Inhalt
Die pro-russische Hackergruppe NoName057(16) sorgt erneut für Schlagzeilen. Zwischen Ende Juli und Anfang August 2025 wurden die öffentlichen Webseiten mehrerer deutscher Städte, darunter Trier, Mainz, Ludwigshafen und Koblenz, Ziel koordinierter DDoS-Attacken. Diese Vorfälle verdeutlichen die zunehmende Bedrohung durch politisch motivierte Cyberangriffe im Rahmen hybrider Kriegsführung für Staaten und Kommunen.
Internationale Ermittler schlagen gegen NoName057(16) zu
Mit nur einem Klick kann eine ganze Infrastruktur lahmgelegt werden. Zwischen dem 14. und 17. Juli 2025 gingen internationale Ermittler gegen das pro-russische Cybercrime-Netzwerk NoName057(16) vor, dass sich auf DDoS-Angriffe spezialisiert hat. Unter dem Codenamen „Operation Eastwood” koordinierte Europol einen internationalen Schlag, an dem Behörden aus über einem Dutzend Ländern, darunter Deutschland, Frankreich, die USA und die Niederlande, beteiligt waren. Die Aktion wurde zudem von der ENISA und privaten Partnern unterstützt.
Das Ziel war es, die zentrale Serverstruktur von NoName057(16) offline zu nehmen, Hunderte Unterstützer zu warnen und die Hintermänner international zur Verantwortung zu ziehen. Die Ermittler stießen auf ein Netzwerk, das ideologisch motiviert, aber technisch relativ simpel agiert und geschickt Gamification und Kryptowährungen nutzt, um Freiwillige zu rekrutieren. Die Angriffe richten sich gezielt gegen Länder, die die Ukraine im Krieg gegen Russland unterstützen. Sie zeigen, wie politische Konflikte zunehmend in die digitale Welt verlagert werden.
„Operation Eastwood” war zwar ein herber Schlag gegen die Hackergruppe, doch schon kurze Zeit später meldete sich NoName057(16) wieder zurück.
Rückkehr der Angriffe: Trier und weitere Städte betroffen
Erste neue Angriffe wurden ab dem 29. Juli 2025 und verstärkt in der ersten Augustwoche dokumentiert. Die Cyberangriffe betrafen unter anderem mehrere Webseiten von Städten und Landkreisen in Sachsen-Anhalt und Thüringen, darunter Magdeburg und Erfurt.
Anfang August traf es dann neben Trier auch Mainz, Ludwigshafen und Koblenz. Laut LKA waren lediglich die öffentlichen Internetseiten betroffen, die Telefon- und E-Mail-Kommunikation der Stadtverwaltung blieb voll funktionsfähig. Die finanziellen Schäden fielen gering aus, das primäre Ziel war die temporäre Überlastung und Störung der Server.
NoName057(16): Digitale Partisanen im hybriden Krieg
NoName057(16) ist nicht nur eine Gruppe von Hackern, sondern agiert als digitale paramilitärische Organisation im hybriden Krieg. Ihre Aktionen verdeutlichen, wie sehr Cyberangriffe inzwischen Teil geopolitischer Auseinandersetzungen geworden sind – oft unterhalb der Schwelle konventioneller Kriegsführung.
Für Staaten, Unternehmen und Organisationen in NATO-Ländern bedeutet das: die Bedrohung durch ideologisch motivierte Cyberangriffe ist real und erfordert langfristige, kontinuierliche Wachsamkeit, strategische Planung und technische Abwehrmaßnahmen.
Das digitale Echo des Krieges
Nur wenige Tage nach dem großflächigen Einmarsch Russlands in die Ukraine im März 2022 wurde das pro-russische Hacktivisten-Netzwerk NoName057(16) aktiv. Die politisch motivierte Gruppierung hat sich seitdem auf groß angelegte DDoS-Angriffe spezialisiert, die gezielt gegen staatliche und öffentliche Institutionen in Ländern gerichtet sind, die Russland ablehnen. Laut der Insikt Group verzeichnete die Gruppe zwischen Juli 2024 und Juli 2025 über 3.700 einzelne Angriffsziele, wobei die Ukraine am stärksten betroffen war, gefolgt von Frankreich, Italien und Schweden.
Im Kern operiert NoName057(16) ideologisch motiviert und nicht aus finanziellen Gründen. Das Netzwerk nutzt das eigens entwickelte DDoS-Tool „DDoSia“, dass es auch technisch unerfahrenen Freiwilligen ermöglicht, Angriffe auszuführen. Über Telegram-Kanäle rekrutiert die Gruppe Helfer, verteilt Angriffsziele und belohnt aktive Teilnehmer mit Kryptowährungen – ein System, das politische Loyalität und Gamification kombiniert.
Erfahren Sie mehr über eine DSGVO-konforme, cloud-basierte und patentierte DDoS Protection, die hält, was sie verspricht.
Technische Struktur und Vorgehensweise
Die Infrastruktur von NoName057(16) ist bemerkenswert strukturiert. Tier-1-Server, die nur kurze Zeit aktiv sind, kommunizieren ausschließlich mit gesicherten Tier-2-Servern. Dadurch bleibt die Kontrolle über die Angriffe stabil. Eine Analyse der Aktivitäten legt nahe, dass die Betreiber nach russischer Zeitzone arbeiten und neue Ziele in zwei täglichen Wellen einpflegen. Dadurch wirken die Attacken planbar und koordiniert.
Die Ziele der Angriffe sind klar: Störung kritischer staatlicher Dienste, Erregen öffentlicher Aufmerksamkeit für russlandfreundliche Narrative und Vergeltung für politische Maßnahmen gegen Russland. Beispiele dafür sind Angriffe auf litauische Infrastruktur nach EU-Sanktionen, auf dänische Finanzinstitute wegen Unterstützung der Ukraine oder auf italienische Webseiten nach „russophoben” Äußerungen des Staatspräsidenten.
Sisyphusarbeit im digitalen Raum
Der Kampf gegen politisch motivierte und pro-russische Hackergruppen wie „NoName057(16)” gleicht einer modernen Sisyphusarbeit: Mit nur einem Klick kann eine ganze Infrastruktur lahmgelegt werden und jeder Schlag gegen die Täter wird schnell durch neue Angriffe beantwortet.
Zwar hat „Operation Eastwood” gezeigt, dass internationale Ermittler effektiv zusammenarbeiten können, um zentrale Strukturen lahmzulegen und Hintermänner zu verfolgen, doch die Wiederkehr von NoName057(16) wenige Wochen später verdeutlicht die dauerhafte Bedrohung.
Für Staaten, Kommunen und Unternehmen bedeutet dies: Cyberabwehr ist kein einmaliges Unterfangen. Stattdessen braucht es einen kontinuierlichen und strategischer Ansatz, um in einem digitalen Krieg handlungsfähig zu bleiben.
Share this post
