Die russische Hackergruppe greift westliche Staaten an – auch die Schweiz. Es geht um Propaganda

Der russische Bär ist das Markenzeichen auf Telegram. Er sitzt in einer militärisch wirkenden Uniform hinter einem Laptop oder zündet eine Dynamitstange an. Mit dieser Figur schmückt die Gruppe „NoName057(16)“ ihre zahlreichen Meldungen von Cyberangriffen auf westliche Websites, welche sie auf Telegram veröffentlicht. Doch so erfolgreich sind die Attacken gar nicht.

Die Gruppe NoName057 kann das egal sein. Sie werden Aufsehen erregen in der Öffentlichkeit und im Westen Angst vor russischen Cyberangriffen schüren. Dazu reicht es, wenn die Angriffe technisch mehrheitlich harmlos sind. Ihre Wirkung entfaltet die Gruppe durch die öffentliche Berichterstattung. Auch in der Schweiz.

Im Juni sorgte NoName057 mehrere Tage lang für Schlagzeilen in Schweizer Medien. Die Gruppe hatte damals Websites des Parlaments, der Bundesverwaltung, von Transportunternehmen wie Postauto oder SOB sowie zahlreicher Städte angegriffen. Als Grund gab sie den geplanten Auftritt des ukrainischen Präsidenten Selenski im Parlament sowie einen Entscheid zur Wiederausfuhr von Waffen an.

Die Gruppe drohte damals großspurig, sie könnte die gesamte Internet-Infrastruktur der Schweiz zerstören. Davon war allerdings nichts zu spüren. Die Ausfälle, welche die Angriffe verursachten, waren begrenzt. Ohne Medienberichte hätte wohl kaum jemand gemerkt, dass die Websites für vielleicht eine oder zwei Stunden nicht erreichbar waren.

NoName057 ist eine jener Gruppen angeblicher Aktivisten – «Hacktivisten» genannt –, die nach dem russischen Angriff auf die Ukraine aufgetaucht sind. Sie verüben am häufigsten sogenannte DDoS-Angriffe (Distributed Denial of Service), bei denen ein Netzwerk von Rechnern einen ausgewählten Server mit Anfragen überhäuft, bis dieser nicht mehr erreichbar ist oder gar unter der Last abstürzt. Die Website oder der Online-Service auf dem Server funktioniert nicht mehr.

Einen bleibenden Schaden an der IT-Infrastruktur hinterlassen die Angriffe nicht. Sie sind etwa vergleichbar mit Aktivisten, die mit einer Sitzblockade den Straßenverkehr aufhalten. Wenn der Server nicht mehr mit Anfragen überlastet wird oder die böswilligen Anfragen aussortiert werden können, läuft er wieder normal.

Anonymous-Gruppe griff Postfinance an

Solche DDoS-Angriffe gibt es seit Jahren. Zum Beispiel geriet die Postfinance bereits 2010 ins Visier der Aktivistengruppe Anonymous. Die Server des Finanzinstituts wurden mit Anfragen überlastet, weil Postfinance dem Wikileaks-Gründer Julian Assange ein Konto verweigerte.

Die Finanzbranche ist ein gutes Ziel für DDoS-Angriffe, weil ihre E-Banking-Dienste rund um die Uhr verfügbar sein müssen – und Ausfälle rasch spürbar sind. In der Schweiz waren 2016 zum Beispiel eine Reihe von Online-Shops betroffen. Teilweise sollten solche DDoS-Angriffe die betroffenen Firmen dazu bringen, ein Schutzgeld zu zahlen, um nicht mehr angegriffen zu werden. Der deutsche Experte Markus Manzke von der Firma ZeroBS glaubt aber nicht, dass dabei jeweils viel Geld geflossen ist. Er sagt, das kriminelle Geschäft mit DDoS-Angriffen sei seit einigen Jahren vorbei.

Mit dem russischen Angriff auf die Ukraine im Februar 2022 haben jedoch politisch motivierte DDoS-Angriffe einen neuen Aufschwung erlebt. Die Ukraine hat etwa eine «IT-Armee» gegründet, um mit Freiwilligen aus aller Welt solche Angriffe gegen russische Ziele auszuführen. Auf russischer Seite haben sich ebenfalls mehrere DDoS-Gruppen gebildet.

