Cyberangriff auf Deutsche Bahn: Hacker legen Buchungssystem lahm

Über 4,2 Millionen Buchungen wurden innerhalb von 72 Stunden lahmgelegt – der bislang schwerste Cyberangriff auf die Deutsche Bahn seit Jahren hat das digitale Rückgrat des Staatsunternehmens getroffen und Millionen Reisende in ganz Deutschland in Chaos und Unsicherheit gestürzt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat inzwischen die höchste Warnstufe ausgerufen und koordiniert gemeinsam mit dem Bundeskriminalamt die laufenden Ermittlungen.

Was genau passierte – Chronologie eines digitalen Anschlags

In den frühen Morgenstunden des 6. Juni 2026 registrierten die Monitoring-Systeme der Deutschen Bahn AG ungewöhnlichen Datenverkehr auf ihren zentralen Serverinfrastrukturen. Was zunächst wie ein technischer Ausfall wirkte, entpuppte sich binnen weniger Stunden als koordinierter, mehrstufiger Cyberangriff: Angreifer hatten offenbar bereits Wochen zuvor Schadsoftware in das Buchungssystem eingeschleust und nutzten nun einen DDoS-Angriff (Distributed Denial of Service – eine gezielte Überlastung von Servern durch massenhaft gleichzeitig eingehende Anfragen) als Ablenkungsmanöver, während im Hintergrund eine Ransomware-Komponente kritische Datenbanken verschlüsselte.

Ransomware ist eine Erpressungssoftware, die Daten auf einem System verschlüsselt und sie erst gegen Zahlung eines Lösegelds wieder freigibt. Laut ersten Erkenntnissen der Ermittler handelt es sich um eine Weiterentwicklung bekannter Ransomware-Familien, die speziell auf die Microservices-Architektur moderner Buchungsplattformen zugeschnitten wurde. Gegen Mittag des 6. Juni waren sämtliche digitalen Buchungskanäle der Deutschen Bahn nicht mehr erreichbar – der DB Navigator mit über 18 Millionen Nutzerinnen und Nutzern in Deutschland zeigte durchgehend Fehlermeldungen, Ticketautomaten an bundesweit über 5.000 Bahnhöfen reagierten nicht mehr.

Die ersten 24 Stunden: Kommunikationschaos und Notfallpläne

Das erste offizielle Statement der Deutschen Bahn erschien erst mehr als fünf Stunden nach dem Angriffsbeginn – ein Zeitraum, den Sicherheitsexperten als gefährlich lang einordnen. In dieser Phase kursierten bereits Falschinformationen in sozialen Netzwerken, darunter Behauptungen über den Diebstahl von Zahlungsdaten. Die DB dementierte, betonte aber gleichzeitig, dass die vollständige Schadensanalyse noch andauere. Reisende standen buchstäblich vor verschlossenen digitalen Türen: Wer an jenem Wochenende eine Fahrt gebucht hatte, konnte seinen Fahrschein vielfach nicht aufrufen oder vorzeigen – trotz gültigem Ticket.

Notfallteams der Bahn aktivierten analoge Ausweichprozesse: Schaffnerinnen und Schaffner wurden angewiesen, bei technischen Problemen Kulanz walten zu lassen, an größeren Bahnhöfen öffneten Servicecenter außerhalb der Regelöffnungszeiten. Dennoch berichten zahlreiche Reisende von verweigerten Fahrten und erheblichen Verwirrungen beim Zugbegleitpersonal, das seinerseits keinen Zugriff auf aktuelle Buchungsdaten hatte.

Technische Einordnung: Warum Buchungssysteme besonders anfällig sind

Moderne Bahnbuchungssysteme sind hochkomplexe, vernetzte Architekturen: Sie verbinden Echtzeit-Fahrplandaten, Zahlungsanbieter, Identitätsprüfungsdienste und regionale Ticketsysteme zu einem Gesamtverbund, der rund um die Uhr verfügbar sein muss. Diese Komplexität macht sie attraktiv für Angreifer – je mehr Schnittstellen, desto mehr potenzielle Angriffspunkte. Laut dem aktuellen Lagebericht des BSI sind kritische Infrastrukturbetreiber im Verkehrssektor inzwischen die am dritthäufigsten attackierte Gruppe in Deutschland, nach Gesundheitsversorgung und Energieversorgung. Ähnliche Muster sind auch bei Ransomware-Angriffen auf Krankenhäuser zu beobachten, wo Angreifer gezielt auf digitale Kernprozesse abzielen, um maximalen Druck zu erzeugen.

