Der Angriff kommt in Wellen: Seit Diens­tagmittag sieht sich die Deutsche Bahn einer Cyber­attacke ausge­setzt. Derzeit funk­tionieren die Systeme - endgül­tige Entwar­nung gibt es aber noch nicht.

Die Deutsche Bahn (DB) sieht sich einem groß­ange­legten Cyber­angriff ausge­setzt - mit mögli­chen Auswir­kungen auf die Buchungs- und Auskunfts­systeme des Konzerns.

"Das Ausmaß ist erheb­lich", teilte die bundes­eigene Bahn am Nach­mittag mit. "Die aktuelle Attacke ist gezielt auf die DB gerichtet und ist in Wellen erfolgt." Ziel des Angriffs seien die IT-Systeme. Die Abwehr­mecha­nismen griffen aber. Kunden­daten seien nicht geklaut worden, betonte ein Sprecher.

Angriffe begannen am Dienstag

Cyberangriff auf Bahn stört Auskunftssystemepicture alliance/dpa Die Angriffe begannen demnach am Diens­tagmittag. Ab dem Nach­mittag kam es dann zu Beein­träch­tigungen für die Kunden. Wer etwa über die Kanäle der Deut­schen Bahn eine Fahr­karte buchen oder eine Verbin­dung suchen wollte, kam nicht weit. Anstelle der Fahrt­infor­mationen kamen Fehler­anzeigen. Betroffen waren sowohl die Buchungsapp "DB-Navi­gator" als auch die Inter­netseite bahn.de.

Weitere Einschrän­kungen nicht ausge­schlossen

Auch heute kam es zu Einschrän­kungen. Am Nach­mittag funk­tionierten die Systeme aber vorerst wieder, hieß es. Dass weitere Angriffs­wellen folgen könnten und es erneut zu Einschrän­kungen für Nutze­rinnen und Nutzer kommen kann, schließt die Bahn aller­dings nicht aus. Die wellen­artigen Attacken sind auch der Grund dafür, warum das Wieder­herstellen der Systeme so lange dauert.

Webseite und "DB Navi­gator" betroffen

Dem Konzern zufolge handelt es sich bei dem Cyber­angriff um eine soge­nannte DDoS-Attacke, die am Diens­tagmittag gegen die IT-Systeme der Bahn erfolgt sei. Dabei schicken Tausende geka­perte Computer oder Geräte gleich­zeitig so viele Anfragen an eine Website oder eine App wie den "DB Navi­gator", dass diese in die Knie gehen.

Für die Nutzer sieht das so aus, als sei die Seite offline, obwohl sie tech­nisch nicht zerstört wurde. Ziel solcher Angriffe ist es meist, Unter­nehmen oder Behörden zu erpressen, zu sabo­tieren oder poli­tisch unter Druck zu setzen.

Ursprung des Angriffs unklar

Woher der Angriff kam, ist offen. Die "Bild"-Zeitung beruft sich auf eine interne Bahn­quelle, wonach die Attacke aus Russland gekommen sein soll. Der Konzern kommen­tierte solche Gerüchte nicht.

"Zu Speku­lationen über Hinter­gründe werden wir uns nicht äußern", teilte die Bahn ledig­lich mit. Oberste Prio­rität hätten nun der Schutz der Kunden­daten sowie die Verfüg­barkeit der Auskunfts- und Buchungs­systeme.

Immer wieder Cyber­angriffe

Cyber­angriffe auf große Unter­nehmen wie die Bahn sind nicht unge­wöhn­lich. Die meisten können aber abge­wehrt werden, sodass Kundinnen und Kunden nur selten etwas merken. Solche Schlag­zeilen bei der Bahn liegen Jahre zurück: Im Mai 2017 richtete sich der Cyber­angriff "WannaCry" gegen Hundert­tausende Computer in mehr als 150 Ländern. Betroffen waren auch mehrere hundert Rechner bei der Bahn. Es kam unter anderem zu Beein­träch­tigungen bei den Anzei­geta­feln.

Andere Verkehrs­systeme waren eben­falls Opfer von Angriffen. Im August 2024 war etwa die Deutsche Flug­siche­rung von einem Angriff betroffen. Diese Attacke ordneten die Ermitt­lungs­behörden dem russi­schen Mili­tärge­heim­dienst GRU zu. Auch im jüngsten Bundes­tags­wahl­kampf soll es zu hybriden Angriffen aus Russland gekommen sein, um die Wahlen zu beein­flussen. Im Dezember hatte die Bundes­regie­rung deshalb den russi­schen Botschafter einbe­stellt.

Verletz­liche Bahn-Infra­struktur

Bei der Bahn wogen aller­dings zuletzt analoge Angriffe auf die Infra­struktur deutlich schwerer. Wegen durch­trennter Bahn­kabel war etwa im vergan­genen September eine zentrale Verbin­dung zwischen Düssel­dorf und Köln stark beein­träch­tigt. Rund eine Woche vorher hatte ein Brand­anschlag auf ein Stell­werk bei Hannover für Verspä­tungen bei Hunderten Fern­zügen gesorgt. Zehn­tausende Fahr­gäste waren betroffen.

Große Auswir­kungen hatte im August wiederum ein Brand­anschlag auf Kabel auf der Strecke Duisburg-Düssel­dorf in Nord­rhein-West­falen. Die beschä­digten Kabel sorgten für Störungen im Nah- und Fern­verkehr. Betroffen waren die ICE-Linien nach Berlin und Frank­furt am Main ebenso wie die Verbin­dungen in Richtung Nord­deutsch­land, Süddeutsch­land und in die Nieder­lande.

Solche Angriffe führen immer wieder zu Debatten, wie kriti­sche Infra­struktur in Deutsch­land besser geschützt werden kann.

Die Deutsche Bahn räumt ein, dass die WLAN-Netze in den Zügen oft nicht für die Anzahl der Fahr­gäste ausge­legt sind.