5. Mai 2025 Wolfgang Franz

Cyberangriffe im Staatsauftrag: Wie Hacktivismus zur geopolitischen Waffe wird

Staatlich unterstützter Hacktivismus spielt eine zunehmend bedeutende Rolle in internationalen Konflikten. Eine aktuelle Analyse von 780 Cyberangriffen aus dem Jahr 2024 zeigt, wie gezielte Aktionen im digitalen Raum als strategisches Werkzeug genutzt werden. ITWelt.at hat sich die Studie von Forescout angesehen. [...]

Die Angriffe zielen klar auf kritische Infrastrukturen, um politische Instabilität zu fördern und internationale Unterstützungsnetzwerke zu schwächen. (c) Pexels
Die Angriffe zielen klar auf kritische Infrastrukturen, um politische Instabilität zu fördern und internationale Unterstützungsnetzwerke zu schwächen. (c) Pexels

Im Zentrum der Untersuchung „The Rise of State-Sponsored Hacktivism“ von Forescout stehen vier besonders aktive Hacktivistengruppen: BlackJack, Handala Group, Indian Cyber Force und NoName057(16). Sie agieren entlang der Frontlinien des Russland-Ukraine- und Israel-Palästina-Konflikts. Anstatt lediglich Webseiten zu manipulieren oder einfache DDoS-Angriffe (Distributed Denial of Service) durchzuführen, konzentrieren sich diese Gruppen zunehmend auf komplexere Attacken wie Datendiebstahl, gezielte Störungen industrieller Kontrollsysteme (ICS) und psychologisch motivierte Angriffe auf kritische Infrastrukturen. Häufig verschleiern sie dabei ihre staatliche Unterstützung durch scheinbar unabhängige Identitäten – ein Phänomen, das in der Studie als „Faketivismus“ bezeichnet wird.

Vom digitalen Protest zum Instrument staatlicher Einflussnahme

Der Begriff Hacktivismus entstand in den 1990er-Jahren als Form digitalen Protests. Ziel war es, auf soziale oder politische Missstände hinzuweisen – oft durch Webseiten-Defacements oder durch das Lahmlegen von Online-Diensten. Gruppen wie Anonymous standen exemplarisch für diese frühe Phase, in der es vor allem um ideologisch motivierte Botschaften ging.

Mit der zunehmenden Vermischung von politischer Auseinandersetzung und digitalem Raum veränderte sich die Rolle von Hacktivisten grundlegend. Seit den 2010er-Jahren treten immer mehr Gruppen auf, die zwar weiterhin als Aktivisten auftreten, jedoch direkte oder indirekte Verbindungen zu staatlichen Stellen pflegen. Diese Entwicklung führt dazu, dass sich Grenzen zwischen Graswurzelbewegungen und staatlich gelenkten Operationen zunehmend verwischen.

Geopolitische Konflikte als Katalysator

Die jüngsten Eskalationen in der Ukraine und im Nahen Osten haben einen deutlichen Anstieg an Hacktivisten-Aktivitäten ausgelöst. Die Studie nennt drei zentrale Gründe für diesen Anstieg:

  • Polarisierte Meinungen und hohe Sichtbarkeit: Die breite öffentliche Aufmerksamkeit für die Konflikte hat es Gruppen erleichtert, Unterstützer zu mobilisieren und sich als Sprachrohr bestimmter Narrative zu positionieren.
  • Zunehmende Rolle in der Informationskriegsführung: Selbst technisch einfache Angriffe können heute gezielt zur Meinungsmanipulation eingesetzt werden – etwa durch das Veröffentlichen kompromittierender Daten oder durch medienwirksame Angriffe auf Regierungsstellen.
  • Breiter Zugang zu Angriffswerkzeugen: Die Verfügbarkeit von Hacking-Tools hat die Einstiegshürden gesenkt. Selbst technisch weniger versierte Gruppen können heute Schadsoftware einsetzen oder industrielle Systeme stören.

Zugleich wird Hacktivismus gezielt von Staaten als strategisches Mittel genutzt. Unterstützungen erfolgen dabei auf zwei Wegen: direkt durch Bereitstellung von Infrastruktur, Geld oder Informationen – oder indirekt, etwa durch Duldung oder juristische Immunität.

