In Sachsen-Anhalt haben koordiniert wirkende DDoS-Attacken die Online-Auftritte mehrerer Landtagsfraktionen zeitweise lahmgelegt. Die digitalen Störangriffe sind Teil einer Serie, die bereits im Juli staatliche Portale und Ministeriumsseiten traf. Politische Vertreter sprechen von einem gezielten Angriff auf demokratische Willensbildung; die IT-Strukturen wurden nach kurzer Zeit stabilisiert.
Was ist passiert?
Am 13. August 2025 gerieten die Websites verschiedener Landtagsfraktionen in Sachsen-Anhalt unter massiven Lastverkehr: Anfragenfluten – sogenannte Distributed-Denial-of-Service-Angriffe (DDoS) – überlasteten die Infrastruktur und sorgten für temporäre Ausfälle. Betroffen waren unter anderem die Fraktionen von CDU, AfD und SPD, ebenso meldete die Grünen-Fraktion Störungen. Aus technischer Sicht handelt es sich um Verfügbarkeitsangriffe: Inhalte werden nicht manipuliert, doch Serverkapazitäten und Leitungen werden so stark beansprucht, dass legitime Zugriffe scheitern.
Die politische Dimension wurde früh benannt. Aus den Reihen der Grünen hieß es, es handele sich um einen „direkten Angriff auf die politische Willensbildung“. Damit wird deutlich: Der Schaden liegt nicht allein in der kurzfristigen Nichterreichbarkeit, sondern auch in der Störung von Informations- und Kommunikationswegen zwischen Mandatsträgern, Medien und Öffentlichkeit.
Wer steckt dahinter – und warum?
In Sicherheitskreisen werden für die Attacken pro-russische Akteursgruppen genannt. Im aktuellen Kontext fällt der Name „DDoSia“, eine Hacktivisten-Struktur, die in den vergangenen Monaten wiederholt Angriffe mit politischem Bezug reklamierte. Bereits einige Wochen zuvor, im Juli 2025, waren das Landesportal und mehrere Ministeriumsseiten Sachsen-Anhalts Ziel ähnlicher Überlastungskampagnen; damals wurde die Gruppe „NoName057(16)“ genannt. Der Tenor aus Politik und Behörden: Es handelt sich um einschüchternde Störangriffe, die öffentliche Aufmerksamkeit erzeugen und Vertrauen in digitale staatliche Angebote untergraben sollen.
Parallel meldete das Bundeskriminalamt im Juli 2025 eine groß angelegte Aktion gegen „NoName057(16)“. In der internationalen Ermittlungsoperation wurden Serverinfrastrukturen abgeschaltet, es kam zu Durchsuchungen, und Haftbefehle gegen mutmaßliche Verantwortliche wurden erwirkt. Das zeigt: Strafverfolgung nimmt die propagandistisch aufgeladenen DDoS-Kampagnen ins Visier – auch wenn es sich technisch häufig um vergleichsweise simple, aber orchestrierte Überlastungsangriffe handelt.
Politische Bewertung
Die Angriffe werden parteiübergreifend als demokratiegefährdend gewertet. Vertreterinnen und Vertreter verschiedener Fraktionen sprechen von Einschüchterungsversuchen, die nicht nur IT-Abteilungen, sondern fundamentale Prozesse der politischen Kommunikation treffen. Der Vorsitzende einer Regierungsfraktion brachte zudem die Vermutung ins Spiel, dass die Attacken aus dem russischen Umfeld heraus unterstützt würden. Nachweise sind in solchen Lagen erfahrungsgemäß schwierig, weil sich Angreifer über Botnetze, Proxies und globale Infrastruktur tarnen.
Die größere Lage: Zahlen, Trends, Europa-Kontext
Der Blick in Statistiken unterlegt den Eindruck einer steigenden Angriffsdichte. Sicherheitsberichte internationaler Anbieter zeigen für das Jahr 2025 Rekordwerte bei DDoS-Vorfällen. Im ersten Quartal 2025 wurden weltweit rund 20,5 Millionen Attacken gezählt, im zweiten Quartal waren es – trotz Rückgang gegenüber Q1 – noch 7,3 Millionen, weiterhin deutlich über dem Vorjahresniveau. In der Spitze wurden Datenströme von bis zu 7,3 Terabit pro Sekunde beobachtet – ein Volumen, das Netzbetreiber und Zielinfrastrukturen ohne spezielle Schutzmaßnahmen schnell überfordert.