Die bekannteste prorussische Gruppe ist Killnet. Sie hat zum Beispiel Länder angegriffen, welche Sanktionen gegen Russland erlassen haben, und ist jetzt auch im Nahostkonflikt aktiv. Was die Gruppe betreibt, nennt Manzke ein «Attention-Game»: Es geht darum, in bestimmten Kreisen möglichst viel Aufmerksamkeit zu erhalten.

Killnet drohte zum Beispiel diesen Sommer damit, den europäischen Finanzsektor und das Swift-Netzwerk anzugreifen. Die Ankündigungen sorgen für Aufsehen, geschehen ist aber später nichts. Laut Manzke kämpft Gruppen wie Killnet auch immer mit Finanzproblemen. Zudem sind ihre Aktivitäten nicht konstant, was bei Freiwilligen nicht verwundert.

NoName057 ist jedoch anders. Diese Gruppe behauptet von sich zwar, dass sie ebenfalls aus Freiwilligen bestehe. Doch sie verhält sich nicht so. „Was NoName057 macht, ist solide Arbeit“, sagt Manzke. Die Gruppe hat offensichtlich Ressourcen, wie auch ein Bericht des Nationalen Zentrums für Cybersicherheit (NCSC) über die Angriffe im Juni zeigt.

Der tägliche Ablauf ist immer gleich. Am Morgen etwa zwischen 8 und 9 Uhr 30 gibt NoName057 eine neue Liste von Zielen für den Tag heraus. Zwingen die DDoS-Attacken kurz danach einige Websites in die Knie, erstellen die Organisatoren der Gruppe sofort Screenshots als Belege – noch bevor die Gegenmassnahmen der Serverbetreiber wirken. Diese Bildschirmaufnahmen werden über den Tag verteilt als Erfolgsmeldungen auf dem Telegram-Kanal veröffentlicht. Am Wochenende besteht diese Liste aus einer Auswahl von Zielen der Woche.

Als Besonderheit kennt NoName057 außerdem ein Prämiensystem. Wer sich an den DDoS-Angriffen besonders aktiv beteiligt, dem winkt eine Belohnung in einer Kryptowährung. Dass die Gruppe dafür Spendenaufrufe lanciert hat, ist laut NCSC nicht bekannt – obwohl solche ja möglichst breit gestreut werden müssten. Die Gruppe hat offensichtlich auch Geld, ganz im Unterschied zu den anderen DDoS-Gruppen. Die große Frage sei, so Manzke, woher das Geld von NoName057 kommt.

Hinter NoName057 stehen Profis – und ein Sponsor

In technischer Hinsicht weist NoName057 eine hohe Professionalität auf. Der Aufbau der IT-Infrastruktur, schreiben Analysten der Firma Team Cymru bereits Anfang Jahr, machen deutlich: Die Betreiber von NoName057 sind mit der Entwicklung und Wartung von Serversystemen vertraut. Da stecken Profis dahinter.

Team Cymru hat denn auch Zweifel, dass es sich tatsächlich um eine Gruppe von Freiwilligen handelt. Denn ein Großteil der verwendeten Infrastruktur stammt von einem einzigen Anbieter. Es besteht daher die beste Möglichkeit, dass ein einzelner großzügiger Spender die Angriffe massgeblich unterstützen oder die Gruppe selbst Infrastruktur anmieten kann, um die Angriffe erfolgreich durchführen zu können.

Es gibt Hinweise, dass die Organisatoren der Gruppe aus Russland heraus operieren – was naheliegend ist. Das bedeutet aber keineswegs, dass der Kreml bzw. ein russischer Geheimdienst direkt hinter den Aktionen steckt. Russland ist dafür bekannt, dass seine Geheimdienste Kriminelle oder Hacker handeln lassen – teilweise mit Gegengeschäften. NoName057 könnte eine solche Gegenleistung sein.

Noch wahrscheinlicher ist, dass eine Person mit guten Beziehungen zum Kreml eine solche Gruppe finanziert. Der frühere Chef der Privatarmee Wagner, Jewgeni Prigoschin, hatte das etwa mit seiner sogenannten Troll-Fabrik getan, welche Desinformation im Westen verbreitete. In früheren Angriffen war eine kremlnahe Jugendorganisation an DDoS-Angriffen beteiligt. Was auf jeden Fall so gut wie ausgeschlossen ist: dass die russischen Geheimdienste keine Kenntnisse darüber haben, wer hinter NoName057 steckt.

