Inhalt des Artikels:

  • Dresdner Verkehrsbetriebe trotzen Cyberattacke
  • Telegram als Kommandozentrale
  • Das Unterstützersystem hinter den Angriffen

Die prorussische Hackergruppe NoName057(16), gegen die Strafverfolgungsbehörden am Mittwoch international vorgegangen sind, war zuletzt auch in Sachsen-Anhalt und Sachsen aktiv. Nach Recherchen von MDR Aktuell waren neben dem Landesportal Sachsen-Anhalt auch die Dresdner Verkehrsbetriebe (DVB) von DDos-Angriffen der Gruppe betroffen.

Dresdner Verkehrsbetriebe trotzen Cyberattacke

Einem DVB-Sprecher zufolge begann der Angriff auf die DVB am 10. Juli um 10 Uhr und zog sich über mehrere Tage. Zwar intensivierten sich die Angriffe am 11. und 13. Juli, doch die Schutzmaßnahmen hätten gegriffen: Die Website sei durchgehend erreichbar gewesen, Kunden hätten nichts bemerkt.

Hackergruppe NoName057(16) legt Ministeriumsseiten lahm

Weniger glimpflich verlief der Angriff auf das Landesportal von Sachsen-Anhalt: Hier waren mehrere Internetseiten von Ministerien nicht erreichbar. Das Digitalministerium von Sachsen-Anhalt berichtete von einem anhaltenden Angriff durch NoName057(16). Inzwischen aber sei das Portal wieder "im Normalzustand, wird aber weiterhin von Cybersicherheitsexperten unseres Dienstleisters Dataport überwacht", teilte ein Sprecher MDR AKTUELL mit.

Manuel Atug, AG Kritis: Was ist ein DDos-Angriff?

DDos-Angriff funktionieren über sehr viele Serversysteme, die sehr groß ans Internet angebunden sind. Die 4.000-Beteiligten haben eine Software (..aus der Telegram-Gruppe heruntergeladen), über diese die Kontrolle des Rechners übergeben und gesagt, dann könnt ihr auch von meinem System aus Datenpakete verschicken. Also ganz viele Anfragen an eine Webseite, (..) so viele, dass sie quasi in die Knie geht.

Sind DDOS-Angriffe schwer umzusetzen?

Atug: Ein Botnetz aufzubauen ist keine große Kunst für diejenigen, die wissen, wie es geht. Das hat vor ein paar Jahren selbst ein Sechzehnjähriger aus Mittelhessen allein gemacht.

Kann man sich gegen DDOS-Angriffe schützen?

Atug: Es gibt sogenannte Anti-DDOS Anbieter, die versuchen, diese automatischen Abfragen, die das ganze überfluten, rauszufiltern und damit nur noch die legitimen Anfragen der Bevölkerung beispielsweise auf ein Landesportal zuzulassen.

Müssen die Täter fürchten, dass sie gefasst werden?

Atug: Die Wahrscheinlichkeit, dass man die Täter ergreift, ist relativ gering, aber man sendet das Signal, du bist jetzt auf einer internationalen Fahndungsliste und damit kannst du jetzt nirgendwo mehr einfach in Urlaub fliegen oder in ein anderes Land.

Sind andere Vorkehrungen möglich?

Atug: Man kann die Systeme auch so betreiben und absichern, dass sie nicht in die Knie gehen und neu installiert werden müssen. Sondern sobald dieser Angriff aufhört und die Leitung frei ist, dann funktioniert das System auch wieder. Dazu muss man eben Cybersicherheit und Grundfunktionen der Resilienz implementieren. Das ist keine Raketentechnik, aber oft genug haben wir es so, dass bei dem Staat und der Verwaltung die Systeme nicht angemessen betrieben werden.

Wird das neue Sicherheitsgesetz NIS2 die Behörden künftig in die Absicherungspflicht nehmen?

