 |
# taz.de -- Angriff auf die taz: Gezielt getroffen |
|
|
|
> Am Tag der Bundestagswahl legt ein Cyberangriff taz.de lahm. Es ist nicht |
|
> der erste dieser Art. Warum das kein Zufall ist. |
|
|
|
Es ist 15.36 Uhr am Sonntagnachmittag, als die erste Alarmmeldung |
|
erscheint. „Problem“, leuchtet auf einem Bildschirm der IT-Abteilung der |
|
taz auf. Dazu steht in einer Zeile eine Erklärung: |
|
„https://monde-diplomatique.de/ on groovy.taz.de (193.104.220.25) is |
|
CRITICAL.“ |
|
|
|
Für die Systemadministratoren der taz ist dieser Satz nicht kryptisch. Er |
|
ist besorgniserregend. „CRITICAL“ steht in Großbuchstaben in einer weiteren |
|
Zeile dieser Meldung, mit dem Zusatz „Socket timeout after 10 seconds“. |
|
Übersetzt bedeutet diese Nachricht: Die Webseite von Le Monde diplomatique, |
|
die der Verlag der taz in Deutschland herausgibt, liegt lahm. Und wenn |
|
diese Seite lahmliegt, dann liegt auch taz.de lahm. Beide Webseiten nutzen |
|
die selben Server. |
|
|
|
Ungefähr zeitgleich zu dieser automatisch generierten technischen |
|
Warnmeldung klingelt auch das Telefon bei dem Mitarbeiter, der vor Regalen |
|
voller Kabel und Adapter in der EDV-Abteilung des taz-Hauses sitzt. Nicht |
|
nur das System hat das Problem bemerkt, sondern auch die Menschen in der |
|
Redaktion. Wenige Minuten und ein paar Anrufe später wird die komplette |
|
Abteilung der Systemadministratoren vor ihren Bildschirmen sitzen – aus dem |
|
Homeoffice und teils auch aus dem Urlaub. Die Chefredaktion wird einen |
|
internen Chat zur Koordinierung einrichten. Die Aufregung ist groß. |
|
|
|
Es ist der 23. Februar 2025, der Sonntag der vorgezogenen Bundestagswahl. |
|
In zweieinhalb Stunden wird es die ersten Prognosen geben. Und taz.de ist |
|
nicht zu erreichen. |
|
|
|
Knapp zwei Stunden werden die Techniker der taz an diesem Tag darum |
|
kämpfen, dass taz.de wieder online geht. Das Haus ist voll, die |
|
Redakteur*innen bespielen einen Liveticker zur Wahl, schreiben erste |
|
Analysen, führen Interviews und bereiten die Zeitung für den nächsten Tag |
|
vor. Doch Leser*innen, die in dieser Zeit auf taz.de zugreifen wollen, |
|
bekommen davon nichts mit. Alles, was sie sehen, ist eine Fehlermeldung. |
|
|
|
Für die taz ist das katastrophal. Der Tag einer Bundestagswahl ist |
|
publizistisch und politisch einer der wichtigsten überhaupt. Die taz |
|
berichtet deutlich mehr als an einem durchschnittlichen Sonntag, erreicht |
|
mehr Leser*innen. taz-Kommentare werden in anderen Medien zitiert. Es |
|
ist ein Tag, an dem die taz ausstrahlt, auch über die Stammleser*innen |
|
hinaus. Und der Ausfall kostet Geld. Leser*innen können nicht für |
|
[1][das freiwillige Bezahlmodell „taz zahl ich“] spenden, nichts [2][im taz |
|
shop bestellen] und kein [3][Abo abschließen]. Einnahmen aus Werbeanzeigen |
|
bleiben aus. |
|
|
|
Zwar schaltet die Redaktion an jenem Sonntag schnell um und setzt den |
|
Liveticker, der bis dahin auf taz.de lief, nun auf den taz-Kanälen in den |
|
sozialen Medien fort. Aber da erreicht er viel weniger Leute. |
|
|
|
Wir haben uns entschieden, diesen Ausfall nicht nur intern aufzuarbeiten, |
|
sondern ihn auch öffentlich zu machen. Das ist heikel. Diejenigen, die die |
|
taz angegriffen haben, könnten diesen Text als Ermutigung verstehen. Sie |
|
könnten erneut zuschlagen. Die letzten Vorfälle haben gezeigt, wie |
|
verwundbar die taz ist. |
|
|
|
Andererseits finden wir es wichtig, dass die Öffentlichkeit erfährt, wie |