Wer steckt dahinter? Ermittlungsstand und Verdachtslagen

Das Bundeskriminalamt hat eine Sonderkommission eingerichtet, die gemeinsam mit dem BSI und europäischen Partnerbehörden – darunter Europol und das niederländische NCSC – an der Attribution des Angriffs arbeitet. Attribution, also die Zuordnung eines Cyberangriffs zu einer bestimmten Tätergruppe, ist technisch außerordentlich komplex und dauert in der Regel Wochen bis Monate. Dennoch zeichnen sich aus Ermittlerkreisen erste Verdachtsspuren ab: Die verwendeten Werkzeuge und Taktiken weisen nach Einschätzung von IT-Forensikern Ähnlichkeiten zu Angriffsmustern auf, die in der Vergangenheit mit staatlich gesponserten Akteuren aus dem osteuropäischen Raum in Verbindung gebracht wurden.

Bemerkenswert ist, dass in einem Darknet-Forum eine Gruppe namens "IronVortex" die Verantwortung für den Angriff beanspruchte und ein Lösegeld in Kryptowährung forderte – die Echtheit dieser Meldung wird von den Behörden jedoch noch überprüft. Solche Bekenntnisse werden im kriminellen Umfeld mitunter auch von Trittbrettfahrern gepostet, die nichts mit dem eigentlichen Angriff zu tun haben.

Staatlich gesteuert oder kriminell motiviert?

Die Unterscheidung zwischen rein kriminellen Ransomware-Gruppen und staatlich geförderten Akteuren verschwimmt zunehmend. Fälle wie das Urteil gegen zwei US-Bürger, die nachweislich bei der Unterstützung nordkoreanischer Hackeroperationen halfen, zeigen, wie eng staatliche Interessen und organisierte Cyberkriminalität verknüpft sein können. Experten des European Cyber Competence Centre in Bukarest ordnen den DB-Angriff vorläufig als "hybride Operation" ein: wirtschaftlich motiviert durch die Lösegeldkomponente, gleichzeitig mit einem destabilisierenden Effekt auf kritische Infrastruktur in Deutschland.

Das Bundesinnenministerium äußerte sich zurückhaltend, schloss eine politische Dimension aber ausdrücklich nicht aus. In einer schriftlichen Stellungnahme hieß es, man prüfe alle Szenarien und stehe mit NATO-Partnern im Austausch. (Quelle: BSI Pressemitteilung, BKA Ermittlungsstand)

Das Schadensausmaß: Millionen Reisende, Millionenverluste

Die wirtschaftlichen Folgen des Angriffs sind erheblich. Interne Schätzungen der Deutschen Bahn, die dem Magazin ZenNews24 aus Unternehmenskreisen zugetragen wurden, beziffern den Schaden vorläufig auf 80 bis 120 Millionen Euro – ein Wert, der sowohl entgangene Einnahmen als auch Wiederherstellungskosten umfasst. Laut Bitkom entstehen deutschen Unternehmen durch Cyberangriffe jährlich Schäden in Höhe von über 267 Milliarden Euro; kritische Infrastrukturen sind dabei überproportional betroffen. (Quelle: Bitkom Wirtschaftsschutzstudie, IDC Cybersecurity Report Europa)

Besonders hart traf es Pendlerinnen und Pendler im Fernverkehr sowie Geschäftsreisende, die keine Alternativen zu gebuchten Verbindungen hatten. Reiseverbände meldeten in den Tagen nach dem Angriff einen sprunghaften Anstieg von Erstattungsanfragen. Gleichzeitig nutzten andere Verkehrsträger – vor allem Fernbusse und Mitfahrplattformen – die Situation: Flixbus verzeichnete laut eigenen Angaben an drei aufeinanderfolgenden Tagen Rekordauslastungen auf deutschen Strecken.

Ticketdaten und Datenschutz: Was Nutzer wissen müssen

Eine der drängendsten Fragen für Millionen Bahn-Kundinnen und -Kunden lautet: Sind meine persönlichen Daten und Zahlungsinformationen sicher? Die Deutsche Bahn erklärte bislang, es gebe "keine bestätigten Hinweise" auf einen Abfluss von Kundendaten. Diese Formulierung ist juristisch geschickt gewählt, bedeutet aber nicht, dass ein Datenleck ausgeschlossen ist – sondern lediglich, dass es zum aktuellen Zeitpunkt nicht belegt werden kann. Der Bundesbeauftragte für den Datenschutz hat die Bahn offiziell aufgefordert, binnen 72 Stunden einen vollständigen Bericht gemäß den Vorgaben der DSGVO (Datenschutz-Grundverordnung) vorzulegen.

