Ein Blog-Leser aus dem Raum Trier hat mich per E-Mail informiert (danke dafür), dass die öffentlichen Seiten der Stadt Trier seit dem Wochenende offline seien. Ein massiver DDoS-Angriff hat wohl das betreffende Angebot aus dem Web gefegt, sprich Besucher konnten die Internetseiten wegen Überlastung nicht mehr erreichen.
Ein Leserhinweis
Der Blog-Leser schrieb in seiner Mail: "Ist recht frisch, die Info (und ja, www.trier.de geht nicht mehr). Trifft aber angeblich nicht das Verwaltungsnetz der Stadt." Ich habe mal die betreffende Seite aufgerufen und bekam die nachfolgende Anzeige zu sehen.
Der Leser verwies mich noch auf diesen Artikel, der angibt, dass die Stadt Trier erneut Ziel einer groß angelegten Cyberattacke geworden sei. Seit dem Wochenende sind die Internetseite trier.de und weitere städtische Webseiten nicht mehr erreichbar. Laut Stadt Trier sind nur die öffentlichen Online-Auftritte betroffen. Die internen IT-Systeme der Verwaltung selbst, einschließlich E-Mail-Verkehr und digitaler Dienstleistungen, arbeiten weiterhin stabil, schreibt die Stadt Trier am heutigen Montag.
Trier schon mal DDoS-Opfer
Im Artikel ist die Rede davon, dass Trier bereits schon einmal im Fokus russischer Angreifer stand, die einen DDoS-Angriff zur Überlastung der Webserver durchführten. Als Folge des Angriffs setzte Trier dann eine Web-Firewall zum Schutz der Webseiten ein. Diese Firewall habe aber vor einer Woche (Donnerstag, den 30. Oktober 2025) eine Schwachstelle aufgewiesen, die mutmaßlich von den Angreifen für den neuen DDoS-Angriff missbraucht worden sei – heißt es.
Technische Firewall-Probleme verhindern DDoS-Abwehr?
Die Verantwortlichen der Stadt Trier gehen davon aus, dass der Ausfall der Webseiten wegen des DDoS-Angriffs mit einer technischen Störung der genutzten Firewall-Software zusammenhängen kann, heißt es hier. Der Name des Produkts wird nicht genannt, aber man vermutet dass die Störung der Firewall ausgenutzt worden sein könnte, denn derzeit komme es weltweit zu Einschränkungen.
Derzeit arbeitet die Stadt Trier gemeinsam mit einem externen IT-Dienstleister an der Wiederherstellung der Seiten, heißt es. Wann trier.de wieder voll erreichbar sein wird, ist noch unklar.
Wo hakt es denn?
Ich habe mal nachgeschaut – zum 30. Oktober 2025 gab es eine Warnung, dass die WSUS-Schwachstelle ausgenutzt werde – was aber hier eher nicht passen dürfte. Was zeitlich passen könnte, wäre die BSI-Warnung von der Schwachstelle CVE-2025-9242 in Watchguard-Firewalls, die aber seit Mitte September 2025 bekannt ist (siehe BSI-Warnung vor Watchguard-Firebox Firewall-Angriffen). So richtig passt das alles nicht.
Auf tagesschau.de bin ich auf diesen Artikel gestoßen, wo obiger Screenshot enthalten ist. Dort wird eine Fehlermeldung der Stadt Trier.de-Webseite gezeigt. Es kommt bei Azure Front Door zu einem Gateway Timeout. Damit wären wir bei der Azure-Störung vom 29. Oktober 2025, die ich hier im Blog erwähnt hatte. Die Störung ist inzwischen aber behoben. Weiß jemand aus der Leserschaft mehr?
MVP: 2013 – 2016
interessant, die IP 20.50.2.72 hinter trier.de zeigt auf einen Azure Host, auf dem laut shodan das Unternehmen covesto.com mit drölfzig Subsomains für seine internationalen Standorte und Marken registriert ist.
Pingt mal covestro.de und trier.de auf v4 an und staunt selbst.
Und nu sucht die Schnittmenge…
Ich tippe mal auf diesen Anbieter: vsenet.de, hab ich aus dem whois von mail.trier.de
Macht Whitelabel, Managed Firewall und führt öffentliche Kunden im Portfolio.
ich würde mich ja freuen als Verantwortlicher bei einem Konzern wie covestro.de, der im Netz hinter der gleichen IP erreichbar ist wie die Baustellen/Cyberincident Website eines mutmaßlich mit DDOS oder mehr betroffenen anderen Kunden.
So von der Reputation einer IP, Blocklisten etc.