|
heftig und regelmäßig die Presse attackiert wird. Angriffe auf die |
|
kritische Infrastruktur der Demokratie sind nicht nur zu befürchten. Sie |
|
sind längst Alltag. Nur kommunizieren viele Betriebe – und bisher auch die |
|
taz – solche Angriffe eher nicht oder nur knapp. Neben Medienhäusern sind |
|
auch andere Unternehmen ständig solchen Angriffen ausgesetzt. Sie treffen |
|
Flughäfen, Krankenhäuser, Behörden, Parteien, Banken. Sie können ein dummer |
|
Kinderstreich sein – oder eine Waffe, gerichtet auf den politischen Gegner. |
|
Eine Waffe in einem Krieg, der längst nicht mehr nur in Schützengräben |
|
ausgetragen wird. Einem hybriden Krieg. |
|
|
|
Der Angriff am 23. Februar war nicht der schwerste auf die taz, nicht der |
|
erste und nicht der letzte. Aber durch den Zeitpunkt kommt ihm eine größere |
|
Bedeutung zu. Für diesen Text haben wir technische Protokolle vom |
|
Wahlsonntag und weiteren Tagen untersucht, haben die Datenspuren der |
|
Angreifer nachverfolgt, im Darknet und in Hackerforen recherchiert und mit |
|
Expert*innen gesprochen. Inzwischen haben wir eine Ahnung, wer hinter |
|
den Angriffen steckt. Es handelt sich, sehr wahrscheinlich, um eine |
|
gezielte Attacke auf die Presse und speziell auf die taz. |
|
|
|
Die Angreifer, die an jenem Sonntag die taz lahmlegen, sehen aus wie eine |
|
Armee aus Hunderttausenden. Sie tragen aber keine Uniform und keine Waffen. |
|
Sie geben sich als Internetnutzer aus, die versuchen, auf taz.de |
|
zuzugreifen. |
|
|
|
Hinter ihnen stehen aber keine wirklichen Leser*innen, sondern IP-Adressen. |
|
IP-Adressen sind so etwas wie die Telefonnummern des Internets. Jedem |
|
Computer, Mobiltelefon oder Smartfernseher ist eine solche Adresse |
|
zugeordnet. Das Pikante an ihnen ist: Man kann sie auch fälschen, ohne dass |
|
dahinter ein echter Internetnutzer steht. „Spoofing“ nennt man das. Und das |
|
ist im Fall des taz-Angriffs wohl unter anderem passiert. Daneben nutzten |
|
der oder die Angreifer andere Wege, um ihre Herkunft zu verschleiern, wie |
|
beispielsweise VPN-Tunnel, die die ursprüngliche IP-Adresse verstecken. |
|
|
|
Auf dem Höhepunkt des Angriffs versuchen an jenem Sonntagnachmittag um |
|
15.59 Uhr innerhalb von 0,3 Sekunden 96.471 unterschiedliche IP-Adressen |
|
auf taz.de zuzugreifen. Das ist extrem viel. Normalerweise hat taz.de im |
|
gleichen Zeitraum Zugriffe von knapp über 50 IP-Adressen. Unsere Webseite |
|
wird also überrannt. |
|
|
|
Diese Art von Angriff nennt man DDoS-Attacke, das steht für „Distributed |
|
Denial of Service“. Eine Webseite verweigert den Dienst, weil zu viele |
|
Nutzer*innen gleichzeitig auf sie zugreifen. |
|
|
|
DDoS-Attacken sind häufig. Sie gehören zum „Grundrauschen des Internets“, |
|
sagt der [4][IT-Experte Manuel Atug]. Er berät Firmen im Umgang mit |
|
Cyberangriffen. DDoS sei relativ einfach zu steuern und noch einfacher zu |
|
skalieren. „Früher brauchte man Bomben, Waffen und ein paar Leute, um ein |
|
Unternehmen zu überfallen“, sagt Atug. „Heute reicht ein schlauer |
|
Jugendlicher in seinem Kinderzimmer mit einem Laptop.“ |
|
|
|
Auch die taz erreichen immer wieder DDoS-Attacken. Bisher konnten sie |
|
meistens erfolgreich abgewehrt werden. Aber die am 23. Februar war groß und |
|
nutzte verschiedene Methoden. |
|
|
|
Unter all dem, was Cyberkriminelle noch anrichten können, sind |
|
DDoS-Attacken relativ harmlos. Dabei geht kein vorhandenes Geld verloren, |
|
