# taz.de -- Angriff auf die taz: Gezielt getroffen
> Am Tag der Bundestagswahl legt ein Cyberangriff taz.de lahm. Es ist nicht
> der erste dieser Art. Warum das kein Zufall ist.
Es ist 15.36 Uhr am Sonntagnachmittag, als die erste Alarmmeldung
erscheint. „Problem“, leuchtet auf einem Bildschirm der IT-Abteilung der
taz auf. Dazu steht in einer Zeile eine Erklärung:
„https://monde-diplomatique.de/ on groovy.taz.de (193.104.220.25) is
CRITICAL.“
Für die Systemadministratoren der taz ist dieser Satz nicht kryptisch. Er
ist besorgniserregend. „CRITICAL“ steht in Großbuchstaben in einer weiteren
Zeile dieser Meldung, mit dem Zusatz „Socket timeout after 10 seconds“.
Übersetzt bedeutet diese Nachricht: Die Webseite von Le Monde diplomatique,
die der Verlag der taz in Deutschland herausgibt, liegt lahm. Und wenn
diese Seite lahmliegt, dann liegt auch taz.de lahm. Beide Webseiten nutzen
die selben Server.
Ungefähr zeitgleich zu dieser automatisch generierten technischen
Warnmeldung klingelt auch das Telefon bei dem Mitarbeiter, der vor Regalen
voller Kabel und Adapter in der EDV-Abteilung des taz-Hauses sitzt. Nicht
nur das System hat das Problem bemerkt, sondern auch die Menschen in der
Redaktion. Wenige Minuten und ein paar Anrufe später wird die komplette
Abteilung der Systemadministratoren vor ihren Bildschirmen sitzen – aus dem
Homeoffice und teils auch aus dem Urlaub. Die Chefredaktion wird einen
internen Chat zur Koordinierung einrichten. Die Aufregung ist groß.
Es ist der 23. Februar 2025, der Sonntag der vorgezogenen Bundestagswahl.
In zweieinhalb Stunden wird es die ersten Prognosen geben. Und taz.de ist
nicht zu erreichen.
Knapp zwei Stunden werden die Techniker der taz an diesem Tag darum
kämpfen, dass taz.de wieder online geht. Das Haus ist voll, die
Redakteur*innen bespielen einen Liveticker zur Wahl, schreiben erste
Analysen, führen Interviews und bereiten die Zeitung für den nächsten Tag
vor. Doch Leser*innen, die in dieser Zeit auf taz.de zugreifen wollen,
bekommen davon nichts mit. Alles, was sie sehen, ist eine Fehlermeldung.
Für die taz ist das katastrophal. Der Tag einer Bundestagswahl ist
publizistisch und politisch einer der wichtigsten überhaupt. Die taz
berichtet deutlich mehr als an einem durchschnittlichen Sonntag, erreicht
mehr Leser*innen. taz-Kommentare werden in anderen Medien zitiert. Es
ist ein Tag, an dem die taz ausstrahlt, auch über die Stammleser*innen
hinaus. Und der Ausfall kostet Geld. Leser*innen können nicht für
[1][das freiwillige Bezahlmodell „taz zahl ich“] spenden, nichts [2][im taz
shop bestellen] und kein [3][Abo abschließen]. Einnahmen aus Werbeanzeigen
bleiben aus.
Zwar schaltet die Redaktion an jenem Sonntag schnell um und setzt den
Liveticker, der bis dahin auf taz.de lief, nun auf den taz-Kanälen in den
sozialen Medien fort. Aber da erreicht er viel weniger Leute.
Wir haben uns entschieden, diesen Ausfall nicht nur intern aufzuarbeiten,
sondern ihn auch öffentlich zu machen. Das ist heikel. Diejenigen, die die
taz angegriffen haben, könnten diesen Text als Ermutigung verstehen. Sie
könnten erneut zuschlagen. Die letzten Vorfälle haben gezeigt, wie
verwundbar die taz ist.
