NoName057 gibt sich als Gruppe von Internet-Aktivisten aus, welche die Feinde Russlands angreifen. In der Schweiz ist die Gruppe mit ihren Aktionen zur Einschüchterung erfolgreich.
Der russische Bär ist das Markenzeichen auf Telegram. Er sitzt in einer militärisch wirkenden Uniform hinter einem Laptop oder zündet eine Dynamitstange an. Mit dieser Figur schmückt die Gruppe «NoName057(16)» ihre zahlreichen Meldungen von Cyberangriffen auf westliche Websites, welche sie auf Telegram publiziert. Doch so erfolgreich sind die Attacken gar nicht.
Der Gruppe NoName057 kann das egal sein. Sie will Aufsehen erregen in der Öffentlichkeit und im Westen Angst schüren vor russischen Cyberattacken. Dazu reicht es, wenn die Angriffe technisch mehrheitlich harmlos sind. Ihre Wirkung entfaltet die Gruppe durch die öffentliche Berichterstattung. Auch in der Schweiz.
Im Juni sorgte NoName057 mehrere Tage lang für Schlagzeilen in Schweizer Medien. Die Gruppe hatte damals Websites des Parlaments, der Bundesverwaltung, von Transportunternehmen wie Postauto oder SOB sowie zahlreicher Städte angegriffen. Als Grund gab sie den geplanten Auftritt des ukrainischen Präsidenten Selenski im Parlament sowie einen Entscheid zur Wiederausfuhr von Waffen an.
Die Gruppe drohte damals grossspurig, sie könne die gesamte Internet-Infrastruktur der Schweiz zerstören. Davon war allerdings nichts zu spüren. Die Ausfälle, welche die Angriffe verursachten, waren begrenzt. Ohne Medienberichte hätte wohl kaum jemand gemerkt, dass die Websites für vielleicht eine oder zwei Stunden nicht erreichbar waren.
NoName057 ist eine jener Gruppen angeblicher Aktivisten – «Hacktivisten» genannt –, welche nach dem russischen Angriff auf die Ukraine aufgetaucht sind. Sie verüben meist sogenannte DDoS-Attacken (Distributed Denial of Service), bei denen ein Netzwerk von Rechnern einen ausgewählten Server mit Anfragen überhäufen, bis dieser nicht mehr erreichbar ist oder gar unter der Last abstürzt. Die Website oder der Online-Service auf dem Server funktioniert nicht mehr.
Einen bleibenden Schaden an der IT-Infrastruktur hinterlassen die Angriffe nicht. Sie sind etwa vergleichbar mit Aktivisten, welche mit eine Sitzblockade den Strassenverkehr aufhalten. Wenn der Server nicht mehr mit Anfragen überlastet wird oder die böswilligen Anfragen aussortiert werden können, läuft er wieder normal.
Anonymous-Gruppe griff Postfinance an
Solche DDoS-Attacken gibt es seit Jahren. Zum Beispiel geriet die Postfinance bereits 2010 ins Visier der Aktivistengruppe Anonymous. Die Server des Finanzinstituts wurden mit Anfragen überlastet, weil Postfinance dem Wikileaks-Gründer Julian Assange ein Konto verweigerte.
Die Finanzbranche ist ein gutes Ziel für DDoS-Attacken, weil ihre E-Banking-Dienste rund um die Uhr verfügbar sein müssen – und Ausfälle rasch spürbar sind. In der Schweiz waren 2016 zum Beispiel eine Reihe von Online-Shops betroffen. Teilweise sollten solche DDoS-Angriffe die betroffenen Firmen dazu bringen, ein Schutzgeld zu bezahlen, um nicht mehr angegriffen zu werden. Der deutsche Experte Markus Manzke von der Firma ZeroBS glaubt aber nicht, dass dabei jeweils viel Geld geflossen ist. Er sagt, das kriminelle Geschäft mit DDoS-Angriffen sei seit einigen Jahren vorbei.
Mit dem russischen Angriff auf die Ukraine im Februar 2022 haben jedoch politische motivierte DDoS-Angriffe einen neuen Aufschwung erlebt. Die Ukraine etwa hat eine «IT Army» gegründet, um mit Freiwilligen aus aller Welt solche Attacken gegen russische Ziele auszuführen. Auf russischer Seite haben sich ebenfalls mehrere DDoS-Gruppen gebildet.