und es werden keine Daten geklaut. Andere Formen der Cyberangriffe haben |
|
weitaus drastischere Konsequenzen. Im Jahr 2021 [5][infizierten Hacker die |
|
Server des Landkreises Anhalt-Bitterfeld] mit einer Schadsoftware und |
|
legten damit die Verwaltung lahm. Kindergeld konnte nicht ausgezahlt, |
|
KfZ-Zulassungen konnten nicht beantragt werden. Im Februar 2025 griffen |
|
Hacker die IT-Systeme eines Klinikums in Berlin an. Die Rettungsstelle |
|
musste vorübergehend abgemeldet werden, Krankenwagen konnten sie nicht mehr |
|
anfahren. |
|
|
|
Das Bundesamt für Sicherheit in der Informationstechnik (BSI), die |
|
Cybersicherheitsbehörde Deutschlands, beobachtet, dass Cyberangriffe gegen |
|
europäische Webseiten seit dem russischen Angriffskrieg auf die Ukraine |
|
zugenommen haben. Häufig würden sie von prorussischen Aktivisten |
|
ausgeführt, die sie für ihre Propagandazwecke nutzten, schreibt das BSI auf |
|
taz-Anfrage. |
|
|
|
Die Leute, die hinter Cyberangriffen stecken, lassen sich oft nur durch |
|
Zufall identifizieren. Manchmal ist ein Angriff so aufwändig, dass er nur |
|
von einer Regierung orchestriert worden sein kann. Manchmal versteckt sich |
|
in einem Stückchen Code ein Hinweis. In anderen Fällen werden damit aber |
|
auch falsche Fährten gelegt. Und es kommt vor, dass Hacker absichtlich eine |
|
Art Visitenkarte hinterlassen, um sich in der Szene einen Namen zu machen |
|
oder um eine Botschaft zu übermitteln. |
|
|
|
Letzteres ist wohl beim Angriff auf die taz am Tag der Bundestagswahl |
|
passiert. Denn der oder die Angreifer hinterlassen eine Nachricht für die |
|
taz. Inmitten der hunderttausenden Anfragen, die an jenem Sonntagnachmittag |
|
die Webseiten der taz überfluten, finden wir in den Protokollen der Server |
|
auch Textschnipsel. Die Angreifer verpacken sie in ihren Anfragen an |
|
taz.de. So lautet eine der Webadresse, die die Angreifer aufrufen wollen: |
|
https://taz.de/?HanoHatesU |
|
|
|
„Hano hasst euch“? |
|
|
|
„Hano“, diesen Namen kennen wir [6][aus unserer eigenen Berichterstattung]. |
|
Wir vermuten, dass diese Leute die taz schon einmal angegriffen haben – und |
|
nicht nur die taz. |
|
|
|
Seit Frühjahr 2023 haben der oder die Angreifer unter diesem Spitznamen |
|
mindestens 40 Webseiten von regierungskritischen Medien in Ungarn |
|
lahmgelegt. Innerhalb von einer Woche im April 2023 wurden 12 unabhängige |
|
ungarische Medienwebseiten angegriffen. Regierungstreue Medien blieben |
|
verschont. Die Angreifer hinterließen dabei ebenfalls ihren Namen und |
|
dieselbe Botschaft: „Hano“ und „HanoHatesU“. |
|
|
|
## Eine Verbindung zu Attacken in Ungarn |
|
|
|
Bei den Angriffen auf ungarische Medien übermitteln sie manchmal noch mehr: |
|
Kommentare zur ungarischen Medienlandschaft, zu einzelnen |
|
Journalist*innen oder Warnungen vor weiteren Angriffen, die dann zur |
|
angekündigten Zeit auch tatsächlich stattfinden. Die Angreifer scheinen |
|
sich gut auszukennen mit Medien in Ungarn. Und sie scheinen all jene im |
|
Visier zu haben, die nicht auf Linie der autoritären Orbán-Regierung sind. |
|
|
|
Nur, wer genau hinter HanoHatesU steckt, ist schwer nachzuvollziehen. Es |
|
kann eine Gruppe sein, es kann ein Einzelner sein. Ob diese Leute wirklich |
|
aus Ungarn operieren, ist auch unklar – genauso wie die Frage, ob sie |
|
womöglich im Auftrag der ungarischen Regierung handeln. Dieser Gedanke ist |
|
nicht so abwegig. [7][Seit Jahren untergräbt Regierungschef Viktor Orbán |
