Deutsche Bahn stellt digitale Dienste nach gezieltem DDoS-Angriff wieder her

Der digitale Stillstand

Am Dienstag, den 17. Februar 2026, standen Reisende in ganz Deutschland vor einer unerwarteten Hürde, die nichts mit Gleiswartungen oder wetterbedingten Verzögerungen zu tun hatte. Das digitale Rückgrat der Deutschen Bahn (DB), dem wichtigsten Eisenbahnunternehmen des Landes, wurde Opfer eines raffinierten Distributed-Denial-of-Service-Angriffs (DDoS). Mehrere Stunden lang waren die Website bahn.de und die allgegenwärtige DB Navigator-App nahezu unbrauchbar, sodass Millionen von Pendlern keine Fahrkarten buchen, keine Live-Abfahrten prüfen oder auf digitale Reservierungen zugreifen konnten.

Bis Mittwochmorgen, den 18. Februar, bestätigte das Unternehmen, dass alle Systeme erfolgreich wiederhergestellt wurden. Während die Züge selbst weiterfuhren, diente der Vorfall als eindringliche Erinnerung daran, wie anfällig kritische Infrastrukturen gegenüber der rohen Gewalt von koordiniertem Cyber-Traffic bleiben.

Anatomie der Störung

Ein DDoS-Angriff ist im Wesentlichen eine digitale Blockade. Stellen Sie sich einen physischen Fahrkartenschalter vor, an dem anstelle von rechtmäßigen Reisenden Tausende von Akteuren gleichzeitig die Schlange fluten, Unsinn rufen und den Weg versperren, sodass kein echter Kunde das Fenster erreichen kann. In der digitalen Welt nutzen Angreifer Botnetze – Netzwerke von infizierten Geräten –, um einen Server mit einer massiven Menge an Anfragen zu überwältigen.

In diesem speziellen Fall zielte der Angriff auf die Anwendungsschicht (Application Layer) der DB-Infrastruktur ab. Dies bedeutete, dass die Server zwar technisch „eingeschaltet“ waren, aber so sehr mit der Verarbeitung von Datenmüll beschäftigt waren, dass sie nicht auf legitime Nutzer reagieren konnten, die versuchten, eine Fahrkarte von Berlin nach München zu kaufen. Das schiere Volumen des Datenverkehrs deutet auf eine koordinierte Aktion hin, obwohl die spezifische verantwortliche Gruppe von den deutschen Bundesbehörden noch nicht offiziell benannt wurde.

Auswirkungen vor Ort

Der Zeitpunkt des Angriffs führte während des Berufsverkehrs am Dienstagabend zu erheblichen Reibungen. Fahrgäste, die sich auf die DB Navigator-App für Echtzeit-Gleisänderungen verlassen, sahen sich nur mit Lade-Icons konfrontiert. Da Deutschland die Umstellung auf papierlose Tickets massiv vorangetrieben hat, waren viele Reisende, die ihre QR-Codes nicht offline gespeichert hatten, vorübergehend nicht in der Lage, einen gültigen Fahrschein nachzuweisen.

Um das Chaos zu mildern, kehrten die Mitarbeiter der Deutschen Bahn an großen Knotenpunkten wie Frankfurt, Hamburg und Berlin zu manuellen Prozessen zurück. Zugbegleiter wurden Berichten zufolge angewiesen, gegenüber Fahrgästen, die ihre digitalen Tickets nicht laden konnten, Kulanz zu zeigen, sofern sie einen Kaufbeleg per E-Mail oder Bankauszug vorlegen konnten. Die Unfähigkeit, neue Tickets über digitale Kanäle zu erwerben, führte jedoch zu langen Schlangen an den physischen Reisezentren, von denen einige seit Jahren nicht mehr ein solches Aufkommen erlebt hatten.