Andererseits finden wir es wichtig, dass die Öffentlichkeit erfährt, wie
heftig und regelmäßig die Presse attackiert wird. Angriffe auf die
kritische Infrastruktur der Demokratie sind nicht nur zu befürchten. Sie
sind längst Alltag. Nur kommunizieren viele Betriebe – und bisher auch die
taz – solche Angriffe eher nicht oder nur knapp. Neben Medienhäusern sind
auch andere Unternehmen ständig solchen Angriffen ausgesetzt. Sie treffen
Flughäfen, Krankenhäuser, Behörden, Parteien, Banken. Sie können ein dummer
Kinderstreich sein – oder eine Waffe, gerichtet auf den politischen Gegner.
Eine Waffe in einem Krieg, der längst nicht mehr nur in Schützengräben
ausgetragen wird. Einem hybriden Krieg.
Der Angriff am 23. Februar war nicht der schwerste auf die taz, nicht der
erste und nicht der letzte. Aber durch den Zeitpunkt kommt ihm eine größere
Bedeutung zu. Für diesen Text haben wir technische Protokolle vom
Wahlsonntag und weiteren Tagen untersucht, haben die Datenspuren der
Angreifer nachverfolgt, im Darknet und in Hackerforen recherchiert und mit
Expert*innen gesprochen. Inzwischen haben wir eine Ahnung, wer hinter
den Angriffen steckt. Es handelt sich, sehr wahrscheinlich, um eine
gezielte Attacke auf die Presse und speziell auf die taz.
Die Angreifer, die an jenem Sonntag die taz lahmlegen, sehen aus wie eine
Armee aus Hunderttausenden. Sie tragen aber keine Uniform und keine Waffen.
Sie geben sich als Internetnutzer aus, die versuchen, auf taz.de
zuzugreifen.
Hinter ihnen stehen aber keine wirklichen Leser*innen, sondern IP-Adressen.
IP-Adressen sind so etwas wie die Telefonnummern des Internets. Jedem
Computer, Mobiltelefon oder Smartfernseher ist eine solche Adresse
zugeordnet. Das Pikante an ihnen ist: Man kann sie auch fälschen, ohne dass
dahinter ein echter Internetnutzer steht. „Spoofing“ nennt man das. Und das
ist im Fall des taz-Angriffs wohl unter anderem passiert. Daneben nutzten
der oder die Angreifer andere Wege, um ihre Herkunft zu verschleiern, wie
beispielsweise VPN-Tunnel, die die ursprüngliche IP-Adresse verstecken.
Auf dem Höhepunkt des Angriffs versuchen an jenem Sonntagnachmittag um
15.59 Uhr innerhalb von 0,3 Sekunden 96.471 unterschiedliche IP-Adressen
auf taz.de zuzugreifen. Das ist extrem viel. Normalerweise hat taz.de im
gleichen Zeitraum Zugriffe von knapp über 50 IP-Adressen. Unsere Webseite
wird also überrannt.
Diese Art von Angriff nennt man DDoS-Attacke, das steht für „Distributed
Denial of Service“. Eine Webseite verweigert den Dienst, weil zu viele
Nutzer*innen gleichzeitig auf sie zugreifen.
DDoS-Attacken sind häufig. Sie gehören zum „Grundrauschen des Internets“,
sagt der [4][IT-Experte Manuel Atug]. Er berät Firmen im Umgang mit
Cyberangriffen. DDoS sei relativ einfach zu steuern und noch einfacher zu
skalieren. „Früher brauchte man Bomben, Waffen und ein paar Leute, um ein
Unternehmen zu überfallen“, sagt Atug. „Heute reicht ein schlauer
Jugendlicher in seinem Kinderzimmer mit einem Laptop.“
Auch die taz erreichen immer wieder DDoS-Attacken. Bisher konnten sie
meistens erfolgreich abgewehrt werden. Aber die am 23. Februar war groß und
nutzte verschiedene Methoden.
