100 Gigabit pro Sekunde. Milliarden Anfragen pro Minute. Zwei Tage lang kein Ticket, keine Verbindungsauskunft, kein DB Navigator. Der DDoS-Angriff auf die Deutsche Bahn vom 17. und 18. Februar 2026 war für Reisende ein Ärgernis – für Investoren ist er ein Kaufsignal.
Was passiert ist – die Fakten
Dienstagmittag, 17. Februar 2026: Erste Anomalien in den Netzwerken der Deutschen Bahn. Die App DB Navigator lädt nicht mehr, bahn.de reagiert träge. Reisende beschweren sich – die Bahn beschwichtigt zunächst. Mittwochfrüh: kurze Entwarnung. Mittwochnachmittag: Rücknahme. „Die aktuelle Attacke ist gezielt auf die DB gerichtet und ist in Wellen erfolgt. Das Ausmaß ist erheblich", teilte der Konzern auf seiner Webseite mit.
BSI-Präsidentin Claudia Plattner sprach gegenüber dem WDR von „Milliarden Anfragen pro Minute" und ordnete den Angriff als „keine alltägliche Dimension" ein. Insider-Berichte nannten Datenvolumina von bis zu 100 Gigabit pro Sekunde. Betroffen: ausschließlich kundenseitige Systeme (bahn.de, DB Navigator). Zugsteuerung, Stellwerke und Sicherheitssysteme blieben laut Bahn unberührt. Kundendaten wurden nicht kompromittiert.
Donnerstagfrüh meldete die Bahn die vollständige Wiederherstellung der Systeme.
Die Täter – Muster ohne offizielle Bestätigung
Offiziell schweigt die Bahn. Das Innenministerium ebenfalls: „Das ist ein sehr früher Zeitpunkt für Ermittlungsergebnisse." Aus Konzernkreisen berichten Spiegel, Tagesspiegel und Cybernews jedoch übereinstimmend: Russische Hackergruppen stehen im Verdacht.
Die zwei genannten Gruppen haben Geschichte:
- NoName057(16): Pro-russische Hacktivist-Gruppe, seit 2022 aktiv gegen NATO-Infrastruktur. Rekrutierung via Telegram, kombiniert mit professionellen Botnetzen. Entscheidend: NoName057 hat die Deutsche Bahn bereits 2023 angegriffen und deren Kundensysteme lahmgelegt. Der aktuelle Vorfall ist keine Premiere – er ist Eskalation.
- KillNet: Ebenfalls Telegram-basiert, pro-russisch, bekannt für koordinierte Angriffe auf europäische Regierungsseiten und Infrastruktur seit Beginn des Ukraine-Krieges.
IT-Experte Jan Lemnitzer ordnete den Angriff gegenüber tagesschau24 als „Teil einer großangelegten russischen Kampagne gegen mehrere NATO-Staaten" ein. IT-Rechtsprofessor Dennis-Kenji Kipker (Focus) beschrieb das operative Modell: „Staatlich tolerierte oder gelenkte Strukturen, die ihre massive schädliche Wirkung einfach über Masse erzeugen."
Keine offizielle Attribution – aber ein konsistentes Muster über drei Jahre.
Die nächste Stufe: KI-Agenten als Angriffsmultiplikator
Was den Bahn-Angriff noch besorgniserregender macht, ist nicht das, was jetzt passiert ist – sondern was als Nächstes kommt.
Bisher erforderten groß angelegte DDoS-Angriffe zweierlei: ein technisch kompetentes Kernteam für Infrastruktur und Botnetze, und eine Masse freiwilliger Teilnehmer, die über Telegram rekrutiert werden. Beide Faktoren werden durch KI-Agenten fundamental verändert.
Forscher der Carnegie Mellon University haben nachgewiesen, dass Large Language Models in der Lage sind, autonom Cyberangriffe zu planen und auszuführen – einschließlich der selbstständigen Suche nach Schwachstellen, der Anpassung von Angriffsvektoren und der Reaktion auf Gegenmaßnahmen in Echtzeit. Was früher ein Team aus Spezialisten benötigte, lässt sich heute mit einem gut konfigurierten KI-Agenten und einer Cloudinfrastruktur replizieren.
Die konkreten Auswirkungen auf DDoS-Angriffe:
- Automatisierte Zielanalyse: KI-Agenten können eine Infrastruktur in Echtzeit scannen, Schwachpunkte identifizieren – welcher Load Balancer ist überlastet, welche API reagiert langsamer – und den Angriff dynamisch dorthin lenken, wo er maximalen Schaden anrichtet.
- Adaptive Angriffsmuster: Traditionelle Abwehrsysteme arbeiten mit Signaturen und Schwellenwerten. Ein KI-gesteuerter Angriff kann diese Muster kontinuierlich variieren und so regelbasierte Filter umgehen – automatisch, ohne menschliche Anpassung.
