 |
# taz.de -- Festnahme nach Cyberangriff auf die taz: Ungarischer Hacker „HANO… |
|
|
|
> Ungarns Polizei hat einen Mann festgenommen, der mutmaßlich am Tag der |
|
> Bundestagswahl taz.de lahmlegte. In Ungarn attackierte er |
|
> regierungskritische Medien. |
|
|
 |
Bild: Bei den Cyberangriffen von „Hano“ handelte es sich um sogenannte DDoS… |
|
|
|
BERLIN taz | Er nannte sich selbst „Hano“ und hatte es offenbar vor allem |
|
auf kritische Medien abgesehen: Die ungarische Polizei hat einen Hacker |
|
gefasst, der zahlreiche Medienwebseiten in Ungarn und Europa angegriffen |
|
haben soll, darunter auch die der taz. |
|
|
|
Ausgerechnet am Tag der Bundestagswahl, am 23. Februar 2025, war die |
|
Webseite der taz von einer massiven Cyberattacke lahmgelegt worden. Für |
|
mehrere Stunden war sie nicht zu erreichen. [1][Recherchen der taz] legten |
|
im April offen, dass der Angriff vermutlich aus Ungarn kam und von einer |
|
Person namens „Hano“ gesteuert worden waren. Jener „Hano“ wurde nun |
|
offenbar in Ungarn festgenommen. |
|
|
|
Es soll sich laut [2][ungarischer Polizei] um einen 23-jährigen Mann aus |
|
Budapest handeln. Bereits am 9. Juli sei sein Haus durchsucht und mehrere |
|
IT-Geräte beschlagnahmt worden. Darauf sollen „eindeutige Beweise für die |
|
Begehung der Straftaten“ gefunden worden sein, wie die Polizei erklärte. |
|
Die Ermittlungen hätten ergeben, dass der Angreifer gezielt und nach einem |
|
vorab ausgearbeiteten Plan vorgegangen sei. Der Verdächtige wurde |
|
festgenommen, ist aber nun wieder auf freiem Fuß. |
|
|
|
Seit April 2023 hatte Hano vornehmlich die Websites regierungskritischer |
|
Medien in Ungarn attackiert, darunter die Portale HVG, 444, 24.hu, Telex |
|
und Media1.hu. Auch das International Press Institute (IPI) mit Sitz in |
|
Wien wurde Opfer eines Angriffs. Nach Informationen der taz hatte der |
|
Hacker seine Angriffe teilweise bis ins Jahr 2025 fortgesetzt. Das |
|
unabhängige Online-Medienhaus Media1.hu musste seine Webserver wegen der |
|
Angriffe ins Ausland verlegen und erklärte, der Schaden gehe in die |
|
Tausende. |
|
|
|
## Teilweise massiven Schaden angerichtet |
|
|
|
Daniel Szalay, Gründer und Chefredakteur von Media1, sagte der taz: „Hano |
|
hat uns einen erheblichen materiellen und immateriellen Schaden zugefügt, |
|
daher werden wir die Angelegenheit nicht ruhen lassen. Sobald wir die |
|
genauen Einzelheiten kennen, werden wir prüfen, ob es sich lohnt, |
|
zivilrechtlich gegen Hano vorzugehen.“ Auch die taz erwägt, den |
|
mutmaßlichen Täter wegen Schadenersatz zu verklagen. |
|
|
|
Bei den Cyberangriffen von Hano handelte es sich um sogenannte |
|
DDoS-Attacken, also Überlastungsangriffe. Websites werden dabei mit |
|
tausenden Anfragen überflutet, bis die Server aufgeben und reguläre |
|
Nutzer*innen nicht mehr zugreifen können. Oftmals werden dafür |
|
sogenannten „Botnetze“ genutzt. Als Botnetze gelten Netzwerke, bei denen |
|
unter anderem die Rechner von Privatpersonen – freiwillig oder unfreiwillig |
|
– für gemeinsame Attacken zentral gesteuert werden. |
|
|
|
Auch Hano nutzte offenbar solche Botnetze. Bei seinen Angriffen hinterließ |
|
er teilweise persönliche Nachrichten, die darauf schließen ließen, dass er |
|
sich gut in der ungarischen Medienlandschaft auskennt – aber auch darauf, |
|
dass er politische Motive verfolgte. Laut Media1-Chefredakteur Szalay |
|
erfolgten die Angriffe immer dann, wenn sein Portal über besonders |
|
peinliche Skandale der Orbán-Regierung berichtet habe. „Zum jetzigen |
|
Zeitpunkt können wir nicht mit Sicherheit sagen, ob der Angreifer |
|
Verbindungen zu regierungsnahen Gruppen oder ähnlichen Organisationen hatte |
|
– oder ob er einfach ein fanatischer Anhänger der Regierung war“, sagte |
|
Szalay der taz. |
|
|
|
Scott Griffen, Geschäftsführer des International Press Institute, forderte |
|
die Behörden auf, das Motiv hinter diesen Angriffen eindeutig zu |