Unter all dem, was Cyberkriminelle noch anrichten können, sind
DDoS-Attacken relativ harmlos. Dabei geht kein vorhandenes Geld verloren,
und es werden keine Daten geklaut. Andere Formen der Cyberangriffe haben
weitaus drastischere Konsequenzen. Im Jahr 2021 [5][infizierten Hacker die
Server des Landkreises Anhalt-Bitterfeld] mit einer Schadsoftware und
legten damit die Verwaltung lahm. Kindergeld konnte nicht ausgezahlt,
KfZ-Zulassungen konnten nicht beantragt werden. Im Februar 2025 griffen
Hacker die IT-Systeme eines Klinikums in Berlin an. Die Rettungsstelle
musste vorübergehend abgemeldet werden, Krankenwagen konnten sie nicht mehr
anfahren.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI), die
Cybersicherheitsbehörde Deutschlands, beobachtet, dass Cyberangriffe gegen
europäische Webseiten seit dem russischen Angriffskrieg auf die Ukraine
zugenommen haben. Häufig würden sie von prorussischen Aktivisten
ausgeführt, die sie für ihre Propagandazwecke nutzten, schreibt das BSI auf
taz-Anfrage.
Die Leute, die hinter Cyberangriffen stecken, lassen sich oft nur durch
Zufall identifizieren. Manchmal ist ein Angriff so aufwändig, dass er nur
von einer Regierung orchestriert worden sein kann. Manchmal versteckt sich
in einem Stückchen Code ein Hinweis. In anderen Fällen werden damit aber
auch falsche Fährten gelegt. Und es kommt vor, dass Hacker absichtlich eine
Art Visitenkarte hinterlassen, um sich in der Szene einen Namen zu machen
oder um eine Botschaft zu übermitteln.
Letzteres ist wohl beim Angriff auf die taz am Tag der Bundestagswahl
passiert. Denn der oder die Angreifer hinterlassen eine Nachricht für die
taz. Inmitten der hunderttausenden Anfragen, die an jenem Sonntagnachmittag
die Webseiten der taz überfluten, finden wir in den Protokollen der Server
auch Textschnipsel. Die Angreifer verpacken sie in ihren Anfragen an
taz.de. So lautet eine der Webadresse, die die Angreifer aufrufen wollen:
https://taz.de/?HanoHatesU
„Hano hasst euch“?
„Hano“, diesen Namen kennen wir [6][aus unserer eigenen Berichterstattung].
Wir vermuten, dass diese Leute die taz schon einmal angegriffen haben – und
nicht nur die taz.
Seit Frühjahr 2023 haben der oder die Angreifer unter diesem Spitznamen
mindestens 40 Webseiten von regierungskritischen Medien in Ungarn
lahmgelegt. Innerhalb von einer Woche im April 2023 wurden 12 unabhängige
ungarische Medienwebseiten angegriffen. Regierungstreue Medien blieben
verschont. Die Angreifer hinterließen dabei ebenfalls ihren Namen und
dieselbe Botschaft: „Hano“ und „HanoHatesU“.
## Eine Verbindung zu Attacken in Ungarn
Bei den Angriffen auf ungarische Medien übermitteln sie manchmal noch mehr:
Kommentare zur ungarischen Medienlandschaft, zu einzelnen
Journalist*innen oder Warnungen vor weiteren Angriffen, die dann zur
angekündigten Zeit auch tatsächlich stattfinden. Die Angreifer scheinen
sich gut auszukennen mit Medien in Ungarn. Und sie scheinen all jene im
Visier zu haben, die nicht auf Linie der autoritären Orbán-Regierung sind.
Nur, wer genau hinter HanoHatesU steckt, ist schwer nachzuvollziehen. Es
kann eine Gruppe sein, es kann ein Einzelner sein. Ob diese Leute wirklich
aus Ungarn operieren, ist auch unklar – genauso wie die Frage, ob sie
womöglich im Auftrag der ungarischen Regierung handeln. Dieser Gedanke ist
nicht so abwegig. [7][Seit Jahren untergräbt Regierungschef Viktor Orbán
eine unabhängige Berichterstattung]. Kritische [8][Journalist*innen
wurden gezielt mit Spionagesoftware überwacht].
Das International Press Institute, eine der wichtigsten Institutionen für
die Pressefreiheit, [9][erklärte 2023 zu den Aktivitäten von Hano gegen
ungarische Medien, es sei davon auszugehen, dass die Verantwortlichen
relativ gut finanziert seien]. Die Kosten, die mit DDoS-Angriffen dieses
Ausmaßes und dieser Dauer verbunden seien, deuteten darauf hin. Es handele
sich um „einen der bislang umfangreichsten Cyberangriffe auf eine
unabhängige Mediengemeinschaft in einem Mitgliedstaat der Europäischen
Union“.
