Weekly Backlog 43/2025

„Wenn Ausschreibungen ein Timeout haben und AWS Schluckauf bekommt"

Editorial

Diese Woche zeigte, wie eng die moderne Welt vernetzt ist. Technisch, wirtschaftlich und politisch. Ein DDoS auf das Vergabeportal des Bundes stoppt öffentliche Ausschreibungen, ein Angriff auf F5 öffnet das Fenster in den Maschinenraum globaler Netzsicherheit und AWS demonstriert erneut, dass „Multi-AZ" kein Backup-Plan ist.

Außerdem: Das Saarland verliert sein digitales Aushängeschild an München.

Die Tech-News der Woche

DDoS legt Vergabeportal des Bundes lahm

Mehrere Tage lang war das zentrale Vergabeportal des Bundes - das Herzstück für öffentliche Ausschreibungen - nicht erreichbar. Ursache: ein großangelegter DDoS-Angriff der prorussischen Hackergruppe Noname057(16), die seit Jahren koordinierte Überlastungsangriffe auf europäische Behörden, Banken und Medien fährt.

Die Attacke erfolgte über ein Botnetz, das in kurzer Zeit Millionen von Anfragen auf die Website lenkte. Dadurch wurden die Server überlastet und der Zugriff auf mehr als 30.000 laufende Ausschreibungen blockiert, darunter Aufträge der Bundeswehr.

Unternehmen konnten weder neue Angebote einreichen noch laufende Verfahren einsehen. Laut Einschätzung mehrerer IT-Dienstleister müssen Fristen für betroffene Verfahren verlängert werden - ein Prozess, der Verwaltungszeit kostet und rechtliche Risiken birgt.

Die Gruppe selbst erklärte den Angriff als Reaktion auf deutsche Waffenlieferungen an die Ukraine, insbesondere Patriot-Systeme. Betroffen waren laut Berichten auch bayerische Landesportale, Websites des Landtags Sachsen-Anhalt und der dortigen Polizei.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte den Angriff, betonte jedoch, es gebe keine Hinweise auf Datenabflüsse oder Systemkompromittierungen. Das Bundesinnenministerium sprach von einem „IT-Sicherheitsvorfall" in Abstimmung mit weiteren Behörden.

Interessant ist der Kontext: Im Juli 2025 hatten internationale Ermittler - unter Beteiligung des Bundeskriminalamts (BKA) - ein großes Servernetzwerk der Gruppe zerschlagen. Noname057(16) galt als geschwächt, meldet sich nun aber mit einem gezielten symbolischen Angriff zurück - gegen das sichtbarste Verwaltungsportal Deutschlands.

DDoS-Angriffe sind technisch simpel, aber operativ verheerend, wenn Prozesse keine Fallbacks kennen. Behördenportale sind selten auf massives Traffic-Loadbalancing vorbereitet; oft fehlen redundante Access-Layer, Georedundanz und „Graceful Degradation"-Mechanismen. Ein Vergabeportal ist nicht nur eine Website, sondern eine staatliche Plattform mit rechtlich bindenden Fristen - und damit ein perfektes Ziel für politische Sabotage.

Der Vorfall ist weniger ein technisches, als ein strukturelles Problem. Öffentliche IT muss nicht nur sicher, sondern resilient sein. DDoS-Mitigation, Cloud-Buffering und automatisierte Fristverlängerung gehören in jedes E-Government-System.

Weiterlesen: Golem – Cyberangriff legt Vergabeportal des Bundes lahm Süddeutsche Zeitung – Angriff auf Behördenportale

Nation-State-Angriff auf F5 Networks

F5 Networks, Hersteller der bekannten BIG-IP-Appliances, ist Opfer eines hochentwickelten, vermutlich staatlich unterstützten Cyberangriffs geworden. In einem Bericht an die US-Börsenaufsicht (SEC) bestätigte F5, dass Angreifer Zugriff auf interne Systeme erlangten und Teile des Quellcodes, Konfigurationsdateien und Dokumentationen aus der Produktentwicklung entwendeten.

Die gestohlenen Dateien enthalten laut F5 unter anderem Informationen zu bisher nicht offengelegten Schwachstellen. Zwar gebe es keine Anzeichen dafür, dass diese Lücken bereits aktiv ausgenutzt werden, doch allein der Besitz des Codes beschleunigt potenzielle Exploit-Entwicklungen.

