Nach DDoS-Attacke: Hacker nach sich ziehen nicht nur die Deutsche Bahn im Visier

Wer sich am Dienstagnachmittag oder Mittwoch über die App „DB Navigator“ über Zugausfälle informieren oder ein Ticket buchen wollte, erhielt oft eine Fehlermeldung. Hintergrund war ein Cyberangriff, erklärte die Deutsche Bahn am Mittwoch. Die Attacke sei „gezielt auf die DB gerichtet“ gewesen und „in Wellen erfolgt“. Ein Muster, das derzeit oft in Europa auftritt.

Die Bahn war Ziel einer sogenannten DDoS-Attacke (Distributed Denial-of-Service, zu Deutsch: verteilte Dienstverweigerung). Dabei lassen Hacker künstliche Bots gleichzeitig Tausende Anfragen an ein System schicken, bis dieses überlastet ist und im schlimmsten Fall zusammenbricht. Im Falle der DB sollen sogar Milliarden Anfragen je Minute eingegangen sein. Claudia Plattner, die Chefin des Bundesamts für Sicherheit in der Informationstechnik, sprach von einer „unglaublich breitbandigen Attacke“. Das sei ganz klar „die größere Kante, keine alltägliche Dimension“, sagte sie dem WDR.

Lange galten DDoS-Angriffe als relativ simple Methode sogenannter „Script Kiddies“, also unerfahrener Hacker, die aus Neugier oder Spaß am Vandalismus vorgefertigte Angriffsmuster nutzen. Doch die Methoden haben sich weiterentwickelt. DDoS-Angriffe sind nicht nur viel größer, sondern auch schneller, gezielter und raffinierter geworden. Sie lassen sich längst bei hoch professionalisierten Hackern im Darknet bestellen, die mit gefälschten Kreditkarten Kapazitäten bei Cloudanbietern buchen, um möglichst große Datenmengen auf die Systeme zu jagen. Die Angreifer nutzen Künstliche Intelligenz, um ihre Attacken zu optimieren und besser zu tarnen.

Auch staatliche Akteure, etwa aus Russland, greifen immer wieder auf DDoS-Angriffe zurück. Beispielsweise löste der Taiwan-Besuch der US-Senatorin Nancy Pelosi im Jahr 2022 großflächige DDoS-Angriffe auf die taiwanische Infrastruktur und wichtige Unternehmen des Landes aus, die später eindeutig chinesischen Akteuren zugeordnet wurden.

„Der Ausfall von Bahn.de zeigt, wie verwundbar selbst zentrale Plattformen sind“, sagt Jens-Philipp Jung. Er leitet die Geschäfte des Frankfurter IT-Sicherheitsunternehmens Link11, das sich unter anderem auf die Abwehr von Überlastungsattacken spezialisiert hat. DDoS-Angriffe funktionierten heute wie Influenzaviren in der Grippezeit: „Angriffsmuster verändern sich permanent, sie werden jedes Mal anpassungsfähiger und der bisherige Schutz hilft kaum noch.“

Und die Zahl der Angriffe steigt. Link11 hat in den durch das Unternehmen geschützten Systemen einen Anstieg der DDoS-Angriffe um 225 Prozent gegenüber dem Vorjahreshalbjahr festgestellt. Das Angriffsvolumen summierte sich auf 438 Terabyte. Das entspricht dem Datenverbrauch von sieben Jahren ununterbrochenem Netflix-Streaming in 4K-Auflösung. Insbesondere geopolitische Spannungen seien ein Treiber.

Auch die Dauer der Attacken nehme zu. Der längste dokumentierte Angriff erstreckte sich über mehr als acht Tage. Diese „koordinierten Dauerfeuer“ stellten etablierte Verteidigungssysteme im Vergleich zu kurzen Blitzattacken immer wieder vor Herausforderungen. Besonders raffiniert und ebenfalls deutlich angestiegen sind sogenannte Layer-7-Attacken, die sich als legitimer Datenverkehr tarnen, indem sie scheinbar herkömmliche Anfragen generieren. So können auch weniger breitbandige Attacken durch die Sicherheitsnetze rutschen.

Für Unternehmen, insbesondere solche der kritischen Infrastruktur, sind DDoS-Angriffe daher längst zu einer Gefahr geworden. „DDoS-Angriffe auf zentrale Dienste, wie die der Deutschen Bahn, gehören mittlerweile zum Alltag“, sagt Fachmann Mirko Ross vom IT-Sicherheitsunternehmen Asvin. Für gewöhnlich könnten solche Angriffe mit den entsprechenden Maßnahmen abgefangen werden. Die Größe des Angriffes auf die DB lasse aber auf Fähigkeiten schließen, die über die gewöhnlicher Cyberkrimineller oder Aktivisten hinausgingen.

Ob es sich um einen russisch lancierten Angriff handele, bleibe abzuwarten. „In der Regel benötigt die forensische Analyse und Zuweisung von staatlichen Akteuren einige Zeit, da diese geübt darin sind, falsche Spuren zur Herkunft der Angriffe zu legen“, sagt Ross. Die „Bild“-Zeitung hatte unter Verweis auf ungenannte Quellen berichtet, russische Hacker steckten hinter dem Angriff.

Klar ist, dass gegnerische Geheimdienste die deutsche Wirtschaft zunehmend ins Visier nehmen. „Hybride Angriffe auf Deutschland, die sich in einer Grauzone zwischen Krieg und Frieden abspielen, sind kein potentielles Risiko, sie sind Realität“, sagte Bitkom-Präsident Ralf Wintergerst zuletzt.

Gerade erst wurde die technische Infrastruktur der Verwaltung der EU-Kommission Ziel von Hackerangriffen. Binnen Stunden waren die Angriffe seitens der kommissionseigenen Agentur erkannt, eingehegt und abgewehrt. Anfang Februar waren gleich mehrere Ministerien Spaniens im Visier. Erst erklärten Hacker, aus den als sicher geltenden Systemen des Finanzministeriums 47 Millionen Datensätze abgegriffen zu haben. Dann fuhr das Wissenschaftsministerium Teile seines IT-Systeme herunter, um Hacker-Attacken zu unterbinden.

In Italien soll sich kurz vor der Eröffnung der Olympischen Spiele in Mailand und Cortina über IT-Plattformen der Veranstalter eine Welle von Spam-Mails ergossen haben, welche die Systeme überlasten und ausschalten sollte. Als Angreifer wurde die russische Hacker-Gruppe NoName057(52) identifiziert. Die anrollenden Angriffe konnten zum Großteil abgewehrt werden.

Angesichts der globalen Bedrohungslage legte die Kommission Ende Januar ein neues Cybersicherheits-Paket vor, um Europa ein koordiniertes Vorgehen zu erlauben und vor Angriffen in den Netzen besser zu schützen. Schon seit Dezember ist in Deutschland das NIS-2-Umsetzungsgesetz in Kraft, das eine europäische Richtlinie für sichere Cyber- und IT-Systeme aufgreift, um die kritische Infrastruktur abzusichern. Dazu gehören allein hierzulande rund 30.000 Unternehmen, Institutionen und Organisationen wie Transportunternehmen, Energieversorger, Finanzinstitute oder Krankenkassen.