Der jüngste Cyberangriff auf die IT-Systeme der Deutschen Bahn ist nach Einschätzung des IT-Sicherheitsexperten Jan Lemnitzer gegenüber tagesschau.de kein isolierter Vorfall, sondern Teil einer koordinierten Kampagne gegen mehrere NATO-Staaten. Im Interview mit tagesschau24 erklärte der Assistenzprofessor am Institut für Digitalisierung der Copenhagen Business School, dass ähnliche Attacken zuletzt in Großbritannien, Dänemark und den Niederlanden registriert worden seien.
Das britische National Center for Cyber Security habe bereits Ende Januar vor einer solchen Angriffswelle gewarnt. In Dänemark seien unter anderem Ministerien, Kommunen sowie eine Ticket-App betroffen gewesen, in Rotterdam der Hafen – also kritische Infrastruktur. Für Lemnitzer ist der geopolitische Kontext eindeutig: Ziel sei es, Unsicherheit unter Unterstützern der Ukraine zu schüren. „Das ist eine russische Kampagne, die mit der Ukraine zu tun hat“, sagte er gegenüber tagesschau24.
Technische Neuerung im DDoSia-Tool: Alte Methode, neue Qualität
Konkret handelte es sich laut Lemnitzer um eine DDoS-Attacke – eine „Distributed Denial-of-Service“-Attacke, bei der massenhaft Anfragen an ein System gesendet werden, bis es überlastet ist und ausfällt. Technisch zerstört wird dabei nichts, für Nutzer wirkt die Seite jedoch wie offline.
Diese Attacken sind bereits seit Jahren bekannt und die meisten Unternehmen dürften sich mit geeigneter Software gegen solche Cyberangriffe gewappnet haben. Neu ist nach Angaben des Experten allerdings die technische Weiterentwicklung des Tools „DDoSia“, das der russischen Hackergruppe „NoName05716“ zugeschrieben werde. Wie Ole Sieverding, Geschäftsführer von Cyber Direkt auf Nachfrage von procontra ausführt, garantiert keine technische Schutzmaßnahme 100 Prozent Sicherheit und die Angreifenden hätten hier mit einem Trick die üblichen Schutzmechanismen aushebeln können. „Ich bin sicher, dass die IT-Sicherheitsexperten der Deutschen Bahn mit Hochdruck an einer nachhaltigen Lösung und Anpassung ihrer Verteidigungsstrategie arbeiten“, so Sieverding weiter. Mit 311.000 Online-Buchungen am Tag und einem Tagesumsatz von ca. 60 Mio. Euro pro Tag sei die deutsche Bahn einer der größten Online-Händler Deutschlands. „Das zeigt uns allen die Verwundbarkeit in einer immer digitaleren Welt auf. Der Tageswert der DB basiert auf 6,15 Mrd. Euro Jahresumsatz im Fernverkehr 2024, wovon 80 Prozent der Tickets digital gebucht werden.“
In einer Cyberversicherung ist die Behebung eines solchen Vorfalls inklusive Betriebsunterbrechungsschaden laut Sieverding üblicherweise mit abgesichert. Es bestehe also Versicherungsschutz für das unmittelbare Krisenmanagement, die Aufklärung des Angriffs, die Wiederherstellung der IT-Systeme, PR-Maßnahmen und den Ertragsausfallschaden. Dies könne auch bei mittelständischen Unternehmen schnell ein siebenstelliges Schadenausmaß annehmen.
Technische Neuerungen, die bestehende Maßnahmen umgehen
IT-Sicherheitsexperten Lemnitzer berichtet, er habe mit Experten des dänischen Cybersicherheitsunternehmens Dubex gesprochen. Diese hätten bestätigt, dass die Attacke eine technische Neuerung enthalten habe, die bestehende Abwehrmechanismen umgangen habe. Erst nach der Attacke habe man die Verteidigungsinfrastruktur aufrüsten müssen – mit entsprechend höheren Kosten. Lemnitzer vermutet, dass bei der Deutschen Bahn ein ähnlicher Effekt eingetreten sei. Das Muster ist bekannt: Verteidiger investieren, Angreifer passen an – ein permanentes Wettrüsten im digitalen Raum.
Cyberkrieg aus der Ukraine adaptiert: Prioritätenfrage für Unternehmen
Bemerkenswert ist laut Lemnitzer auch die strategische Herkunft der Methode. Die koordinierte Nutzung von DDoS-Attacken über freiwillige Unterstützer sei ursprünglich von ukrainischer Seite eingesetzt worden, um russische Infrastruktur unter Druck zu setzen. Über Plattformen wie Telegram sei Rechenleistung gebündelt worden, um digitale Störungen zu verursachen. Russische Gruppen hätten dieses Prinzip adaptiert und nun gegen westliche Ziele gerichtet. Die Angriffe gelten technisch als vergleichsweise einfach – aber gerade deshalb als effektiv.
Für Unternehmen und staatliche Stellen stellt sich laut Lemnitzer eine strategische Frage: Wie viel Budget investiert man in die Abwehr klassischer DDoS-Angriffe, wie viel in neue Bedrohungen etwa durch KI-basierte Angriffswerkzeuge? Absolute Sicherheit gebe es nicht, wohl aber Priorisierungsentscheidungen. Der Angriff auf die Deutsche Bahn zeigt damit weniger eine neue Bedrohung als vielmehr eine bekannte Taktik mit neuer Durchschlagskraft – und eine digitale Front, die längst Teil geopolitischer Konflikte geworden ist.
Long Story short
Teil einer größeren Kampagne: Laut IT-Sicherheitsexperte Jan Lemnitzer (Copenhagen Business School) ist der Cyberangriff auf die Deutsche Bahn kein Einzelfall, sondern Teil einer koordinierten russischen DDoS-Kampagne gegen mehrere NATO-Staaten, darunter Dänemark und die Niederlande.
Technische Weiterentwicklung der Angriffe: Die eingesetzte DDoSia-Technik der Hackergruppe „NoName05716“ soll laut Lemnitzer eine neue Komponente enthalten haben, die bestehende Abwehrmechanismen umging – Unternehmen mussten ihre Verteidigung kostenintensiv nachrüsten.
Relevanz für Wirtschaft und Versicherer: Der Fall verdeutlicht die zunehmende Bedeutung von Cyberresilienz, Budgetpriorisierung bei IT-Sicherheit und die Rolle von Cyberversicherungen – insbesondere bei Betreibern kritischer Infrastruktur.