Die US-Cybersicherheitsbehörde CISA warnte ausdrücklich: Systeme, die F5-Komponenten nutzen, seien gefährdet, da „eingebettete Zugangsdaten, API-Schlüssel und interne Protokolle" missbraucht werden könnten, um sich innerhalb von Netzwerken lateral zu bewegen oder Daten abzugreifen.

F5 betonte, es gebe keine Hinweise auf Manipulationen an der Software-Lieferkette oder am Build-System - ein zentraler Punkt nach den Supply-Chain-Vorfällen bei SolarWinds und CircleCI. Auch NGINX, das ebenfalls zum Unternehmen gehört, sei laut unabhängiger Prüfer (NCC Group, IOActive) nicht betroffen.

Der Angriff ist Teil einer breiteren Welle gezielter Attacken auf Sicherheitsanbieter selbst – nach Vorfällen bei SonicWall und Cisco. Die Strategie ist klar: Wer Sicherheitsprodukte versteht, kann sie aushebeln. Ein Leak des Quellcodes liefert Angreifern wertvolles Wissen über Authentifizierungsprozesse, interne API-Endpunkte und Security-Kontrollen.

F5 hat sämtliche Zugangsdaten rotiert, interne Zugriffskontrollen verschärft und bietet betroffenen Kunden ein Jahr CrowdStrike Falcon EDR kostenlos an. Sicherheitsforscher wie Ilia Kolochenko (ImmuniWeb) warnen, dass nun gezielte Angriffe auf F5-Installationen folgen könnten. Johannes Ullrich (SANS-Institut) spricht von einer „neuen Welle Reverse-Engineering", da gestohlener Quellcode die Schwachstellensuche enorm beschleunigt.

Der Vorfall zeigt, wie tief Nation-State-Gruppen heute in Entwicklungsprozesse zielen. Nicht die Produkte selbst, sondern die Entstehungsmechanismen sind das Ziel. Wer seine Sicherheitsarchitektur auf externen Komponenten aufbaut, muss deren Entwicklungs- und Lieferketten als Teil der eigenen Angriffsfläche begreifen.

Weiterlesen: CSOonline – Source Code and Vulnerability Info Stolen from F5 Networks

AWS-Störung legt globale Dienste lahm

In der Nacht auf den 20. Oktober 2025 kam es zu einer der größten AWS-Störungen des Jahres. Eine Fehlfunktion in der DNS-Auflösung von DynamoDB in der Region US-EAST-1 (North Virginia) führte zu Ausfällen quer durch das Ökosystem: EC2, Lambda, RDS, ECS, Glue – und durch die Kaskade indirekt auch Dienste wie Signal, Atlassian, Docker, Apple-Dienste und Perplexity AI.

Startversuche neuer EC2-Instanzen endeten mit „Insufficient Capacity Errors", AWS empfahl, Deployments nicht an feste Availability Zones zu binden. Selbst der interne AWS-Support war zeitweise eingeschränkt, da Ticketsysteme in der betroffenen Region liefen.

Der Vorfall begann um 00:11 Uhr MESZ, erste Erholung zeigte sich gegen 11:30 Uhr, vollständige Wiederherstellung um 12:35 Uhr. Ursache war eine defekte DNS-Komponente in DynamoDB, deren Fehlverhalten sich kaskadenartig auf abhängige Dienste ausbreitete.

Das Problem illustriert eine altbekannte Schwäche: DNS ist ein globaler Single Point of Failure. Wenn Resolver oder Caches defekt sind, hilft keine horizontale Skalierung.

Viele Anwendungen sind technisch „multi-AZ", aber praktisch single-region. Ihre Abhängigkeiten – IAM, Parameter Store, Secrets Manager, KMS, CloudFormation – hängen implizit an US-EAST-1. Fällt diese Control-Plane, fällt das gesamte Deployment.

Die Cloud ist resilient, aber nicht magisch. Multi-Region-Designs müssen aktiv betrieben, getestet und regelmäßig geübt werden - inklusive Failover, DNS-Cutover und automatischer Rehydration.

Weiterlesen: heise online – AWS: Globale Störung durch DNS-Fehler

CISPA zieht nach München - das Saarland verliert den Anschluss

Das Helmholtz-Zentrum für Informationssicherheit (CISPA) verschiebt seinen Innovations- und Gründungsfokus nach München. Offiziell lautet die Begründung: bundesweites Engagement. Hinter den Kulissen heißt es, dem Saarland fehle die passende Infrastruktur und die Dynamik, die Start-ups brauchen.