Vertreter der betroffenen Medien in Ungarn bestätigen das gegenüber der taz
und sagen: Die Polizei sei kaum daran interessiert, zu helfen. [10][Die
Angriffe kämen bis heute], es seien teure IT-Lösungen nötig, um sich zu
schützen. Der Chefredakteur eines ungarischen Nachrichtenportals erklärte,
er halte die Cyberangriffe für ein gezieltes Instrument, um unliebsame
Medienhäuser zu beschäftigen und Kosten bei ihnen zu verursachen.
Weder das ungarische Innenministerium, noch das Büro von Ministerpräsident
Orbán, noch das Nationale Zentrum für Cybersicherheit antworteten auf
Anfragen der taz zu den DDoS-Angriffen und Hano.
Es ist nicht leicht, Sicherheitsexperten zu finden, die mehr über Hano
wissen. Diejenigen, die sich auskennen, bleiben schmallippig und wollen
nicht genannt werden. Sie sagen nur: Die ungarischen Behörden würden sich
wohl nicht damit befassen. Und: Vermutlich handele es sich nicht um eine
große Gruppe. Hano sei „wahrscheinlich aus Ungarn, wahrscheinlich von dort
finanziert und wahrscheinlich ein APT“.
„APT“, diese Abkürzung steht im Fachjargon für „Advanced Persistent
Threat“, zu Deutsch eine „fortgeschrittene andauernde Bedrohung“. [11][Laut
BSI liegt ein APT dann vor, wenn ein gut ausgebildeter, meist staatlich
gesteuerter Angreifer über einen längeren Zeitraum gezielt ein System
angreife]. Der Zweck von diesen Angriffen, laut BSI: Spionage oder
Sabotage.
Als das International Press Institut im Sommer 2023 über die Angriffe in
Ungarn berichtet, wird auch [12][dessen Webseite von Hano attackiert. Drei
Tage braucht das Institut, bis seine Webseite wieder online gehen kann].
Kurz nach dem Cyberangriff auf das International Press Institute
[13][berichtet die taz am 13. September 2023 darüber] – und erleidet genau
eine Woche später, am 20. September 2023, ebenfalls eine DDoS-Attacke. Die
taz schafft es damals, diesen Angriff nach zwei Stunden abzuwehren. Dafür,
dass bereits diese Attacke auf Hano zurückzuführen ist, finden wir heute
keine Hinweise mehr. Aber sie steht im zeitlichen Zusammenhang zu unserer
Berichterstattung.
## Hano ist anders
Und: [14][Die taz kooperiert seit 2022 mit dem International Press
Institute in einem Projekt über Desinformationskampagnen gegen
Journalist*innen] und hat in diesem Zusammenhang auch eine [15][größere
Recherche über die Angriffe auf die Pressefreiheit durch die
Orbán-Regierung verfasst]. Der Bericht wurde in Ungarn stark rezipiert.
Die Attacken von HanoHatesU, davon kann man ausgehen, sind politisch
motiviert. Experten nennen Gruppen und Akteure wie Hano auch
„Hacktivisten“, eine Wortschöpfung aus Hacker und Aktivisten. Hacktivisten
[16][können ganz verschiedene Ziele verfolgen], manche setzen sich für die
Meinungsfreiheit ein und attackieren Regime wie das in Iran. Hano aber ist
anders. Er oder sie greifen diejenigen an, die sich einem autoritären
Rechtskurs verweigern, oder jene, die über ihre Angriffe berichten.
Und Hano sind nicht die Ersten, die versuchen, die taz lahmzulegen und
damit vermutlich ein politisches Ziel verfolgen. Im Zuge dieser Recherche
haben wir uns auch vorherige Attacken noch einmal genauer angeschaut. Dabei
fiel auf: Nicht nur mit Bezug zu Ungarn wurden wir gezielt angegriffen,
sondern auch vonseiten Russlands.