Diese Makroperspektive spiegelt sich im europäischen Kontext wider. Die EU-Cyberagentur hebt Angriffe auf Verfügbarkeit (DoS/DDoS) als Top-Bedrohungskategorie hervor und verzeichnete 2024 eine Verdopplung besonders disruptiver Vorfälle in Europa – vielfach mit klarer politischer Stoßrichtung. In deutschen Lagebildern wird zudem betont, dass solche Angriffe in Wahl- und Kampagnenzeiten bevorzugt eingesetzt werden, um Aufmerksamkeit zu erzeugen, Medienzyklen zu beeinflussen und das Sicherheitsgefühl der Bevölkerung zu erschüttern.
Warum sind Fraktions- und Behördenseiten ein attraktives Ziel?
- Symbolkraft: Politische Portale stehen für demokratische Prozesse; Ausfälle erzeugen überproportionale Öffentlichkeit.
- Niedrige Einstiegshürde: DDoS-Tools und Botnetz-Ressourcen sind für Täter vergleichsweise leicht zu beschaffen.
- Messbarer Effekt: Die Unerreichbarkeit ist unmittelbar sichtbar – ein idealer Nährboden für Propaganda-Claims.
Was soziale Medien und OSINT verraten
In sozialen Netzwerken dokumentierten OSINT-Accounts am 13. August Zielnamen aus Sachsen-Anhalt – darunter Fraktionen und kommunale Einrichtungen. Teilweise wurden Messpunkte über externe Uptime- und Latenzdienste geteilt, die Ausfälle oder stark erhöhte Antwortzeiten bestätigten. In Screenshots war wiederholt der Hinweis „closed by geo“ zu sehen – ein Indiz dafür, dass Geoblocking als operative Gegenmaßnahme gezogen wurde, um schädlichen Traffic aus bestimmten Regionen abzuweisen.
Auch jenseits des Landtagsumfelds zeigen Social-Posts eine Welle kommunaler Störungen. Für den 29. Juli wurden Ausfälle in Städten und Landkreisen Sachsen-Anhalts und des benachbarten Thüringens dokumentiert; für Erfurt ist beispielsweise ein mehrstündiges Zeitfenster von etwa 08:30 bis 13:00 Uhr belegt. Kommunale Betreiber oder Dienstleister bestätigten DDoS-Lagen und verwiesen auf zentrale Proxy-/Hosting-Infrastrukturen, über die zahlreiche Stadt- und Amtswebseiten gebündelt erreichbar sind – ein potenzieller Single Point of Failure im Angriffsfall.
Fragen, die sich viele Leserinnen und Leser stellen
Wurden Daten gestohlen? Hinweise auf Datendiebstahl liegen in diesen Fällen nicht vor. DDoS-Attacken zielen primär auf Verfügbarkeit, nicht auf Integrität oder Vertraulichkeit.
Warum trifft es so häufig Deutschland? Deutschland gehört regelmäßig zu den am stärksten attackierten Ländern bei HTTP-DDoS. Gründe sind die hohe Dichte attraktiver Ziele, die starke Vernetzung öffentlicher Verwaltung und die mediale Sichtbarkeit politischer Prozesse.
Was ist der Nutzen für die Angreifer? Sichtbarkeit, politische Botschaften und das Erzeugen von Unsicherheit – bei überschaubarem technischem Aufwand.
Reaktionen der Betreiber: Von Scrubbing bis Geoblocking
Die Betreiber in Sachsen-Anhalt setzten auf bekannte Verteidigungsschichten. Dazu zählen automatisiertes Traffic-Scrubbing über vorgelagerte Filter, Anycast-Verteilung über Content-Delivery-Netzwerke und temporäre Geoblocking-Regeln, wenn sich Angriffsquellen geclustert in bestimmten Regionen zeigen. Ergänzend sind taktische Maßnahmen üblich, etwa das kurzfristige Herausnehmen von Teilen der Website, das Abschalten dynamischer Bereiche oder das Herunterfahren einzelner Systeme, um Kollateraleffekte zu begrenzen.