Geplant war einst der „Innovation Campus" in St. Ingbert – ein Leuchtturmprojekt für digitale Transformation. Doch aus den Plänen ist bis heute kaum Realität geworden. Fertigstellung: frühestens 2028. Währenddessen boomt das Münchener Umfeld mit der UnternehmerTUM als Europas größtem Start-up-Accelerator – allein 2024 flossen dort über zwei Milliarden Euro privates Kapital in Tech-Gründungen.

Das Ergebnis: Gründungen aus dem CISPA-Umfeld werden künftig eher in Bayern entstehen. Was als bundesweite Expansion verkauft wird, ist für das Saarland ein schleichender Innovationsabfluss.

Forschung allein schafft keine digitale Zukunft. Ohne wirtschaftliches Umfeld, Kapital und Verwaltung, die schnell entscheidet, zieht Innovation dorthin, wo sie atmen kann.

Weiterlesen: Saarbrücker Zeitung – CISPA verlegt Gründungsaktivitäten nach Bayern

Tools, Trends & Open Source

Der Deutschland-Stack

Der vom Bundesministerium für Digitales und Staatsmodernisierung initiierte Deutschland-Stack ist eine offene Referenzarchitektur für moderne, interoperable Softwareentwicklung in Verwaltung und Wirtschaft. Ziel: einheitliche, sichere und souveräne IT-Grundlagen – cloud-kompatibel, auf offenen Standards basierend, ohne proprietäre Abhängigkeiten.

Er umfasst Standards und Technologien aus Integration (gRPC, REST, OpenAPI), KI (TensorFlow, PyTorch), Persistenz (PostgreSQL, MariaDB, MongoDB), Security (TLS, JWT, IPsec) und Orchestrierung (Kubernetes, Prometheus, OpenTelemetry).

ayedo zeigt, wie diese Architektur in der Praxis betrieben werden kann: Mit Managed Kubernetes, GitOps-Deployments (ArgoCD), Zero-Trust-Netzwerken (Netbird), Observability (Grafana, Loki, VictoriaMetrics) und europäischen Hosting-Partnern (IONOS, OVH, Scaleway, Exoscale).

Digitale Souveränität heißt nicht, alles selbst zu hosten, sondern Kontrolle über Daten, Standards und Betriebsmodelle zu behalten.

Weiterlesen: ayedo – Der Deutschland-Stack

Podcast / Event Empfehlungen

Podcast: KI-Hype ohne Ende?

Richard „Richy" Dittrich (Boerse Stuttgart Group) und Christian W. Röhl (Scalable Capital) diskutieren über den KI-Boom an den Märkten: Warum NVIDIA die neue Leitwährung der Börse ist, wie Hyperscaler ihre KI-Investitionen skalieren, und warum Europas Rolle zwischen regulatorischer Vorsicht und Investitionslücke hängt. Ein differenziertes Gespräch über Chancen, Übertreibungen und echte Substanz im KI-Markt.

Spotify – KI-Hype ohne Ende?

GitLab Roadshow – DevSecOps in der Praxis

GitLab lädt zur DACH-Roadshow ein: Praxisberichte, KI-Workshops, Co-Creation-Sessions und Networking ohne Verkaufsfolien. Themen: automatisierte Security-Scans, Platform Contribution, DevSecOps-Erfahrungen aus echten Projekten. Kostenlos, inkl. Mittagessen und direktem Austausch mit Experten.

Termine: Düsseldorf (28.10.), Berlin (02.12.), Wien (04.12.)

Informatik Aktuell – GitLab Roadshow 2025

Meinung der Woche

Wer seine Failover-Mechanismen nicht übt, vertraut auf Hoffnung - und Hoffnung ist ein beschissenes Betriebsmodell.

in-Beitrag der Woche

Sascha Pallenberg bringt es auf den Punkt: Europa diskutiert über digitale Souveränität, während es Cloud-Lock-ins importiert. Ein präziser Kommentar zur Frage, wie abhängig wir wirklich sind - und wie wenig wir dagegen tun.

LinkedIn – Sascha Pallenberg: Digitale Abhängigkeit

Meme der Woche

AFK. Weinen.

Wenn du es bis hierher geschafft hast - Respekt und danke fürs Lesen. Lass gern ein Like da, teil den Newsletter mit deinem Netzwerk und sag mir, was in der nächsten Ausgabe auf keinen Fall fehlen darf. Ich freue mich über Themen, Fundstücke und Meinungen direkt aus der Community.

Bis zur nächsten Ausgabe

Katrin Peter