Drei Monate vor der Bundestagswahl, am 25. November 2024, erlebt die taz
ebenfalls eine DDoS-Attacke. Auch da wird taz.de mit Anfragen überladen. Zu
dem damaligen Angriff finden wir einen Kommentar in einer Telegramgruppe,
in der sich offenbar Hacker organisieren: „The official website of Die
Tageszeitung (TAZ) has been disabled as part of a series of targeted cyber
operations against German websites.“
Als Teil einer gezielten Cyberoperation gegen deutsche Webseiten sei die
taz lahmgelegt worden, steht da. Darunter finden sich einige Hashtags,
unter anderem #Op_Germany. OP Germany steht vermutlich für: „Operation
Germany“.
Ende 2024 gab es mehrere Attacken unter diesem Motto. Der Blogger Mark
Bruno, der sich mit hybrider Kriegsführung beschäftigt, nimmt an, dass sie
von verschiedenen Gruppen ausgeführt wurden. [17][Er schreibt], dass sich
Hacktivisten aus mindestens zehn Gruppen an der „Operation Germany“
beteiligt hätten. Ihr Vorgehen sei immer ähnlich gewesen. Die Ziele seien
vor allem Webseiten aus Deutschland und anderen Nato-Ländern. Die Angriffe
seien von ihren Urhebern als eine „anti-NATO DDoS-Welle“ beschrieben
worden.
Eine der Gruppen, die sich auch an OP_Germany beteiligt hat, nennt sich
„NoName057(16)“. Kurz nach der Attacke im November 2024 wird sie die taz
auch noch einmal direkt angreifen.
Die Politikwissenschaftlerin Kerstin Zettl-Schabath arbeitet an der
Universität Heidelberg und beschäftigt sich seit Jahren mit
Cyberkonflikten. Sie dokumentiert mit ihrem Team die Fälle in [18][der
Datenbank European Repository of Cyber Incidents]. Die Gruppe NoName057(16)
findet sich darin häufig. „Zum ersten Mal in Erscheinung getreten ist
Noname057(16) im März 2022, kurz nach Beginn des russischen Angriffskriegs
auf die Ukraine“, sagt Zettl-Schabath.
Seitdem bekenne sie sich immer wieder zu groß angelegten DDoS-Attacken auf
Länder und Institutionen, die die Ukraine unterstützen. „Ob sie
Verbindungen zum russischen Geheimdienst hat, ist unklar, zumindest von
einer aktiven Duldung kann aber ausgegangen werden.“ Die Anhängerschaft von
Noname057(16) sei in kurzer Zeit über Telegram massiv gewachsen.
Ihren „Erfolg“ kann die Gruppe scheinbar selbst kaum fassen. In einer
Telegramnachricht auf Russisch Ende 2023 schreiben sie, sie seien bloß
„normale Programmierer und schwierige Typen aus dem Darknet“. „Hätten wir
Anfang diesen Jahres kommen sehen, dass ausgerechnet wir an die digitale
Front gehen würden?“, fragen sie da. Und: „Hätte jemand gedacht, dass es
auch wir sein würden, die unser Vaterland beschützen und die „zivilisierte“
Welt umerziehen würden?“
## Ein Bot-Netz aus nichts ahnenden Nutzern
Kerstin Zettl-Schabath beobachtet, dass sich NoName057(16)
professionalisiert hat. „Die Gruppe unterhält ein halbautomatisiertes
DDoS-Tool, über das sich Freiwillige an DDoS-Angriffen beteiligen können,
in dem sie ihre Rechnerkapazitäten bereitstellen.“
Das heißt, NoName57(16) hat ein sogenanntes Bot-Netz etabliert – ein System
aus vielen einzelnen Computern, die von den Hackern zentral kontrolliert
werden, um beispielsweise massenhaft Anfragen an eine Webseite zu richten.
Die Geräte, von denen die Bot-Netze ausgehen, stammen häufig von nichts
ahnenden Nutzern, die durch Schadsoftware infiziert und ferngesteuert
werden.
Manchmal stellen Menschen ihre Computer aber eben auch freiwillig zur
Verfügung. [19][NoName057(16) beispielsweise rekrutiert über Telegram
Leute, die bereit sind, eine kleine Software auf ihrem Computer zu
installieren.] Manche bekommen dafür Geld, für manche ist es wohl nur
Nervenkitzel. NoName057(16) greift so auf ein riesiges Netz von IP-Adressen
zu. „DDoSia“ nennen sie dieses Projekt.
