Angriff auf die taz: Gezielt getroffen

E s ist 15.36 Uhr am Sonntagnachmittag, als die erste Alarmmeldung erscheint. „Problem“, leuchtet auf einem Bildschirm der IT-Abteilung der taz auf. Dazu steht in einer Zeile eine Erklärung: „https://monde-diplomatique.de/ on groovy.taz.de (193.104.220.25) is CRITICAL.“

Für die Systemadministratoren der taz ist dieser Satz nicht kryptisch. Er ist besorgniserregend. „CRITICAL“ steht in Großbuchstaben in einer weiteren Zeile dieser Meldung, mit dem Zusatz „Socket timeout after 10 seconds“. Übersetzt bedeutet diese Nachricht: Die Webseite von Le Monde diplomatique, die der Verlag der taz in Deutschland herausgibt, liegt lahm. Und wenn diese Seite lahmliegt, dann liegt auch taz.de lahm. Beide Webseiten nutzen die gleichen Server.

Ungefähr zeitgleich zu dieser automatisch generierten technischen Warnmeldung klingelt auch das Telefon bei dem Mitarbeiter, der vor Regalen voller Kabel und Adapter in der EDV-Abteilung des taz-Hauses sitzt. Nicht nur das System hat das Problem bemerkt, sondern auch die Menschen in der Redaktion. Wenige Minuten und ein paar Anrufe später wird die komplette Abteilung der Systemadministratoren vor ihren Bildschirmen sitzen – aus dem Homeoffice und teils auch aus dem Urlaub. Die Chefredaktion wird einen internen Chat zur Koordinierung einrichten. Die Aufregung ist groß.

Es ist der 23. Februar 2025, der Sonntag der vorgezogenen Bundestagswahl. In zweieinhalb Stunden wird es die ersten Prognosen geben. Und taz.de ist nicht zu erreichen.

Knapp zwei Stunden werden die Techniker der taz an diesem Tag darum kämpfen, dass taz.de wieder online geht. Das Haus ist voll, die Re­dak­teu­r*in­nen bespielen einen Liveticker zur Wahl, schreiben erste Analysen, führen Interviews und bereiten die Zeitung für den nächsten Tag vor. Doch Le­se­r*in­nen, die in dieser Zeit auf taz.de zugreifen wollen, bekommen davon nichts mit. Alles, was sie sehen, ist eine Fehlermeldung.

Für die taz ist das katastrophal. Der Tag einer Bundestagswahl ist publizistisch und politisch einer der wichtigsten überhaupt. Die taz berichtet deutlich mehr als an einem durchschnittlichen Sonntag, erreicht mehr Le­se­r*in­nen. taz-Kommentare werden in anderen Medien zitiert. Es ist ein Tag, an dem die taz ausstrahlt, auch über die Stamm­le­se­r*in­nen hinaus. Und der Ausfall kostet Geld. Le­se­r*in­nen können nicht für das freiwillige Bezahlmodell „taz zahl ich“ spenden, nichts im taz shop bestellen und kein Abo abschließen. Einnahmen aus Werbeanzeigen bleiben aus.

Zwar schaltet die Redaktion an jenem Sonntag schnell um und setzt den Liveticker, der bis dahin auf taz.de lief, nun auf den taz-Kanälen in den sozialen Medien fort. Aber da erreicht er viel weniger Leute.

Wir haben uns entschieden, diesen Ausfall nicht nur intern aufzuarbeiten, sondern ihn auch öffentlich zu machen. Das ist heikel. Diejenigen, die die taz angegriffen haben, könnten diesen Text als Ermutigung verstehen. Sie könnten erneut zuschlagen. Die letzten Vorfälle haben gezeigt, wie verwundbar die taz ist.

Andererseits finden wir es wichtig, dass die Öffentlichkeit erfährt, wie heftig und regelmäßig die Presse attackiert wird. Angriffe auf die kritische Infrastruktur der Demokratie sind nicht nur zu befürchten. Sie sind längst Alltag. Nur kommunizieren viele Betriebe – und bisher auch die taz – solche Angriffe eher nicht oder nur knapp. Neben Medienhäusern sind auch andere Unternehmen ständig solchen Angriffen ausgesetzt. Sie treffen Flughäfen, Krankenhäuser, Behörden, Parteien, Banken. Sie können ein dummer Kinderstreich sein – oder eine Waffe, gerichtet auf den politischen Gegner. Eine Waffe in einem Krieg, der längst nicht mehr nur in Schützengräben ausgetragen wird. Einem hybriden Krieg.

