Am Nachmittag des 17. Februar 2026 fielen bei der Deutschen Bahn nacheinander die Buchungssysteme aus. Der DB Navigator zeigte Fehlermeldungen, bahn.de lud nicht mehr, die Fahrplanauskunft brach zusammen. Was zunächst nach einer technischen Störung aussah, bestätigte der Konzern am folgenden Tag offiziell: ein Cyberangriff, ausgeführt in mehreren Wellen über Stunden hinweg. Es war der öffentlich sichtbarste Vorfall eines Quartals, das Sicherheitsforscher rückblickend als Wendepunkt einordnen. Deutschland, Österreich und die Schweiz sind 2026 zum Brennpunkt einer eskalierenden Angriffskampagne geworden, die Ransomware, Distributed-Denial-of-Service und staatlich gelenkte Operationen verbindet.
Die Dimension lässt sich beziffern. Der Digitalverband Bitkom taxiert den jährlichen Schaden für die deutsche Wirtschaft durch analoge und digitale Angriffe auf 289,2 Milliarden Euro. Das ist ein neuer Höchstwert, getrieben fast vollständig von Cyberkriminalität. Diese Analyse ordnet den Bahn-Angriff in die größere DACH-Welle ein, beziffert die wirtschaftlichen Folgen, benennt die aktiven Tätergruppen und zeigt, warum Österreich trotz kleinerer Wirtschaft im selben Fadenkreuz steht wie sein großer Nachbar.
Cyberangriff auf die Deutsche Bahn: Was am 17. Februar geschah
Der Angriff begann laut Rekonstruktion am Nachmittag des 17. Februar 2026 und verlief in mehreren Wellen. Betroffen waren zentrale digitale Dienste: die App DB Navigator, die Website bahn.de sowie Auskunfts- und Buchungssysteme. Reisende konnten über Stunden keine Tickets kaufen und keine Verbindungen abrufen. Die Bahn selbst sprach von einem DDoS-Angriff, bei dem Server gezielt mit Anfragen überlastet werden, bis sie den regulären Verkehr nicht mehr bedienen können. Ein Datenabfluss wurde nach Konzernangaben nicht festgestellt, die Systeme liefen am 18. Februar wieder weitgehend stabil.
Die Pointe steckt im Detail. Ein DDoS-Angriff verschlüsselt keine Daten und stiehlt keine Geheimnisse. Er nimmt schlicht Verfügbarkeit weg, und genau das macht ihn als Druckmittel attraktiv. Der Zugverkehr selbst rollte weiter, weil Leit- und Sicherungstechnik von den öffentlichen Buchungssystemen getrennt sind. Doch der Imageschaden und die Signalwirkung waren erheblich: Ein kritischer Infrastrukturbetreiber mit Millionen Kunden ließ sich für Stunden lahmlegen, ohne dass die Angreifer ins Kernnetz eindringen mussten. Der Vorfall reiht sich in eine Serie von Störungen, die das erste Quartal 2026 prägten, darunter ein als Cybervorfall diskutierter Stromausfall in Teilen Berlins am 3. Januar.
Für Österreich ist der Fall mehr als ein Blick über die Grenze. Die Österreichischen Bundesbahnen betreiben eine vergleichbar vernetzte digitale Plattform, und die Angriffsmuster sind grenzüberschreitend. Wer in Deutschland erprobte Methoden gegen Verkehrsbetriebe einsetzt, überträgt sie erfahrungsgemäß binnen Wochen auf den gesamten deutschsprachigen Raum. Wie hoch die Schlagzahl in Österreich bereits ist, zeigt unsere Auswertung zu den Cyberangriffen auf österreichische Organisationen.
289 Milliarden Euro: Die Zahl, die alles verändert
Die zentrale Kennziffer stammt aus der Bitkom-Studie zum Wirtschaftsschutz. Für 2025 beziffert der Verband den Gesamtschaden durch Diebstahl, Spionage und Sabotage auf 289,2 Milliarden Euro pro Jahr, ein neuer Rekord. Im Jahr zuvor lag der Wert bei 266,6 Milliarden Euro, ein Anstieg um rund 29 Prozent gegenüber den 205,9 Milliarden der Vorperiode. Den größten Anteil daran trägt die rein digitale Cyberkriminalität: Allein 178,6 Milliarden Euro des 2024er-Schadens entfielen auf Angriffe aus dem Netz.