Eindämmung und Wiederherstellung

Die Wiederherstellung des Dienstes war nicht so einfach wie das Umlegen eines Schalters. Die IT-Sicherheitsteams der Deutschen Bahn mussten zusammen mit externen Cybersicherheitspartnern ein „Traffic-Scrubbing“ implementieren. Dieser Prozess beinhaltet das Identifizieren und Filtern der bösartigen Datenpakete, während legitimer Benutzerverkehr durchgelassen wird.

Moderne Abwehrstrategien beinhalten oft die Verlagerung des Datenverkehrs in Cloud-Scrubbing-Zentren mit hoher Kapazität. In den späten Stunden des Dienstagabends begann die Erfolgsquote legitimer Anfragen zu steigen. Gegen 4:00 Uhr MEZ am Mittwoch gab der Betreiber eine Erklärung ab, in der bestätigt wurde, dass die „durch externe Eingriffe verursachten technischen Störungen“ behoben wurden.

Die wachsende Bedrohung für kritische Infrastrukturen

Dieser Vorfall ist Teil eines breiteren, besorgniserregenden Trends in ganz Europa. Verkehrsnetze werden zunehmend als hochwertige Ziele für Hacktivisten-Gruppen und staatlich gesponserte Akteure angesehen. Das Ziel ist selten finanzieller Gewinn durch Ransomware; stattdessen geht es oft darum, öffentliche Frustration zu verursachen und die Zerbrechlichkeit der nationalen Infrastruktur zu demonstrieren.

In diesem Fall scheint der Angriff ein Hybrid gewesen zu sein, der speziell darauf ausgelegt war, die Buchungs-API (Application Programming Interface) lahmzulegen, die die Brücke zwischen dem Telefon des Nutzers und der DB-Datenbank bildet.

Praktische Tipps: Was als Nächstes zu tun ist

Obwohl die Systeme wieder online sind, unterstreicht dieses Ereignis die Notwendigkeit eines „Plans B“ beim Reisen in einer Ära digitaler Infrastruktur. Wenn Sie häufig reisen, ziehen Sie die folgenden Schritte in Betracht, um sicherzustellen, dass Sie beim nächsten Ausfall nicht festsitzen:

• Frühzeitig offline gehen: Laden Sie Ihr digitales Ticket immer sofort nach der Buchung in den lokalen Speicher Ihres Telefons (Apple Wallet, Google Wallet oder als PDF). Verlassen Sie sich nicht darauf, dass die App das Ticket aus der Cloud abrufen kann, während Sie am Bahnsteig stehen.
• Screenshots sind entscheidend: Ein einfacher Screenshot Ihres QR-Codes und Ihrer Sitzplatzreservierung reicht oft aus, damit ein Schaffner ihn scannen kann, selbst wenn die App völlig reaktionslos ist.
• Eine alternative Zahlungsmethode bereithalten: Wenn die Haupt-App ausgefallen ist, nutzen Drittanbieter-Buchungsplattformen (wie Omio oder Trainline) manchmal andere API-Routen und könnten noch funktionsfähig sein, obwohl dies nicht garantiert ist.
• Soziale Medien prüfen: Während Ausfällen bieten die offiziellen Social-Media-Kanäle der Deutschen Bahn oft häufigere Updates als die Hauptwebsite.

Ausblick

Seit Mittwochnachmittag hat die Deutsche Bahn erklärt, dass sie in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine vollständige forensische Analyse des Angriffs durchführt. Während die unmittelbare Krise überstanden ist, beginnt die Debatte über die Härtung europäischer Transitsysteme erst jetzt. Vorerst werden die Fahrgäste gebeten, ihre Reservierungen doppelt zu prüfen und mit etwas längeren Antwortzeiten zu rechnen, bis sich das System vollständig stabilisiert hat.

Quellen

• Deutsche Bahn Official Press Portal (presse.deutschebahn.com)
• Federal Office for Information Security - BSI Germany (bsi.bund.de)
• Reuters Technology News Archive
• European Union Agency for Cybersecurity (ENISA) Threat Landscape Reports