|
eine unabhängige Berichterstattung]. Kritische [8][Journalist*innen |
|
wurden gezielt mit Spionagesoftware überwacht]. |
|
|
|
Das International Press Institute, eine der wichtigsten Institutionen für |
|
die Pressefreiheit, [9][erklärte 2023 zu den Aktivitäten von Hano gegen |
|
ungarische Medien, es sei davon auszugehen, dass die Verantwortlichen |
|
relativ gut finanziert seien]. Die Kosten, die mit DDoS-Angriffen dieses |
|
Ausmaßes und dieser Dauer verbunden seien, deuteten darauf hin. Es handele |
|
sich um „einen der bislang umfangreichsten Cyberangriffe auf eine |
|
unabhängige Mediengemeinschaft in einem Mitgliedstaat der Europäischen |
|
Union“. |
|
|
|
Vertreter der betroffenen Medien in Ungarn bestätigen das gegenüber der taz |
|
und sagen: Die Polizei sei kaum daran interessiert, zu helfen. [10][Die |
|
Angriffe kämen bis heute], es seien teure IT-Lösungen nötig, um sich zu |
|
schützen. Der Chefredakteur eines ungarischen Nachrichtenportals erklärte, |
|
er halte die Cyberangriffe für ein gezieltes Instrument, um unliebsame |
|
Medienhäuser zu beschäftigen und Kosten bei ihnen zu verursachen. |
|
|
|
Weder das ungarische Innenministerium, noch das Büro von Ministerpräsident |
|
Orbán, noch das Nationale Zentrum für Cybersicherheit antworteten auf |
|
Anfragen der taz zu den DDoS-Angriffen und Hano. |
|
|
|
Es ist nicht leicht, Sicherheitsexperten zu finden, die mehr über Hano |
|
wissen. Diejenigen, die sich auskennen, bleiben schmallippig und wollen |
|
nicht genannt werden. Sie sagen nur: Die ungarischen Behörden würden sich |
|
wohl nicht damit befassen. Und: Vermutlich handele es sich nicht um eine |
|
große Gruppe. Hano sei „wahrscheinlich aus Ungarn, wahrscheinlich von dort |
|
finanziert und wahrscheinlich ein APT“. |
|
|
|
„APT“, diese Abkürzung steht im Fachjargon für „Advanced Persistent |
|
Threat“, zu Deutsch eine „fortgeschrittene andauernde Bedrohung“. [11][La… |
|
BSI liegt ein APT dann vor, wenn ein gut ausgebildeter, meist staatlich |
|
gesteuerter Angreifer über einen längeren Zeitraum gezielt ein System |
|
angreife]. Der Zweck von diesen Angriffen, laut BSI: Spionage oder |
|
Sabotage. |
|
|
|
Als das International Press Institut im Sommer 2023 über die Angriffe in |
|
Ungarn berichtet, wird auch [12][dessen Webseite von Hano attackiert. Drei |
|
Tage braucht das Institut, bis seine Webseite wieder online gehen kann]. |
|
|
|
Kurz nach dem Cyberangriff auf das International Press Institute |
|
[13][berichtet die taz am 13. September 2023 darüber] – und erleidet genau |
|
eine Woche später, am 20. September 2023, ebenfalls eine DDoS-Attacke. Die |
|
taz schafft es damals, diesen Angriff nach zwei Stunden abzuwehren. Dafür, |
|
dass bereits diese Attacke auf Hano zurückzuführen ist, finden wir heute |
|
keine Hinweise mehr. Aber sie steht im zeitlichen Zusammenhang zu unserer |
|
Berichterstattung. |
|
|
|
## Hano ist anders |
|
|
|
Und: [14][Die taz kooperiert seit 2022 mit dem International Press |
|
Institute in einem Projekt über Desinformationskampagnen gegen |
|
Journalist*innen] und hat in diesem Zusammenhang auch eine [15][größere |
|
Recherche über die Angriffe auf die Pressefreiheit durch die |
|
Orbán-Regierung verfasst]. Der Bericht wurde in Ungarn stark rezipiert. |
|
|
|
Die Attacken von HanoHatesU, davon kann man ausgehen, sind politisch |
|
motiviert. Experten nennen Gruppen und Akteure wie Hano auch |
|