Die Landes-IT-Dienstleister spielten eine Schlüsselrolle. Für Sachsen-Anhalt ist seit Jahren eine gemeinsame norddeutsche IT-Struktur etabliert; dort sind Cyber-Defense-Teams, DDoS-Mitigation und 24/7-Monitoring Standard. Aus dem politischen Raum hieß es nach den jüngsten Vorfällen, die Seiten seien inzwischen wieder erreichbar und es seien keine bleibenden Schäden festgestellt worden.
Kommunale Ebene: Kaskadeneffekte und geteilte Infrastrukturen
Am 29. Juli meldeten mehrere Kommunen in Sachsen-Anhalt und Thüringen Störungen. Ein kommunaler IT-Dienstleister sprach von einem großflächigen DDoS gegen gebündelte Web-Infrastrukturen – mit der Folge, dass Dutzende Seiten zeitgleich beeinträchtigt waren. Der Befund unterstreicht, wie sehr sich technische Risiken vervielfachen können, wenn viele Portale auf wenige Plattformen oder Anbieter zentriert sind. Das ist effizient im Betrieb, aber heikel bei volumetrischen Angriffen.
Einordnung der Strafverfolgung
Die Ermittlungserfolge gegen „NoName057(16)“ sind ein Signal: Gegen internationale, politisch aufgeladene DDoS-Netzwerke wird koordiniert vorgegangen. Abschaltungen, Beschlagnahmen und Haftbefehle brechen Angreifern sichtbare Flanken. Allerdings gilt auch: Solche Kampagnen speisen sich aus lose organisierten Unterstützerkreisen, die sich teilweise rasch neu formieren. Deshalb wird die Frage bleiben, ob die Aktivität nach den Maßnahmen nachhaltig sinkt oder vor großen politischen Ereignissen wieder aufflammt.
Die Zuordnung (Attribution) bleibt komplex. Selbst wenn Narrative in einschlägigen Kanälen eine geopolitische Stoßrichtung nahelegen, erschweren Botnetze, DDoS-as-a-Service-Angebote und die Nutzung international verteilter Infrastruktur eine gerichtsfeste Beweisführung. Für die öffentliche Kommunikation bedeutet das: Verantwortliche wägen ab, wie konkret sie Urheberschaft benennen, ohne die Ermittlungen zu kompromittieren.
Zeitliche Abfolge der jüngsten Ereignisse
| Datum | Betroffene Ebene | Art der Störung | Mutmaßliche Akteure | Aktueller Status |
|---|---|---|---|---|
| 29. Juli 2025 | Kommunen (u. a. in ST & TH) | DDoS, mehrstündige Ausfälle (z. B. ca. 08:30–13:00) | Kampagne im Umfeld einschlägiger Hacktivisten | Seiten wieder online; keine Datenabflüsse bekannt |
| Juli 2025 | Landesportal & Ministerien Sachsen-Anhalt | Überlastung staatlicher Webauftritte | NoName057(16) | Stabilisierungsmaßnahmen; Ermittlungen laufen |
| 13. August 2025 | Landtagsfraktionen (CDU, AfD, SPD, Grüne) | Temporäre Nichterreichbarkeit durch DDoS | Im Umfeld von „DDoSia“ verortet | Rasche Wiederherstellung, Monitoring verschärft |
| 16. Juli 2025 | Strafverfolgung international | Abschaltungen, Durchsuchungen, Haftbefehle | Gegen NoName057(16) | Infrastruktur zerschlagen, Akteure im Visier |
Technische Hintergründe: Wie DDoS-Attacken wirken
DDoS-Angriffe bündeln zahllose gleichzeitige Anfragen – häufig über kompromittierte Geräte („Bots“) – gegen eine Zieladresse. Das Ziel: Ressourcenverbrauch. Je nach Vektor werden Bandbreiten (volumetrische Angriffe) oder servernahe Komponenten (etwa Layer-7-HTTP-Anfragen) belastet. Moderne Kampagnen kombinieren Vektoren, wechseln Muster, streuen Absender und nutzen offene Verstärkerdienste. Für Betreiber politischer Portale bedeutet das, dass sie Schutz in Schichten denken müssen: von Netzwerkfiltern über Web-Application-Firewalls bis zu vorgelagerten Scrubbing-Centern.
Was tun Betreiber konkret?
- Frühwarnung & Monitoring: Anomalien im Traffic rasch erkennen, Schwellwerte dynamisch anpassen.
- Mitigation-Dienste: Datenströme über Scrubbing-Center leiten; Anycast-CDNs zur Lastverteilung.
