Hinter den IT-Problemen mit dem Auskunfts- und Buchungssystem der Deutschen Bahn steckt offenbar ein Cyberangriff. »Nach einer DDoS-Attacke gestern Mittag gegen die IT-Systeme der Deutschen Bahn stehen bahn.de und DB Navigator aktuell allen Reisenden wieder zur Verfügung«, teilte der Konzern am Mittwoch mit. »Unsere Abwehrmaßnahmen haben gegriffen, um die Auswirkungen für unsere Kunden zunächst so gering wie möglich zu halten.«
Nach SPIEGEL-Informationen werden russische Angreifer hinter den Problemen vermutet. Betroffen sind demnach nur Kundensysteme, keine kritischen Bahnsysteme.
Die Abkürzung DDos steht für »Distributed Denial of Service« und ist als Angriffsmethode schon sehr alt: Es handelt sich um orchestrierte massenhafte Serverabrufe, die diese überlasten und so außer Betrieb setzen sollen. Bereits am Dienstagnachmittag hatte es Schwierigkeiten mit der Bahn-App »DB Navigator« sowie der Website bahn.de gegeben. Am Mittwoch kam es dann erneut zu Einschränkungen.
Das Bahn-Personal wurde offensichtlich schon früher über die mutmaßliche Ursache der Probleme informiert. Ein SPIEGEL-Redakteur verfolgte in einem ICE am Mittwochmorgen eine Zugdurchsage, in de »Hacker« für die Probleme mit dem DB Navigator verantwortlich gemacht wurden.
Stark gestiegene Zahl an Angriffen
Zuletzt hatte sich die Bedrohung durch DDos-Attacken immens erhöht. Laut dem Unternehmen Cloudflare, das Anbieter davor schützt, habe sich im vorigen Jahr sowohl die Anzahl als auch die Stärke dieser Angriffe deutlich erhöht. So verzeichnete es für 2025 bereits 47,1 Millionen solcher Attacken, 21,3 Millionen im Jahr zuvor.
Auch bei der Bahn kommt es regelmäßig zu Angriffen auf die IT-Infrastruktur. Die jüngsten Attacken seien jedoch »besonders massiv und in mehreren Wellen« erfolgt, sagte ein Insider dem SPIEGEL.
Als Abonnentin oder Abonnent von SPIEGEL+ haben Sie die Möglichkeit, manager+ zum Vorteilspreis dazuzubuchen. Darin enthalten sind alle Inhalte von manager magazin+ und Harvard Business manager+. Damit ist es das ideale Abo für alle, die tiefe Einblicke in die deutsche Wirtschaft, die Chefetagen großer Unternehmen und in die spannendsten Start-ups suchen. Jetzt flexibel upgraden: Sichern Sie sich manager+ für nur 2 Euro pro Woche!
Seit Jahren schon werden solche Überlastangriffe zunehmend von politisch motivierten Hacktivisten als Mittel der hybriden Kriegsführung eingesetzt. Insbesondere russische Gruppen wie »NoName« oder »KillNet« orchestrierten sie via Telegram. Ziele waren insbesondere Institutionen und Unternehmen in Ländern, die die Ukraine unterstützen, darunter auch immer wieder Deutschland.