„Hacktivisten“, eine Wortschöpfung aus Hacker und Aktivisten. Hacktivisten |
|
[16][können ganz verschiedene Ziele verfolgen], manche setzen sich für die |
|
Meinungsfreiheit ein und attackieren Regime wie das in Iran. Hano aber ist |
|
anders. Er oder sie greifen diejenigen an, die sich einem autoritären |
|
Rechtskurs verweigern, oder jene, die über ihre Angriffe berichten. |
|
|
|
Und Hano sind nicht die Ersten, die versuchen, die taz lahmzulegen und |
|
damit vermutlich ein politisches Ziel verfolgen. Im Zuge dieser Recherche |
|
haben wir uns auch vorherige Attacken noch einmal genauer angeschaut. Dabei |
|
fiel auf: Nicht nur mit Bezug zu Ungarn wurden wir gezielt angegriffen, |
|
sondern auch vonseiten Russlands. |
|
|
|
Drei Monate vor der Bundestagswahl, am 25. November 2024, erlebt die taz |
|
ebenfalls eine DDoS-Attacke. Auch da wird taz.de mit Anfragen überladen. Zu |
|
dem damaligen Angriff finden wir einen Kommentar in einer Telegramgruppe, |
|
in der sich offenbar Hacker organisieren: „The official website of Die |
|
Tageszeitung (TAZ) has been disabled as part of a series of targeted cyber |
|
operations against German websites.“ |
|
|
|
Als Teil einer gezielten Cyberoperation gegen deutsche Webseiten sei die |
|
taz lahmgelegt worden, steht da. Darunter finden sich einige Hashtags, |
|
unter anderem #Op_Germany. OP Germany steht vermutlich für: „Operation |
|
Germany“. |
|
|
|
Ende 2024 gab es mehrere Attacken unter diesem Motto. Der Blogger Mark |
|
Bruno, der sich mit hybrider Kriegsführung beschäftigt, nimmt an, dass sie |
|
von verschiedenen Gruppen ausgeführt wurden. [17][Er schreibt], dass sich |
|
Hacktivisten aus mindestens zehn Gruppen an der „Operation Germany“ |
|
beteiligt hätten. Ihr Vorgehen sei immer ähnlich gewesen. Die Ziele seien |
|
vor allem Webseiten aus Deutschland und anderen Nato-Ländern. Die Angriffe |
|
seien von ihren Urhebern als eine „anti-NATO DDoS-Welle“ beschrieben |
|
worden. |
|
|
|
Eine der Gruppen, die sich auch an OP_Germany beteiligt hat, nennt sich |
|
„NoName057(16)“. Kurz nach der Attacke im November 2024 wird sie die taz |
|
auch noch einmal direkt angreifen. |
|
|
|
Die Politikwissenschaftlerin Kerstin Zettl-Schabath arbeitet an der |
|
Universität Heidelberg und beschäftigt sich seit Jahren mit |
|
Cyberkonflikten. Sie dokumentiert mit ihrem Team die Fälle in [18][der |
|
Datenbank European Repository of Cyber Incidents]. Die Gruppe NoName057(16) |
|
findet sich darin häufig. „Zum ersten Mal in Erscheinung getreten ist |
|
Noname057(16) im März 2022, kurz nach Beginn des russischen Angriffskriegs |
|
auf die Ukraine“, sagt Zettl-Schabath. |
|
|
|
Seitdem bekenne sie sich immer wieder zu groß angelegten DDoS-Attacken auf |
|
Länder und Institutionen, die die Ukraine unterstützen. „Ob sie |
|
Verbindungen zum russischen Geheimdienst hat, ist unklar, zumindest von |
|
einer aktiven Duldung kann aber ausgegangen werden.“ Die Anhängerschaft von |
|
Noname057(16) sei in kurzer Zeit über Telegram massiv gewachsen. |
|
|
|
Ihren „Erfolg“ kann die Gruppe scheinbar selbst kaum fassen. In einer |
|
Telegramnachricht auf Russisch Ende 2023 schreiben sie, sie seien bloß |
|
„normale Programmierer und schwierige Typen aus dem Darknet“. „Hätten wir |
|
Anfang diesen Jahres kommen sehen, dass ausgerechnet wir an die digitale |
|
Front gehen würden?“, fragen sie da. Und: „Hätte jemand gedacht, dass es |
|
auch wir sein würden, die unser Vaterland beschützen und die „zivilisierte�… |
|
