Nordrhein-Westfalen "Ungewöhnlich groß": Cyberbehörde BSI in Bonn zum Angriff auf die Bahn
Bei der Bahn kommt es wegen einer Cyberattacke seit gestern zu Problemen, wenn Kunden per App oder Homepage eine Fahrt buchen wollen. Im WDR-Interview äußert sich die Präsidentin der Cyberschutzbehörde BSI.
Die Chefin des Bundesamts für Sicherheit in der Informationstechnik mit Sitz in Bonn hält den aktuellen Cyberangriff auf die Bahn für eine ungewöhnlich groß angelegte Attacke. Dem WDR sagte Claudia Plattner, es handele sich um Milliarden Anfragen pro Minute. Diese Art eines DDoS-Angriffs sei ganz klar "die größere Kante, keine alltägliche Dimension".
WDR: Was können Sie schon zum Cyberangriff auf die Bahn sagen?
Claudia Plattner: Also zunächst mal können wir erst mal erklären, was so ein DDoS-Angriff überhaupt ist. Das ist so ein bisschen, wie wenn Sie sich vorstellen, da ist ein Fahrkartenschalter und da stürmen jetzt Unmengen Menschen einfach hin und tun nichts anderes, als blöde Fragen zu stellen. Und dann kommen die, die eine legitime Anfrage haben, gar nicht mehr durch, weil das so eine Traube von Menschen ist. Und genau das passiert bei so einem DDoS-Angriff.
WDR: Man muss doch eigentlich davon ausgehen, dass die Bahn vor solchen Attacken geschützt ist?
Plattner: Die Bahn ist da in der Tat sehr gut geschützt. Aber Sie müssen auch bedenken: Es gibt sehr, sehr viele verschiedene Arten von DDoS-Attacken. Und in diesem Fall handelt es sich um eine unglaublich breitbandige Anfrage. Das heißt, wir haben hier wirklich eine Attacke, die mit ganz massiven Mitteln vorgeht.
BSI-Präsidentin Claudia Plattner
Also, das ist schon die größere Kante und nicht der normale, alltägliche DDoS-Angriff, der natürlich bei der Bahn, genau wie bei den meisten anderen Unternehmen, durchaus gut abgewehrt werden kann.
WDR: Was kann das BSI in so einem Fall dann tun - muss sich die Bahn bei einer solchen Attacke direkt bei Ihnen melden?
Plattner: Die Kolleginnen und Kollegen von der Bahn haben sich umgehend bei uns gemeldet und insofern ist das auch alles erst mal genau richtig gelaufen. Und was wir in dem Moment tun, ist als allererstes mal fragen, ob Hilfe gebraucht wird.
Und die Bahn ist an der Stelle auch durchaus gut aufgestellt. Das heißt, die haben gesagt, wir haben das eigentlich ganz gut im Griff. Wir sind seitdem regelmäßig im Austausch, um zu schauen, ob noch irgendwo Unterstützung gebraucht wird. Aber an den Themen wird jetzt gearbeitet und nach dem, was mein Wissensstand ist, ist es jetzt auch so weit behoben. Das heißt, wir gehen davon aus, dass jetzt das Ganze abgeflaut sein sollte, wobei man das nie so genau weiß.
Kann man denn tatsächlich sicher sein, dass nicht schon in ein paar Stunden oder Tagen die nächste Attacke wieder alles lahmlegt?
Plattner: Man kann davon ausgehen, dass genau dieselbe Attacke so schnell erst mal nicht mehr wirkungsvoll sein wird. Aber wir müssen auch bedenken, dass es da sehr, sehr viele verschiedene Szenarien gibt, wie so etwas auftreten kann. Deshalb kann dann durchaus auch noch mal was auftreten, das ist keine Frage. Aber den Angriff selber kriegt man dann meistens doch relativ gut in den Griff.
Es gibt schon Spekulationen, dass die Attacke aus Russland stammen soll - was können Sie dazu sagen?
Plattner: Also was wir tatsächlich festhalten müssen: DDoS-Attacken gibt es natürlich immer. Aber natürlich haben wir auch seit dem Beginn des Ukraine-Krieges eine gewisse Häufung und da gibt es natürlich dann auch entsprechende Zusammenhänge.
Betroffen vom Cyberangriff auf die Bahn war die Navigator-App
Zum gegenwärtigen Zeitpunkt würden wir uns hier an der Stelle jetzt noch nicht dazu äußern wollen, woher das kommt. An dieser Stelle sind wir noch in der Untersuchung.
Welches Motiv haben die Angreifer bei solchen Attacken?
Plattner: DDoS-Attacken haben relativ häufig genau den Grund, hier Propaganda zu befördern, also sprich einfach den Betrieb zu stören und immer wieder das Gleiche zu propagieren - nämlich: Ihr funktioniert nicht, euer System funktioniert nicht, das ist eine implizite Systemkritik. Das gibt es sehr häufig.