- Drastisch gesunkene Einstiegshürde: NoName057 nutzt bereits ein halbautomatisiertes Tool namens „DDoSia" zur Koordination freiwilliger Angreifer. Mit KI-Integration entfällt die Notwendigkeit menschlicher Teilnehmer nahezu vollständig. Ein einzelner Akteur mit technischem Grundwissen und Zugang zu einem Cloud-Budget kann Angriffe starten, die früher staatliche Ressourcen erforderten.
- Selbstlernende Botnets: KI-gesteuerte Botnets können eigenständig neue Geräte kompromittieren, sich tarnen und Abwehrmaßnahmen erkennen – ohne menschliche Steuerung.
Das ist keine Spekulation. OpenAI und das britische National Cyber Security Centre (NCSC) haben bereits Ende 2025 unabhängig voneinander gewarnt: KI senkt die Barriere für qualifizierte Cyberangriffe erheblich. Die Konsequenz ist eine Demokratisierung des Angriffs – und ein massiver Kapazitätszuwachs auf Seiten der Angreifer.
Der Angriff auf die Deutsche Bahn mit 100 Gbit/s klingt heute beeindruckend. In einer Welt, in der KI-Agenten Botnets autonom optimieren und Abwehrstrategien in Echtzeit kontern, könnte er in zwei Jahren als „kleiner Angriff" gelten.
Für die Verteidiger bedeutet das: Regelbasierte Systeme reichen nicht mehr. Der nächste Qualitätssprung im DDoS-Schutz wird KI-gesteuert sein – automatisierte Erkennung, adaptive Gegenmaßnahmen, autonome Traffic-Analyse. Unternehmen, die diesen Technologieschritt frühzeitig vollziehen, gewinnen. Die anderen holen auf – und zahlen dafür.
Der Markt hinter dem Angriff
Der Bahn-Angriff ist kein Einzelfall. Er ist ein Datenpunkt in einem der schnellsten Wachstumsmärkte der Cybersicherheit.
Cloudflare, der weltgrößte DDoS-Schutzanbieter, veröffentlichte im Februar 2026 seinen Q4-Jahresbericht: 47,1 Millionen DDoS-Angriffe in 2025 – ein Plus von 121 Prozent gegenüber 21,3 Millionen im Vorjahr. Gegenüber 2023 (14 Millionen Angriffe) hat sich die Frequenz mehr als verdreifacht, ein Wachstum von +236 Prozent in zwei Jahren. Besonders relevant: Hyper-volumetrische Angriffe – also Attacken in der Größenordnung des Bahn-Angriffs – wuchsen 2025 um 700 Prozent. Der Rekord: 31,4 Terabit pro Sekunde, abgewehrt von Cloudflare im November 2025.
Der Markt für DDoS-Schutz und -Mitigation wächst entsprechend. Laut MarketsandMarkets steigt er von 5,8 Milliarden US-Dollar in 2025 auf 10,4 Milliarden US-Dollar bis 2030 – ein jährliches Wachstum von 12,3 Prozent CAGR. Treiber: steigende Angriffskomplexität, Regulierungspflichten und die wachsende Digitalisierung kritischer Infrastruktur.
Die Investmentthese: Drei Profiteure
Cloudflare (NET) ist der direkteste Nutznießer. Das Unternehmen erzielte in den zwölf Monaten bis Dezember 2025 einen Umsatz von 2,01 Milliarden US-Dollar – und Magic Transit, das Flaggschiff-Produkt für Netzwerk-DDoS-Schutz, ist technologisch führend. Im Q4 2025 schloss Cloudflare den größten Jahresvertrag seiner Geschichte ab. Die Architektur von Magic Transit unterscheidet sich fundamental von Wettbewerbern: Während Alternativen separate Netzwerke für DDoS-Funktionen aufbauen, integriert Cloudflare den Schutz direkt in sein globales Netzwerk – ohne Latenz-Penalty, ohne Silos. Das ist ein struktureller Vorteil, der bei steigenden Angriffsvolumina überproportional an Wert gewinnt.
Akamai (AKAM) ist der Enterprise-Platzhirsch. Die Tochter Akamai Prolexic ist bevorzugter Partner für große Infrastrukturbetreiber und Regierungen in Europa. Akamai profitiert besonders vom wachsenden KRITIS-Segment – und von NIS2-Compliance-Anforderungen, die Betreiber kritischer Infrastruktur nun gesetzlich zum Nachweis angemessener Cyberabwehr zwingen.
Radware (RDWR) ist der EMEA-Spezialist. Kleiner als NET und AKAM, aber mit starker Präsenz in Deutschland und dem europäischen Enterprise-Segment. Radware bietet hybride On-Premise/Cloud-Lösungen, die besonders für Unternehmen relevant sind, die aus regulatorischen Gründen keine rein cloudbasierte Abwehr einsetzen können.
Der stille Markt: Cyberversicherung
Weniger beachtet, aber wachstumsstärker: Cyberversicherung.