Noch aussagekräftiger als die absolute Summe ist die Breite der Betroffenheit. 87 Prozent der von Bitkom befragten Unternehmen waren in den vergangenen zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen. Das ist praktisch die gesamte Wirtschaft. Bei der Zuordnung der Täter nennen 46 Prozent der betroffenen Firmen Russland oder China als Ursprungsland mindestens eines Angriffs. In der Vorperiode entfielen 45 Prozent der Nennungen auf China und 39 Prozent auf Russland. 70 Prozent der Unternehmen ordnen Angriffe der organisierten Kriminalität zu, 20 Prozent vermuten ausländische Nachrichtendienste dahinter.
Bitkom-Präsident Ralf Wintergerst ordnet die Entwicklung als Folge der geopolitischen Lage ein. Die Grenze zwischen wirtschaftlich motivierter Kriminalität und staatlich gelenkter Sabotage verwische zusehends, so der Tenor der Verbandsanalyse. Wo früher Erpressung das alleinige Ziel war, gehe es heute oft auch darum, Vertrauen in Infrastruktur zu untergraben. Diese Doppelnatur erklärt, warum ein simpler DDoS gegen einen Bahnkonzern dieselbe Aufmerksamkeit erhält wie ein millionenschwerer Verschlüsselungsangriff.
| Kennziffer (Bitkom Wirtschaftsschutz) | Wert | Zeitraum |
|---|---|---|
| Gesamtschaden deutsche Wirtschaft | 289,2 Mrd. € | 2025 |
| Gesamtschaden Vorperiode | 266,6 Mrd. € | 2024 |
| Anstieg gegenüber Vor-Vorperiode | +29 % | 2023 zu 2024 |
| davon reine Cyberkriminalität | 178,6 Mrd. € | 2024 |
| betroffene Unternehmen | 87 % | 2025 |
| Angriffe Russland/China zugeordnet | 46 % | 2025 |
| Täter aus organisierter Kriminalität | 70 % | 2024 |
DACH im Visier: Warum Deutschland, Österreich und die Schweiz
Die Häufung von Angriffen auf den deutschsprachigen Raum ist kein Zufall. Im Mai 2026 dokumentierte der Branchendienst Industrial Cyber, wie Deutschland zum Brennpunkt einer eskalierenden DACH-Kampagne wird, die Ransomware mit geopolitisch motivierten Operationen kombiniert. Mehrere Faktoren treffen zusammen: eine hohe Dichte exportstarker Industrieunternehmen mit wertvollem geistigem Eigentum, ein dichtes Netz kritischer Infrastruktur und eine klare außenpolitische Positionierung im Ukraine-Konflikt, die die Region zum bevorzugten Ziel hybrider Akteure macht.
Im April 2026 warnten Behörden in Deutschland und den USA gemeinsam, dass eine dem russischen Militärnachrichtendienst zugeordnete Gruppe verwundbare Internet-Router in Deutschland ausgenutzt habe. Solche Operationen zielen nicht auf schnelle Beute, sondern auf dauerhafte Präsenz in fremden Netzen, eine Vorbereitung, die im Ernstfall zur Sabotage genutzt werden kann. Parallel dokumentierte Check Point Research eine Iran-zugeordnete Password-Spraying-Kampagne gegen Microsoft-365-Konten, die zwar primär im Nahen Osten ansetzte, aber dieselben Techniken nutzt, die auch europäische Cloud-Umgebungen treffen.
Österreich bildet hier keine Insel der Seligen. Das Land teilt Sprache, Lieferketten und Software-Ökosysteme mit Deutschland, und viele österreichische Mittelständler hängen als Zulieferer direkt an deutschen Konzernen. Ein Angriff auf einen großen deutschen Hersteller pflanzt sich über die Lieferkette nach Österreich fort. Die nationale Bedrohungsstatistik bestätigt den Trend, wie unsere Analyse der Cyberkriminalität in Österreich im Detail zeigt.
