DDoS-Angriffe auf NGOs: Wenn digitale Infrastruktur zur Schwachstelle wird

Ein Beispiel aus der Praxis: Die Website einer international tätigen NGO wurde kürzlich durch einen massiven DDoS-Angriff lahmgelegt. Über 30 Millionen Anfragen pro Sekunde – und das über mehrere Tage. Die Systeme waren überfordert, die Website tagelang offline, zentrale Angebote nicht erreichbar. Spenden blieben aus. Die Außenwirkung war beschädigt.

Solche Angriffe sind keine Ausnahme mehr. Sie treffen gezielt Organisationen mit gesellschaftlicher Relevanz – und offenbaren, wie verletzlich viele digitale Ökosysteme sind.

Digitale Souveränität braucht Resilienz

NGOs stehen heute unter digitaler Dauerbeobachtung: sichtbar, angreifbar, relevant. Sie agieren häufig mit knappen Budgets, begrenzten IT-Ressourcen und gewachsenen Systemlandschaften. Gleichzeitig erwarten Fördernde, Unterstützende und Zielgruppen: stabile, sichere, verfügbare digitale Angebote.

Digitale Souveränität bedeutet in diesem Kontext: die eigene Infrastruktur verstehen, gestalten und absichern zu können – unabhängig, robust, anpassungsfähig. Es geht um mehr als Datenschutz oder Tools. Es geht um die Fähigkeit, auch im Krisenfall handlungsfähig zu bleiben.

Was passiert bei einem DDoS-Angriff?

Bei einem DDoS-Angriff („Distributed Denial of Service“) überfluten automatisierte Anfragen die Systeme einer Website oder Plattform – oft gleichzeitig von Tausenden oder Millionen Quellen. Im ersten Quartal 2025 blockierte Cloudflare 20,5 Millionen DDoS-Angriffe (Report ansehen). Ziel ist nicht, Daten zu stehlen. Ziel ist es, die digitale Handlungsfähigkeit zu blockieren.

Ein Bild zur Veranschaulichung: Stellen Sie sich vor, an einem Fahrkartenschalter stehen plötzlich Millionen Menschen gleichzeitig. Alle drücken gleichzeitig auf den Knopf. Der Schalter bricht unter der Last zusammen – und niemand kommt mehr durch.

Für NGOs bedeutet das: Formulare funktionieren nicht mehr. Spenden können nicht getätigt werden. Hilfe bleibt unerreichbar.

Doch es geht um mehr als nur technische Ausfälle.

Wenn eine NGO-Webseite nicht erreichbar ist, werden zentrale Botschaften, Positionierungen und Hintergrundinformationen unzugänglich. Presseanfragen laufen ins Leere, weil zentrale Inhalte nicht recherchierbar sind. Menschen, die sich im Rahmen einer Social Media Kampagne weiter informieren wollen, landen auf einer Fehlermeldung. Wer sich gerade für ein Thema öffnet, findet keine Stimme, die Orientierung gibt.

Die Organisation verliert in diesem Moment ihre digitale Handlungsfähigkeit und damit Ihre Stimme im  öffentlichen Diskurs.

Nicht, weil sie nichts zu sagen hätte. Sondern, weil sie technisch nicht erreichbar ist.

Warum NGOs besonders gefährdet sind

• Hohe Sichtbarkeit: NGOs stehen für gesellschaftliche Werte – und geraten dadurch ins Visier ideologisch oder politisch motivierter Akteure.
• Abhängigkeit von digitalen Kontaktpunkten: Viele Angebote sind heute rein digital erreichbar.
• Begrenzte IT-Ressourcen: Sicherheitsarchitektur ist selten Teil der langfristigen Planung.
• Gewachsene Systemlandschaften: Historisch entwickelte Infrastruktur mit vielen Abhängigkeiten bietet potenzielle Angriffsflächen.

All das macht NGOs zu bevorzugten Zielen für digitale Angriffe – insbesondere, wenn keine klar strukturierte Sicherheitsstrategie besteht.

Was robuste digitale Ökosysteme auszeichnet

Resilienz beginnt bei der Architektur – nicht bei der Auswahl einzelner Tools. Wer digitale Souveränität ernst nimmt, denkt Sicherheit mit:

• Content Delivery Networks (CDNs) sorgen für verteilte Lastverteilung und Ausfallsicherheit.
• Web Application Firewalls (WAFs) filtern schädliche Anfragen, bevor sie die Infrastruktur erreichen.
• Echtzeit-DDoS-Erkennung blockiert Angriffe automatisch auf Basis adaptiver Verhaltensmuster.
• Lastverteilung & Redundanz verhindern Single Points of Failure.
• Klar definierte Prozesse und Zuständigkeiten im Notfall stellen sicher, dass alle Beteiligten wissen, was zu tun ist.
• Modularer Aufbau der Systeme erlaubt gezielte Schutzmaßnahmen ohne Komplettumbauten.

Digitale Sicherheit ist kein Zustand, sondern ein Prozess – und Teil organisationaler Reife.

Sicherheitsarchitektur ist Organisationsentwicklung

IT-Sicherheit lässt sich nicht einfach „nachrüsten“. Sie muss Teil der strategischen Entwicklung werden genauso wie Governance, Barrierefreiheit oder Kommunikation.
Sicherheit ist eine Frage der Struktur: Wer welche Rechte besitzt, wie Systeme kommunizieren, wie Updates ablaufen.

• Sicherheit ist eine Frage der Kultur: Werden Risiken angesprochen? Gibt es Verantwortlichkeiten? Wird regelmäßig getestet?
• Sicherheit ist eine Frage der Haltung: Versteht die Organisation Sicherheit als technisches Thema – oder als Teil ihrer Handlungsfähigkeit?
• Nur wer Sicherheit als Bestandteil der Gesamtarchitektur denkt, schafft langfristig digitale Resilienz.

