taz.de -- Polizeiaktion gegen Cyberkriminelle: Ermittler legen russische Hacker lahm

Die Polizei ist in einer internationalen Aktion gegen die russische Hackergruppe „NoName057(16)“ vorgegangen. Auch die taz war mehrfach deren Ziel.

Bild: Jetzt hackt's: Das BKA hat russische Hacker gehackt

BERLIN taz | Deutschen Ermittlern ist offenbar ein Schlag gegen eine relevante russische Hackergruppe gelungen. Wie das Bundeskriminalamt erklärte, wurden am Dienstag sechs Haftbefehle gegen Hintermänner der [1][Gruppierung „NoName057(16)“] erlassen, darunter gegen zwei Hauptverantwortliche. Bei allen handele es sich entweder um russische Staatsbürger oder sie seien in Russland wohnhaft. Gegen sie wird international gefahndet. Zudem seien 24 Objekte von mutmaßlichen Unterstützern durchsucht worden, darunter in Bayern und Berlin.

Die Ermittlungen laufen wegen des Verdachts der „Bildung einer kriminellen Vereinigung im Ausland zum Zwecke der Computersabotage“. An der Polizeimaßnahme waren neben der Zentralstelle zur Bekämpfung der Internetkriminalität der Generalstaatsanwaltschaft Frankfurt am Main auch Strafverfolgungsbehörden aus den USA, den Niederlanden, der Schweiz und weiterer EU-Länder sowie Europol beteiligt.

Im Zuge der international koordinierten Aktion sei auch ein sogenanntes Botnetz abgeschaltet worden, das aus mehreren Hundert weltweit verteilten Servern bestanden habe. Es sei für gezielte Überlastungsangriffe auf Websites genutzt worden, also für sogenannte „DDoS“-Angriffe.

Pro-Russische Hacker attackieren kritische Infrastruktur

Als Botnetze gelten Netzwerke, bei denen unter anderem die Rechner von Privatpersonen – freiwillig oder unfreiwillig – für gemeinsame Attacken genutzt werden. Für Überlastungsangriffe auf Webseiten beispielsweise greifen diese Computer dann tausendfach gleichzeitig darauf zu, um die Internetpräsenz zu überlasten und lahmzulegen.

Die Hackergruppe, die unter dem kryptischen Namen „NoName057(16)“ bekannt ist, hatte solche „DDoS“-Angriffe vor allem als Unterstützung des russischen Angriffskriegs gegen die Ukraine unternommen. Laut BKA handele es sich um ein „ideologisch geprägtes Kollektiv“, deren Aktionen darauf abzielten, „das gesamtgesellschaftliche und politische Gefüge der Bundesrepublik nachhaltig zu stören oder zu beeinflussen“.

Seit Beginn der Ermittlungen im November 2023 sei Deutschland Ziel von insgesamt 14 Angriffswellen gewesen, die teilweise über mehrere Tage andauerten und insgesamt 250 Firmen und Einrichtungen betrafen, darunter Unternehmen der Kritischen Infrastruktur wie Rüstungsbetriebe, Stromversorger und Verkehrsbetriebe, aber auch öffentliche Einrichtungen und Behörden.

Hackergruppe zielte auch auf die taz

Auch die taz wurde bereits zum Ziel der Angriffe durch die Hackergruppe: einmal am 25. November 2024 sowie am 14. Februar 2025, am Tag der Münchner Sicherheitskonferenz. „NoName057(16)“ hatte am gleichen Tag auch dazu aufgerufen, neben der taz die Webseiten der FAZ, des Handelsblatts, der Münchner Abendzeitung und des Neuen Deutschlands zu attackieren.