Laut Munich Re – selbst einer der weltgrößten Rückversicherer in diesem Segment – betrug das globale Prämienvolumen 2025 16,3 Milliarden US-Dollar. Die Prognose: Verdopplung bis 2030, bei einem jährlichen Wachstum von über 10 Prozent. Nach Mordor Intelligence könnte der Markt bis 2030 sogar 40,5 Milliarden US-Dollar erreichen (CAGR: 14,7 Prozent).
Ob die Deutsche Bahn für diesen Angriff versichert ist, ist nicht öffentlich bekannt. Aber die Frage zeigt das Dilemma: DDoS-Schäden (Umsatzausfälle durch nicht verkaufte Tickets, Reputationsschäden, Abwehrkosten) sind schwer zu beziffern und noch schwerer zu versichern. Angreifer kennen diese Lücke – und nutzen sie.
Direkt profitieren von diesem Marktwachstum: Munich Re (MUV2) und Allianz (ALV) als Rück- und Direktversicherer, aber auch spezialisierte Anbieter wie Beazley und Chubb (CB), die den Großteil des Cyberversicherungsmarkts bedienen.
Regulatorischer Rückenwind: NIS2 und KRITIS-Dachgesetz
Für den deutschen Markt kommt ein struktureller Wachstumstreiber hinzu: NIS2 ist seit 6. Dezember 2025 deutsches Bundesrecht – mit erheblicher Verzögerung gegenüber der EU-Frist (Oktober 2024), aber ohne Übergangsfristen. Das Gesetz gilt sofort.
Unternehmen wie die Deutsche Bahn – klassifiziert als Betreiber kritischer Infrastruktur – sind nun gesetzlich verpflichtet, angemessene technische und organisatorische Maßnahmen zur Cyberabwehr nachzuweisen. Ergänzt wird NIS2 durch das KRITIS-Dachgesetz, das die physische und digitale Resilienz kritischer Infrastrukturen weiter verschärft.
Die Bußgeldrisiken sind erheblich: Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – für einen Konzern wie die Bahn potenziell eine neunstellige Summe. Das ist der stärkste regulatorische Rückenwind, den der Cybersicherheitssektor in Deutschland je hatte.
Fazit: Der Angriff als Investment-Signal
Der DDoS-Angriff auf die Deutsche Bahn war für Reisende ärgerlich. Für den Markt war er ein Beweis.
NoName057 hat 2023 gezeigt, dass es geht. 2026 haben sie es – mit erheblich größerem Volumen – wiederholt. Die nächste Attacke kommt, mit noch mehr Gbit/s, noch mehr Botnetzen, noch mehr Telegram-Rekruten.
Die Investmentthese ist einfach: Kritische Infrastruktur wird zur Zielscheibe hybrider Kriegsführung. KI macht Angriffe billiger, schneller und intelligenter. Regulierung zwingt Betreiber zur Investition. Der DDoS-Schutzmarkt wächst mit 12 Prozent CAGR – und dieser CAGR könnte durch die KI-Beschleunigung auf der Angreifer-Seite nach oben revidiert werden.
Cloudflare, Akamai und die Cyberversicherungsbranche sind die strukturellen Gewinner. Aber der eigentliche Langfrist-Trade lautet: Wer den Übergang von regelbasierter zu KI-gesteuerter Cyberabwehr am schnellsten vollzieht, dominiert den nächsten Marktzyklus. CrowdStrike mit seiner Charlotte AI-Plattform und Palo Alto Networks mit Prisma AIRS und AgentiX sind bereits im Rennen. Cloudflare baut KI-gestützte Angriffserkennung direkt in seine Netzwerkinfrastruktur ein.
Der Cybersecurity Leaders Fonds setzt genau auf dieses Thema
Wer nicht einzelne Titel selektieren möchte, findet im Cybersecurity Leaders Fonds eine konzentrierte Lösung: Der Fonds investiert gezielt in führende Unternehmen der Cybersicherheitsbranche – darunter genau die Profiteure, die in diesem Artikel beschrieben werden.
CrowdStrike und Palo Alto Networks gehören zu den Kernpositionen des Fonds. Beide Unternehmen stehen exemplarisch für den Übergang von reaktiver zu KI-gesteuerter Cyberabwehr – CrowdStrike mit seiner Charlotte AI-Plattform, Palo Alto mit Prisma AIRS und der kürzlich angekündigten Koi-Übernahme, die auf die Absicherung autonomer KI-Agenten zielt.
Der Angriff auf die Deutsche Bahn ist kein Einzelereignis – er ist ein Argument für ein strukturelles Engagement im Cybersicherheitssektor. Der Fonds bietet genau das: diversifizierten Zugang zu den Unternehmen, die von steigender Bedrohungslage, KI-Eskalation und regulatorischem Druck gleichzeitig profitieren.
Tags: NET, AKAM, RDWR, MUV2, ALV, CRWD, PANW, Deutschland, DDoS, Kritische Infrastruktur, NIS2, KI
