taz.de -- Verhaftung nach Cyberangriff auf die taz: „Medien sind leichte Ziele“

Expertin für Cybersicherheit Kerstin Zettl-Schabath über internationale Hackergruppen, ihre Strategien – und ihre Verbindungen zu autoritären Regimen.
Bild: Im Dunkeln tippen: Hacker lassen sich schwer erwischen

taz: Frau Zettl-Schabath, [1][in Ungarn wurde der Hacker Hano festgenommen], der zahlreiche Medien angegriffen hat, darunter auch die taz. Erst vergangene Woche wurde das russische Hackerkollektiv NoName57(16) zerschlagen, das für einige der größten Cyberattacken in Deutschland verantwortlich ist. Ist das Zufall?

Kerstin Zettl-Schabath: In dem konkreten Fall kann ich es nicht sicher sagen. Aber wir beobachten seit 2022, dass die Strafverfolgungsbehörden in Europa immer erfolgreicher gegen Cyberkriminelle vorgehen. Die Zahl der Takedowns, also der Zerschlagung der technischen Infrastruktur dieser Kriminellen, ist sprunghaft angestiegen. Dahinter stehen oft große, international koordinierte Operationen der Strafverfolgungsbehörden mit Durchsuchungen und Festnahmen. Das ist natürlich auch PR: Die Operationen kriegen klangvolle Namen, werden über soziale Medien promotet. Das soll auch abschreckend wirken auf Cyberkriminelle.

Funktioniert die Abschreckung?

Zettl-Schabath: Wenn zentrale Personen festgenommen werden, steigt das Risiko für alle anderen. Das mag einige abschrecken. Aber generell nehmen politisch getriebene Hackerangriffe seit dem russischen Angriffskrieg auf die Ukraine eher zu. Selbst wenn die Serverstruktur einer Gruppe zerschlagen ist, lässt sie sich innerhalb weniger Monate wieder aufbauen.

Die Strafverfolgung bringt also nichts?

Zettl-Schabath: Das würde ich nicht sagen. Gerade der psychologische Effekt dieser großen Operationen ist wichtig. Damit signalisiert man der einheimischen Bevölkerung, dass wir wehrhaft sind, und den Kriminellen, dass der Cyberspace kein rechtsfreier Raum ist.

Hano und [2][auch NoName57(16)] haben mehrmals die taz und andere Medien angegriffen. Wieso suchen sich Hacker Medien als Ziele?

Zettl-Schabath: Dahinter steht sicherlich eine ideologische Motivation. Die Gruppe NoName57(16) beispielsweise hat gezielt während geopolitischer Events Websites und Medien attackiert, etwa während der Münchner Sicherheitskonferenz. Das schafft maximale Aufmerksamkeit. Dazu kommt, dass die meisten Medien nicht dafür bekannt sind, dass sie die schärfsten Sicherheitsmaßnahmen haben. Sie sind leichte Ziele und diese Angriffe mittlerweile fast ein Kinderspiel.

Wie meinen sie das?

Zettl-Schabath: Die Art der Angriffe, mit denen Hano und auch NoName57(16) die taz und andere Unternehmen überzogen haben, sind einfache Überlastungsangriffe, sogenannte DDoS-Attacken. Es hat sich im Internet eine ganze Industrie gebildet, bei der man das Werkzeug für solche Attacken kostengünstig einkaufen kann. Selbst Sie und ich könnten damit Attacken durchführen und mit ein bisschen Glück komplette Websites lahmlegen.

Welche Schäden richten solche Cyberattacken an?

Zettl-Schabath: Das lässt sich nicht beziffern. Der finanzielle Schaden ist aber bei DDoS aus meiner Sicht auch nicht das Hauptproblem, sondern eher der potenzielle psychologische sowie Reputationsschaden. Wenn internationale Hackerkollektive wie zuletzt auch Anbieter kritischer Infrastruktur in den Fokus nehmen, wie Stromversorger, Krankenhäuser, Verkehrsbetriebe, Behörden, kann dies vor allem Verunsicherung schüren. Finanziell viel schwerwiegender sind andere Angriffsformen, etwa Ransomware-Angriffe, mit denen Unternehmen um Geld erpresst werden und die oftmals längerfristige disruptive Effekte haben. Oder Angriffe, die mit Cyberspionage einhergehen. Aber auch diese Schäden lassen sich kaum seriös beziffern.

Wie können sich Unternehmen gegen DDoS-Attacken schützen?

Zettl-Schabath: Für die Abwehr schwerwiegender DDoS-Angriffe gibt es mittlerweile spezialisierte Anbieter, die Schutzmaßnahmen anbieten. Oftmals kostengünstigere Präventionsmaßnahmen sind dagegen die Identifizierung von bedrohten Zielen, d.h. Teilen der Infrastruktur, deren Störung Auswirkungen auf möglichst viele NutzerInnen hätte und für die technische Präventionsmaßnahmen priorisiert werden sollten (z.B. Netzwerksegmentierung). Wichtig ist zudem das Bereithalten von Notfallplänen und Prozessen für den Fall einer kurzzeitigen Funktionsstörung.

22 Jul 2025

LINKS

[1] /Festnahme-nach-Cyberangriff-auf-die-taz/!6102366
[2] /Polizeiaktion-gegen-Cyberkriminelle/!6098264

AUTOREN

Anne Fromm

TAGS

Cyberattacke
taz
Ungarn
Journalismus
Internet
Hackerangriff
Social-Auswahl
Cybersicherheit
Longread
Schwerpunkt Decoding the Disinformation Playbook
Schwerpunkt Decoding the Disinformation Playbook

ARTIKEL ZUM THEMA

Lagebericht zur Cybersicherheit: Bedrohung durch Hacker bleibt hoch

Während Angriffe durch Kriminelle zurückgehen, steigt die Gefahr durch staatliche Gruppen. Was die Bundesregierung dagegen tun will, bleibt unklar.

Angriff auf die taz: Gezielt getroffen

Am Tag der Bundestagswahl legt ein Cyberangriff taz.de lahm. Es ist nicht der erste dieser Art. Warum das kein Zufall ist.

Hacker mit Spuren nach Ungarn: Cyber-Attacke gegen Presse-Institut

Das International Press Institute in Wien wird von Hackern attackiert. Es sieht einen Bezug zu ähnlichen Angriffen auf unabhängige Medien in Ungarn.

Angegriffene Pressefreiheit in Ungarn: Kämpfer an Orbáns Medienfront

Eine österreichische Journalistin wird tagelang in Ungarns TV-Nachrichten diffamiert. Orbán-treue Medien sehen sich als Teil eines rechten Kulturkampfes.