Der Angriff am 23. Februar war nicht der schwerste auf die taz, nicht der erste und nicht der letzte. Aber durch den Zeitpunkt kommt ihm eine größere Bedeutung zu. Für diesen Text haben wir technische Protokolle vom Wahlsonntag und weiteren Tagen untersucht, haben die Datenspuren der Angreifer nachverfolgt, im Darknet und in Hackerforen recherchiert und mit Ex­per­t*in­nen gesprochen. Inzwischen haben wir eine Ahnung, wer hinter den Angriffen steckt. Es handelt sich, sehr wahrscheinlich, um eine gezielte Attacke auf die Presse und speziell auf die taz.

Die Angreifer, die an jenem Sonntag die taz lahmlegen, sehen aus wie eine Armee aus Hunderttausenden. Sie tragen aber keine Uniform und keine Waffen. Sie geben sich als Internetnutzer aus, die versuchen, auf taz.de zuzugreifen.

Hinter ihnen stehen aber keine wirklichen Leser*innen, sondern IP-Adressen. IP-Adressen sind so etwas wie die Telefonnummern des Internets. Jedem Computer, Mobiltelefon oder Smartfernseher ist eine solche Adresse zugeordnet. Das Pikante an ihnen ist: Man kann sie auch fälschen, ohne dass dahinter ein echter Internetnutzer steht. „Spoofing“ nennt man das. Und das ist im Fall des taz-Angriffs wohl unter anderem passiert. Daneben nutzten der oder die Angreifer andere Wege, um ihre Herkunft zu verschleiern, wie beispielsweise VPN-Tunnel, die die ursprüngliche IP-Adresse verstecken.

Auf dem Höhepunkt des Angriffs versuchen an jenem Sonntagnachmittag um 15.59 Uhr innerhalb von 0,3 Sekunden 96.471 unterschiedliche IP-­Adressen auf taz.de zuzugreifen. Das ist extrem viel. Normalerweise hat taz.de im gleichen Zeitraum Zugriffe von knapp über 50 IP-Adressen. Unsere Webseite wird also überrannt.

Diese Art von Angriff nennt man DDoS-Attacke, das steht für „Distributed Denial of Service“. Eine Webseite verweigert den Dienst, weil zu viele Nut­ze­r*in­nen gleichzeitig auf sie zugreifen.

DDoS-Attacken sind häufig. Sie gehören zum „Grundrauschen des Internets“, sagt der IT-Experte Manuel Atug. Er berät Firmen im Umgang mit Cyber­an­griffen. DDoS sei relativ einfach zu steuern und noch einfacher zu skalieren. „Früher brauchte man Bomben, Waffen und ein paar Leute, um ein Unternehmen zu überfallen“, sagt Atug. „Heute reicht ein schlauer Jugendlicher in seinem Kinderzimmer mit einem Laptop.“

Auch die taz erreichen immer wieder DDoS-Attacken. Bisher konnten sie meistens erfolgreich abgewehrt werden. Aber die am 23. Februar war groß und nutzte verschiedene Methoden.

Unter all dem, was Cyberkriminelle noch anrichten können, sind DDoS-Attacken relativ harmlos. Dabei geht kein vorhandenes Geld verloren, und es werden keine Daten geklaut. Andere Formen der Cyberangriffe haben weitaus drastischere Konsequenzen. Im Jahr 2021 infizierten Hacker die Server des Landkreises Anhalt-Bitterfeld mit einer Schadsoftware und legten damit die Verwaltung lahm. Kindergeld konnte nicht ausgezahlt, KfZ-Zulassungen konnten nicht beantragt werden. Im Februar 2025 griffen Hacker die IT-Systeme eines Klinikums in Berlin an. Die Rettungsstelle musste vorübergehend abgemeldet werden, Krankenwagen konnten sie nicht mehr anfahren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Cybersicherheitsbehörde Deutschlands, beobachtet, dass Cyberangriffe gegen europäische Webseiten seit dem russischen Angriffskrieg auf die Ukraine zugenommen haben. Häufig würden sie von prorussischen Aktivisten ausgeführt, die sie für ihre Propagandazwecke nutzten, schreibt das BSI auf taz-Anfrage.