„Noname057(16)“ nutzte für seine Angriffe ein eigenes Botnetz aus mehreren Hundert Servern und hatte daneben ein Netzwerk aus Unterstützer*innen. Dieses umfasst nach Einschätzung der Strafverfolgungsbehörden mutmaßlich mehr als 4.000 Nutzer*innen. Ihnen wurde eine spezielle Software namens „DDoSia“ zur Verfügung gestellt, mit der sie sich dann mit ihren eigenen Computern an den Angriffen beteiligen konnten.

Laut der Politikwissenschaftlerin Kerstin Zettl-Schabath, die sich an der Universität Heidelberg seit Jahren mit Cyberkonflikten beschäftigt, sei die Gruppe „Noname057(16)“ kurz nach Beginn des russischen Angriffskriegs auf die Ukraine im März 2022 um ersten Mal in Erscheinung getreten. Die Gruppe habe sich seitdem immer wieder zu groß angelegten DDoS-Attacken auf Länder und Institutionen bekannt, die die Ukraine unterstützen. „Ob sie Verbindungen zum russischen Geheimdienst hat, ist unklar, zumindest von einer aktiven Duldung kann aber ausgegangen werden“, sagte Zettl-Schabath im April zur taz.

Attacke am Tag der Bundestagswahl

Die [2][taz hatte im April offengelegt, dass sie selbst – so wie auch andere Zeitungshäuser, Sender und Verlage, regelmäßig Ziel von Cyberangriffen wird]. Eine dieser Attacken traf die taz am Tag der Bundestagswahl am 23. Februar 2025 und legte die Webseite für rund zwei Stunden lahm. In einer Recherche konnte die taz die Spuren der Angreifer nachverfolgen. Zumindest für den Tag der Bundestagswahl führten diese nicht zu „Noname057(16)“ oder nach Russland, sondern zu einem oder mehreren Hackern, die vor allem in Ungarn gegen kritische Medien aktiv sind.

17 Jul 2025

LINKS

[1] https://de.wikipedia.org/wiki/NoName057(16)

[2] /Angriff-auf-die-taz/!6081815

AUTOREN

Jean-Philipp Baeck

ARTIKEL ZUM THEMA

Microsoft SharePoint: Hacker greifen Behörden und Firmen über Sicherheitslücke an

Viele Unternehmen und Behörden betreiben selbst Server zum Teilen von Dateien über Microsofts Software SharePoint. Die hat eine ernste Lücke.

Sicherheit des Parlaments: „Der Bundestag ist ein begehrtes Ziel“

Der Deutsche Bundestag ist von zahlreichen Hackerangriffen betroffen. Bundestagspräsidentin Julia Klöckner will nun die Schutzmaßnahmen weiter hochfahren.

Eingriff in die Pressefreiheit in Israel: Der verschwundene Laptop

Der taz-Korrespondentin wird am Flughafen in Tel Aviv der Laptop abgenommen. 9 Tage später bekommt sie ihn wieder, schwer lädiert. Die taz legt Beschwerde ein.

Buch über Putins imperiale Strategie: Da knallen die Sektkorken im Propagandastab des Kreml

In „Wenn Russland gewinnt“ zeigt Carlo Masala, wie schnell Russland ans Ziel kommen könnte. Sein Szenario ist ebenso dystopisch wie plausibel.

Propaganda-Plattform des Kreml: Red ist russisch

Laut Bundesregierung steht hinter dem Medienportal Red Russland. Es bestehen enge Verbindungen zum staatlichen Propagandasender RT.

Russische Kanäle feiern Brand in Erfurt: „Dieser mögliche Sabotageakt hat eine neue Qualität“

Prorussische Onlinekanäle feiern einen Brandanschlag auf Bundeswehrfahrzeuge in Erfurt. Thüringens Innenminister Georg Maier zeigt sich alarmiert.

Hackerangriff auf „Washington Post“: Redakteure gezielter Themenbereiche anvisiert

Die US-Zeitung „Washington Post“ wurde Ziel eines Cyberangriffs. Aus abgefangenen Mails geht ein Spionageverdacht hervor.

Angriff auf die taz: Gezielt getroffen