Unabhängig von den Hintermännern von NoName057 ist die Absicht der Operation offensichtlich. Es geht nicht darum, dem Opfer einen Schaden zuzufügen. Vielmehr soll in der Öffentlichkeit eine Wirkung erzielt werden. Das kann in den Zielländern Verunsicherung oder gar Angst sein. Beim heimischen Publikum in Russland können die Aktionen als Bestätigung der eigenen Stärke dienen.

Angriffe haben die Angst vor einem Cyberkrieg geschürt

Wie dieser Mechanismus wirkt, zeigt die Angriffswelle im Juni in der Schweiz gut. Die DDoS-Angriffe sorgen zwar für Ausfälle, diese waren jedoch nur kurzzeitig und verursachten keine bleibenden Schäden. Der schwerwiegendste Unterbruch betraf wohl die Bundesverwaltung selbst: Weil ein Zugangsserver wegen Überlastung ausfiel, war am 12. Juni das Authentifizierungssystem ab 8 Uhr morgens für 45 Minuten nicht erreichbar, wie das NCSC auf Anfrage der NZZ bestätigte. Die Mitarbeiter des Bundes konnten sich nicht einloggen.

Viel größer war dagegen die Wirkung der DDoS-Angriffe in der Öffentlichkeit. Ein erster Angriff auf die Website des Parlaments am 7. Juni blieb größtenteils unbeachtet. Erst nachdem das NCSC anlässlich einer zweiten Angriffswelle am 12. Juni eine Medienmitteilung veröffentlicht hatte, kam es zu einer breiten Berichterstattung. In der Öffentlichkeit entstand der Eindruck, die Schweiz sei das Ziel gefährlicher Angriffe.

In jenen Tagen kommunizierte der Bund auch, dass im Rahmen eines kriminellen Ransomware-Angriffs auf die IT-Firma Xplain-Daten der Bundesverwaltung gestohlen und ins Darknet gestellt wurden. Zusammen mit den DDoS-Angriffen führt das auf politischer Ebene dazu, dass eine Parlamentarierin den Bundesrat fragte, ob sich die Schweiz bereits in einem Cyberkrieg befinde, ohne es zu merken.

Diese Angst vor russischen Cyberangriffen oder gar vor einem angeblichen Cyberkrieg – wobei bereits der Begriff umstritten ist – spielt Russland in den Händen. Es ist der vermutlich größte Erfolg der Gruppe NoName057 in der Schweiz. Sie hat es geschafft, in der Öffentlichkeit den Eindruck zu erwecken, eine Gefahr für die Schweiz darzustellen.

NoName057 hat eine tiefe Erfolgsquote bei ihren Angriffen

Wie massenhaft die Gruppe mit ihren angeblichen Erfolgsmeldungen übertreibt, hat sich erst kürzlich im November wieder gezeigt. An zwei Tagen vermeldete NoName057 auf Telegram Angriffe auf Schweizer Ziele. Doch so erfolgreich wie behauptet war die Aktion keineswegs: Am 17. November gab NoName057 18 Websites von Unternehmen und der Bundesverwaltung als Ziele aus, am 28. November waren es 21 Websites.

Am ersten Tag konnte NoName057 nur bei 5 Sites einen Erfolg melden, am zweiten Tag waren es 3 Erfolgsmeldungen. Und selbst in diesen Fällen gibt es Hinweise, dass einige der Websites für Schweizer Nutzer weiterhin erreichbar und nur für Zugriffe aus dem Ausland gesperrt waren. Die Bilanz fällt insgesamt auch mager aus.

Der Ukraine-Krieg geht im Cyberraum nicht spurlos an der Schweiz vorbei. Allerdings ist nicht jeder Angriff gleich gefährlich. Wer an das Narrativ der Angreifer glaubte, spielt Russland in den Händen. Dann sind die Angriffe sogar ein Erfolg – ​​aber nicht, weil sie einen Schaden verursacht hätten. Sondern weil die Propagandawirkung zeigt.