Die aktiven Ransomware-Gruppen 2026
Die Tätergruppen hinter der Welle operieren wie Unternehmen, mit Marken, Partnerprogrammen und Leak-Sites, auf denen sie nicht zahlende Opfer veröffentlichen. Der Branchendienst Cobalt rechnet damit, dass die Zahl der Ransomware-Angriffe bis Ende 2026 um 40 Prozent steigt, mit über 7.000 öffentlich auf Leak-Websites benannten Opfern, verglichen mit 1.412 in einem früheren Vergleichszeitraum. Das Geschäftsmodell hat sich vom reinen Verschlüsseln zur doppelten Erpressung verschoben: Erst werden Daten gestohlen, dann verschlüsselt, und mit der Veröffentlichung gedroht.
Mehrere Gruppen fielen 2025 und 2026 durch konkrete Angriffe auf. Die Gruppe Interlock wurde mit dem Ransomware-Angriff auf den US-Gesundheitsdienstleister Kettering Health im Juni 2025 in Verbindung gebracht. Medusa stand hinter einem Vorfall bei SimonMed Imaging im Oktober 2025, der nach Angaben des CSIS rund 1,2 Millionen Patienten betraf. ShinyHunters, spezialisiert auf reinen Datendiebstahl ohne Verschlüsselung, wurde mit einem Einbruch bei Crunchbase im Januar 2026 verknüpft. Diese Akteure agieren global, ihre Werkzeuge und Partner sind aber dieselben, die DACH-Unternehmen treffen.
| Gruppe | Methode | Bekannter Vorfall | Zeitpunkt | Dimension |
|---|---|---|---|---|
| Interlock | Ransomware | Kettering Health | Juni 2025 | Gesundheitssektor lahmgelegt |
| Medusa | Doppelte Erpressung | SimonMed Imaging | Oktober 2025 | ca. 1,2 Mio. Patienten |
| ShinyHunters | Reiner Datendiebstahl | Crunchbase | Januar 2026 | Unternehmensdaten |
| Codebreakers | Datendiebstahl | Bank Sepah | März 2025 | Finanzsektor |
| unbenannt (DDoS) | Verfügbarkeitsangriff | Deutsche Bahn | Februar 2026 | Buchungssysteme, Stunden |
Anatomie der Angriffswelle: DDoS, Ransomware, Password-Spraying
Die Welle ist keine einzelne Technik, sondern ein Werkzeugkasten. Drei Methoden dominieren 2026, und sie verfolgen unterschiedliche Ziele. DDoS-Angriffe wie der gegen die Deutsche Bahn nehmen Verfügbarkeit weg und eignen sich für schnelle, öffentlichkeitswirksame Schläge. Sie erfordern keinen Einbruch und hinterlassen wenig forensische Spur, weshalb Attribution schwerfällt. Für hybride Akteure sind sie ein billiges Mittel, um Verunsicherung zu säen.
Ransomware bleibt das lukrativste Modell. Die Angreifer dringen über Phishing, gestohlene Zugangsdaten oder ungepatchte Schwachstellen ein, bewegen sich seitlich durchs Netz und schlagen erst zu, wenn sie genug Daten exfiltriert haben. Password-Spraying schließlich ist die geduldige Variante: Statt ein Konto mit vielen Passwörtern anzugreifen, probieren die Täter ein gängiges Passwort über tausende Konten hinweg, um Sperren zu umgehen. Die Iran-zugeordnete Microsoft-365-Kampagne folgte genau diesem Muster.
Warum Zugangsdaten der Hauptvektor bleiben
Quer durch alle drei Methoden zieht sich ein gemeinsamer Nenner: gestohlene oder schwache Zugangsdaten. Der überwiegende Teil erfolgreicher Einbrüche beginnt nicht mit einer hochkomplexen Zero-Day-Lücke, sondern mit einem funktionierenden Login. Mehr-Faktor-Authentifizierung, eindeutige Passwörter pro Dienst und ein Passwort-Manager senken das Risiko drastisch. Wie Angreifer gestohlene Daten weiterverwerten, beschreiben wir in unserer Analyse zu Datenlecks und ihren Folgen, und wie Sie Köder erkennen, im Leitfaden zu Phishing-Angriffen.
Österreich im Fokus: Die lokale Lage
Während Deutschland die Schlagzeilen dominiert, verschärft sich die Lage in Österreich parallel. Die Angriffsfrequenz pro Organisation liegt im DACH-Durchschnitt, und österreichische Behörden registrieren seit Jahren steigende Fallzahlen bei der Cyberkriminalität. Anders als in Deutschland fehlt Österreich oft die mediale Sichtbarkeit großer Einzelfälle, doch die statistische Belastung ist vergleichbar. Wien rückt 2026 zudem als Konferenzstandort in den Fokus: Das Cyber Crime Forum Wien am 16. Juni und ein Branchentreffen mit über 800 Sicherheitsexperten im Austria Center vom 22. bis 26. Juni unterstreichen die regionale Aufmerksamkeit.