Die Leute, die hinter Cyberangriffen stecken, lassen sich oft nur durch Zufall identifizieren. Manchmal ist ein Angriff so aufwändig, dass er nur von einer Regierung orchestriert worden sein kann. Manchmal versteckt sich in einem Stückchen Code ein Hinweis. In anderen Fällen werden damit aber auch falsche Fährten gelegt. Und es kommt vor, dass Hacker absichtlich eine Art Visitenkarte hinterlassen, um sich in der Szene einen Namen zu machen oder um eine Botschaft zu übermitteln.

Letzteres ist wohl beim Angriff auf die taz am Tag der Bundestagswahl passiert. Denn der oder die Angreifer hinterlassen eine Nachricht für die taz. Inmitten der hunderttausenden Anfragen, die an jenem Sonntagnachmittag die Webseiten der taz überfluten, finden wir in den Protokollen der Server auch Textschnipsel. Die Angreifer verpacken sie in ihren Anfragen an taz.de. So lautet eine der Webadresse, die die Angreifer aufrufen wollen: https://taz.de/?HanoHatesU

„Hano hasst euch“?

„Hano“, diesen Namen kennen wir aus unserer eigenen Berichterstattung. Wir vermuten, dass diese Leute die taz schon einmal angegriffen haben – und nicht nur die taz.

Seit Frühjahr 2023 haben der oder die Angreifer unter diesem Spitznamen mindestens 40 Webseiten von regierungskritischen Medien in Ungarn lahmgelegt. Innerhalb von einer Woche im April 2023 wurden 12 unabhängige ungarische Medienwebseiten angegriffen. Regierungstreue Medien blieben verschont. Die Angreifer hinterließen dabei ebenfalls ihren Namen und dieselbe Botschaft: „Hano“ und „HanoHatesU“.

Eine Verbindung zu Attacken in Ungarn

Bei den Angriffen auf ungarische Medien übermitteln sie manchmal noch mehr: Kommentare zur ungarischen Medienlandschaft, zu einzelnen Jour­na­lis­t*in­nen oder Warnungen vor weiteren Angriffen, die dann zur angekündigten Zeit auch tatsächlich stattfinden. Die Angreifer scheinen sich gut auszukennen mit Medien in Ungarn. Und sie scheinen all jene im Visier zu haben, die nicht auf Linie der autoritären Orbán-Regierung sind.

Nur, wer genau hinter HanoHatesU steckt, ist schwer nachzuvollziehen. Es kann eine Gruppe sein, es kann ein Einzelner sein. Ob diese Leute wirklich aus Ungarn operieren, ist auch unklar – genauso wie die Frage, ob sie womöglich im Auftrag der ungarischen Regierung handeln. Dieser Gedanke ist nicht so abwegig. Seit Jahren untergräbt Regierungschef Viktor Orbán eine unabhängige Berichterstattung. Kritische Jour­na­lis­t*in­nen wurden gezielt mit Spionage­software überwacht.

Das International Press Institute, eine der wichtigsten Institutionen für die Pressefreiheit, erklärte 2023 zu den Aktivitäten von Hano gegen ungarische Medien, es sei davon auszugehen, dass die Verantwortlichen relativ gut finanziert seien. Die Kosten, die mit DDoS-Angriffen dieses Ausmaßes und dieser Dauer verbunden seien, deuteten darauf hin. Es handele sich um „einen der bislang umfangreichsten Cyberangriffe auf eine unabhängige Mediengemeinschaft in einem Mitgliedstaat der Europäischen Union“.

Vertreter der betroffenen Medien in Ungarn bestätigen das gegenüber der taz und sagen: Die Polizei sei kaum daran interessiert, zu helfen. Die Angriffe kämen bis heute, es seien teure IT-Lösungen nötig, um sich zu schützen. Der Chefredakteur eines ungarischen Nachrichtenportals erklärte, er halte die Cyberangriffe für ein gezieltes Instrument, um unliebsame Medienhäuser zu beschäftigen und Kosten bei ihnen zu verursachen.

Weder das ungarische Innenministerium, noch das Büro von Ministerpräsident Orbán, noch das Nationale Zentrum für Cybersicherheit antworteten auf Anfragen der taz zu den DDoS-Angriffen und Hano.