Welt umerziehen würden?“ |
|
|
|
## Ein Bot-Netz aus nichts ahnenden Nutzern |
|
|
|
Kerstin Zettl-Schabath beobachtet, dass sich NoName057(16) |
|
professionalisiert hat. „Die Gruppe unterhält ein halbautomatisiertes |
|
DDoS-Tool, über das sich Freiwillige an DDoS-Angriffen beteiligen können, |
|
in dem sie ihre Rechnerkapazitäten bereitstellen.“ |
|
|
|
Das heißt, NoName57(16) hat ein sogenanntes Bot-Netz etabliert – ein System |
|
aus vielen einzelnen Computern, die von den Hackern zentral kontrolliert |
|
werden, um beispielsweise massenhaft Anfragen an eine Webseite zu richten. |
|
Die Geräte, von denen die Bot-Netze ausgehen, stammen häufig von nichts |
|
ahnenden Nutzern, die durch Schadsoftware infiziert und ferngesteuert |
|
werden. |
|
|
|
Manchmal stellen Menschen ihre Computer aber eben auch freiwillig zur |
|
Verfügung. [19][NoName057(16) beispielsweise rekrutiert über Telegram |
|
Leute, die bereit sind, eine kleine Software auf ihrem Computer zu |
|
installieren.] Manche bekommen dafür Geld, für manche ist es wohl nur |
|
Nervenkitzel. NoName057(16) greift so auf ein riesiges Netz von IP-Adressen |
|
zu. „DDoSia“ nennen sie dieses Projekt. |
|
|
|
Am 14. Februar 2025, neun Tage vor der Attacke zur Bundestagswahl, wird |
|
auch die taz Opfer eines solchen durch DDoSia unterstützten Angriffs. |
|
|
|
Es ist Freitag, der Tag der Münchner Sicherheitskonferenz. Der |
|
US-amerikanische Vizepräsident J. D. Vance erklärt an diesem Tag, Europa |
|
würde die Meinungsfreiheit beschneiden. Er empfiehlt Deutschland eine |
|
Koalition mit der AfD. [20][Es ist der Tag, an dem endgültig klar wird, |
|
dass die transatlantischen Beziehungen in ihrer bisherigen Form Geschichte |
|
sind]. |
|
|
|
## Viele wollen sich nicht äußern |
|
|
|
Zur gleichen Zeit feuern Aktivisten aus dem NoName057(16)-Netzwerk dutzende |
|
Angriffe auf deutsche Webseiten ab. Sie preisen sich dafür später selbst. |
|
Wir finden eine genaue Auflistung an Webseiten, die an diesem Tag von |
|
DDoSia angegriffen werden sollen. Die Auswahl legt nahe, dass die |
|
Cyberangriffe Bezug zur Münchner Sicherheitskonferenz und dem Krieg in der |
|
Ukraine nehmen sollen. |
|
|
|
Auf der Liste finden sich offizielle Seiten aus München und Bayern sowie |
|
die Webseite der Sicherheitskonferenz selbst. Auch Webseiten aus der |
|
Ukraine stehen darauf – und einige deutsche Medienwebseiten: darunter die |
|
Seiten der FAZ, des Handelsblatts, der Münchner Abendzeitung, des Neuen |
|
Deutschlands und der taz. |
|
|
|
Die Abendzeitung sowie das Neue Deutschland bestätigen auf taz-Anfrage, |
|
dass es am 14. Februar, dem ersten Tag der Sicherheitskonferenz, eine |
|
Attacke gab. Beide Medienhäuser erklären, dass diese abgewehrt werden |
|
konnte. Das Handelsblatt will aus Sicherheitsgründen keine Angaben machen, |
|
die FAZ erklärt, das publizistische Angebot sei bisher durch |
|
Angriffsversuche nicht eingeschränkt gewesen. |
|
|
|
Hört man sich bei weiteren Medienhäusern und öffentlich-rechtlichen Sendern |
|
um, so wollen viele aus Sicherheitsgründen nicht detailliert über |
|
Cyberangriffe sprechen. Auch in diesem Text können nicht alle Details dazu |
|
stehen, wie die taz den Angriff genau abgewehrt hat. Was aber aus den |
|
Gesprächen mit anderen Medien klar wird: Alle sehen die Presse zunehmend im |
|
Fokus von Cyberkriminellen, von Desinformationskampagnen und |
|
Versuchen, die freie Berichterstattung zu unterdrücken. |
|
|
|
