Thought Leadership
Der Angriff kommt in Wellen: Seit Dienstagmittag sieht sich die Deutsche Bahn einer Cyberattacke ausgesetzt. Derzeit funktionieren die Systeme – endgültige Entwarnung gibt es aber noch nicht.
Die Deutsche Bahn (DB) sieht sich einem großangelegten Cyberangriff ausgesetzt – mit möglichen Auswirkungen auf die Buchungs- und Auskunftssysteme des Konzerns. «Das Ausmaß ist erheblich», teilte die bundeseigene Bahn am Nachmittag mit. «Die aktuelle Attacke ist gezielt auf die DB gerichtet und ist in Wellen erfolgt.» Ziel des Angriffs seien die IT-Systeme. Die Abwehrmechanismen griffen aber. Kundendaten seien nicht geklaut worden, betonte ein Sprecher.
Angriffe begannen am Dienstag
Die Angriffe begannen demnach am Dienstagmittag. Ab dem Nachmittag kam es dann zu Beeinträchtigungen für die Kunden. Wer etwa über die Kanäle der Deutschen Bahn eine Fahrkarte buchen oder eine Verbindung suchen wollte, kam nicht weit. Anstelle der Fahrtinformationen kamen Fehleranzeigen. Betroffen waren sowohl die Buchungsapp «DB-Navigator» als auch die Internetseite bahn.de.
Weitere Einschränkungen nicht ausgeschlossen
Auch am Mittwoch kam es zu Einschränkungen. Am Nachmittag funktionierten die Systeme aber vorerst wieder, hieß es. Dass weitere Angriffswellen folgen könnten und es erneut zu Einschränkungen für Nutzerinnen und Nutzer kommen kann, schließt die Bahn allerdings nicht aus. Die wellenartigen Attacken sind auch der Grund dafür, warum das Wiederherstellen der Systeme so lange dauert.
Webseite und «DB Navigator» betroffen
Dem Konzern zufolge handelt es sich bei dem Cyberangriff um eine DDoS-Attacke, die am Dienstagmittag gegen die IT-Systeme der Bahn erfolgt sei. Dabei schicken Tausende gekaperte Computer oder Geräte gleichzeitig so viele Anfragen an eine Website oder eine App wie den «DB Navigator», dass diese in die Knie gehen.
Für die Nutzer sieht das so aus, als sei die Seite offline, obwohl sie technisch nicht zerstört wurde. Ziel solcher Angriffe ist es meist, Unternehmen oder Behörden zu erpressen, zu sabotieren oder politisch unter Druck zu setzen.
Ursprung des Angriffs unklar
Woher der Angriff kam, ist offen. Die «Bild»-Zeitung beruft sich auf eine interne Bahnquelle, wonach die Attacke aus Russland gekommen sein soll. Der Konzern kommentierte solche Gerüchte nicht. «Zu Spekulationen über Hintergründe werden wir uns nicht äußern», teilte die Bahn lediglich mit. Oberste Priorität hätten nun der Schutz der Kundendaten sowie die Verfügbarkeit der Auskunfts- und Buchungssysteme.
Immer wieder Cyberangriffe
Cyberangriffe auf große Unternehmen wie die Bahn sind nicht ungewöhnlich. Die meisten können aber abgewehrt werden, so dass Kundinnen und Kunden nur selten etwas merken. Solche Schlagzeilen bei der Bahn liegen Jahre zurück: Im Mai 2017 richtete sich der Cyberangriff «WannaCry» gegen Hunderttausende Computer in mehr als 150 Ländern. Betroffen waren auch mehrere hundert Rechner bei der Bahn. Es kam unter anderem zu Beeinträchtigungen bei den Anzeigetafeln.
Andere Verkehrssysteme waren ebenfalls Opfer von Angriffen. Im August 2024 war etwa die Deutsche Flugsicherung von einem Angriff betroffen. Diese Attacke ordneten die Ermittlungsbehörden dem russischen Militärgeheimdienst GRU zu. Auch im jüngsten Bundestagswahlkampf soll es zu hybriden Angriffen aus Russland gekommen sein, um die Wahlen zu beeinflussen. Im Dezember hatte die Bundesregierung deshalb den russischen Botschafter einbestellt.
Verletzliche Bahn-Infrastruktur
Bei der Bahn wogen allerdings zuletzt analoge Angriffe auf die Infrastruktur deutlich schwerer. Wegen durchtrennter Bahnkabel war etwa im vergangenen September eine zentrale Verbindung zwischen Düsseldorf und Köln stark beeinträchtigt. Rund eine Woche vorher hatte ein Brandanschlag auf ein Stellwerk bei Hannover für Verspätungen bei Hunderten Fernzügen gesorgt. Zehntausende Fahrgäste waren betroffen.
Große Auswirkungen hatte im August wiederum ein Brandanschlag auf Kabel auf der Strecke Duisburg-Düsseldorf in Nordrhein-Westfalen. Die beschädigten Kabel sorgten für Störungen im Nah- und Fernverkehr. Betroffen waren die ICE-Linien nach Berlin und Frankfurt am Main ebenso wie die Verbindungen in Richtung Norddeutschland, Süddeutschland und in die Niederlande.
Solche Angriffe führen immer wieder zu Debatten, wie kritische Infrastruktur in Deutschland besser geschützt werden kann.
Matthias Arnold, dpa
Das sagen Security-Experten zu dem Vorfall
Sicherheitsexperten sehen in dem Vorfall ein deutliches Warnsignal. „Die aktuellen Störungen in den digitalen Auskunfts- und Buchungssystemen von Deutsche Bahn verdeutlichen die Folgen eines digitalen Überlastungsangriffs”, erklärte Prof. Dr. Dennis-Kenji Kipker, Forschungsdirektor des cyberintelligence.institute (CII). Solche Angriffe zielten nicht primär auf Daten, sondern auf die Verfügbarkeit von Diensten. Da die Bahn als kritische Infrastruktur eine gesellschaftlich unverzichtbare Leistung erbringe, entstünden bei Ausfällen von Informations- und Buchungsketten schnell weitere operative Risiken – mit möglichen Kaskadeneffekten über den eigenen Sektor hinaus. Der Vorfall sei daher auch ein Weckruf, die digitale Resilienz kritischer Infrastrukturen konsequent weiter auf- und auszubauen.
Jens-Philipp Jung, CEO des Cybersicherheitsunternehmens Link11, warnte zudem vor der wachsenden Dynamik solcher Angriffe. „DDoS-Angriffe mutieren inzwischen wie Influenzaviren: Angriffsmuster verändern sich permanent, Vektoren werden kombiniert, Schwachstellen gezielt getestet”, sagte Jung. Statische Filter oder rein bandbreitenbasierte Schutzmechanismen reichten nicht mehr aus, da sie lediglich auf bekannte Signaturen reagierten. Notwendig seien stattdessen adaptive, KI-gestützte Systeme mit sogenannter Zero-Delay-Mitigation, die neue Muster innerhalb von Sekunden erkennen und automatisch abwehren könnten. „Wer nur auf die letzte Angriffswelle vorbereitet ist, verliert gegen die nächste”, so Jung.
(lb)