Atug: Die meisten Behörden und öffentlichen Einrichtungen haben (DDos-Angriffe) unzureichend adressiert, weil es keine rechtlichen Vorgaben gibt, dass man Cybersicherheit umsetzen muss. Auch eine neue EU-Richtlinie, die NIS 2, die dieses Jahr in Deutschland etabliert wird, klammert größtenteils öffentliche Einrichtungen und Behörden aus, auch Kommunen und Landkreise werden nicht adressiert. 

Telegram als Kommandozentrale

NoName057(16) bekannte sich unter anderem auf Telegram und X zu den Angriffen auf das Landesportal Sachsen-Anhalt und die DVB. Außerdem waren demnach weitere Verkehrsverbünde betroffen – darunter der MDV, Rhein-Sieg und Bremen – sowie das Bundesinnenministerium.

Die Gruppe gilt als äußerst aktiv und politisch motiviert. Laut dem digitalen Lagezentrum Complexium zählt ihr Telegram-Kanal rund 1.200 Abonnenten. Seit 2023 registrierte das Bundeskriminalamt (BKA) 14 Angriffswellen auf deutsche Ziele. Betroffen waren laut BKA rund 250 Einrichtungen, darunter auch kritische Infrastrukturen wie Energieversorger, Rüstungsunternehmen und Verkehrsbetriebe. Die Gruppe nutze vor allem sogenannte DDoS-Angriffe, bei denen Webseiten durch massenhafte Anfragen lahmgelegt werden sollen. Hinzu kämen Angriffe auch auf Einrichtungen in anderen EU-Ländern.

Das Unterstützersystem hinter den Angriffen

Die Hacktivisten hinter NoName057(16) gelten als prorussisch. Das US-Sicherheitsunternehmen Cybelangel beschreibt die Gruppe als politisch motiviert. In einem Manifest, auf das auch weitere Autoren rekurrieren, sollen sie ihre NATO-Feindseligkeit deutlich gemacht haben. Dem BKA zufolge positioniert sich das Kollektiv offen als Unterstützer Russlands. Es habe über Telegram Aktivisten rekrutiert, die ihre Ressourcen an den Angriffen beteiligen konnten. Dieses Unterstützernetzwerk umfasst nach Kenntnissen des BKA mehr als 4.000 Nutzer.

Die Gruppe tritt auch unter weiteren Namen auf wie NoName05716, 05716nnm oder Nnm05716 auf, berichteten Forscher der SentinelLabs. Das Kollektiv nutzt demnach Telegram für Angriffsbekenntnisse, um Ziele zu identifizieren, Drohungen auszusprechen und allgemein ihre Handlungen zu rechtfertigen.

Laut Bundesamt für Sicherheit und Information (BSI) führt sie insbesondere mit Botnetzen DDoSia und Killnet Überlastungsangriffe durch. Solche sogenannten DDos-Angriffe sind "seit Beginn des russischen Angriffskrieges eine von mehreren Methoden pro-russischer Hacktivisten", wie das BSI dem MDR mitteilte. "Die IT-Systeme deutscher Behörden, Institutionen und Organisationen sind seitdem regelmäßig Ziel von Cyberangriffen". Das Ziel: Webseiten oder andere Services zu stören.

Botnet ausgeschaltet

Eben ein solches Botnetz wurde jetzt laut BKA abgeschaltet. Es soll aus mehreren Hundert weltweit verteilten Servern bestanden haben und für gezielte digitale Überlastungsangriffe auf Webseiten eingesetzt worden sein, um diese lahmzulegen.

Haftungsausschluss: Das Urheberrecht dieses Artikels liegt bei seinem ursprünglichen Autor. Der Zweck dieses Artikels besteht in der erneuten Veröffentlichung zu ausschließlich Informationszwecken und stellt keine Anlageberatung dar. Sollten dennoch Verstöße vorliegen, nehmen Sie bitte umgehend Kontakt mit uns auf. Korrektur Oder wir werden Maßnahmen zur Löschung ergreifen. Danke