Die bekannteste prorussische Gruppe ist Killnet. Sie hat zum Beispiel Länder angegriffen, welche Sanktionen gegen Russland erlassen haben, und ist jetzt auch im Nahostkonflikt aktiv. Was die Gruppe betreibt, nennt Manzke ein «Attention-Game»: Es geht darum, in bestimmten Kreisen möglichst viel Aufmerksamkeit zu erhalten.
Killnet drohte zum Beispiel diesen Sommer damit, den europäischen Finanzsektor und das Swift-Netzwerk anzugreifen. Die Ankündigung sorgte für Aufsehen, geschehen ist aber später nichts. Laut Manzke kämpfen Gruppen wie Killnet auch immer mit Finanzproblemen. Zudem sind ihre Aktivitäten nicht konstant, was bei Freiwilligen nicht verwundert.
NoName057 jedoch ist anders. Diese Gruppe behauptet von sich zwar, dass sie ebenfalls aus Freiwilligen bestehe. Doch sie verhält sich nicht so. «Was NoName057 macht, ist solide Arbeit», sagt Manzke. Die Gruppe hat offensichtlich Ressourcen, wie auch ein Bericht des Nationale Zentrums für Cybersicherheit (NCSC) über die Attacken im Juni zeigt.
Der tägliche Ablauf ist immer gleich. Am Morgen etwa zwischen 8 und 9 Uhr 30 gibt NoName057 eine neue Liste von Zielen für den Tag heraus. Zwingen die DDoS-Attacken kurz danach einige Websites in die Knie, erstellen die Organisatoren der Gruppe sofort Screenshots als Belege – noch bevor die Gegenmassnahmen der Serverbetreiber wirken. Diese Bildschirmaufnahmen werden über den Tag verteilt als Erfolgsmeldungen auf dem Telegram-Kanal publiziert. Am Wochenende besteht diese Liste aus einer Auswahl von Zielen der Woche.
Als Besonderheit kennt NoName057 zudem ein Prämiensystem. Wer sich an den DDoS-Angriffen besonders aktiv beteiligt, dem winkt eine Belohnung in einer Kryptowährung. Dass die Gruppe dafür Spendenaufrufe lanciert habe, ist laut NCSC nicht bekannt – obwohl solche ja möglichst breit gestreut werden müssten. Die Gruppe hat also offensichtlich Geld, ganz im Unterschied zu den anderen DDoS-Gruppen. Die grosse Frage sei, so Manzke, woher das Geld von NoName057 kommt.
Hinter NoName057 stehen Profis – und ein Sponsor
In technischer Hinsicht weist NoName057 eine hohe Professionalität auf. Der Aufbau der IT-Infrastruktur, schreiben Analysten der Firma Team Cymru bereits Anfang Jahr, mache deutlich: Die Betreiber von NoName057 sind mit der Entwicklung und Wartung von Serversystemen vertraut. Da stecken Profis dahinter.
Team Cymru hat denn auch Zweifel, dass es sich tatsächlich um eine Gruppe von Freiwilligen handelt. Denn ein Grossteil der verwendeten Infrastruktur stammt von einem einzigen Provider. Es bestehe deshalb die Möglichkeit, dass ein einzelner grosszügiger Spender die Angriffe massgeblich unterstütze oder die Gruppe selbst Infrastruktur anmiete, um die Attacken erfolgreich durchführen zu können.
Es gibt Hinweise, dass die Organisatoren der Gruppe aus Russland heraus operieren – was naheliegend ist. Das bedeutet aber keineswegs, dass der Kreml beziehungsweise ein russischer Geheimdienst direkt hinter den Aktionen steckt. Russland ist bekannt dafür, dass seine Geheimdienste Kriminelle oder Hacker gewähren lassen – teilweise mit Gegengeschäften. NoName057 könne eine solche Gegenleistung sein.
Noch wahrscheinlicher ist, dass eine Person mit guten Beziehungen zum Kreml eine solche Gruppe finanziert. Der frühere Chef der Privatarmee Wagner, Jewgeni Prigoschin, hatte das etwa mit seiner sogenannten Troll-Fabrik getan, welche Desinformation im Westen verbreitete. In früheren Angriffen war eine kremlnahe Jugendorganisation in DDoS-Attacken involviert. Was auf jeden Fall so gut wie ausgeschlossen ist: dass die russischen Geheimdienste keine Kenntnisse darüber haben, wer hinter NoName057 steckt.