Es ist nicht leicht, Sicherheitsexperten zu finden, die mehr über Hano wissen. Diejenigen, die sich auskennen, bleiben schmallippig und wollen nicht genannt werden. Sie sagen nur: Die ungarischen Behörden würden sich wohl nicht damit befassen. Und: Vermutlich handele es sich nicht um eine große Gruppe. Hano sei „wahrscheinlich aus Ungarn, wahrscheinlich von dort finanziert und wahrscheinlich ein APT“.

„APT“, diese Abkürzung steht im Fachjargon für „Advanced Persistent Threat“, zu Deutsch eine „fortgeschrittene andauernde Bedrohung“. Laut BSI liegt ein APT dann vor, wenn ein gut ausgebildeter, meist staatlich gesteuerter Angreifer über einen längeren Zeitraum gezielt ein System angreife. Der Zweck von diesen Angriffen, laut BSI: Spionage oder Sabotage.

Als das International Press Institut im Sommer 2023 über die Angriffe in Ungarn berichtet, wird auch dessen Webseite von Hano attackiert. Drei Tage braucht das Institut, bis seine Webseite wieder online gehen kann.

Kurz nach dem Cyberangriff auf das International Press Institute berichtet die taz am 13. September 2023 darüber – und erleidet genau eine Woche später, am 20. September 2023, ebenfalls eine DDoS-Attacke. Die taz schafft es damals, diesen Angriff nach zwei Stunden abzuwehren. Dafür, dass bereits diese Attacke auf Hano zurückzuführen ist, finden wir heute keine Hinweise mehr. Aber sie steht im zeitlichen Zusammenhang zu unserer Berichterstattung.

Hano ist anders

Und: Die taz kooperiert seit 2022 mit dem International Press Institute in einem Projekt über Desinformationskampagnen gegen Jour­na­lis­t*in­nen und hat in diesem Zusammenhang auch eine größere Recherche über die Angriffe auf die Pressefreiheit durch die Orbán-Regierung verfasst. Der Bericht wurde in Ungarn stark rezipiert.

Die Attacken von HanoHatesU, davon kann man ausgehen, sind politisch motiviert. Experten nennen Gruppen und Akteure wie Hano auch „Hacktivisten“, eine Wortschöpfung aus Hacker und Aktivisten. Hacktivisten können ganz verschiedene Ziele verfolgen, manche setzen sich für die Meinungsfreiheit ein und attackieren Regime wie das in Iran. Hano aber ist anders. Er oder sie greifen diejenigen an, die sich einem autoritären Rechtskurs verweigern, oder jene, die über ihre Angriffe berichten.

Und Hano sind nicht die Ersten, die versuchen, die taz lahmzulegen und damit vermutlich ein politisches Ziel verfolgen. Im Zuge dieser Recherche haben wir uns auch vorherige Attacken noch einmal genauer angeschaut. Dabei fiel auf: Nicht nur mit Bezug zu Ungarn wurden wir gezielt angegriffen, sondern auch vonseiten Russlands.

Drei Monate vor der Bundestagswahl, am 25. November 2024, erlebt die taz ebenfalls eine DDoS-Attacke. Auch da wird taz.de mit Anfragen überladen. Zu dem damaligen Angriff finden wir einen Kommentar in einer Telegramgruppe, in der sich offenbar Hacker organisieren: „The official website of Die Tageszeitung (TAZ) has been disabled as part of a series of targeted cyber operations against German websites.“

Als Teil einer gezielten Cyberoperation gegen deutsche Webseiten sei die taz lahmgelegt worden, steht da. Darunter finden sich einige Hashtags, unter anderem #Op_Germany. OP Germany steht vermutlich für: „Operation Germany“.

Ende 2024 gab es mehrere Attacken unter diesem Motto. Der Blogger Mark Bruno, der sich mit hybrider Kriegsführung beschäftigt, nimmt an, dass sie von verschiedenen Gruppen ausgeführt wurden. Er schreibt, dass sich Hacktivisten aus mindestens zehn Gruppen an der „Operation Germany“ beteiligt hätten. Ihr Vorgehen sei immer ähnlich gewesen. Die Ziele seien vor allem Webseiten aus Deutschland und anderen Nato-Ländern. Die Angriffe seien von ihren Urhebern als eine „anti-NATO DDoS-Welle“ beschrieben worden.

Eine der Gruppen, die sich auch an OP_Germany beteiligt hat, nennt sich „NoName057(16)“. Kurz nach der Attacke im November 2024 wird sie die taz auch noch einmal direkt angreifen.

