Die Internetseite der Landeshauptstadt Dresden ist seit dem Abend des 1. Mai 2025 wieder uneingeschränkt erreichbar. Auch die internen Anwendungen der Stadtverwaltung laufen wieder ordnungsgemäß.
Am 30. April 2025 wurde die städtische Website dresden.de vorsorglich vom Netz genommen, nachdem ein Cyberangriff festgestellt worden war. Ziel der Maßnahme war es, die IT-Infrastruktur der Stadt zu schützen. Es handelte sich um den bislang schwerwiegendsten und technisch komplexesten Angriff auf die kommunalen Systeme. Der Eigenbetrieb IT (EBIT) arbeitet in diesem Zusammenhang mit dem Cyberabwehrzentrum des Landes Sachsen sowie dem Landeskriminalamt zusammen. Eine Strafanzeige wurde bereits gestellt.
Der Angriff endete am späten Abend des 30. April. Daraufhin konnten die zusätzlich aktivierten Schutzmaßnahmen schrittweise zurückgenommen werden. Im Anschluss begann der Eigenbetrieb IT mit dem stufenweisen Wiederhochfahren der Systeme. Seit dem 2. Mai stehen die Online-Dienste der Stadt wieder wie gewohnt zur Verfügung. Auch jene Ämter, die nicht von der Betriebsruhe betroffen sind, haben wieder Zugang zu ihren IT-Systemen.
Massive zeitgliche Anfragen über Botnetze
Bei der Attacke handelte es sich um einen sogenannten DDoS-Angriff (Distributed Denial of Service). Dabei wird ein Zielsystem durch eine massive Anzahl gleichzeitiger Anfragen überlastet, bis es nicht mehr erreichbar ist. Solche Angriffe werden häufig von sogenannten Botnetzen ausgeführt – Netzwerken aus zuvor infizierten Computern, die ferngesteuert koordiniert agieren. Die betroffenen Geräte gehören oft ahnungslosen Nutzern, die vom Missbrauch ihrer Systeme nichts bemerken. Diese infizierten Rechner senden dann gebündelt Anfragen an die Server des Ziels, was zum Ausfall führt. Trotz ihrer Wucht hinterlassen DDoS-Angriffe meist keine bleibenden Schäden, ihre Hauptwirkung besteht in der vorübergehenden Unerreichbarkeit der betroffenen Dienste.
Zum Schutz vor solchen Überlastungsattacken setzen viele Unternehmen auf Systeme, die den Datenverkehr analysieren und unerwünschten Traffic automatisch blockieren. Auch die Verteilung der Website auf mehrere Server und der Einsatz leistungsfähiger Firewalls sind gängige Schutzmaßnahmen.
Im Fall des Angriffs auf die städtische Website hat das Landeskriminalamt Sachsen die Ermittlungen aufgenommen. Michael Breidung, Leiter des Eigenbetriebs IT-Dienstleistungen, kündigte an, dass angesichts der zunehmenden Bedrohungslage eine Neubewertung der Risiken erfolgen müsse. Neben dem Angriff am 30. April, gab es auch schon am 25. April eine kleinere Attacke, zuletzt gab es einen solchen Cyberangriff im Oktober 2023. Breidung geht davon aus, dass daraus weitere Investitionen in die technische Sicherheit der Stadt resultieren werden – auch wenn die angespannte Haushaltslage dies erschwert.
- Weiterführende Infos zu DDoS-Attacken in der Wikipedia.
powered by Borlabs Cookie
Vielleicht sollte die Stadt zumindest einen „Informationsserver“ einrichten, der dann aber nicht beim Eigenbetrieb angesiedelt wird und durch einen Anbieter wie Cloudfare o.ä. abgesichert wird. Dann können sehr wichtige Meldungen z.Bsp. auf info.dresden.de veröffentlicht werden und der ist deutlich höher abgesichert als die eigenen Server. Die Aussage der Stadt „Keine Schäden zu erwarten“ finde ich schwierig. Es dürfte nicht unerhebliche direkte und indirekte Kosten angefallen sein oder haben die städtischen Angestellten alle in solchen Situationen eine Alternativbeschäftigung? Da sind schnell tausende Arbeitsstunden unproduktiv verloren gegangen, weil nicht oder nur sehr eingeschränkt gearbeitet werden konnte.