|
identifizieren. Es müsse umfassend und transparent untersucht werden, ob |
|
externe Koordinierung oder Finanzierung bei diesen gezielten Angriffen auf |
|
unabhängige Medien und die Zivilgesellschaft eine Rolle gespielt haben. |
|
|
|
Der Hacker schien mit seinen Attacken zudem auf Berichte über seine eigenen |
|
Aktivitäten zu reagieren. So wurde im August 2023 der Internetauftritt des |
|
International Press Institute (IPI) von Hano lahmgelegt, nachdem dieses |
|
einen längeren Artikel über die Hackerangriffe in Ungarn veröffentlicht |
|
hatte. Das IPI [3][brauchte drei Tage], bis seine Webseite wieder online |
|
gehen konnte. |
|
|
|
Die taz wiederum [4][berichtete] am 13. September 2023 darüber – und erlitt |
|
genau eine Woche später, am 20. September 2023, ebenfalls eine |
|
Überlastungsattacke. Dafür, dass diese auf Hano zurückzuführen ist, gab es |
|
später keine Hinweise mehr, aber sie steht im zeitlichen Zusammenhang zu |
|
der Berichterstattung. |
|
|
|
## Angriff am Tag der Bundestagswahl |
|
|
|
Über ein Jahr später, am Tag der Bundestagswahl am 23. Februar 2025, wurde |
|
die taz dann erneut Ziel eines Cyberangriffs. Für jenen Tag gibt es klare |
|
Hinweise, dass Hano dahinter steckte. In den Protokollen der Server fand |
|
sich etwa die Aussage: „HanoHatesU“, zu Deutsch: „Hano hasst euch“. |
|
|
|
Die Webseite der taz war an diesem Tag für über zwei Stunden nicht zu |
|
erreichen – kurz vor den ersten Prognosen zur Bundestagswahl. Der Ausfall |
|
an dem politisch wichtigen Tag richtete ideellen wie monetären Schaden an. |
|
Leser*innen konnten in der Zeit nicht für das freiwillige Bezahlmodell |
|
„[5][taz zahl ich]“ spenden, nichts im [6][taz shop] bestellen und kein |
|
[7][Abo] abschließen. Einnahmen aus Werbeanzeigen blieben aus. |
|
|
|
Die Staatsanwaltschaft Berlin erklärte am Dienstag, man werde die |
|
Ermittlungen zu dem Cyberangriff auf die taz nun wieder aufnehmen. Anfang |
|
April waren diese zunächst eingestellt worden. Ein Sprecher der |
|
Staatsanwaltschaft erklärte damals auf taz-Anfrage, dass es keine |
|
Anhaltspunkte gebe, um Tatverdächtige zu ermitteln. Selbst bei maximalem |
|
Ermittlungsaufwand könnten nur die IP-Adressen der Bots festgestellt |
|
werden, also jener Computer, die stellvertretend von dem Hacker für die |
|
Angriffe genutzt wurden. |
|
|
|
Demgegenüber hatte die ungarische Polizei nun offenbar Erfolg mit ihren |
|
Ermittlungen. Identifiziert worden sei Hano anhand digitaler Spuren und |
|
seiner Fake-Profile durch die „[8][Abteilung für Cyberkriminalität des |
|
Nationalen Ermittlungsbüros]“, heißt es in einer Mitteilung. Durch Analyse |
|
der Zugriffsprotokolle und des Netzwerkverkehrs habe festgestellt werden |
|
können, dass der Täter sogenannte „DDoS-Dienste“ in Anspruch genommen und |
|
verschiedene Online-Tools verwendet habe. |
|
|
|
## Cyberangriff als Serviceleistung |
|
|
|
Hackergruppen bieten die Infrastruktur für solche Überlastungsangriffe |
|
teilweise [9][als kaufbaren Service] anonym im Darknet an. Bestehende |
|
Botnetze können für Angriffe „gemietet“ werden. Je nach Art und Dauer ein… |
|
gewünschten Angriffs gehen die Angebote [10][laut Bundeskriminalamt] dabei |
|
bereits ab 80 Euro los. |
|
|
|
Nach Informationen der taz kamen entscheidende Hinweise auf Hano von den |
|
betroffenen Medien selbst. Media1-Chefredakteur Szalay erklärte der taz, |
|
zusammen mit Kolleg*innen habe er dem Angreifer eine Falle gestellt. „So |
|
konnten wir feststellen, welchen ungarischen Internetdienstanbieter die |
|
Person nutzte, und ihre IP-Adresse ermitteln.“ Die Information hätte er |
|
sofort der Polizei weitergeleitet. „Danach verging eine lange Zeit, ohne |
|
dass etwas geschah.“ |
|
|
|
Die ungarische Polizei erklärte, dass aufgrund der internationalen |
|
Dimension des Falls auch die österreichischen Behörden eingeschaltet worden |
|