Am Wahlsonntag aber wurden andere Medien wohl nicht angegriffen. Anders als |
|
die Angriffe im November 2024 und während der Sicherheitskonferenz war der |
|
Angriff am 23. Februar 2025 auf die taz wohl nicht Teil einer breit |
|
orchestrierten Aktion. Es scheint, als seien die Leute von Hano an diesem |
|
Tag dahin zurückgekommen, wo sie sich auskannten. Zurück zur taz. |
|
|
|
24 Minuten nachdem an jenem Wahlsonntag die erste kritische Meldung in der |
|
taz aufploppt, leiten die Mitarbeiter der EDV die Anfragen, die auf die |
|
Server der taz zielen, um. Sie nutzen dafür den Service einer Firma, die |
|
sich darauf spezialisiert hat, Unternehmen im Fall einer DDoS-Attacke |
|
Schutz zu bieten. Aber das dauert. |
|
|
|
Das liegt auch an einer Eigenheit der taz. Sie versucht, so viel |
|
Infrastruktur wie möglich unter eigener Kontrolle zu halten. [21][Weltweit |
|
arbeiten viele andere Firmen dauerhaft mit US-amerikanischen Unternehmen |
|
zusammen], die Webseiten relativ zuverlässig vor DDoS-Angriffen schützen. |
|
Für die EDV-Abteilung der taz kommt das aus Gründen des Datenschutzes nicht |
|
infrage, weil sie befürchtet, dass solche Firmen mitlesen könnten, wer |
|
taz.de besucht und welche Daten und auch Passwörter verwendet werden. |
|
|
|
## Die Polizei ist ratlos |
|
|
|
Um 16.50 Uhr am Wahlsonntag meldet das System, dass taz.de nun über die |
|
Infrastruktur der Schutzfirma läuft. Von außen ist taz.de da aber noch |
|
nicht wieder zu erreichen. Erst nach und nach bekommen die EDV-Spezialisten |
|
alle Angriffsarten und -wellen in den Griff. |
|
|
|
Kurz vor den ersten Wahlprognosen um 18 Uhr ist taz.de wieder online. Es |
|
wird bis zum Abend dauern, bis die Webseite stabil läuft. |
|
|
|
Welchen Schaden die taz von dem Angriff davongetragen hat, lässt sich |
|
schwer beziffern. Tagsüber wird die Webseite pro Stunde im Durchschnitt |
|
50.000-mal aufgerufen. Die zuständige Ressortleitung schätzt daher, dass |
|
der taz an diesem Tag mehrere zehntausend Klicks und entsprechende |
|
Einnahmen aus dem [22][freiwilligen Bezahlmodell „taz zahl ich“] verloren |
|
gegangen sind. Aber auch an den Folgetagen war der Angriff noch spürbar. |
|
Weil taz.de einmal offline war, verlieren auch die Suchmaschinen und |
|
Nachrichten-Aggregatoren die Website aus dem Blick. taz-Artikel |
|
verschwinden aus diesen Diensten und müssen später neuen Schwung gewinnen. |
|
|
|
Am Tag nach dem Angriff erstattet die Geschäftsführung Anzeige bei der |
|
Polizei. Die landet in der Abteilung 7 des Landeskriminalamts, ZAC heißt |
|
sie, Zentrale Ansprechstelle Cybercrime. Nennenswerte Ergebnisse kann die |
|
Polizei nicht ermitteln. Das LKA hat den Fall mittlerweile geschlossen und |
|
der Staatsanwaltschaft Berlin übergeben. Deren Sprecher erklärt auf |
|
taz-Anfrage, dass es keine Anhaltspunkte gebe, um Tatverdächtige zu |
|
ermitteln. Selbst bei maximalem Ermittlungsaufwand könnten nur die |
|
IP-Adressen der Bots festgestellt werden. Die Staatsanwaltschaft hat die |
|
Ermittlungen daher Anfang April eingestellt. |
|
|
|
25 Apr 2025 |
|
|
|
## LINKS |
|
|
 |
[1] /!v=89a68133-aa34-42d3-9f80-01ebd7e1738b/ |
|
[2] https://shop.taz.de/ |
|
[3] /!v=2f71d22a-827d-4693-a3aa-1d7225a94c26/ |
|
[4] https://ag.kritis.info/author/honkhase/ |
|
[5] /Cyber-Erpressungen-nehmen-zu/!5837971 |
|
[6] /Hacker-mit-Spuren-nach-Ungarn/!5960140 |
|
[7] https://ipi.media/decoding-disinformation-playbook/case-study-franziska-tsc… |
|
[8] /Spionagesoftware-Pegasus/!5787443 |