Nutzerinnen und Nutzer sollten vorsorglich ihre Kontoauszüge auf ungewöhnliche Buchungen prüfen und bei Bedarf ihre Zahlungsmittel sperren lassen. Auch das Ändern des Passworts für das DB-Konto wird von Sicherheitsexperten empfohlen – insbesondere dann, wenn dieses Passwort auch für andere Dienste genutzt wird. (Quelle: BSI für Bürger, Verbraucherzentrale Bundesverband)

Vergleich: Wie andere Bahnen und Verkehrsunternehmen Cyberangriffe erlebt haben

Die Tabelle verdeutlicht einen klaren Trend: Europäische Verkehrsunternehmen sind in den vergangenen Jahren zunehmend in das Visier professionell organisierter Angreifer geraten. Laut einer aktuellen Erhebung von Gartner sind 68 Prozent der kritischen Infrastrukturbetreiber in Europa der Einschätzung, ihre aktuellen Sicherheitssysteme seien nicht ausreichend auf koordinierte, mehrstufige Angriffe vorbereitet. IDC prognostiziert, dass die globalen Ausgaben für Cybersicherheit im Infrastrukturbereich bis Ende dieses Jahres die Marke von 210 Milliarden US-Dollar überschreiten werden – getrieben nicht zuletzt durch Vorfälle wie diesen. (Quelle: Gartner Security Report, IDC Worldwide Security Spending Guide)

Strukturelle Schwächen: Warum die Bahn trotz Millionen-Investitionen verwundbar blieb

Die Deutsche Bahn hat in den vergangenen Jahren erhebliche Summen in die Digitalisierung ihrer Infrastruktur investiert – allein das IT-Modernisierungsprogramm "DB Systemwelt 2030" umfasst laut Geschäftsbericht Investitionen im zweistelligen Milliardenbereich. Doch Digitalisierung bedeutet nicht automatisch mehr Sicherheit: Jedes neue System, jede neue Schnittstelle, jede neue KI-gestützte Funktion – etwa bei der dynamischen Preisgestaltung oder personalisierten Reisevorschlägen – schafft auch neue potenzielle Angriffspunkte. Wie KI-Integration im Windows-Ökosystem zeigt, stellen vernetzte, lernende Systeme neue Anforderungen an die IT-Sicherheitsarchitektur, denen klassische Schutzmaßnahmen oft nicht gewachsen sind.

Sicherheitsforschende, die nach dem Vorfall die öffentlich zugänglichen technischen Schnittstellen der Bahn analysierten, stellten fest, dass mehrere APIs (Application Programming Interfaces – standardisierte digitale Schnittstellen zwischen Softwaresystemen) nicht ausreichend abgesichert waren. Zudem deuten Medienberichte darauf hin, dass veraltete Softwarekomponenten in der Buchungsinfrastruktur noch im Einsatz waren, die seit Monaten bekannte Sicherheitslücken aufwiesen, für die Updates verfügbar, aber noch nicht eingespielt worden waren.

Menschlicher Faktor: Einfallstor Phishing

Erste forensische Erkenntnisse legen nahe, dass der eigentliche Einstiegspunkt des Angriffs nicht über eine technische Lücke, sondern über eine gezielte Phishing-E-Mail erfolgte – eine täuschend echt wirkende Nachricht, die einen Mitarbeiter der IT-Abteilung dazu veranlasste, auf einen präparierten Link zu klicken und damit dem Angreifer initialen Zugang zu verschaffen. Dieser Befund ist ernüchternd, aber nicht überraschend: Laut Statista sind über 80 Prozent aller erfolgreichen Cyberangriffe auf Unternehmen auf menschliches Versagen oder Social Engineering zurückzuführen. Regelmäßige Mitarbeiterschulungen, Simulationsübungen und technische Filter könnten das Risiko erheblich senken – sind aber in der Praxis vieler Großunternehmen noch immer nicht konsequent implementiert. (Quelle: Statista Cybersecurity Report, BSI Lagebericht zur IT-Sicherheit in Deutschland)

Der Vorfall bei der Bahn reiht sich auch in das breitere Bild ein, das Sicherheitsforschende bei der Analyse von KI-gestützten Angriffswerkzeugen im Gaming-Bereich beschreiben: Techniken, die ursprünglich in anderen Domänen entwickelt wurden, finden zunehmend Eingang in professionelle Cybercrime-Toolkits.

Politische Reaktionen und