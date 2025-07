taz: Frau Zettl-Schabath, in Ungarn wurde der Hacker Hano festgenommen, der zahlreiche Medien angegriffen hat, darunter auch die taz. Erst vergangene Woche wurde das russische Hackerkollektiv NoName57(16) zerschlagen, das für einige der größten Cyberattacken in Deutschland verantwortlich ist. Ist das Zufall?

Kerstin Zettl-Schabath: In dem konkreten Fall kann ich es nicht sicher sagen. Aber wir beobachten seit 2022, dass die Strafverfolgungsbehörden in Europa immer erfolgreicher gegen Cyberkriminelle vorgehen. Die Zahl der Takedowns, also der Zerschlagung der technischen Infrastruktur dieser Kriminellen, ist sprunghaft angestiegen. Dahinter stehen oft große, international koordinierte Operationen der Strafverfolgungsbehörden mit Durchsuchungen und Festnahmen. Das ist natürlich auch PR: Die Operationen kriegen klangvolle Namen, werden über soziale Medien promotet. Das soll auch abschreckend wirken auf Cyberkriminelle.

Funktioniert die Abschreckung?

Zettl-Schabath: Wenn zentrale Personen festgenommen werden, steigt das Risiko für alle anderen. Das mag einige abschrecken. Aber generell nehmen politisch getriebene Hacker­angriffe seit dem russischen Angriffskrieg auf die Ukraine eher zu. Selbst wenn die Serverstruktur einer Gruppe zerschlagen ist, lässt sie sich innerhalb weniger Monate wieder aufbauen.

Im Interview: Kerstin Zettl-Schabath Analystin bei der Deutschen Cyber-Sicherheitsorganisation (DCSO), hat zuvor an der Uni Heidelberg am European Repository of Cyber Incidents gearbeitet

Die Strafverfolgung bringt also nichts?

Zettl-Schabath: Das würde ich nicht sagen. Gerade der psychologische Effekt dieser großen Operationen ist wichtig. Damit signalisiert man der einheimischen Bevölkerung, dass wir wehrhaft sind und den Kriminellen, dass der Cyberspace kein rechtsfreier Raum ist.

Hano und auch NoName57(16) haben mehrmals die taz und andere Medien angegriffen. Wieso suchen sich Hacker Medien als Ziele?

Zettl-Schabath: Dahinter steht sicherlich eine ideologische Motivation. Die Gruppe NoName57(16) beispielsweise hat gezielt während geopolitischer Events Websites und Medien attackiert, etwa während der Münchner Sicherheitskonferenz. Das schafft maximale Aufmerksamkeit. Dazu kommt, dass die meisten Medien nicht dafür bekannt sind, dass sie die schärfsten Sicherheitsmaßnahmen haben. Sie sind leichte Ziele und diese Angriffe mittlerweile fast ein Kinderspiel.

Wie meinen sie das?

Zettl-Schabath: Die Art der Angriffe, mit denen Hano und auch NoName57(16) die taz und andere Unternehmen überzogen haben, sind einfache Überlastungsangriffe, sogenannte DDoS-Attacken. Es hat sich im Internet eine ganze Industrie gebildet, bei der man das Werkzeug für solche Attacken kostengünstig einkaufen kann. Selbst sie und ich könnten damit Attacken durchführen und mit ein bisschen Glück komplette Websites lahmlegen.

Welche Schäden richten solche Cyberattacken an?

Zettl-Schabath: Das lässt sich nicht beziffern. Der finanzielle Schaden ist aber bei DDoS aus meiner Sicht auch nicht das Hauptproblem, sondern eher der potenzielle psychologische sowie Reputationsschaden. Wenn internationale Hackerkollektive wie zuletzt auch Anbieter kritischer Infrastruktur in den Fokus nehmen, wie Stromversorger, Krankenhäuser, Verkehrsbetriebe, Behörden, kann dies vor allem Verunsicherung schüren. Finanziell viel schwerwiegender sind andere Angriffsformen, etwa Ransomware-Angriffe, mit denen Unternehmen um Geld erpresst werden und die oftmals längerfristige disruptive Effekte haben. Oder Angriffe, die mit Cyberspionage einhergehen. Aber auch diese Schäden lassen sich kaum seriös beziffern.

Wie können sich Unternehmen gegen DDoS-Attacken schützen?

Zettl-Schabath: Für die Abwehr schwerwiegender DDoS-Angriffe gibt es mittlerweile spezialisierte Anbieter, die Schutzmaßnahmen anbieten. Oftmals kostengünstigere Präventionsmaßnahmen sind dagegen die Identifizierung von bedrohten Zielen, d.h. Teilen der Infrastruktur, deren Störung Auswirkungen auf möglichst viele NutzerInnen hätte und für die technische Präventionsmaßnahmen priorisiert werden sollten (z.B. Netzwerksegmentierung). Wichtig ist zudem das Bereithalten von Notfallplänen und Prozessen für den Fall einer kurzzeitigen Funktionsstörung.