrianis Argumentation steht die Beobachtung, dass Steuerportale, Plattformen zur Rückerstattung und Dokument-Uploads in der Schlussphase vor der Frist besonders verwundbar sind. Verspätete Anmeldungen, hängende Prozesse oder unerklärliche Zeitüberschreitungen treffen Nutzer, die ohnehin unter Zeitdruck stehen, und untergraben so schnell das Vertrauen in den Dienst.
Als Belege führt er zwei staatliche Systeme an. In den Niederlanden waren Nutzer nach einem DDoS-Angriff stundenlang von der Anmeldung bei DigiD ausgeschlossen, kurz nachdem die Steuerabgabe begonnen hatte. In Polen fiel ein Cybervorfall am nationalen Registrierungssystem mit der Steuerfrist zusammen und beeinträchtigte den Zugang zu zentralen staatlichen Diensten. Beide Beispiele unterstreichen laut Andriani, dass berechenbare Verkehrsspitzen die operativen Auswirkungen einer Störung verstärken.
Das eigentliche Problem sieht er in der Art, wie getestet wird. Organisationen prüfen ihre DDoS-Abwehr typischerweise in periodischen Tests während Wartungsfenstern. Doch zwischen zwei Prüfungen verändern Anwendungs-Releases, Infrastrukturanpassungen, geänderte CDN-Routen und Aktualisierungen der Bot-Abwehr das Verhalten der Verteidigung unter Last. Eine im Januar geprüfte Umgebung entspricht damit nicht mehr jener, die im April produktiv ist.
Statt sich auf Momentaufnahmen zu verlassen oder schlicht zu raten, empfiehlt Andriani eine Strategie der fortlaufenden Schwachstellensuche, die es Sicherheitsteams erlaubt, kritische Lücken in Abwehr und Konfiguration proaktiv zu beheben. Ausfälle entstünden selten aus dem völlig Unvorhersehbaren, sondern aus Annahmen, die nie überprüft wurden. Kontinuierliches, störungsfreies Testen parallel zum laufenden Datenverkehr mache es möglich, zweierlei zu bestätigen: dass Angriffsverkehr gestoppt wird und legitime Nutzer nicht ins Kreuzfeuer geraten.
Konkret nennt Andriani Fragen, die Sicherheitsverantwortliche stellen sollten: Wurden Authentifizierung und API-Endpunkte getestet, um DDoS-Schwachstellen und Fehlkonfigurationen zu erkennen und zu beheben? Wurden Ratenbegrenzung und Bot-Kontrollen gegen Layer-7-Missbrauch validiert? Haben jüngste Änderungen an Anwendung, Infrastruktur oder Richtlinien neue Angriffsflächen geschaffen? Und gibt es einen Nachweis, dass die Abwehr heute wie erwartet funktioniert?
Sein Fazit: Phasen mit kurzzeitig erhöhter Nachfrage lassen sich nicht vermeiden. Beeinflussbar sei hingegen, ob Organisationen ihre Bereitschaft nur voraussetzen oder mit geeigneten Strategien dafür sorgen, dass ihre Abwehr durchgängig funktioniert und standhält.