Was es auch gibt, ist das Verschleiern eines anderen Eingriffs. Man ist damit beschäftigt, eine DDoS-Attacke abzuwehren und gleichzeitig passiert irgendwo im Hintergrund der eigentliche Angriff. So eine DDoS-Attacke hinterlässt in aller Regel keine bleibenden Schäden an sich. Und da kann man sich natürlich schon fragen: Wrum macht das jemand und wo kommt das her?
Wie groß ist das Problem dieser DDoS-Attacken generell in Deutschland?
Plattner: Also DDoS-Attacken sind nicht unser größtes Problem, aber natürlich sind sie ein Problem, denn in dem Moment, wo man selbst angegriffen wird, ist natürlich auch das Geschäft an der Stelle nicht einsatzfähig oder die Webseite nicht erreichbar. Und natürlich ist das ernst zu nehmen. Aber es ist eben in aller Regel keine nachhaltige Störung. Deswegen gibt es andere Angriffe, die uns im Zweifelsfall dann noch mal ein bisschen mehr Kopfzerbrechen machen.
Wir sehen es flächendeckend immer wieder an verschiedensten Stellen und seit Beginn des Ukraine-Krieges auch wirklich mit einer entsprechenden Häufung. Das große Problem heutzutage ist: Diese Angriffe werden immer breitbandiger. Das heißt: Die Zahl der Meldungen, die da eingehen, die dann bewältigt werden müssen, wird immer größer.
Steht Deutschland da im Vergleich besonders im Fokus bei den DDoS-Attacken?
Plattner: Also wir sind natürlich grundsätzlich ein spannendes Ziel. Aber wir müssen schon auch feststellen, dass es in anderen Ländern auch nicht viel weniger ist. Das hängt ein bisschen davon ab, in welchem politischen Spannungsfeld man steht. Entsprechend wird dann dort auch mehr angegriffen. Aber glauben Sie mir, das finden Sie auch in den USA oder in anderen Teilen Europas und der Welt. Ich bin sicher, Israel hat dazu noch was zu sagen und Südkorea sicherlich genauso.
Welche Konsequenzen muss man auch aus dieser aktuellen Erfahrung in Sachen Sicherheit ziehen?
Plattner: Wir haben uns ganz fest vorgenommen, wirklich eine Art Grundschutz für alle hinzubekommen und es den Angreifern schwerer zu machen. Da haben wir noch ein bisschen was in der Schublade. Wir haben den Auftrag vom Bundesinnenminister, eine Art Schutzschirm zu bauen, im Rahmen des sogenannten Cyberdomes. Das wollen wir auch unbedingt tun und da werden DDoS-Attacken sicher auch eine Rolle spielen.
Tun Unternehmen da schon genug für ihren Schutz?
Plattner: Unternehmen tun an vielen Stellen schon einiges. Aber wenn es dann richtig große Attacken sind, dann wird es dann tatsächlich auch schwierig, die von vornherein sofort zu unterbinden. Da dauert es manchmal dann schon einen Moment, bis man das so kalibriert hat, dass man so einen effektiven Schutz dann auch hinbekommt. Das ist das, was wir hier gesehen haben.
Die Bahn ist laut BSI in Sachen Cybersicherheit gut aufgestellt
Natürlich kann und muss man da immer mehr tun, das ist überhaupt gar keine Frage. Aber wir sehen es ja gerade an der Bahn, die jetzt da auch nicht ganz unbedarft ist, dass Attacken dann eben halt doch noch durchkommen.
Waren Sie vom Ausmaß und den Folgen der Attacke auf die Bahn überrascht?
Plattner: Also überrascht wäre wahrscheinlich das falsche Wort, weil ich fürchte, dafür weiß ich zu viel. Es ist tatsächlich so, dass es Attacken inzwischen in solchen Stärken gibt, dass man Schwierigkeiten hat, das alles von vornherein so abzusichern, dass es gar nicht mehr durchkommen kann.
Die breitbandigeren Attacken, gerade im DDoS-Bereich, werden eben größer und mehr und da werden wir auch wahrscheinlich noch mal nachlegen müssen und auch zusammen mit der Industrie und Sicherheitsdienstleistern, Netzbetreibern etc. da noch mal zusammen drauf schauen, wie wir uns auch für solch große Attacken für die Zukunft wappnen.
Das Interview führte Jörg Sauerwein. Wir haben die Antworten zur besseren Lesbarkeit an mehreren Stellen leicht gekürzt und umformuliert.
Unsere Quelle:
- WDR-Interview mit BSI-Präsidentin Claudia Plattner
Sendung: WDR.de, Cyberbehörde BSI zum Angriff auf die Bahn, 18.02.2026, 16:45 Uhr
