Cyberattacke auf Dresden
BSI: Bei DDOS-Attacken geht es oft um Propaganda / LKA ermittelt
Dresden, 30. April 2025. Unbekannte Hacker haben einen DDOS-Cyberangriff auf den Internetauftritt Dresden gestartet. Weil die Netzseiten unter der Last unzähliger Zugriffe überlastet wurden, hat die Landeshauptstadt ihre Präsenz im Internet unter dresden.de selbst heruntergefahren, sie ist damit online nicht mehr erreichbar. Das geht aus einer Mitteilung aus dem Rathaus hervor. Auch bei den zuständigen Bundesbehörden ist dies vermerkt: „Dem BSI ist der Ausfall der Webseite dresden.de bekannt“, heißt es dazu auf Oiger-Anfrage vom Bundesamt für Sicherheit in der Informationstechnik.
„Zum Schutz der städtischen IT-Systeme ist derzeit ein Zugriff auf die Seiten und IT-Services von dresden.de unterbunden“, informierte die Stadtverwaltung „An der Abwehr dieses Angriffs wird aktuell intensiv gearbeitet, um die Nutzung von dresden.de durch die Bürgerinnen und Bürger sowie Besucher der Stadt wieder zu gewährleisten.“
Was ist eine DDOS-Attacke?
Bei einer DDOS-Attacke (Distributed-Denial-of-Service) starten die Angreifer von zahlreichen eigenen oder infizierten Rechnern aus unzählige Zugriffsanfragen auf die Zielseiten. Je nach Menge der Anfragen bricht unter solchen Lasten letztlich nahezu jedes System zusammen und wird unerreichbar für reguläre Anfragen. Dabei setzen die Angreifer teilweise eigene Server-Farmen ein, viel häufiger aber Bot-Netze aus Zombie-PCs oft ahnungsloser Nutzer, die sie zuvor beispielsweise durch Viren infiziert haben.
Strafanzeige gestellt
Woher der Angriff kommt, ist noch nicht geklärt. „Es liegen keine Erkenntnisse darüber vor, wer hinter dem Angriff steckt oder über eine konkrete Motivation“, erklärte die Stadtverwaltung auf Anfrage. Der Eigenbetrieb für Informationstechnologie (IT) stehe mit dem Cyberabwehrzentrum des Landes Sachsen und dem Landeskriminalamt in Verbindung. „Eine Strafanzeige von Amtswegen wurde bereits gestellt.“
BSI verweist auf verstärkte Angriffe aus Russland
Ein Angriff Kreml-naher Hacktivisten oder Staats-Hacker ist nicht ganz ausgeschlossen. „Die IT-Systeme deutscher Behörden, Institutionen und Organisationen sind regelmäßig Ziel von Cyberangriffen“, heißt es dazu vom BSI. „Dazu zählen beispielsweise DDoS-Angriffe (Überlastangriffe) mit dem Ziel, Webseiten oder andere Services zu stören. Diese haben in der Regel nur eine kurzfristige und geringfügige Schadwirkung und werden insbesondere durch Hacktivisten wiederholt für ihre jeweiligen Propagandazwecke genutzt. Die Zahl der DDoS-Angriffe schätzt das BSI seit dem russischen Angriffskrieg gegen die Ukraine auf anhaltend erhöhtem Niveau ein.“
Pro-russische Hacktivisten-Gruppen wie „Killnet“ und „NoName057“ verstärkt aktiv
Im Zuge des russischen Angriffskriegs gegen die Ukraine sei zu beobachten gewesen, dass sich „verschiedene Gruppierungen pro-russischer Hacktivisten“ formierten, die DDoS-Angriffe auch gegen deutsche Ziele durchführten, so das BSI. Darunter seien beispielsweise die Hacktivisten-Gruppen „Killnet“ und „NoName057“. Letztere bauten im Zuge ihres Projektes „DDoSia“ ein „Botnet“ auf, also ein Netz aus fernsteuerbaren Rechnern für „hacktivistische Angriffe“. Darunter sind Cyberattacken zu verstehen, die nicht direkt von staatlichen Akteuren ausgeführt werden, sondern von Hackern, die sich als Aktivisten für die „Sache“ ihres Landes oder Ideologie verstehen. Ob eine dieser Gruppen konkret für den Angriff auf dresden.de verantwortlich sein könnte, ist bislang aber nur eine Spekulation.
