Am 17. und 18. Februar 2026 stand Deutschland vor einem Lehrstück in Sachen hybrider Kriegsführung: Die Deutsche Bahn wurde Opfer eines massiven DDoS-Angriffs, der zeitweise das komplette Buchungs- und Auskunftssystem lahmlegte. Die BSI-Chefin sprach von „Milliarden Anfragen pro Minute" – eine Dimension, die in der Geschichte der deutschen Cyberangriffe kaum Beispiele kennt.
Was genau passiert ist
Dienstagnachmittag, 17. Februar, erste Anomalien. Die App DB Navigator wird langsamer, bahn.de lädt nicht mehr richtig. Reisende melden Probleme – die Bahn beschwichtigt zunächst. Mittwochfrüh: kurze Entwarnung. Mittwochmittag: Rücknahme dieser Entwarnung.
„Die aktuelle Attacke ist gezielt auf die DB gerichtet und ist in Wellen erfolgt", teilte der Konzern schließlich auf seiner Webseite mit. „Das Ausmaß ist erheblich."
Laut verfügbaren Informationen handelt es sich um Datenvolumina von bis zu 100 Gigabit pro Sekunde – ein Wert, der selbst erfahrene IT-Sicherheitsexperten aufhorchen lässt. „Profis am Werk", nannten es Insider. Experten sprechen von einem volumetrischen DDoS-Angriff der oberen Klasse: nicht nur lästig, sondern gezielt auf maximale öffentliche Sichtbarkeit ausgerichtet.
Betroffen waren ausschließlich die kundenseitigen Systeme – bahn.de und DB Navigator. Kritische Betriebssysteme wie Zugsteuerung, Stellwerke und Sicherheitssysteme blieben laut Bahn unberührt. Kundendaten wurden nicht kompromittiert.
DDoS: Eine alte Methode mit neuer politischer Schlagkraft
Eine Distributed-Denial-of-Service-Attacke ist technisch simpel – und gerade deshalb so effektiv. Tausende gekaperte Computer, sogenannte Bots, senden gleichzeitig Anfragen an denselben Server. Der bricht unter der Last zusammen. Nicht weil er gehackt wurde, sondern weil er buchstäblich ertrinkt.
„Es handelt sich um Milliarden Anfragen pro Minute", sagte BSI-Präsidentin Claudia Plattner dem WDR. Die Attacke habe „keine alltägliche Dimension" – sie sei klar „die größere Kante" gegenüber üblichen Angriffen.
IT-Rechtsprofessor Dennis-Kenji Kipker ordnete gegenüber Focus ein, wie solche Angriffe organisiert werden: Über Messaging-Dienste wie Telegram werden Tausende freiwillige Teilnehmer rekrutiert. Gleichzeitig steht ein Botnetz aus Hunderten gekaperten Servern bereit. Das Ergebnis ist eine koordinierte Überlastungswelle – angreifbar, wiederholbar, skalierbar.
Wer steckt dahinter?
Offiziell schweigt die Bahn zu Spekulationen. Das Innenministerium ebenfalls: „Das ist jetzt ein sehr, sehr früher Zeitpunkt, um Ergebnisse von Aufklärung zu erwarten", erklärte eine Sprecherin.
Inoffiziell ist das Bild klarer. Nach übereinstimmenden Berichten von Spiegel, Tagesspiegel und Cybernews werden aus Konzernkreisen russische Hackergruppen als Täter vermutet. Insbesondere werden zwei Gruppierungen genannt, die seit Beginn des Ukraine-Krieges zur gefährlichsten Klasse pro-russischer Hacktivisten zählen:
- NoName057(16): Eine Gruppe, die seit 2022 systematisch kritische Infrastruktur in NATO-Staaten angreift – Energieversorger, Behörden, öffentlichen Verkehr. Rekrutierung läuft über Telegram, Botnetze liefern die Feuerkraft.
- KillNet: Ebenfalls pro-russisch, ebenfalls Telegram-basiert, mehrfach für Angriffe auf europäische Regierungswebsites verantwortlich.
