Onderzoek Link11: 70% van de organisaties na eerste DDoS-aanval opnieuw getroffen

In 2025 bereikten DDoS-aanvallen een nieuw niveau en werden ze een constante belasting voor digitale infrastructuren. Dit blijkt uit het jaarlijkse European Cyber Report 2026 van Link11, een Europese IT-securityaanbieder die organisaties wereldwijd beschermt tegen cyberaanvallen op infrastructuren en webapplicaties. Het onderzoek laat zien dat het aantal gedocumenteerde aanvallen in het Link11-netwerk vorig jaar opnieuw met 75% steeg, na een explosieve groei van 137% in 2024. Daarmee heeft DDoS zich definitief gevestigd als een structurele en voortdurende dreiging voor bedrijven en kritieke infrastructuren in heel Europa.

DDoS-aanvallen bereiken ongekend niveau
Waar in 2024 een enkele DDoS-aanval van 1,4 Tbit/s nog een uitzondering was, werden in 2025 maar liefst drie aanvallen boven de 1 Tbit/s geregistreerd. De krachtigste aanval bereikte 1,33 Tbit/s en verwerkte meer dan 120 miljoen packages per seconde.

Een gecoördineerde reeks DDoS-aanvallen kwam uit op een totaal van 509 terabyte aan dataverkeer. Ter vergelijking, dit is gelijk aan het dagelijkse dataverkeer van een middelgrote stad van circa 120.000 inwoners of meer dan 170.000 uur aan HD-videostreaming.

Van korte pieken naar constante belasting
Bijzonder zorgwekkend is de ontwikkeling van de duur van DDoS-aanvallen. De langste geregistreerde aanval duurde 12.388 minuten, meer dan acht dagen onafgebroken. In 2025 werd gedurende 88% van de tijd actieve DDoS-aanvalactiviteit waargenomen. Dat komt neer op 322 dagen per jaar waarin systemen in het Link11 netwerk doelwit waren van aanvallen. Daarmee is de uitzondering feitelijk de norm geworden.

Tegelijkertijd verandert de dynamiek van de aanvallen. In meer dan 70% van de gevallen volgt er na een eerste aanval minstens één vervolgaanval. Gemiddeld werden na een eerste incident 2,8 vervolgattacks geregistreerd, een stijging van ongeveer 80% ten opzichte van het voorgaande jaar.
“We zien een duidelijke paradigma verschuiving. DDoS is niet langer een incidentele verstoring, maar een strategische en constante belasting voor digitale bedrijfsmodellen. Wie pas tijdens een aanval reageert is al te laat. Resilience moet daarom continu geautomatiseerd en structureel ingebouwd zijn,” aldus Jens Philipp Jung, oprichter en CEO van Link11. “Bovendien gaat het niet meer alleen om de omvang van een aanval, maar om de duur en aanpasbaarheid ervan. Moderne DDoS-campagnes combineren extreme bandbreedte met tactisch geduld. Juist dat maakt ze zo gevaarlijk.”

DDoS-aanvallen worden tactischer en langduriger
Naast enorme bandbreedtes zien de analisten van Link11 een strategische combinatie van high volume aanvallen en langdurige ‘low-and slow’-scenario’s. Cybercriminelen testen beschermingsmechanismen systematisch, variëren patronen in real time en verplaatsen hun activiteiten steeds vaker naar het applicatieniveau.

Integrale aanpak noodzakelijk
De resultaten van het onderzoek laten duidelijk zien dat DDoS-aanvallen geen puur technisch probleem meer zijn. Ze hebben directe gevolgen voor omzet, reputatie, SLA-verplichtingen en regelgeving.

Naast een krachtig, always-on DDoS-beschermingssysteem wordt het beschermen van webapplicaties en API’s strategisch steeds belangrijker. Moderne aanvallen richten zich steeds vaker op Layer 7, imiteren legitiem verkeer en veroorzaken sluipend prestatieverlies zonder de klassieke alarmgrenzen te overschrijden. Web Application & API Protection (WAAP) wordt daardoor essentieel. Alleen door netwerkbescherming te combineren met gedragsanalyse op applicatieniveau en AI-gestuurde botdetectie, kunnen digitale bedrijfsprocessen duurzaam stabiel en voorspelbaar worden beheerd.

Bedrijven moeten hun beveiligingsarchitectuur integraal aanpakken:
• Always-on DDoS-bescherming in plaats van reactieve noodmaatregelen;
• WAAP-oplossingen voor het beveiligen van webapplicaties en API’s;
• Geautomatiseerde, AI-gestuurde detectie en mitigatie;
• DDoS-scenario’s integreren in business continuity- en crisisplannen.

Jens Philipp Jung, oprichter en CEO van Link11, zegt: “Digitale beschikbaarheid is tegenwoordig een cruciale concurrentiefactor. Cyberresilience bepaalt of bedrijfsmodellen ook onder voortdurende aanvallen stabiel blijven, zowel technologisch, operationeel als geopolitiek.”

Het volledige onderzoek kunt u hier downloaden: https://www.link11.com/en/european-cyber-report/