Der Aufstieg des „Faketivismus“

Ein besonders perfider Trend ist das staatlich inszenierte Auftreten als unabhängige Aktivistengruppe. Regierungen oder staatsnahe Organisationen geben sich dabei als Dissidenten aus, nutzen typische Hacktivisten-Symbole und verbreiten Desinformationen im Stil zivilgesellschaftlicher Proteste. Ziel ist es, geopolitische Interessen unter dem Deckmantel von Aktivismus durchzusetzen. Beispiele wie „Predatory Sparrow“ (mutmaßlich israelisch) oder iranische Gruppen wie „Karma Power“ zeigen, wie gezielt dieses Mittel eingesetzt wird.

Strategische Vorteile für Staaten

Hacktivismus bietet Staaten mehrere Vorteile:

  • Plausible Abstreitbarkeit: Offizielle Stellen können Verantwortung für Angriffe zurückweisen, da scheinbar unabhängige Gruppen agieren.
  • Schwierige Rückverfolgbarkeit: Die Attribution von Cyberangriffen ist ohnehin komplex. Die Kombination aus echten Aktivisten, staatlich unterstützten Gruppen und Faketivisten macht sie nahezu unmöglich.
  • Scheinbar breite Unterstützung: Der Eindruck einer großen Unterstützerbasis kann staatliche Narrative verstärken und Widerstand diskreditieren.
  • Aufgebauschte Wirkung: Angriffe werden häufig übertrieben dargestellt, ihre Wirkung medienwirksam in Szene gesetzt – auch durch KI-generierte Bilder oder manipulierte Inhalte.

Vier Gruppen im Fokus

Die Studie untersucht exemplarisch vier Gruppen, die 2024 besonders aktiv waren:

BlackJack

Die ukrainische Gruppe BlackJack ist seit Oktober 2023 aktiv und hat ausschließlich russische Ziele angegriffen. Ihre Spezialität: Datendiebstahl und die Zerstörung digitaler Infrastrukturen. Besonders beachtet wurde ein Angriff auf eine russische Militärbauorganisation, bei dem 1,2 Terabyte vertraulicher Daten entwendet wurden – darunter Karten militärischer Einrichtungen. In einem weiteren Fall sabotierte die Gruppe mit maßgeschneiderter Malware („Fuxnet“) ein Moskauer Abwassersystem, indem sie Industrie-Sensoren lahmlegte und wichtige Steuerdaten löschte. BlackJack wird mutmaßlich vom ukrainischen Geheimdienst unterstützt.

Handala Group

Die iranische Handala Group richtet sich gezielt gegen israelische Ziele. Ihre Angriffe reichen von Phishing über Ransomware bis hin zu Datenlecks. Besonders aufsehenerregend war ein Angriff auf das israelische Radarsystem, bei dem angeblich Drohnachrichten an 500.000 Personen verschickt wurden – ein Beispiel für psychologische Kriegsführung. In einem anderen Fall sollen Daten zu X-ray-Scannern und Batterien gestohlen worden sein, die laut Gruppe für Explosionen im Zusammenhang mit Hezbollah verantwortlich waren. Handala betreibt neben Telegram auch eine eigene Webseite zur Verbreitung ihrer Inhalte – ein Hinweis auf ihre strategische Ausrichtung und mediale Professionalisierung.

Indian Cyber Force

Diese indische Gruppe verfolgt eine nationalistisch-proisraelische Agenda. Ihre Angriffsziele befinden sich überwiegend in Pakistan, Bangladesch, Indonesien, dem Vereinigten Königreich, Kanada und auf den Malediven – oft mit religiöser oder politischer Begründung. Hauptmethode ist das Defacement von Webseiten, ergänzt durch Datendiebstahl und vereinzelt durch das Hacken von Überwachungskameras. Dabei sind nicht nur staatliche Institutionen, sondern auch Banken, Bildungseinrichtungen und religiöse Organisationen betroffen. Die Gruppe tritt öffentlich auf Telegram auf und betont ihre politische Motivation.

NoName057(16)

Die russische Gruppe NoName057(16) ist mit Abstand die aktivste unter den untersuchten Gruppen: 704 der 780 analysierten Angriffe gehen auf ihr Konto. Seit März 2022 führt sie nahezu täglich DDoS-Angriffe durch – primär gegen Webseiten in der Ukraine, Europa und Nordamerika. Besonders im Fokus stehen NATO-Staaten. Die Gruppe nutzt das DDoSia-Projekt, ein von Russland unterstütztes Tool zur Durchführung koordinierter Angriffe, und belohnt Teilnehmer finanziell. Verbindungen zu der ebenfalls staatlich unterstützten Gruppe „Cyber Army of Russia Reborn“ (CARR) deuten auf enge Verflechtungen mit dem russischen Staat hin.