Die Politikwissenschaftlerin Kerstin Zettl-Schabath arbeitet an der Universität Heidelberg und beschäftigt sich seit Jahren mit Cyberkonflikten. Sie dokumentiert mit ihrem Team die Fälle in der Datenbank European Repository of Cyber Incidents. Die Gruppe NoName057(16) findet sich darin häufig. „Zum ersten Mal in Erscheinung getreten ist Noname057(16) im März 2022, kurz nach Beginn des russischen Angriffskriegs auf die Ukraine“, sagt Zettl-Schabath.

Seitdem bekenne sie sich immer wieder zu groß angelegten DDoS-Attacken auf Länder und Ins­ti­tu­tio­nen, die die Ukrai­ne unterstützen. „Ob sie Verbindungen zum russischen Geheimdienst hat, ist unklar, zumindest von einer aktiven Duldung kann aber ausgegangen werden.“ Die Anhängerschaft von Noname057(16) sei in kurzer Zeit über Telegram massiv gewachsen.

Ihren „Erfolg“ kann die Gruppe scheinbar selbst kaum fassen. In einer Telegramnachricht auf Russisch Ende 2023 schreiben sie, sie seien bloß „normale Programmierer und schwierige Typen aus dem Darknet“. „Hätten wir Anfang diesen Jahres kommen sehen, dass ausgerechnet wir an die digitale Front gehen würden?“, fragen sie da. Und: „Hätte jemand gedacht, dass es auch wir sein würden, die unser Vaterland beschützen und die „zivilisierte“ Welt umerziehen würden?“

Ein Bot-Netz aus nichts ahnenden Nutzern

Kerstin Zettl-Schabath beobachtet, dass sich NoName057(16) professionalisiert hat. „Die Gruppe unterhält ein halb­auto­ma­ti­sier­tes DDoS-Tool, über das sich Freiwillige an DDoS-Angriffen beteiligen können, in dem sie ihre Rechnerkapazitäten bereitstellen.“

Das heißt, NoName57(16) hat ein sogenanntes Bot-Netz etabliert – ein System aus vielen einzelnen Computern, die von den Hackern zentral kontrolliert werden, um beispielsweise massenhaft Anfragen an eine Webseite zu richten. Die Geräte, von denen die Bot-Netze ausgehen, stammen häufig von nichts ahnenden Nutzern, die durch Schadsoftware infiziert und ferngesteuert werden.

Manchmal stellen Menschen ihre Computer aber eben auch freiwillig zur Verfügung. NoName057(16) beispielsweise rekrutiert über Telegram Leute, die bereit sind, eine kleine Software auf ihrem Computer zu installieren. Manche bekommen dafür Geld, für manche ist es wohl nur Nervenkitzel. NoName057(16) greift so auf ein riesiges Netz von IP-Adressen zu. „DDoSia“ nennen sie dieses Projekt.

Am 14. Februar 2025, neun Tage vor der Attacke zur Bundestagswahl, wird auch die taz Opfer eines solchen durch DDoSia unterstützten Angriffs.

Es ist Freitag, der Tag der Münchner Sicherheitskonferenz. Der US-amerikanische Vizepräsident J. D. Vance erklärt an diesem Tag, Europa würde die Meinungsfreiheit beschneiden. Er empfiehlt Deutschland eine Koalition mit der AfD. Es ist der Tag, an dem endgültig klar wird, dass die transatlantischen Beziehungen in ihrer bisherigen Form Geschichte sind.

Viele wollen sich nicht äußern

Zur gleichen Zeit feuern Aktivisten aus dem NoName057(16)-Netzwerk dutzende Angriffe auf deutsche Webseiten ab. Sie preisen sich dafür später selbst. Wir finden eine genaue Auflistung an Webseiten, die an diesem Tag von DDoSia angegriffen werden sollen. Die Auswahl legt nahe, dass die Cyberangriffe Bezug zur Münchner Sicherheitskonferenz und dem Krieg in der Ukraine nehmen sollen.

Auf der Liste finden sich offizielle Seiten aus München und Bayern sowie die Webseite der Sicherheitskonferenz selbst. Auch Webseiten aus der Ukraine stehen darauf – und einige deutsche Medienwebseiten: darunter die Seiten der FAZ, des Handelsblatts, der Münchner Abendzeitung, des Neuen Deutschlands und der taz.