Am 14. Februar 2025, neun Tage vor der Attacke zur Bundestagswahl, wird
auch die taz Opfer eines solchen durch DDoSia unterstützten Angriffs.
Es ist Freitag, der Tag der Münchner Sicherheitskonferenz. Der
US-amerikanische Vizepräsident J. D. Vance erklärt an diesem Tag, Europa
würde die Meinungsfreiheit beschneiden. Er empfiehlt Deutschland eine
Koalition mit der AfD. [20][Es ist der Tag, an dem endgültig klar wird,
dass die transatlantischen Beziehungen in ihrer bisherigen Form Geschichte
sind].
## Viele wollen sich nicht äußern
Zur gleichen Zeit feuern Aktivisten aus dem NoName057(16)-Netzwerk dutzende
Angriffe auf deutsche Webseiten ab. Sie preisen sich dafür später selbst.
Wir finden eine genaue Auflistung an Webseiten, die an diesem Tag von
DDoSia angegriffen werden sollen. Die Auswahl legt nahe, dass die
Cyberangriffe Bezug zur Münchner Sicherheitskonferenz und dem Krieg in der
Ukraine nehmen sollen.
Auf der Liste finden sich offizielle Seiten aus München und Bayern sowie
die Webseite der Sicherheitskonferenz selbst. Auch Webseiten aus der
Ukraine stehen darauf – und einige deutsche Medienwebseiten: darunter die
Seiten der FAZ, des Handelsblatts, der Münchner Abendzeitung, des Neuen
Deutschlands und der taz.
Die Abendzeitung sowie das Neue Deutschland bestätigen auf taz-Anfrage,
dass es am 14. Februar, dem ersten Tag der Sicherheitskonferenz, eine
Attacke gab. Beide Medienhäuser erklären, dass diese abgewehrt werden
konnte. Das Handelsblatt will aus Sicherheitsgründen keine Angaben machen,
die FAZ erklärt, das publizistische Angebot sei bisher durch
Angriffsversuche nicht eingeschränkt gewesen.
Hört man sich bei weiteren Medienhäusern und öffentlich-rechtlichen Sendern
um, so wollen viele aus Sicherheitsgründen nicht detailliert über
Cyberangriffe sprechen. Auch in diesem Text können nicht alle Details dazu
stehen, wie die taz den Angriff genau abgewehrt hat. Was aber aus den
Gesprächen mit anderen Medien klar wird: Alle sehen die Presse zunehmend im
Fokus von Cyberkriminellen, von Desinformationskampagnen und
Versuchen, die freie Berichterstattung zu unterdrücken.
Am Wahlsonntag aber wurden andere Medien wohl nicht angegriffen. Anders als
die Angriffe im November 2024 und während der Sicherheitskonferenz war der
Angriff am 23. Februar 2025 auf die taz wohl nicht Teil einer breit
orchestrierten Aktion. Es scheint, als seien die Leute von Hano an diesem
Tag dahin zurückgekommen, wo sie sich auskannten. Zurück zur taz.
24 Minuten nachdem an jenem Wahlsonntag die erste kritische Meldung in der
taz aufploppt, leiten die Mitarbeiter der EDV die Anfragen, die auf die
Server der taz zielen, um. Sie nutzen dafür den Service einer Firma, die
sich darauf spezialisiert hat, Unternehmen im Fall einer DDoS-Attacke
Schutz zu bieten. Aber das dauert.
Das liegt auch an einer Eigenheit der taz. Sie versucht, so viel
Infrastruktur wie möglich unter eigener Kontrolle zu halten. [21][Weltweit
arbeiten viele andere Firmen dauerhaft mit US-amerikanischen Unternehmen
zusammen], die Webseiten relativ zuverlässig vor DDoS-Angriffen schützen.
Für die EDV-Abteilung der taz kommt das aus Gründen des Datenschutzes nicht
infrage, weil sie befürchtet, dass solche Firmen mitlesen könnten, wer
taz.de besucht und welche Daten und auch Passwörter verwendet werden.
## Die Polizei ist ratlos
Um 16.50 Uhr am Wahlsonntag meldet das System, dass taz.de nun über die
Infrastruktur der Schutzfirma läuft. Von außen ist taz.de da aber noch
nicht wieder zu erreichen. Erst nach und nach bekommen die EDV-Spezialisten
alle Angriffsarten und -wellen in den Griff.