Die regulatorische Antwort heißt NIS2. Die EU-Richtlinie weitet Sicherheitspflichten auf tausende Unternehmen aus, die bislang außerhalb der strengen Vorgaben lagen. Für Österreich bedeutet das Melde-, Risikomanagement- und Nachweispflichten für Betreiber wichtiger und kritischer Einrichtungen. Die nationale Umsetzung verlief schleppend und steht unter Beobachtung der EU-Kommission. Wer betroffen ist und welche Fristen gelten, ordnen wir in unserem Überblick zu NIS2 in Österreich ein.
Für österreichische Mittelständler liegt die eigentliche Gefahr in der Lieferkette. Ein Zulieferer, der an einen deutschen Konzern angebunden ist, erbt dessen Bedrohungsprofil. Fällt der Hauptkunde durch Ransomware aus, steht oft auch der Zulieferer still. Umgekehrt nutzen Angreifer kleine, schlecht gesicherte Partner gezielt als Einfallstor in größere Netze. Diese Asymmetrie macht Basisschutz wie Netzsegmentierung und gehärtete Fernzugänge auch für kleine Betriebe zur Pflicht, etwa durch Werkzeuge wie Fail2ban zum Schutz von SSH-Zugängen.
Markt- und Wirtschaftsfolgen der Angriffswelle
Die 289,2 Milliarden Euro Schaden sind nur die direkte Rechnung. Daneben steht ein boomender Markt für Abwehr. Versicherer ziehen die Prämien für Cyberpolicen an und koppeln Deckung an nachweisbare Schutzmaßnahmen wie Mehr-Faktor-Authentifizierung und getestete Backups. Wer diese Mindeststandards nicht erfüllt, bekommt entweder keine Police mehr oder zahlt deutlich höhere Selbstbehalte. Damit übernimmt der Versicherungsmarkt faktisch eine regulatorische Funktion, lange bevor staatliche Auflagen greifen.
Auf der Anbieterseite wächst der Sicherheitsmarkt zweistellig. Anbieter von Managed Detection and Response, von Backup-Lösungen und von Identitätsmanagement profitieren direkt von der Bedrohungslage. Auch die Übernahmen großer Konzerne folgen diesem Muster, etwa der milliardenschwere Zukauf eines Cloud-Sicherheitsspezialisten durch einen Tech-Riesen, den wir in unserer Analyse zur Google-Wiz-Übernahme eingeordnet haben. Für Anwenderunternehmen bedeutet die Konsolidierung weniger Auswahl, aber tiefer integrierte Schutzpakete.
Die indirekten Kosten übersteigen oft den unmittelbaren Schaden. Produktionsausfälle, Reputationsverlust, regulatorische Strafen und langwierige Wiederherstellung summieren sich. Bei der Deutschen Bahn blieb der Schaden begrenzt, weil keine Daten abflossen. Bei einem klassischen Ransomware-Treffer dagegen liegt die durchschnittliche Wiederherstellungszeit international bei mehreren Tagen bis Wochen, in denen ein Betrieb weitgehend stillsteht. Genau diese Ausfalldauer, nicht die Lösegeldsumme, treibt die Gesamtkosten.
Stimmen aus der Sicherheitsbranche
Die Einschätzungen der Fachleute fallen ungewöhnlich einheitlich aus. Das Bundesamt für Sicherheit in der Informationstechnik charakterisiert die Bedrohungslage in seinen Lageberichten seit Jahren als so hoch wie nie zuvor, eine Formulierung, an der BSI-Präsidentin Claudia Plattner festhält. Die Behörde betont, dass nicht spektakuläre Zero-Days, sondern bekannte, ungepatchte Schwachstellen den Großteil der erfolgreichen Angriffe ermöglichen. Die Konsequenz: Konsequentes Patch-Management schützt mehr als jede Einzelmaßnahme.
