DDoS-Angriffe im Rahmen des ESC

Wenn ein Großereignis wie der Eurovision Song Contest (ESC) eine Stadt zur internationalen Bühne macht, dann gilt das auch für den digitalen Raum. Genau dort setzen manche Akteure auf eine besonders einfache, aber wirkungsvolle Methode: DDoS-Angriffe. Dabei geht es nicht um „High-Tech-Hacking“, sondern um einen kurzen Moment, in dem ein Webangebot langsamer wird oder nicht erreichbar ist. Daraus kann eine Schlagzeile, ein Screenshot oder ein Narrativ gebaut werden.

Was ein DDoS ist – und was er nicht ist

DDoS steht für Distributed Denial of Service. Viele verteilte Systeme schicken gleichzeitig sehr viele Anfragen an einen Dienst wie zum Beispiel eine Website, bis dieser überlastet ist. Das Ergebnis ist typischerweise eine eingeschränkte Erreichbarkeit des Dienstes, also zum Beispiel der Website. Es erfolgt aber kein Datenabfluss. Die Kontrolle über interne Systeme wird nicht erlangt und es handelt sich auch um keinen Einbruch in die Systeme.

Ein DDoS-Angriff zielt auf eine Überlastung der Server oder deren Internetanbindung ab, was eine Nichterreichbarkeit der Website zur Folge hat. Der eigentliche Zweck eines DDoS-Angriffs ist Verunsicherung.

Gerade bei internationalen Events ist ein DDoS deshalb attraktiv, weil die Wirkung leicht zu beweisen ist: Ein Bild, ein Screenshot, ein Link zu einem externen Check-Tool, und schon kann jemand behaupten, ein Land oder eine Stadt „im Griff“ zu haben. In vielen Fällen ist die Kommunikation über den Angriff nicht Begleiterscheinung, sondern Kern der Operation.

DDoS-Attacken gegen Einrichtungen in Österreich

Dass DDoS-Kampagnen gegen österreichische Ziele stattfinden, ist nicht neu und auch nicht auf den ESC begrenzt. In der öffentlich dokumentierten Lage rund um die Nationalratswahl 2024 wird eine koordinierte DDoS-Welle pro-russischer Gruppen gegen mehr als 40 österreichische Ziele – darunter auch die Stadt Wien – als Referenzfall beschrieben.

Auch während des ESC 2026 gab es entsprechende Beobachtungen von DDoS-Angriffen. In einer Lagemeldung wurde festgehalten, dass das von dem pro-russisches Kollektiv  NoName057(16) eingesetzte Tool „DDoSia“ zum Angriff auf österreichische Ziele verwendet wurde, der Angriff aber unauffällig blieb und zu keinen Beeinträchtigungen führte.

Die Angriffe von NoName057(16) auf Ziele in Österreich begannen am 4. Mai und gingen bis zum 18. Mai 2026, also dem Montag nach dem Finale des ESC.

Das Kollektiv Dark Storm Team hat ebenfalls kleinere Angriffe für sich reklamiert.

Warum Wien beim ESC nicht überrascht wurde

Beim ESC 2026 war von Beginn an klar: Es geht nicht nur um Firewalls, sondern um ein Zusammenspiel aus Prävention, Lageverständnis, abgestimmten Meldewegen, klaren Zuständigkeiten und einer Kommunikationslinie, die nicht ins Dramatisieren kippt. Entsprechend wurde die Sicherheitsarbeit rund um den ESC als gemeinsames Setup gedacht, unter anderem in einer eigenen Cybersecurity Coordination Group, die laufend die Lage bewertet und relevante Stellen zusammenbringt.

Aus interner Sicht war ein entscheidender Baustein der Wissenstransfer mit dem Vorjahres-Gastgeber. Im Dezember 2025 fand ein Austausch mit der Stadt Basel statt. Im Rahmen dieses Austauschs sind genau jene Punkte festgehalten worden, die bei Großevents immer wieder den Unterschied machen: klare Rollen (insbesondere das Zusammenspiel zwischen Cyber/SOC und Polizei), eindeutige Eskalationslogik, gemeinsames Lageverständnis  und die Erfahrung, dass DDoS zwar vorkam, aber nicht gravierend war.

Empfehlungen und Kommunikationsstrategien

Öffentlichkeit ist wichtig, aber die Art der Berichterstattung kann unbeabsichtigt Teil der Angriffslogik werden. DDoS ist häufig darauf angelegt, Unsicherheit zu erzeugen. „Wenn eine Website nicht erreichbar ist, ist alles unsicher.“ Genau dieses Gefühl soll entstehen. Es wird daher empfohlen, ruhig zu bleiben, nicht technisch zu spekulieren, Behauptungen nicht aufzublasen und schnell zwischen bestätigtem Vorfall, Falschbehauptung und normaler Betriebsbelastung zu unterscheiden.

Wichtig ist professionelle Risikokommunikation: Wer jede Behauptung multipliziert, erhöht den Nutzen der Operation. Wer hingegen transparent, knapp und faktenbasiert kommuniziert – es gibt eingeschränkte Erreichbarkeit einzelner Angebote, Teams arbeiten an der Stabilisierung, Kernabläufe sind nicht betroffen – nimmt dem Angriff den wichtigsten Hebel: das Informationsvakuum.