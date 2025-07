BERLIN taz | Deutschen Ermittlern ist offenbar ein Schlag gegen eine relevante russische Hackergruppe gelungen. Wie das Bundeskriminalamt erklärte, wurden am Dienstag sechs Haftbefehle gegen Hintermänner der Gruppierung „NoName057(16)“ erlassen, darunter gegen zwei Hauptverantwortliche. Bei allen handele es sich entweder um russische Staatsbürger oder sie seien in Russland wohnhaft. Gegen sie wird international gefahndet. Zudem seien 24 Objekte von mutmaßlichen Unterstützern durchsucht worden, darunter in Bayern und Berlin.

Die Ermittlungen laufen wegen des Verdachts der „Bildung einer kriminellen Vereinigung im Ausland zum Zwecke der Computersabotage“. An der Polizeimaßnahme waren neben der Zentralstelle zur Bekämpfung der Internetkriminalität der Generalstaatsanwaltschaft Frankfurt am Main auch Strafverfolgungsbehörden aus den USA, den Niederlanden, der Schweiz und weiterer EU-Länder sowie Europol beteiligt.

Im Zuge der international koordinierten Aktion sei auch ein sogenanntes Botnetz abgeschaltet worden, das aus mehreren Hundert weltweit verteilten Servern bestanden habe. Es sei für gezielte Überlastungsangriffe auf Websites genutzt worden, also für sogenannte „DDoS“-Angriffe.

Pro-Russische Hacker attackieren kritische Infrastruktur

Als Botnetze gelten Netzwerke, bei denen unter anderem die Rechner von Privatpersonen – freiwillig oder unfreiwillig – für gemeinsame Attacken genutzt werden. Für Überlastungsangriffe auf Webseiten beispielsweise greifen diese Computer dann tausendfach gleichzeitig darauf zu, um die Internetpräsenz zu überlasten und lahmzulegen.

Die Hackergruppe, die unter dem kryptischen Namen „NoName057(16)“ bekannt ist, hatte solche „DDoS“-Angriffe vor allem als Unterstützung des russischen Angriffskriegs gegen die Ukraine unternommen. Laut BKA handele es sich um ein „ideologisch geprägtes Kollektiv“, deren Aktionen darauf abzielten, „das gesamtgesellschaftliche und politische Gefüge der Bundesrepublik nachhaltig zu stören oder zu beeinflussen“.

Seit Beginn der Ermittlungen im November 2023 sei Deutschland Ziel von insgesamt 14 Angriffswellen gewesen, die teilweise über mehrere Tage andauerten und insgesamt 250 Firmen und Einrichtungen betrafen, darunter Unternehmen der Kritischen Infrastruktur wie Rüstungsbetriebe, Stromversorger und Verkehrsbetriebe, aber auch öffentliche Einrichtungen und Behörden.

Hackergruppe zielte auch auf die taz

Auch die taz wurde bereits zum Ziel der Angriffe durch die Hackergruppe: einmal am 25. November 2024 sowie am 14. Februar 2025, am Tag der Münchner Sicherheitskonferenz. „NoName057(16)“ hatte am gleichen Tag auch dazu aufgerufen, neben der taz die Webseiten der FAZ, des Handelsblatts, der Münchner Abendzeitung und des Neuen Deutschlands zu attackieren.

„Noname057(16)“ nutzte für seine Angriffe ein eigenes Botnetz aus mehreren Hundert Servern und hatte daneben ein Netzwerk aus Unterstützer*innen. Dieses umfasst nach Einschätzung der Strafverfolgungsbehörden mutmaßlich mehr als 4.000 Nutzer*innen. Ihnen wurde eine spezielle Software namens „DDoSia“ zur Verfügung gestellt, mit der sie sich dann mit ihren eigenen Computern an den Angriffen beteiligen konnten.

Laut der Politikwissenschaftlerin Kerstin Zettl-Schabath, die sich an der Universität Heidelberg seit Jahren mit Cyberkonflikten beschäftigt, sei die Gruppe „Noname057(16)“ kurz nach Beginn des russischen Angriffskriegs auf die Ukraine im März 2022 um ersten Mal in Erscheinung getreten. Die Gruppe habe sich seitdem immer wieder zu groß angelegten DDoS-Attacken auf Länder und Ins­ti­tu­tio­nen bekannt, die die Ukrai­ne unterstützen. „Ob sie Verbindungen zum russischen Geheimdienst hat, ist unklar, zumindest von einer aktiven Duldung kann aber ausgegangen werden“, sagte Zettl-Schabath im April zur taz.

Die taz hatte im April offengelegt, dass sie selbst – so wie auch andere Zeitungshäuser, Sender und Verlage, regelmäßig Ziel von Cyberangriffen wird. Eine dieser Attacken traf die taz am Tag der Bundestagswahl am 23. Februar 2025 und legte die Webseite für rund zwei Stunden lahm. In einer Recherche konnte die taz die Spuren der Angreifer nachverfolgen. Zumindest für den Tag der Bundestagswahl führten diese nicht zu „Noname057(16)“ oder nach Russland, sondern zu einem oder mehreren Hackern, die vor allem in Ungarn gegen kritische Medien aktiv sind.