Bitkom-Präsident Ralf Wintergerst rückt die geopolitische Dimension in den Vordergrund. Cyberangriffe seien längst Teil hybrider Kriegsführung, und die deutsche Wirtschaft stehe als exportstarkes, hochvernetztes Ziel besonders im Fokus. Wirtschaftsschutz, so der Verbandstenor, sei deshalb keine reine IT-Frage mehr, sondern Chefsache. Die europäische Cybersicherheitsagentur ENISA stützt diese Linie und verweist in ihren Lagebildern auf die wachsende Rolle staatlich gelenkter Akteure neben der klassischen organisierten Kriminalität.
Auf der Trendebene liefert der Global Cybersecurity Outlook 2026 des Weltwirtschaftsforums einen aufschlussreichen Befund. Führungskräfte nennen Datenlecks im Zusammenhang mit generativer KI mit 34 Prozent als größte Sorge für 2026, dicht gefolgt vom Fortschritt feindlicher Fähigkeiten mit 29 Prozent. Das Forum spricht von einer auffälligen Umkehr gegenüber 2025, als feindliche Fähigkeiten mit 47 Prozent klar führten und KI-Datenlecks nur 22 Prozent ausmachten. Die Sorge verlagert sich, weg von theoretischen Angriffsfähigkeiten, hin zu konkreten Datenrisiken durch den breiten KI-Einsatz.
Im Vergleich: DACH gegen USA und globalen Trend
Im internationalen Vergleich steht der deutschsprachige Raum nicht allein, aber besonders exponiert. Europa verzeichnet seit Jahren mehr aus der Region heraus gestartete Cyberkriminalität als die USA, und innerhalb Europas ziehen die DACH-Staaten überproportional viel Aufmerksamkeit auf sich. Der Grund ist struktureller Natur: eine dichte Industrie mit wertvollem Know-how, hohe Digitalisierung und eine geografische wie politische Frontlage gegenüber östlichen Akteuren.
Unterschiede zeigen sich im Profil der Angriffe. In den USA dominieren großvolumige Datendiebstähle bei Gesundheits- und Finanzdienstleistern, getrieben vom Wert persönlicher Daten auf dem Schwarzmarkt. In DACH treffen Ransomware und Sabotage stärker die Industrie und kritische Infrastruktur, was die geopolitische Komponente widerspiegelt. Der Bahn-Angriff ist dafür symptomatisch: kein Datendiebstahl, sondern ein Schlag gegen Verfügbarkeit und öffentliches Vertrauen.
| Merkmal | DACH 2026 | USA 2026 | Globaler Trend |
|---|---|---|---|
| Dominante Methode | Ransomware & DDoS | Datendiebstahl | Doppelte Erpressung |
| Häufigstes Ziel | Industrie, KRITIS | Gesundheit, Finanzen | Branchenübergreifend |
| Treiber | Geopolitik & Know-how | Wert von Personendaten | Professionalisierung |
| Leak-Site-Opfer 2026 | im globalen Anstieg | im globalen Anstieg | über 7.000 prognostiziert |
| Regulatorischer Rahmen | NIS2 | sektoral, uneinheitlich | verschärfend |
Historischer Kontext: Von WannaCry bis zur DACH-Welle 2026
Die heutige Welle hat eine Vorgeschichte. 2017 zeigte WannaCry, wie eine einzige Schwachstelle weltweit hunderttausende Systeme lahmlegen konnte, darunter Anzeigetafeln der Deutschen Bahn. Schon damals traf es Verkehrsinfrastruktur, doch der Angriff war ungezielt, ein digitaler Flächenbrand ohne politische Steuerung. Die Lehre von 2017 war technischer Natur: Patchen rettet Systeme.
Seither hat sich das Bild gewandelt. Aus opportunistischer Massenware wurde ein hochprofessionalisiertes Ökosystem mit Partnerprogrammen, Verhandlungsteams und Pressestellen. Die doppelte Erpressung etablierte sich um 2020, weil Backups allein nicht mehr schützten, sobald die Daten ohnehin gestohlen waren. Parallel verschmolz die kriminelle mit der staatlichen Sphäre: Gruppen agieren mal als Erpresser, mal als verlängerter Arm eines Geheimdienstes, oft ist beides nicht sauber zu trennen.
Der Bahn-Angriff 2026 markiert insofern keinen Bruch, sondern die Zuspitzung einer langen Linie. Was 2017 ein Nebeneffekt eines globalen Wurms war, ist 2026 ein gezielter, in Wellen geführter Schlag gegen einen einzelnen kritischen Betreiber. Die Methode DDoS ist alt, der Kontext, hybride Konfrontation in Friedenszeiten, ist neu.
