Mitte Mai 2026 sorgte die Website der Deutschen Bahn für Aufmerksamkeit, weil sie unter bestimmten Umständen Linux-Nutzer nicht mehr korrekt Zugang gewährte. Laut den Berichten trat das Problem rund um den 19. bis 22. Mai 2026 auf und betraf vor allem den Zugriff über Bahn.de, wo statt der Verbindungsauskunft eine Fehlermeldung erschien.
Was zunächst nach einer gezielten Sperre für Linux aussieht, war in Wirklichkeit wohl ein Fehler in den Schutzmechanismen der Website. Die Bahn setzt wie viele große Plattformen auf Systeme zur Erkennung automatisierter Zugriffe, und genau diese Filter scheinen hier zu empfindlich reagiert zu haben. Dadurch wurden einzelne Browser-Konfigurationen unter Linux irrtümlich wie verdächtiger Traffic behandelt.
Was war passiert?
Der entscheidende Punkt ist der sogenannte User-Agent, also die Kennung, mit der sich ein Browser gegenüber einer Website meldet. In diesem Fall deutet vieles darauf hin, dass die Erkennungslogik von Bahn.de bestimmte Linux-Kennungen falsch interpretierte und den Zugriff als Bot-Verhalten einstufte. Die Folge war nicht ein kompletter Linux-Block, sondern ein Fehlalarm in der Sicherheitsprüfung, der normale Nutzer ausbremste.
Fachlich lässt sich das gut erklären: Anti-Bot-Systeme arbeiten oft mit Heuristiken, also mit Mustern, die verdächtiges Verhalten erkennen sollen. Wenn solche Regeln zu strikt sind oder zu wenig Kontext berücksichtigen, entstehen False Positives, also Fehlklassifikationen legitimer Nutzer. Genau das scheint hier passiert zu sein.
Alles zwischenzeitlich behoben?
Die Deutsche Bahn erklärte, dass es keine generelle Sperre einzelner Betriebssysteme gebe und man daran arbeite, Fehlalarme zu reduzieren. Probleme seien inzwischen weitgehend behoben – auch wenn solche Systeme theoretisch jederzeit wieder einzelne Nutzer fälschlich treffen können, wenn die Filter ungünstig eingestellt sind.
Schlussendlich
Der Vorfall zeigt, wie schnell Sicherheitsmechanismen zum Problem werden können, wenn sie zu aggressiv arbeiten. Statt echte Angreifer zu stoppen, sperren sie dann im Zweifel ganz normale Nutzer aus. Technische Schutzsysteme sollten nicht nur sicher, sondern auch präzise sein.
Quelle: It’s FOSS – In a Weird Case, German Deutsche Bahn’s Website Was Locking Out Linux Users
Titelbild: It’s Foss
Noch keine Reaktion