Unabhängig von den Hintermännern von NoName057 ist die Absicht der Operation offensichtlich. Es geht nicht darum, dem Opfer einen Schaden zuzufügen. Vielmehr soll in der Öffentlichkeit eine Wirkung erzielt werden. Das kann in den Zielländern Verunsicherung oder gar Angst sein. Beim heimischen Publikum in Russland können die Aktionen als Bestätigung der eigenen Stärke dienen.
Angriffe haben die Angst vor einem Cyberkrieg geschürt
Wie dieser Mechanismus wirkt, zeigt die Angriffswelle im Juni in der Schweiz gut. Die DDoS-Attacken sorgten zwar für Ausfälle, diese waren jedoch nur kurzzeitig und verursachten keine bleibenden Schäden. Der schwerwiegendste Unterbruch betraf wohl die Bundesverwaltung selbst: Weil ein Zugangsserver wegen Überlastung ausfiel, war am 12. Juni das Authentifizierungssystem ab 8 Uhr morgens für 45 Minuten nicht erreichbar, wie das NCSC auf Anfrage der NZZ bestätigt. Die Mitarbeiter des Bundes konnten sich nicht einloggen.
Viel grösser hingegen war die Wirkung der DDoS-Angriffe in der Öffentlichkeit. Ein erster Angriff auf die Website des Parlaments am 7. Juni blieb grösstenteils unbeachtet. Erst nachdem das NCSC anlässlich einer zweiten Angriffswelle am 12. Juni eine Medienmitteilung veröffentlicht hatte, kam es zu einer breiten Berichterstattung. In der Öffentlichkeit entstand der Eindruck, die Schweiz sei das Ziel gefährlicher Attacken.
In jenen Tagen kommunizierte der Bund auch, dass im Rahmen eines kriminellen Ransomware-Angriffs auf die IT-Firma Xplain Daten der Bundesverwaltung gestohlen und ins Darknet gestellt worden waren. Zusammen mit den DDoS-Attacken führt das auf politischer Ebene gar dazu, dass eine Parlamentarierin den Bundesrat fragte, ob sich die Schweiz bereits in einem Cyberkrieg befinde, ohne es zu merken.
Diese Angst vor russischen Cyberangriffen oder gar vor einem angeblichen Cyberkrieg – wobei bereits der Begriff umstritten ist – spielt Russland in die Hände. Es ist der vermutlich grösste Erfolg der Gruppe NoName057 in der Schweiz. Sie hat es geschafft, in der Öffentlichkeit den Eindruck zu erwecken, eine Gefahr für die Schweiz darzustellen.
NoName057 hat eine tiefe Erfolgsquote bei ihren Angriffen
Wie masslos die Gruppe mit ihren angeblichen Erfolgsmeldungen übertreibt, hat sich erst kürzlich im November wieder gezeigt. An zwei Tagen vermeldete NoName057 auf Telegram Angriffe auf Schweizer Ziele. Doch so erfolgreich wie behauptet war die Aktion keineswegs: Am 17. November gab NoName057 18 Websites von Unternehmen und der Bundesverwaltung als Ziele aus, am 28. November waren es 21 Websites.
Am ersten Tag konnte NoName057 nur bei 5 Sites einen Erfolg vermelden, am zweiten Tag waren es 3 Erfolgsmeldungen. Und selbst ist diesen Fällen gibt es Hinweise, dass einige der Websites für Schweizer Nutzer weiterhin erreichbar und nur für Zugriffe aus dem Ausland gesperrt waren. Die Bilanz fällt insgesamt also mager aus.
Der Ukraine-Krieg geht im Cyberraum nicht spurlos an der Schweiz vorbei. Allerdings ist nicht jeder Angriff gleich gefährlich. Wer an das Narrativ der Angreifer glaubt, spielt Russland in die Hände. Dann sind die Angriffe sogar ein Erfolg – aber nicht, weil sie einen Schaden verursacht hätten. Sondern weil die Propaganda Wirkung zeigt.