NIS2 und die regulatorische Antwort
Auf die Bedrohung antwortet die EU mit der NIS2-Richtlinie, der bislang umfassendsten Sicherheitsvorgabe für Unternehmen. Sie weitet den Kreis der verpflichteten Einrichtungen drastisch aus und verlangt Risikomanagement, Vorfallsmeldungen binnen enger Fristen und persönliche Verantwortung der Geschäftsführung. Verstöße können mit empfindlichen Bußgeldern geahndet werden. Das Ziel ist, das in der Bitkom-Studie sichtbare Schutzdefizit über verbindliche Mindeststandards zu schließen.
Die Umsetzung hinkt jedoch hinterher. Mehrere EU-Staaten, darunter solche im DACH-Raum, verfehlten die ursprünglichen Fristen, was Vertragsverletzungsverfahren der Kommission nach sich zog. Für Unternehmen entsteht dadurch Unsicherheit: Die Pflichten kommen, aber der genaue nationale Rahmen ist teils noch in Bewegung. Sicherheitsexperten raten, nicht auf die letzte juristische Klarheit zu warten, sondern die geforderten Maßnahmen, also Mehr-Faktor-Authentifizierung, Segmentierung, Backups und Notfallpläne, vorzuziehen. Wer ohnehin angegriffen wird, profitiert von diesen Schritten unabhängig vom Gesetzestext.
Fünf Prognosen für die zweite Jahreshälfte 2026
Erstens: DDoS-Angriffe gegen sichtbare Infrastruktur nehmen zu. Der Bahn-Fall hat gezeigt, dass schon ein Verfügbarkeitsangriff ohne Datenabfluss maximale Aufmerksamkeit erzeugt. Hybride Akteure werden dieses billige Mittel häufiger einsetzen, gerade rund um politische Ereignisse.
Zweitens: Die Zahl der auf Leak-Sites benannten Ransomware-Opfer steigt weiter Richtung der prognostizierten 7.000-Marke. Die Professionalisierung der Gruppen und ihre Partnerprogramme senken die Einstiegshürde für neue Täter.
Drittens: KI verschiebt das Kräfteverhältnis auf beiden Seiten. Angreifer nutzen generative Modelle für überzeugendere Phishing-Mails in fehlerfreiem Deutsch, Verteidiger setzen sie zur Anomalieerkennung ein. Der vom Weltwirtschaftsforum dokumentierte Sorgensprung bei KI-Datenlecks wird sich in konkreten Vorfällen niederschlagen.
Viertens: Lieferkettenangriffe treffen verstärkt den österreichischen Mittelstand. Über schwach gesicherte Zulieferer dringen Täter in größere Netze ein, ein Muster, das kleine Betriebe zur regulatorischen und versicherungstechnischen Zielscheibe macht.
Fünftens: Der Versicherungsmarkt wird zum heimlichen Regulierer. Noch bevor NIS2 vollständig greift, erzwingen Cyberpolicen über Deckungsbedingungen ein Sicherheitsniveau, das viele Unternehmen sonst aufgeschoben hätten.
Was Unternehmen jetzt tun sollten
Die gute Nachricht: Die wirksamsten Maßnahmen sind bekannt und bezahlbar. An erster Stelle steht Mehr-Faktor-Authentifizierung für alle externen Zugänge, denn sie entwertet gestohlene Passwörter sofort. Es folgt konsequentes Patch-Management, weil die Mehrheit der Einbrüche über bekannte, längst behebbare Lücken läuft. Getestete, offline gehaltene Backups entscheiden im Ernstfall darüber, ob ein Ransomware-Treffer Tage oder Monate kostet.
Hinzu kommen organisatorische Schritte. Ein eingeübter Notfallplan, klare Meldewege und regelmäßige Awareness-Schulungen reduzieren die Erfolgsquote von Phishing erheblich. Netzsegmentierung begrenzt den Schaden, wenn Angreifer doch eindringen. Für DDoS-Resilienz braucht es Schutzdienste, die Anfrageflut vor dem eigenen Server abfangen. Keine dieser Maßnahmen ist neu, doch in der Summe trennen sie die widerstandsfähigen Organisationen von den verletzlichen.