Die Abendzeitung sowie das Neue Deutschland bestätigen auf taz-Anfrage, dass es am 14. Februar, dem ersten Tag der Sicherheitskonferenz, eine Attacke gab. Beide Medienhäuser erklären, dass diese abgewehrt werden konnte. Das Handelsblatt will aus Sicherheitsgründen keine Angaben machen, die FAZ erklärt, das publizistische Angebot sei bisher durch Angriffsversuche nicht eingeschränkt gewesen.

Hört man sich bei weiteren Medienhäusern und öffentlich-rechtlichen Sendern um, so wollen viele aus Sicherheitsgründen nicht detailliert über Cyberangriffe sprechen. Auch in diesem Text können nicht alle Details dazu stehen, wie die taz den Angriff genau abgewehrt hat. Was aber aus den Gesprächen mit anderen Medien klar wird: Alle sehen die Presse zunehmend im Fokus von Cyberkriminellen, von Des­infor­ma­tions­kam­pagnen und Versuchen, die freie Berichterstattung zu unterdrücken.

Am Wahlsonntag aber wurden andere Medien wohl nicht angegriffen. Anders als die Angriffe im November 2024 und während der Sicherheitskonferenz war der Angriff am 23. Februar 2025 auf die taz wohl nicht Teil einer breit orchestrierten Aktion. Es scheint, als seien die Leute von Hano an diesem Tag dahin zurückgekommen, wo sie sich auskannten. Zurück zur taz.

24 Minuten nachdem an jenem Wahlsonntag die erste kritische Meldung in der taz aufploppt, leiten die Mitarbeiter der EDV die Anfragen, die auf die Server der taz zielen, um. Sie nutzen dafür den Service einer Firma, die sich darauf spezialisiert hat, Unternehmen im Fall einer DDoS-Attacke Schutz zu bieten. Aber das dauert.

Das liegt auch an einer Eigenheit der taz. Sie versucht, so viel Infrastruktur wie möglich unter eigener Kontrolle zu halten. Weltweit arbeiten viele andere Firmen dauerhaft mit US-amerikanischen Unternehmen zusammen, die Webseiten relativ zuverlässig vor DDoS-Angriffen schützen. Für die EDV-Abteilung der taz kommt das aus Gründen des Datenschutzes nicht infrage, weil sie befürchtet, dass solche Firmen mitlesen könnten, wer taz.de besucht und welche Daten und auch Passwörter verwendet werden.

Die Polizei ist ratlos

Um 16.50 Uhr am Wahlsonntag meldet das System, dass taz.de nun über die Infrastruktur der Schutzfirma läuft. Von außen ist taz.de da aber noch nicht wieder zu erreichen. Erst nach und nach bekommen die EDV-Spezialisten alle Angriffsarten und -wellen in den Griff.

Kurz vor den ersten Wahlprognosen um 18 Uhr ist taz.de wieder online. Es wird bis zum Abend dauern, bis die Webseite stabil läuft.

Welchen Schaden die taz von dem Angriff davongetragen hat, lässt sich schwer beziffern. Tagsüber wird die Webseite pro Stunde im Durchschnitt 50.000-mal aufgerufen. Die zuständige Ressortleitung schätzt daher, dass der taz an diesem Tag mehrere zehntausend Klicks und entsprechende Einnahmen aus dem freiwilligen Bezahlmodell „taz zahl ich“ verloren gegangen sind. Aber auch an den Folgetagen war der Angriff noch spürbar. Weil taz.de einmal offline war, verlieren auch die Suchmaschinen und Nachrichten-Aggregatoren die Website aus dem Blick. taz-Artikel verschwinden aus diesen Diensten und müssen später neuen Schwung gewinnen.

Am Tag nach dem Angriff erstattet die Geschäftsführung Anzeige bei der Polizei. Die landet in der Abteilung 7 des Landeskriminalamts, ZAC heißt sie, Zentrale Ansprechstelle Cybercrime. Nennenswerte Ergebnisse kann die Polizei nicht ermitteln. Das LKA hat den Fall mittlerweile geschlossen und der Staatsanwaltschaft Berlin übergeben. Deren Sprecher erklärt auf taz-Anfrage, dass es keine Anhaltspunkte gebe, um Tatverdächtige zu ermitteln. Selbst bei maximalem Ermittlungsaufwand könnten nur die IP-Adressen der Bots festgestellt werden. Die Staatsanwaltschaft hat die Ermittlungen daher Anfang April eingestellt.