Cyberwar: DDoS-Angriffe legen Webseiten deutscher Städte lahm

Marc Stöckel
42 Kommentare
Cyberwar: DDoS-Angriffe legen Webseiten deutscher Städte lahm
Bild: pixabay.com / KoelnDeluxe

Webportale gleich mehrerer deutscher Städte waren in dieser Woche Ziele von DDoS-Angriffen und infolgedessen unerreichbar. Neben Frankfurt, Köln, Dortmund und Dresden waren wohl auch Nürnberg, Hannover und Bielefeld betroffen. Wer hinter den Angriffen steckt, ist noch unklar.

Einen Überblick über die jüngsten Cyberangriffe auf deutsche Kommunen liefert eine Webseite mit dem Titel Kommunaler Notbetrieb von Jens Lange aus Kassel. Dort sind gleich mehrere Meldungen verlinkt, die auf DDoS-Angriffe auf die Webseiten deutscher Städte hinweisen.

DDoS-Angriffe auf Frankfurt und Dortmund

In einem gestern veröffentlichten Bericht der Frankfurter Rundschau heißt es beispielsweise, es sei Hackern gelungen, die Webseite der Stadt Frankfurt am Main für mehrere Stunden lahmzulegen. Begonnen habe der „konzentrierte Hackerangriff“ einer Sprecherin der Kommune zufolge schon am Donnerstag.

Einen Tag früher ging es anscheinend schon in Dortmund los. Dem WDR zufolge litt die Stadt bereits am Mittwoch unter ersten DDoS-Angriffen. Gestern habe die Kommune dann als Ausweichmöglichkeit für wichtige Online-Dienste zusätzlich eine provisorische Webseite bereitgestellt, die es Bürgern wieder ermöglichen soll, Termine zu vereinbaren, um beispielsweise Pässe verlängern zu lassen.

Auch Köln, Bielefeld und Dresden sind betroffen

Darüber hinaus bestätigte auch die Stadt Köln am Donnerstag im Rahmen einer Pressemitteilung einen „massiven Hacker-Angriff auf die städtische Internetseite stadt-koeln.de“. Der DDoS-Angriff habe schon am Donnerstagvormittag begonnen und dazu geführt, dass die Bürger der Stadt das Informationsangebot des Webportals nicht wahrnehmen konnten. Inzwischen sei die Webseite aufgrund vom Betreiber des Servers zusammen mit städtischen Experten eingeleiteten Gegenmaßnahmen wieder erreichbar, jedoch könne es auch weiterhin zu kleineren Störungen kommen.

Auch die Webseite der Stadt Bielefeld war dem Westfalen-Blatt zufolge wohl fast den kompletten Donnerstag nicht erreichbar. Ebenso war die Erreichbarkeit von dresden.de laut IT-Daily an diesem Tag bis etwa 15:30 Uhr nicht gewährleistet, da Dresden das Webportal infolge eines DDoS-Angriffs aus Sicherheitsgründen vorerst vom Internet getrennt hatte. Erst nach der Einleitung weiterer Abwehrmaßnahmen sei die Seite wieder ans Netz gegangen.

Einsatz von Rapid Reset naheliegend

Unklar ist noch, wer hinter diesen Cyberangriffen steckt und was genau die Angreifer damit bezwecken wollen. Aufgrund der zeitlichen Nähe zu dem jüngst von Google verzeichneten DDoS-Weltrekord mit bis zu 398 Millionen Anfragen pro Sekunde (RPS) ist aber durchaus denkbar, dass hier die gleiche Rapid Reset genannte Angriffstechnik zum Einsatz kam. Diese basiert auf einer Schwachstelle im HTTP/2-Protokoll (CVE-2023-44487), durch die die böswilligen Akteure ihre Zielsysteme unter Missbrauch sogenannter RST_STREAM-Frames mit besonders vielen Datenpaketen befeuern können.

Die für einen erfolgreichen Rapid-Reset-Angriff notwendigen Ressourcen sind dabei vergleichsweise gering. Der Datenverkehr für einen von Cloudflare aufgedeckten DDoS-Angriff mit bis zu 201 Millionen RPS soll beispielsweise von einem Botnetz mit nur 20.000 Teilnehmern generiert worden sein. Um den Webserver einer deutschen Kommune in die Knie zu zwingen, dürften noch weitaus weniger Bots ausreichen, sodass Betreiber größerer Botnetze gleich mehrere Systeme auf einmal unbenutzbar machen könnten.