Festnahme nach Cyberangriff auf die taz: Ungarischer Hacker „HANO“ gefasst

BERLIN taz | Er nannte sich selbst „Hano“ und hatte es offenbar vor allem auf kritische Medien abgesehen: Die ungarische Polizei hat einen Hacker gefasst, der zahlreiche Medienwebseiten in Ungarn und Europa angegriffen haben soll, darunter auch die der taz.

Ausgerechnet am Tag der Bundestagswahl, am 23. Februar 2025, war die Webseite der taz von einer massiven Cyberattacke lahmgelegt worden. Für mehrere Stunden war sie nicht zu erreichen. Recherchen der taz legten im April offen, dass der Angriff vermutlich aus Ungarn kam und von einer Person namens „Hano“ gesteuert worden waren. Jener „Hano“ wurde nun offenbar in Ungarn festgenommen.

Es soll sich laut ungarischer Polizei um einen 23-jährigen Mann aus Budapest handeln. Bereits am 9. Juli sei sein Haus durchsucht und mehrere IT-Geräte beschlagnahmt worden. Darauf sollen „eindeutige Beweise für die Begehung der Straftaten“ gefunden worden sein, wie die Polizei erklärte. Die Ermittlungen hätten ergeben, dass der Angreifer gezielt und nach einem vorab ausgearbeiteten Plan vorgegangen sei. Der Verdächtige wurde festgenommen, ist aber nun wieder auf freiem Fuß.

Seit April 2023 hatte Hano vornehmlich die Websites regierungskritischer Medien in Ungarn attackiert, darunter die Portale HVG, 444, 24.hu, Telex und Media1.hu. Auch das International Press Institute (IPI) mit Sitz in Wien wurde Opfer eines Angriffs. Nach Informationen der taz hatte der Hacker seine Angriffe teilweise bis ins Jahr 2025 fortgesetzt. Das unabhängige Online-Medienhaus Media1.hu musste seine Webserver wegen der Angriffe ins Ausland verlegen und erklärte, der Schaden gehe in die Tausende.

Teilweise massiven Schaden angerichtet

Daniel Szalay, Gründer und Chefredakteur von Media1, sagte der taz: „Hano hat uns einen erheblichen materiellen und immateriellen Schaden zugefügt, daher werden wir die Angelegenheit nicht ruhen lassen. Sobald wir die genauen Einzelheiten kennen, werden wir prüfen, ob es sich lohnt, zivilrechtlich gegen Hano vorzugehen.“ Auch die taz erwägt, den mutmaßlichen Täter wegen Schadenersatz zu verklagen.

Bei den Cyberangriffen von Hano handelte es sich um sogenannte DDoS-Attacken, also Überlastungsangriffe. Websites werden dabei mit tausenden Anfragen überflutet, bis die Server aufgeben und reguläre Nut­ze­r*in­nen nicht mehr zugreifen können. Oftmals werden dafür sogenannten „Botnetze“ genutzt. Als Botnetze gelten Netzwerke, bei denen unter anderem die Rechner von Privatpersonen – freiwillig oder unfreiwillig – für gemeinsame Attacken zentral gesteuert werden.

Auch Hano nutzte offenbar solche Botnetze. Bei seinen Angriffen hinterließ er teilweise persönliche Nachrichten, die darauf schließen ließen, dass er sich gut in der ungarischen Medienlandschaft auskennt – aber auch darauf, dass er politische Motive verfolgte. Laut Media1-Chefredakteur Szalay erfolgten die Angriffe immer dann, wenn sein Portal über besonders peinliche Skandale der Orbán-Regierung berichtet habe. „Zum jetzigen Zeitpunkt können wir nicht mit Sicherheit sagen, ob der Angreifer Verbindungen zu regierungsnahen Gruppen oder ähnlichen Organisationen hatte – oder ob er einfach ein fanatischer Anhänger der Regierung war“, sagte Szalay der taz.

Scott Griffen, Geschäftsführer des International Press Institute, forderte die Behörden auf, das Motiv hinter diesen Angriffen eindeutig zu identifizieren. Es müsse umfassend und transparent untersucht werden, ob externe Koordinierung oder Finanzierung bei diesen gezielten Angriffen auf unabhängige Medien und die Zivilgesellschaft eine Rolle gespielt haben.

Der Hacker schien mit seinen Attacken zudem auf Berichte über seine eigenen Aktivitäten zu reagieren. So wurde im August 2023 der Internetauftritt des International Press Institute (IPI) von Hano lahmgelegt, nachdem dieses einen längeren Artikel über die Hackerangriffe in Ungarn veröffentlicht hatte. Das IPI brauchte drei Tage, bis seine Webseite wieder online gehen konnte.

Die taz wiederum berichtete am 13. September 2023 darüber – und erlitt genau eine Woche später, am 20. September 2023, ebenfalls eine Überlastungsattacke. Dafür, dass diese auf Hano zurückzuführen ist, gab es später keine Hinweise mehr, aber sie steht im zeitlichen Zusammenhang zu der Berichterstattung.

Angriff am Tag der Bundestagswahl

Über ein Jahr später, am Tag der Bundestagswahl am 23. Februar 2025, wurde die taz dann erneut Ziel eines Cyberangriffs. Für jenen Tag gibt es klare Hinweise, dass Hano dahinter steckte. In den Protokollen der Server fand sich etwa die Aussage: „HanoHatesU“, zu Deutsch: „Hano hasst euch“.