IT-Experte Jan Lemnitzer ordnete den Angriff gegenüber tagesschau24 explizit „als Teil einer großangelegten russischen Kampagne gegen mehrere NATO-Staaten" ein. Eine Attribution, die keine offizielle Bestätigung hat – aber in das Muster der letzten Jahre passt.
Hybride Kriegsführung: Das Ziel ist die Sichtbarkeit
Was diese Angriffe von klassischer Cyberkriminalität unterscheidet: Es geht nicht um Geld, nicht um Daten, nicht um Systemzugang. Es geht um öffentliche Wahrnehmung.
Ein lahmgelegter DB Navigator an einem normalen Mittwoch erzeugt mehr gesellschaftliche Unruhe als jeder stille Datendiebstahl. Hunderttausende Menschen, die keine Fahrkarte kaufen können. Zugverbindungen, die sich nicht nachschlagen lassen. Frustration, die sich über Social Media verbreitet.
Das ist das Kalkül: Demokratische Gesellschaften sollen spüren, wie verwundbar ihre Infrastruktur ist. Nicht als Vorstufe zu einer militärischen Operation – sondern als Botschaft. Als Demonstration von Reichweite.
Cloudflare, der weltweit größte Anbieter von DDoS-Schutz, verzeichnete für 2025 bereits 47,1 Millionen DDoS-Attacken weltweit – gegenüber 21,3 Millionen im Vorjahr. Eine Verdopplung innerhalb von zwölf Monaten. Der Deutsche Bahn-Angriff ist kein Einzelfall. Er ist ein Datenpunkt in einem klaren Trend.
Wie schützt man sich – und wer verdient daran?
Die Bahn hat offenbar schnell reagiert: Angriffsverkehr wurde gefiltert, legitimer Traffic auf mehrere Knoten verteilt. Web Application Firewalls, CAPTCHA-Systeme, Provider-seitige Filterung. Am Donnerstagmorgen meldete das Unternehmen, die Systeme seien wieder vollständig verfügbar.
Das zeigt: DDoS-Angriffe sind beherrschbar – mit dem richtigen Schutz. Genau das ist das Investment-Thema hinter dieser Nachricht.
Der DDoS-Schutzmarkt wächst schnell. Betreiber kritischer Infrastruktur investieren massiv in Scrubbing-Dienste, CDN-basierte Abwehr und intelligente Traffic-Analyse. Die direkten Profiteure:
- Cloudflare (NET): Weltmarktführer im DDoS-Schutz. 47,1 Millionen abgewehrte Angriffe in 2025, deutlich steigende Nachfrage aus dem kritischen Infrastrukturbereich.
- Akamai (AKAM): Ebenfalls führender Anbieter, besonders stark im Enterprise- und Government-Segment.
- Radware: Spezialist für hybride DDoS-Abwehr, besonders in der EMEA-Region relevant.
Und mit der EU-Richtlinie NIS2, die seit Oktober 2024 in deutsches Recht umgesetzt ist, werden Unternehmen wie die Deutsche Bahn gesetzlich verpflichtet, angemessene Cyberabwehr nachzuweisen. Wer diese Anforderungen nicht erfüllt, riskiert erhebliche Bußgelder. Für Anbieter von Sicherheitslösungen ist das regulatorischer Rückenwind.
Fazit: Infrastruktur ist Geopolitik
Der Angriff auf die Deutsche Bahn ist kein technisches Randproblem. Er ist ein Symptom einer neuen geopolitischen Realität: Kritische Infrastruktur ist zum Schauplatz hybrider Auseinandersetzungen geworden, in denen staatlich gelenkte oder tolerierte Hackergruppen als verlängerter Arm geopolitischer Interessen operieren.
BSI-Chefin Plattner hat Recht: Das war keine alltägliche Attacke. Und es wird nicht die letzte sein.
Für Investoren bedeutet das: Cybersicherheit ist keine Nische mehr. Sie ist Pflichtbestandteil jedes modernen Infrastrukturportfolios – und der Markt wird von Regulierung, geopolitischen Spannungen und wachsender Bedrohungslage gleichzeitig angetrieben.