Für kleine Unternehmen ohne eigene Sicherheitsabteilung lohnt der Blick auf Managed Services. Externe Anbieter übernehmen Überwachung und Reaktion rund um die Uhr, was intern kaum darstellbar ist. Entscheidend ist, überhaupt anzufangen, denn die Bitkom-Zahlen zeigen, dass faktisch jedes Unternehmen zum Ziel geworden ist.
Häufige Fragen zur DACH-Cyberangriffswelle 2026
Wer steckte hinter dem Cyberangriff auf die Deutsche Bahn?
Die Bahn bestätigte einen DDoS-Angriff, der am 17. Februar 2026 in mehreren Wellen die Buchungssysteme störte. Eine konkrete Tätergruppe wurde öffentlich nicht benannt. DDoS-Angriffe lassen sich schwer attribuieren, weil sie über verteilte, oft gekaperte Geräte laufen und kaum forensische Spuren hinterlassen.
Wie hoch ist der Schaden durch Cyberangriffe in Deutschland?
Laut Bitkom-Studie zum Wirtschaftsschutz beläuft sich der jährliche Gesamtschaden für die deutsche Wirtschaft auf 289,2 Milliarden Euro, ein Rekordwert. Der größte Teil entfällt auf rein digitale Cyberkriminalität, ergänzt um analoge Sabotage und Spionage.
Ist Österreich genauso betroffen wie Deutschland?
Ja, wenn auch mit geringerer medialer Sichtbarkeit. Österreich teilt Sprache, Software-Ökosysteme und Lieferketten mit Deutschland, weshalb dieselben Tätergruppen und Methoden zum Einsatz kommen. Besonders der Mittelstand ist über die Lieferkette an deutsche Konzerne und deren Bedrohungsprofil gekoppelt.
Was unterscheidet einen DDoS-Angriff von Ransomware?
Ein DDoS-Angriff überlastet Server mit Anfragen und nimmt Verfügbarkeit weg, ohne Daten zu stehlen oder zu verschlüsseln. Ransomware dagegen dringt ins Netz ein, exfiltriert und verschlüsselt Daten und erpresst Lösegeld. DDoS eignet sich für schnelle, sichtbare Schläge, Ransomware für maximale finanzielle Erpressung.
Welche Schutzmaßnahme bringt am meisten?
Mehr-Faktor-Authentifizierung für alle externen Zugänge bietet das beste Verhältnis von Aufwand und Wirkung, weil sie gestohlene Passwörter wertlos macht. In Kombination mit konsequentem Patchen und getesteten Offline-Backups deckt sie die häufigsten Angriffswege ab.
Was bedeutet NIS2 für österreichische Unternehmen?
NIS2 verpflichtet deutlich mehr Unternehmen zu Risikomanagement, Vorfallsmeldungen und nachweisbaren Sicherheitsmaßnahmen, mit persönlicher Verantwortung der Geschäftsführung. Die nationale Umsetzung ist verzögert, doch betroffene Firmen sollten die geforderten Maßnahmen unabhängig vom finalen Gesetzestext umsetzen.
Steigt die Zahl der Angriffe 2026 weiter?
Ja. Branchenprognosen erwarten eine Zunahme der Ransomware-Angriffe um rund 40 Prozent bis Jahresende, mit über 7.000 öffentlich benannten Opfern. Treiber sind die Professionalisierung der Tätergruppen, KI-gestützte Angriffe und die anhaltende geopolitische Konfrontation.
Related Coverage
- Cyberangriffe Österreich: 2.122 pro Woche [2026]
- Cyberkriminalität Österreich: 62.328 Fälle, -5,4 % [2026]
- NIS2 Österreich: 5.000 Betroffene, EU-Verfahren [2026]
- Datenlecks: Wie sie entstehen und wie Sie sich schützen
- Phishing-Angriffe erkennen und richtig reagieren
- Fail2ban einrichten: SSH-Schutz in 12 Schritten [2026]
- Google Wiz Übernahme: 32-Mrd.-Dollar-Deal [2026]
Weiterführende Quellen: Bitkom zur Wirtschaftsschutz-Studie, das BSI mit seinen Lageberichten, die EU-Agentur ENISA, die Berichterstattung von rbb24 zum Bahn-Angriff sowie heise online zu den Schadenszahlen.