|
[9] https://ipi.media/hungary-ddos-cyber-attacks-pose-major-new-threat-to-media… |
|
[10] https://media1.hu/2024/01/10/hano-aktiv-ddos-hirportalok-kecsup-lebenitas-… |
|
[11] https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informati… |
|
[12] https://www.qurium.org/weaponizing-proxy-and-vpn-providers/ddos-attacks-tr… |
|
[13] /Hacker-mit-Spuren-nach-Ungarn/!5960140 |
|
[14] https://ipi.media/decoding-disinformation-playbook/ |
|
[15] /Angegriffene-Pressefreiheit-in-Ungarn/!5928587 |
|
[16] /Das-A-Team-der-Hacker-Szene/!5076438 |
|
[17] https://themoloch.com/infosec/op_germany-december-ddos-attacks-some-observ… |
|
[18] https://eurepoc.eu/ |
|
[19] https://blog.avast.com/ddosia-project |
|
[20] /Denkwuerdige-Sicherheitskonferenz/!6066772 |
|
[21] https://netzpolitik.org/2022/cloudflare-willkuermacht-wider-willen/ |
|
[22] /!v=89a68133-aa34-42d3-9f80-01ebd7e1738b/ |
|
|
|
## AUTOREN |
|
|
|
Anne Fromm |
|
Jean-Philipp Baeck |
|
Pierre Dinh van |
|
|
|
## TAGS |
|
|
|
Longread |
|
wochentaz |
|
Cyberattacke |
|
Hackerangriff |
|
Ungarn |
|
taz.de |
|
Lesestück Recherche und Reportage |
|
GNS |
|
Schwerpunkt Decoding the Disinformation Playbook |
|
Kritische Infrastruktur |
|
Cyberattacke |
|
Cyberattacke |
|
Kritische Infrastruktur |
|
Europa |
|
Cybersicherheit |
|
Cyberattacke |
|
Schwerpunkt Decoding the Disinformation Playbook |
|
Cybersicherheit |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
IT-Experte über bedrohte Infrastruktur: „Es wird maximal rumgeeiert“ |
|
|
|
Ob Anschläge auf Strommasten oder Drohnenangriffe: IT-Sicherheitsexperte |
|
Manuel Atug Verbesserungsbedarf bei der kritischen Infrastruktur in |
|
Deutschland. |
|
|
|
Verhaftung nach Cyberangriff auf die taz: „Medien sind leichte Ziele“ |
|
|
|
Expertin für Cybersicherheit Kerstin Zettl-Schabath über internationale |
|
Hackergruppen, ihre Strategien – und ihre Verbindungen zu autoritären |
|
Regimen. |
|
|
|
Festnahme nach Cyberangriff auf die taz: Ungarischer Hacker „HANO“ gefasst |
|
|
|
Ungarns Polizei hat einen Mann festgenommen, der mutmaßlich am Tag der |
|
Bundestagswahl taz.de lahmlegte. In Ungarn attackierte er |
|
regierungskritische Medien. |
|
|
|
Polizeiaktion gegen Cyberkriminelle: Ermittler legen russische Hacker lahm |
|
|
|
Die Polizei ist in einer internationalen Aktion gegen die russische |
|
Hackergruppe „NoName057(16)“ vorgegangen. Auch die taz war mehrfach deren |
|
Ziel. |
|
|
|
Medienportal Eurotopics: Über Grenzen hinweg |
|
|
|
Mit seiner täglichen Presseschau will Eurotopics zu einer europäischen |
|
Öffentlichkeit beitragen. |
|
|
|
Pläne für mehr IT-Sicherheit: Angriffsschutz mit Schwachstellen |
|
|
|
Ein neues Gesetz soll für mehr IT-Sicherheit sorgen. Expert:innen |
|
kritisieren bei einer Anhörung Lücken – darunter eine zentrale. |
|
|
|
Bundeslagebild Cyberkriminalität: „Möglich, vor die Welle zu kommen“ |
|
|
|
Cyberattacken aus dem Ausland nehmen deutlich zu. Russlands Krieg in der |
|
Ukraine findet auch im digitalen Raum statt. |
|
|
|
Hacker mit Spuren nach Ungarn: Cyber-Attacke gegen Presse-Institut |
|
|
|
Das International Press Institute in Wien wird von Hackern attackiert. Es |
|
sieht einen Bezug zu ähnlichen Angriffen auf unabhängige Medien in Ungarn. |
|
|
|
Versichertendaten in Gefahr: Cyberattacke auf Krankenkassen |
|
|
|
Einer der größten IT-Dienstleister der gesetzlichen Krankenkassen muss nach |
|
einem digitalen Angriff Systeme abschalten. Das Ausmaß ist unklar. |