- Geoblocking & Ratelimits: Bei klar erkennbaren Clustern temporär Regionen oder Netze begrenzen.
- Architekturhärtung: Entkopplung von Frontend und Backend, Caching, Fallback-Seiten.
- Kommunikation: Störungen transparent erklären, um Vertrauen zu sichern.
Deutschland im Fokus: Infrastruktur-Besonderheiten
Forum-Diskussionen und Industrieberichte weisen darauf hin, dass erhebliche Anteile des HTTP-DDoS-Verkehrs aus Netzen großer europäischer Hoster stammen. Für Deutschland ergibt sich daraus ein doppelter Befund: Einerseits profitieren die hiesigen Betreiber von leistungsfähigen Netzen und Abwehrlösungen; andererseits kann die Nähe großer Hosting-Ökosysteme dafür sorgen, dass Angriffe besonders wirkungsvoll skaliert werden. Dies erklärt, warum deutsche Ziele in globalen Ranglisten häufig weit oben auftauchen – und warum lokale Provider, Rechenzentren und Communities eine wichtige Rolle bei Prävention und Reaktion spielen.
Leserfragen im Überblick
Trifft es nur Politik-Webseiten? Nein. In den letzten Wochen wurden auch Landesportale und Kommunalangebote gestört – bis hin zu Dutzenden Städten und Ämtern, die zeitgleich über zentrale Plattformen ausgeliefert werden.
Was lernen wir aus den Ermittlungen? Koordination wirkt: Wenn internationale Behörden Infrastrukturen abschalten und Haftbefehle erwirken, verlieren Kampagnen an Wucht. Doch Nachahmer und neue Strukturen bleiben eine Herausforderung.
Ist Geoblocking eine Dauerlösung? Eher nicht. Es kann akute Spitzen brechen, schränkt aber legitime Zugriffe ein und lässt sich durch verteilte Botnetze umgehen. Nachhaltig sind robuste Architekturen, abgestimmte Prozesse und Resilienzübungen.
Ausblick für Sachsen-Anhalt
Die jüngsten Störungen haben eine Reihe von Lehren offengelegt. Erstens: Politische Akteure sind heute nicht nur kommunikative, sondern auch infrastrukturelle Angriffsziele. Zweitens: Bündelungen in gemeinsamen IT-Plattformen bieten Effizienz, erhöhen jedoch im Angriffsfall das Risiko kaskadierender Ausfälle. Drittens: Ermittlungsdruck entfaltet Wirkung, ersetzt aber keine technische Resilienz. In Sachsen-Anhalt wurden nach den Attacken Monitoring und Schutzmechanismen verschärft; Seiten sind wieder stabil online, Hinweise auf Datenabflüsse liegen nicht vor.
Für die nähere Zukunft zeichnet sich ein Muster ab: Je näher gesellschaftlich relevante Ereignisse rücken, desto attraktiver werden symbolkräftige Ziele. Dass OSINT-Kanäle Ziellisten und angebliche „Erfolge“ in Echtzeit verbreiten, ist Teil der Strategie – die Angriffe leben von Sichtbarkeit. Dem lässt sich mit Transparenz und professionellem Störungsmanagement begegnen: schnelle Information der Öffentlichkeit, klare Einordnung („Verfügbarkeit statt Datenverlust“), und eine offen kommunizierte Roadmap zur Härtung der Systeme.
Sachsen-Anhalt hat binnen weniger Wochen gleich mehrere Wellen von Verfügbarkeitsangriffen auf staatliche und politische Webangebote erlebt. Die Muster passen zu einer europaweit sichtbaren Zuspitzung: hohe Volumina, flexible Vektoren, politischer Spin. Die Reaktion im Land – vom schnellen Hochfahren von Abwehrmechanismen über Geoblocking bis hin zur Wiederherstellung der Erreichbarkeit – zeigt, dass die Verteidigungsseite lernfähig ist. Gleichzeitig bleibt es eine Daueraufgabe, die öffentliche Erwartung an digitale Zuverlässigkeit mit den Realitäten eines angespannten Cyber-Bedrohungsraums zu synchronisieren. Wer politische Kommunikation im Netz ernst nimmt, muss Verfügbarkeit als demokratische Grundvoraussetzung begreifen – und sie mit Technik, Prozessen und kluger Öffentlichkeitsarbeit schützen.