Incident Playbook

Vor dem Angriff

• CDN/WAF mit starker DDoS-Abwehr, EU-Konformität und 24/7-Support auswählen.
• Ratenlimits für Spenden-, Login- und API-Endpunkte setzen.
• Statische Fallback-Seiten (Spenden, Kontakt) erstellen, die cachebar sind und separat gehostet werden.
• „Attack-Mode“-Profile mit strengeren Regeln und weniger Skripten definieren.
• Ein Runbook mit klarer RACI-Matrix (wer macht was) erstellen und vierteljährlich testen.

Während des Angriffs

• „Attack-Mode“ aktivieren: WAF verschärfen, Bot-Challenges einschalten und statische Fallbacks bereitstellen.
• Schwergewichtige Skripte und Drittanbieter Inhalte pausieren.
• Mit Providern koordinieren, um Zahlungen und Kommunikation aufrechtzuerhalten.
• Klare Status-Updates auf Statusseite und in sozialen Medien veröffentlichen.
• Metriken (Latenz, Fehler, WAF Blocks) überwachen und alle Maßnahmen sowie Entscheidungen protokollieren.

Nach dem Angriff

• Logs sammeln, Ursachenanalyse durchführen und Regeln/Limits anpassen.
• Runbook, Statusseite und Kommunikationsvorlagen aktualisieren.
• Synthetisches Monitoring für wichtige Abläufe hinzufügen.
• Team-Debrief durchführen und nächste Schritte auf Basis der Erkenntnisse planen.

Unser Beitrag als Technologiepartner

Als Partner für digitale Ökosysteme entwickeln wir gemeinsam mit NGOs Systeme, die nicht nur funktional und nutzerzentriert sind – sondern auch souverän und resilient.

• Wir analysieren bestehende Infrastrukturen auf Schwachstellen und Risiken.
• Wir entwickeln digitale Architekturen, die skalierbar, ausfallsicher und anpassungsfähig sind.
• Wir denken Sicherheit nicht als Add-on, sondern als Teil der digitalen Zukunftsfähigkeit.

Dabei geht es nicht darum, Angst zu machen – sondern um die Fähigkeit, auch im Ernstfall aktiv bleiben zu können.

Wie widerstandsfähig ist Ihre digitale Infrastruktur?

Wir unterstützen NGOs dabei, ihre digitale Souveränität strukturell, technisch und strategisch zu stärken – von der Analyse bestehender Systeme bis zur Entwicklung konkreter Schutzmaßnahmen.

Erfahren Sie mehr über unsere IT-Security-Beratung für Organisationen

FAQ

1. Sind DDoS-Angriffe dasselbe wie Datenlecks?
   Nein. DDoS zielt auf die Verfügbarkeit ab und macht Dienste unerreichbar, anstatt Daten zu stehlen. Allerdings nutzen Angreifer DDoS manchmal als Ablenkung. Überwachen Sie sowohl Verfügbarkeit als auch Sicherheitsindikatoren.
2. Welche Mindest-Schutzarchitektur sollte eine NGO einsetzen?
   Mindestens: ein CDN vor allen öffentlichen Endpunkten, ein WAF mit anpassbaren Regeln, adaptives Rate-Limit, Echtzeit-DDoS-Abwehr, statische Fallback-Seiten für Spenden/Kontakt, zentrales Logging, synthetisches Monitoring und ein getestetes Incident-Runbook mit klaren Rollen.
3. Beeinträchtigt DDoS-Abwehr Spenden-Conversations oder Barrierefreiheit?
   Richtig konfiguriert nicht. Herausforderungen selektiv anwenden (z. B. auf Hochrisiko-Geos/ASNs), Spenden-Seiten schlank und cachebar halten, Zahlungs-Gateways auf die Allowlist setzen. Den gesamten Spendenablauf vierteljährlich testen – auch im „Attack-Mode“.
4. Wie lange dauern DDoS-Angriffe – und wofür sollten wir planen?
   Von Minuten bis zu Tagen, oft in Wellen, wenn sich Angreifer anpassen. Planen Sie für dauerhafte Abwehr: Always-on-Schutz, Burst-Kapazität beim Provider und die Möglichkeit, statische Fallbacks bereitzustellen, damit wichtige Aktionen auch unter Last möglich bleiben.
5. Brauchen wir 24/7-Bereitschaftsdienst?
   Wenn Spenden, Beratung oder Kriseninformationen missionskritisch sind: Ja – mit schlankem On-Call-Plan und klarer Eskalation zum SOC des Providers. Falls 24/7 nicht möglich ist, Schwellenwerte definieren, die automatisch Ihr Team und den Provider benachrichtigen.
6. Welche Metriken signalisieren einen laufenden DDoS-Angriff?
   Achten Sie auf plötzliche RPS-Spitzen, steigende 5xx-Fehler, verschlechterte p95-Latenz, ungewöhnliche Geo/ASN-Verteilungen, steigende WAF-Blockraten und hohe CPU-Last am Origin. Ausfälle in synthetischen User-Journeys (z. B. Spenden-Flow) sind ein frühes, nutzerorientiertes Warnsignal.
7. Wir nutzen ein gängiges CMS und Shared Hosting – sind wir dadurch anfälliger?
   Das CMS ist nicht das Problem; entscheidend sind Kapazität und Exposition der Infrastruktur. Setzen Sie ein robustes CDN/WAF davor, verbergen Sie die Origin-IP, gestalten Sie kritische Seiten cache-freundlich und wählen Sie Hosting, das Provider-Grade-DDoS-Abwehr unterstützt.