seien. Dazu, ob es auch eine Kooperation mit deutschen Behörden gab, |
|
erhielt die taz zunächst weder aus Deutschland noch aus Ungarn eine |
|
Antwort. |
|
|
|
[11][Erst in der vergangenen Woche war ein Schlag deutscher und |
|
internationaler Ermittler gegen eine russische Hackergruppe bekannt |
|
geworden], die ebenfalls schon mehrfach die taz mit DDoS-Angriffen |
|
überzogen hatte. Am Dienstag vor einer Woche waren dabei sechs Haftbefehle |
|
gegen Hinterleute der Gruppierung „NoName057(16)“ erlassen worden, wie das |
|
Bundeskriminalamt erklärte. Bei allen handele es sich entweder um russische |
|
Staatsbürger oder sie seien in Russland wohnhaft. Zudem seien 24 Objekte |
|
von mutmaßlichen Unterstützern durchsucht worden, darunter in Bayern und |
|
Berlin. |
|
|
|
## Hacker als Unterstützung für Angriffskrieg |
|
|
|
Im Zuge der international koordinierten Aktion sei auch ein sogenanntes |
|
Botnetz abgeschaltet worden, das für „DDoS“-Angriffe genutzt worden sei. |
|
Die Hackergruppe „NoName057(16)“ hatte solche „DDoS“-Angriffe vor allem… |
|
Unterstützung des russischen Angriffskriegs gegen die Ukraine unternommen. |
|
Sie richteten sich vor allem gegen Unternehmen der Kritischen Infrastruktur |
|
wie Rüstungsbetriebe, Stromversorger und Verkehrsbetriebe, aber auch gegen |
|
öffentliche Einrichtungen und Behörden. |
|
|
|
Die taz wurde am 25. November 2024 sowie am 14. Februar 2025, dem Tag der |
|
Münchner Sicherheitskonferenz, Ziel eines Angriffs der Gruppe. Neben der |
|
taz hatte „NoName057(16)“ auch dazu aufgerufen die Webseiten der FAZ, des |
|
Handelsblatts, der Münchner Abendzeitung und des Neuen Deutschlands zu |
|
attackieren. Viele deutsche Medien sehen die Presse zunehmend im Fokus von |
|
Cyberkriminellen. Zu den Angriffen zählen Desinformationskampagnen bis |
|
hin zu Versuchen, die freie Berichterstattung zu unterdrücken. Über |
|
Cyberangriffe wird allerdings aus Sicherheitsgründen selten offen |
|
gesprochen. |
|
|
|
Ob die Festnahme von Hano in Budapest mit den internationalen Ermittlungen |
|
gegen „Noname057(16)“ zusammenhängt, und die Hacker womöglich kooperierte… |
|
blieb bislang unklar. Anfrage dazu wurden von deutschen und ungarischen |
|
Behörden zunächst nicht beantwortet. |
|
|
|
22 Jul 2025 |
|
|
|
## LINKS |
|
|
 |
[1] /Angriff-auf-die-taz/!6081815 |
|
[2] https://www.police.hu/hu/hirek-es-informaciok/legfrissebb-hireink/bunugyek/… |
|
[3] https://www.qurium.org/weaponizing-proxy-and-vpn-providers/ddos-attacks-tra… |
|
[4] /Hacker-mit-Spuren-nach-Ungarn/!5960140 |
|
[5] /!v=89a68133-aa34-42d3-9f80-01ebd7e1738b/ |
|
[6] https://shop.taz.de/ |
|
[7] /!v=2f71d22a-827d-4693-a3aa-1d7225a94c26/ |
|
[8] https://www.police.hu/hu/hirek-es-informaciok/legfrissebb-hireink/bunugyek/… |
|
[9] https://encyclopedia.kaspersky.com/glossary/ddos-as-a-service/ |
|
[10] https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUnd… |
|
[11] /Polizeiaktion-gegen-Cyberkriminelle/!6098264 |
|
|
|
## AUTOREN |
|
|
|
Anne Fromm |
|
Jean-Philipp Baeck |
|
|
|
## TAGS |
|
|
|
Cyberattacke |
|
Hackerangriff |
|
Feinde der Pressefreiheit |
|
Ungarn |
|
Viktor Orbán |
|
Social-Auswahl |
|
Longread |
|
Ungarn |
|
Viktor Orbán |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Angriff auf die taz: Gezielt getroffen |
|
|
|
Am Tag der Bundestagswahl legt ein Cyberangriff taz.de lahm. Es ist nicht |
|
der erste dieser Art. Warum das kein Zufall ist. |
|
|
|
Hacker mit Spuren nach Ungarn: Cyber-Attacke gegen Presse-Institut |
|
|
|
Das International Press Institute in Wien wird von Hackern attackiert. Es |
|
sieht einen Bezug zu ähnlichen Angriffen auf unabhängige Medien in Ungarn. |
|
|
|
Angegriffene Pressefreiheit in Ungarn: Kämpfer an Orbáns Medienfront |
|
|
|
Eine österreichische Journalistin wird tagelang in Ungarns TV-Nachrichten |
|
diffamiert. Orbán-treue Medien sehen sich als Teil eines rechten |
|
Kulturkampfes. |