Institutionen in Sachsen schon mehrfach lahmgelegt
Zur Erinnerung: Internetauftritte von Kommunen, Unis und Unternehmen in Sachsen waren in jüngerer Vergangenheit mehrfach lahmgelegt. Dazu gehört die nachhaltige Zerstörung des Internetauftritts der Städtischen Bibliotheken Dresden, ein Ausfall von dresden.de durch eine fehlerhafte Einstellung während einer Bomben-Evakuierung, einen weitgehend abgewehrten Cyberangriff auf dresden.de im Oktober 2023, eine besonders erfolgreiche Attacke auf die Seiten der Bergakademie Freiberg und dergleichen mehr. Dahinter steckten aber nicht unbedingt immer durch gezielte Cyberattacken beziehungsweise politisch motivierte Angriffe, sondern teils auch technische Fehler und Missgeschicke.
Cyberzentrum Sachsen ermittelt
Das Landeskriminalamt Sachsen versucht nun, die Hintergründe aufzuklären. „In Bezug auf die aktuellen DDoS-Attacken auf die Webseite der Stadt Dresden wurden im Cybercrime Competence Center des Landeskriminalamtes Ermittlungen aufgenommen“, teilte das LKA mit. „Aufgrund der laufenden Ermittlungen kann zum jetzigen Zeitpunkt keine Aussage zu den Hintergründen der Tat getätigt werden. Die zentrale Ansprechstelle Cybercrime (ZAC) steht in Kontakt mit den Informatikdienstleistern der Webseite, um den Sachverhalt zeitnah aufzuklären.“
Aktualisierung:
Der Angriff hielt am Mittwochabend weiter an: „Dieser sehr umfangreiche und komplexe Cyberangriff dauert unvermindert an und wird weiterhin abgewehrt“, informierte das Rathaus. „Die städtischen Daten sind geschützt und die internen IT-Anwendungen laufen im Normalbetrieb.“ Bei den Angreifern handelt es sich um große Botnetze. „Der Angriff auf dresden.de übertrifft an Umfang und Komplexität alle bisherigen Angriffe. Erste Maßnahmen der Techniker des städtischen Eigenbetriebs IT-Dienstleistungen (EBIT) waren bereits erfolgreich, aber noch nicht ausreichend.“ Ebit-Chef Michael Breidung betonte: „In interdisziplinären Teams unseres Rechenzentrums wird die Abwehr aktuell professionell organisiert.“
Über eine Million Anfragen pro Viertelstunde von Tausenden Rechnern weltweit
Allerdings blieb dresden.de auch am Donnerstagvormittag unerreichbar. „Durch die hohe Anzahl an externen Zugriffen den Onlineauftritt dresden.de – über eine Million Verbindungen pro Viertelstunde von tausenden, auf der ganzen Welt verteilten Rechnern – konnten die Seiten und IT-Services auf dresden.de noch nicht wieder verfügbar gemacht werden“, räumte die Stadtverwaltung ein. Es seien zumindest keine Schäden oder Folgekosten zu erwarten.
Ebit-Chef Breidung: Aufrüstung für Dresdner Technik trotz knapper Kassen unvermeidbar
Allerdings räumt Breidung Nachrüstbedarf ein: „Durch die Häufung dieser Ereignisse wird eine Neubewertung der Risikolage und eine sich daran anschließende weitere Aufrüstung in die technische Sicherheit der Landeshauptstadt trotz schwieriger Haushaltlage nicht zu vermeiden sein.“
2. Aktualisierung (2. Mai 2025)
Die Seiten der Landeshauptstadt Dresden sind seit Donnerstagabend wieder erreichbar. „In den späten Abendstunden des 30. April 2025 endete der Cyberangriff auf die Infrastrukturen von dresden.de“, teilte die Stadtverwaltung mit. Die zusätzlichen Schutzmaßnahmen konnten damit zurückgenommen werden. Im Anschluss arbeiteten die Experten des Eigenbetriebs IT der Landeshauptstadt Dresden daran, die Systeme schrittweise wieder hochzufahren.“
Autor: Heiko Weckbrodt
Quellen: LHD, BSI
Ihre Unterstützung für Oiger.de!
Ohne hinreichende Finanzierung ist unabhängiger Journalismus nach professionellen Maßstäben nicht dauerhaft möglich. Bitte unterstützen Sie daher unsere Arbeit! Wenn Sie helfen wollen, Oiger.de aufrecht zu erhalten, senden Sie Ihren Beitrag mit dem Betreff „freiwilliges Honorar“ via Paypal an:
Vielen Dank!