Die Webseite der taz war an diesem Tag für über zwei Stunden nicht zu erreichen – kurz vor den ersten Prognosen zur Bundestagswahl. Der Ausfall an dem politisch wichtigen Tag richtete ideellen wie monetären Schaden an. Le­se­r*in­nen konnten in der Zeit nicht für das freiwillige Bezahlmodell „taz zahl ich“ spenden, nichts im taz shop bestellen und kein Abo abschließen. Einnahmen aus Werbeanzeigen blieben aus.

Die Staatsanwaltschaft Berlin erklärte am Dienstag, man werde die Ermittlungen zu dem Cyberangriff auf die taz nun wieder aufnehmen. Anfang April waren diese zunächst eingestellt worden. Ein Sprecher der Staatsanwaltschaft erklärte damals auf taz-Anfrage, dass es keine Anhaltspunkte gebe, um Tatverdächtige zu ermitteln. Selbst bei maximalem Ermittlungsaufwand könnten nur die IP-Adressen der Bots festgestellt werden, also jener Computer, die stellvertretend von dem Hacker für die Angriffe genutzt wurden.

Demgegenüber hatte die ungarische Polizei nun offenbar Erfolg mit ihren Ermittlungen. Identifiziert worden sei Hano anhand digitaler Spuren und seiner Fake-Profile durch die „Abteilung für Cyberkriminalität des Nationalen Ermittlungsbüros“, heißt es in einer Mitteilung. Durch Analyse der Zugriffsprotokolle und des Netzwerkverkehrs habe festgestellt werden können, dass der Täter sogenannte „DDoS-Dienste“ in Anspruch genommen und verschiedene Online-Tools verwendet habe.

Cyberangriff als Serviceleistung

Hackergruppen bieten die Infrastruktur für solche Überlastungsangriffe teilweise als kaufbaren Service anonym im Darknet an. Bestehende Botnetze können für Angriffe „gemietet“ werden. Je nach Art und Dauer eines gewünschten Angriffs gehen die Angebote laut Bundeskriminalamt dabei bereits ab 80 Euro los.

Nach Informationen der taz kamen entscheidende Hinweise auf Hano von den betroffenen Medien selbst. Media1-Chefredakteur Szalay erklärte der taz, zusammen mit Kol­le­g*in­nen habe er dem Angreifer eine Falle gestellt. „So konnten wir feststellen, welchen ungarischen Internetdienstanbieter die Person nutzte, und ihre IP-Adresse ermitteln.“ Die Information hätte er sofort der Polizei weitergeleitet. „Danach verging eine lange Zeit, ohne dass etwas geschah.“

Die ungarische Polizei erklärte, dass aufgrund der internationalen Dimension des Falls auch die österreichischen Behörden eingeschaltet worden seien. Dazu, ob es auch eine Kooperation mit deutschen Behörden gab, erhielt die taz zunächst weder aus Deutschland noch aus Ungarn eine Antwort.

Erst in der vergangenen Woche war ein Schlag deutscher und internationaler Ermittler gegen eine russische Hackergruppe bekannt geworden, die ebenfalls schon mehrfach die taz mit DDoS-Angriffen überzogen hatte. Am Dienstag vor einer Woche waren dabei sechs Haftbefehle gegen Hinterleute der Gruppierung „NoName057(16)“ erlassen worden, wie das Bundeskriminalamt erklärte. Bei allen handele es sich entweder um russische Staatsbürger oder sie seien in Russland wohnhaft. Zudem seien 24 Objekte von mutmaßlichen Unterstützern durchsucht worden, darunter in Bayern und Berlin.

Hacker als Unterstützung für Angriffskrieg

Im Zuge der international koordinierten Aktion sei auch ein sogenanntes Botnetz abgeschaltet worden, das für „DDoS“-Angriffe genutzt worden sei. Die Hackergruppe „NoName057(16)“ hatte solche „DDoS“-Angriffe vor allem als Unterstützung des russischen Angriffskriegs gegen die Ukraine unternommen. Sie richteten sich vor allem gegen Unternehmen der Kritischen Infrastruktur wie Rüstungsbetriebe, Stromversorger und Verkehrsbetriebe, aber auch gegen öffentliche Einrichtungen und Behörden.

Die taz wurde am 25. November 2024 sowie am 14. Februar 2025, dem Tag der Münchner Sicherheitskonferenz, Ziel eines Angriffs der Gruppe. Neben der taz hatte „NoName057(16)“ auch dazu aufgerufen die Webseiten der FAZ, des Handelsblatts, der Münchner Abendzeitung und des Neuen Deutschlands zu attackieren. Viele deutsche Medien sehen die Presse zunehmend im Fokus von Cyberkriminellen. Zu den Angriffen zählen Des­infor­ma­tions­kam­pagnen bis hin zu Versuchen, die freie Berichterstattung zu unterdrücken. Über Cyberangriffe wird allerdings aus Sicherheitsgründen selten offen gesprochen.

Ob die Festnahme von Hano in Budapest mit den internationalen Ermittlungen gegen „Noname057(16)“ zusammenhängt, und die Hacker womöglich kooperierten, blieb bislang unklar. Anfrage dazu wurden von deutschen und ungarischen Behörden zunächst nicht beantwortet.