Ziele, Methoden und betroffene Regionen

91 Prozent aller dokumentierten Angriffe richteten sich gegen Webseiten, davon wiederum fast alle über DDoS-Attacken. Nur 7 Prozent betrafen Datenexfiltrationen, etwa bei Regierungseinrichtungen oder Unternehmen. Weitere 2 Prozent zielten auf IoT- oder industrielle Steuerungssysteme. Besonders stark betroffen waren Europa (82 Prozent) und Asien (18 Prozent). In den Amerikas wurden kaum Angriffe registriert.

Die wichtigsten Zielbranchen waren:

  • Regierungsstellen und Militär (44 Prozent)
  • Transport und Logistik (21 Prozent)
  • Finanzdienstleister (13 Prozent)

Somit zeigt sich: Die Angriffe zielen klar auf kritische Infrastrukturen, um politische Instabilität zu fördern und internationale Unterstützungsnetzwerke zu schwächen.

Ausblick für 2025

Die Studie erwartet für das laufende Jahr folgende Entwicklungen:

  • DDoS bleibt Hauptwaffe: Angriffe wie bei NoName057(16) lassen sich leicht umsetzen und werden weiterhin dominieren.
  • Mehr Angriffe auf IoT- und OT-Systeme: Technisch versierte Gruppen könnten häufiger physische Infrastrukturen lahmlegen.
  • Kritische Infrastrukturen bleiben Ziel: Besonders betroffen bleiben Bereiche wie Energieversorgung, Finanzsysteme und Verwaltung.
  • Fokus auf Konfliktzonen: Angriffe konzentrieren sich auf Länder im Krieg oder auf deren Unterstützer – mit Israel, Ukraine, USA und europäischen Staaten als Hauptziele.
  • Zunahme staatlicher Tarnidentitäten: Immer mehr Staaten könnten Hacktivistenrollen übernehmen oder verstärkt nutzen.
  • Dynamik durch Gruppenwechsel: Wie bei Ransomware-Gruppen ist mit Rebrandings, Spaltungen oder Namenswechseln zu rechnen, um Strafverfolgung zu entgehen.

Das Fazit der ITWelt-Redaktion

Hacktivismus hat sich von einer digitalen Protestform zu einem Instrument geopolitischer Machtentfaltung entwickelt. Staaten nutzen diese Gruppen gezielt zur Desinformation, zur Destabilisierung gegnerischer Infrastrukturen und zur Tarnung eigener Operationen. Angesichts wachsender Spannungen in globalen Konfliktzonen dürfte diese Form der hybriden Kriegsführung auch 2025 weiter zunehmen. Die Studie kann hier heruntergeladen werden.


Mehr Artikel

News

Mehr als nur ein Compliance-Kriterium: Cybersicherheit ist eine Angelegenheit der Unternehmenskultur

5. Dezember 2025 Nicholas Jackson *

Ein Blick in die Praxis zeigt: IT-Sicherheit scheitert nicht an Technologien oder Fehlverhalten, sondern bereits grundsätzlich an einem Mangel an Unternehmenskultur. Wenn Cybersicherheit in einer Organisation nur als eine schlecht durchgesetzte Aufgabe von anderen für andere verstanden wird, entsteht vielleicht eine oberflächliche Compliance, aber keine wirkliche Cyberresilienz. […]

Michael Maier, Director Austria iteratec (c) iteratec
Kommentar

KI-Transformation in Unternehmen – Eine Revolution in fünf Schritten 

4. Dezember 2025 Michael Maier*

Wie weit wird die Evolution der Künstlichen Intelligenz gehen und wie wird sie sich auf Wirtschaft und Gesellschaft als Ganzes auswirken? Was für Privatpersonen interessante Fragen sind, sind für Unternehmer existenzielle Themen, schließlich müssen diese wirtschaftlich gegenüber Konkurrenten bestehen, von denen viele bereits an einer effektiven Nutzung von KI arbeiten. […]

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*