Die klassischen DDoS-Angriffe auf den Schichten 3 und 4 fluten Netzwerk- und Transportebene und stören die Interaktion zwischen Unternehmen und Kunden. Sie sind laut Akamai langsamer gewachsen, haben aber enorme Größenordnungen erreicht. Mirai bleibt der Hauptverursacher, ist aber inzwischen von Varianten und Nachahmer-Botnetzen begleitet, die teils als kommerzielle DDoS-Dienste zur Miete angeboten werden.

Neuere Layer-7-Angriffe haben über die vergangenen drei Jahre um 104 Prozent zugenommen. Sie zielen auf APIs und Web-Apps, lassen sich über Botnetze und KI leichter starten und stören den Betrieb des Opfers, ohne zwangsläufig sichtbare Ausfälle zu verursachen – was ihre Erkennung erschwert.

Als Hauptmotiv nennt Akamai weiterhin Hacktivismus, der angesichts politischer Spannungen in der EMEA-Region kaum nachlassen dürfte; durch den Konflikt zwischen den USA und Iran könnte er in diesem Jahr auch in Nordamerika zunehmen. Auch Rivalität und Wettbewerb zwischen Unternehmen schließt der Report als mögliches Motiv nicht aus.

Die Konvergenz zeigt sich daran, dass beide DDoS-Kategorien in einem einzigen Angriff auftreten. Akamai verweist auf einen Kunden, der von einem dynamischen Angriff einer TurboMirai-Variante betroffen war, die zwischen den Schichten 3/4 und Schicht 7 wechselte. Eine andere Form der Konvergenz beschreibt die russisch verortete Ransomware-as-a-Service-Gruppe Qilin, die ihrem Werkzeugkasten Berichten zufolge DDoS hinzugefügt hat und derzeit die größte Ransomware-Bedrohung für die USA darstellt. Barracuda berichtete separat, Qilin habe 2025 Spam-Kampagnen, DDoS-Fähigkeiten, automatisierte Netzwerkausbreitung und automatisierte Lösegeldverhandlungen über das Affiliate-Panel ergänzt.

APIs zählen laut Akamai zu den am stärksten exponierten Einfallstoren in Unternehmen. 87 Prozent der Firmen verzeichneten 2025 einen API-bezogenen Sicherheitsvorfall. Angriffe auf APIs können zudem Layer-3- und Layer-4-DDoS verstärken: Im Juni 2025 beschrieb Akamai, wie unbereinigtes JSON in API-Anfragen es Angreifern erlaubte, beliebige Befehle auszuführen, exponierte Server zu kompromittieren und sie in DDoS-fähige Botnetze einzugliedern, die Anweisungen von entfernter Steuerungsinfrastruktur erhalten. Kaspersky berichtete um dieselbe Zeit Ähnliches.

Besonders schwer zu erkennen sind API-Angriffe bei SaaS-Web-Apps, die zunehmend agentenbasierte KI mit mehreren APIs einbinden. Im Wettbewerbsdruck ergänzen Anbieter solche Funktionen mitunter, ohne Kunden vollständig darüber zu informieren – Akamai spricht von Schatten-KI. Enthält diese undokumentierte APIs, verschärft sich das ohnehin bestehende Problem der Schatten-APIs.

Diese Entwicklung hat das Volumen der Web-Angriffe von Anfang bis Ende 2025 um 73 Prozent steigen lassen. Steve Winterfeld, Advisory CISO bei Akamai, führt den Anstieg der API-Angriffe um 113 Prozent darauf zurück, dass dort die schwächste Sicherheit und der höchste Ertrag für Angreifer zusammenträfen: Unternehmen verlagerten ihre Infrastruktur und ihre Prozesse rasch auf APIs und KI, und jede Transformation bringe Sicherheitsprobleme mit sich. Als CISO, so Winterfeld, müsse er sein Risikoportfolio überprüfen – ob das API-Programm solide sei, ob er wisse, was das Unternehmen mit KI tue, und ob seine DDoS-Abwehr auch Layer-7-Angriffe bewältige, die die Leistung mindern statt den Betrieb zu stoppen.

Akamai zieht daraus den Schluss, dass auch die Verteidigung konvergieren muss: Getrennte Teams für API-Sicherheit, generative KI samt großen Sprachmodellen und Web-Angriffe müssten zusammengeführt und integriert werden, um gegen das neue Angriffsmodell zu schützen.