Ein prorussisches Hackerkollektiv namens NoName057(16) ist offenbar für den Cyber-Angriff verantwortlich, der einen Tag vor Beginn der Münchner Sicherheitskonferenz die Webseiten mehrerer Behörden in Bayern lahmlegte. Das zeigen Recherchen des Bayerischen Rundfunks. Demnach hat sich die Gruppe auf dem Messengerdienst Telegram zu den Angriffen bekannt. Auch das ermittelnde Bayerische Landeskriminalamt bestätigte dem BR, der Verdacht gegen die Gruppe erhärte sich.
Angreifer überlasten Webseiten
Bei der Cyber-Attacke handelte es sich um eine sogenannte Distributed-Denial-of-Service-Attacke (DDoS), bei der Angreifer mit vielen Verbindungsversuchen die Server bestimmter Webseiten überlasten. Nutzer, die die Webseite besuchen wollen, bekommen dann eine Fehlermeldung angezeigt. In einer ersten Stellungnahme hatte das Landesamt für Sicherheit in der Informationstechnik (LSI) bereits vergangene Woche von "prorusisschem Hacktivismus" als Hintergrund der Attacken gesprochen.
Auch Bundesfinanzhof und weitere Behörden betroffen
Wie der BR exklusiv berichtete, waren bei den Angriffen am Donnerstag vergangener Woche mehrere Webseiten der Bayerischen Staatsregierung vorübergehend nicht erreichbar, darunter die Seite des Digitalministeriums und die von der Staatskanzlei verantwortete Seite bayern.de, auf der sich Bürger über die Arbeit der Bayerischen Regierung informieren können.
Neue Recherchen zeigen jetzt, dass mit dem Bundesfinanzhof auch eine Bundesbehörde mit Sitz in München von dem Angriff betroffen war. Donnerstags werden auf dessen Webseite die neuen Entscheidungen des Bundesfinanzhofs veröffentlicht. Ausgerechnet an diesem Tag war die Webseite mehrere Stunden nicht erreichbar. Nach BR-Informationen sind das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundeskriminalamt (BKA) mit dem Fall betraut.
Nahezu zeitgleich wurden nach BR-Informationen auch weitere Behörden und Institutionen mit Sitz in und um München angegriffen, darunter der Bezirk Oberbayern, die Städte Garching und Unterschleißheim, sowie der Landkreis München. In allen Fällen waren die Webseiten zeitweise nicht erreichbar, teils über viele Stunden. Auch die Webseite der Börse München, ein Privatunternehmen, war am selben Tag aufgrund des Angriffs nur eingeschränkt erreichbar. Allerdings seien Kursinformationen und der Börsenbetrieb selbst nicht beeinträchtigt worden, teilte das Unternehmen mit.
Hackergruppe stellt Bezug zu Sicherheitskonferenz her
Der BR konnte mehrere Telegram-Kanäle einsehen, in denen die Gruppe offenbar ihre Angriffe organisiert und dokumentiert. Dort rufen die Hacktivisten Nutzer außerdem dazu auf, sie bei den DDoS-Attacken zu unterstützen. Man müsse kein Hacker sein, es reiche aus, ein Computerprogramm zu installieren, um gemeinsam Webseiten zu überlasten, heißt es auf Telegram. Im Gegenzug könnten Nutzer Auszahlungen in einer digitalen Währung erhalten.
Die Angriffe der Gruppe richten sich insbesondere gegen Einrichtungen und Behörden in Ländern, die die Ukraine im russischen Angriffskrieg unterstützen. In einem Statement, das auch auf der Plattform X geteilt wurde, stellte die Gruppe die Angriffe von vergangener Woche in den Kontext der Münchner Sicherheitskonferenz und deutscher Waffenlieferungen an die Ukraine und kündigte weitere Angriffe auf lokale Infrastruktur-Webseiten in Deutschland an.
Mehrere Kanäle der Gruppe auf Telegram sind inzwischen nicht mehr erreichbar. Ob dies auf die Strafverfolgungsbehörden zurückzuführen ist, ist unklar. Das LKA Bayern, das BKA und das BSI ließen entsprechende Anfragen des BR unbeantwortet. In der Vergangenheit hatte die Gruppe auch Behördenwebseiten in anderen Bundesländern angegriffen. Zuletzt beanspruchte die Gruppe Angriffe gegen die Webseiten italienischer Häfen für sich.
Hackergruppe "mit Abstand aktivster Akteur"
Christof Klaus von der Münchner IT-Sicherheitsfirma Myra Security sagte dem BR, das Ziel solcher Hacking-Angriffe sei "zu stören und auch das Vertrauen der Bürger in unsere Strukturen zu erschüttern", indem man das Gefühl vermittele, der Staat könne sich nicht mehr schützen. Myra ist auf die Abwehr von DDoS-Attacken spezialisiert, nicht auf die Aufklärung der Hintergründe. Christof Klaus appelliert an Behörden, die Gefahr ernster zu nehmen und "das Bewusstsein dafür zu schaffen, dass diese Bedrohung allgegenwärtig ist und über die letzten Jahre konstant zunimmt."
Ähnliches beobachtet auch die Europäische Cybersicherheitsbehörde ENISA. Laut einem aktuellen Bericht der Behörde ließ sich eine Zunahme der Fälle von Hacktivismus vor dem Hintergrund des Kriegs in der Ukraine verzeichnen. Im Berichtszeitraum 2023 bis 2024 zählte die Behörde EU-weit mehr als 3600 Fälle von Hacktivismus und nennt NoName057(16) als den mit Abstand aktivsten Akteur. Laut einer Analyse des Herstellers für Antiviren-Programme Avast richtete sich in den vergangenen Monaten jeder zehnte Angriff der Hackergruppe gegen Webseiten aus Deutschland. Der größte Teil der Angriffe betreffe ukrainische und polnische Webseiten.
Obwohl DDOS-Attacken oft eine große Außenwirkung haben, kommt es dabei typischerweise nicht zu einem Datenabfluss. Das BSI teilte mit, solche Angriffe hätten in der Regel nur eine kurzfristige und geringfügige Schadwirkung und würden insbesondere durch Hacktivisten wiederholt für ihre jeweiligen Propagandazwecke genutzt. Auch das BKA teilte auf BR-Anfrage mit, bei solchen Angriffen stehe insbesondere die Medienwirkung im Vordergrund.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!