Kurz vor den ersten Wahlprognosen um 18 Uhr ist taz.de wieder online. Es
wird bis zum Abend dauern, bis die Webseite stabil läuft.
Welchen Schaden die taz von dem Angriff davongetragen hat, lässt sich
schwer beziffern. Tagsüber wird die Webseite pro Stunde im Durchschnitt
50.000-mal aufgerufen. Die zuständige Ressortleitung schätzt daher, dass
der taz an diesem Tag mehrere zehntausend Klicks und entsprechende
Einnahmen aus dem [22][freiwilligen Bezahlmodell „taz zahl ich“] verloren
gegangen sind. Aber auch an den Folgetagen war der Angriff noch spürbar.
Weil taz.de einmal offline war, verlieren auch die Suchmaschinen und
Nachrichten-Aggregatoren die Website aus dem Blick. taz-Artikel
verschwinden aus diesen Diensten und müssen später neuen Schwung gewinnen.
Am Tag nach dem Angriff erstattet die Geschäftsführung Anzeige bei der
Polizei. Die landet in der Abteilung 7 des Landeskriminalamts, ZAC heißt
sie, Zentrale Ansprechstelle Cybercrime. Nennenswerte Ergebnisse kann die
Polizei nicht ermitteln. Das LKA hat den Fall mittlerweile geschlossen und
der Staatsanwaltschaft Berlin übergeben. Deren Sprecher erklärt auf
taz-Anfrage, dass es keine Anhaltspunkte gebe, um Tatverdächtige zu
ermitteln. Selbst bei maximalem Ermittlungsaufwand könnten nur die
IP-Adressen der Bots festgestellt werden. Die Staatsanwaltschaft hat die
Ermittlungen daher Anfang April eingestellt.
25 Apr 2025
## LINKS
DIR [1] /!v=89a68133-aa34-42d3-9f80-01ebd7e1738b/
DIR [2] https://shop.taz.de/
DIR [3] /!v=2f71d22a-827d-4693-a3aa-1d7225a94c26/
DIR [4] https://ag.kritis.info/author/honkhase/
DIR [5] /Cyber-Erpressungen-nehmen-zu/!5837971
DIR [6] /Hacker-mit-Spuren-nach-Ungarn/!5960140
DIR [7] https://ipi.media/decoding-disinformation-playbook/case-study-franziska-tschinderle/
DIR [8] /Spionagesoftware-Pegasus/!5787443
DIR [9] https://ipi.media/hungary-ddos-cyber-attacks-pose-major-new-threat-to-media-freedom/
DIR [10] https://media1.hu/2024/01/10/hano-aktiv-ddos-hirportalok-kecsup-lebenitas-magyarorszag-kiberbunozes/
DIR [11] https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Gefaehrdungen/APT/apt_node.html
DIR [12] https://www.qurium.org/weaponizing-proxy-and-vpn-providers/ddos-attacks-traced-to-proxy-infrastructure-white-proxies/
DIR [13] /Hacker-mit-Spuren-nach-Ungarn/!5960140
DIR [14] https://ipi.media/decoding-disinformation-playbook/
DIR [15] /Angegriffene-Pressefreiheit-in-Ungarn/!5928587
DIR [16] /Das-A-Team-der-Hacker-Szene/!5076438
DIR [17] https://themoloch.com/infosec/op_germany-december-ddos-attacks-some-observations/
DIR [18] https://eurepoc.eu/
DIR [19] https://blog.avast.com/ddosia-project
DIR [20] /Denkwuerdige-Sicherheitskonferenz/!6066772
DIR [21] https://netzpolitik.org/2022/cloudflare-willkuermacht-wider-willen/
DIR [22] /!v=89a68133-aa34-42d3-9f80-01ebd7e1738b/
## AUTOREN
DIR Anne Fromm
DIR Jean-Philipp Baeck
DIR Pierre Dinh van
## TAGS
DIR Longread
DIR wochentaz
DIR Cyberattacke
DIR Hackerangriff
DIR Ungarn
DIR taz.de
DIR Lesestück Recherche und Reportage
DIR GNS
DIR Schwerpunkt Decoding the Disinformation Playbook
DIR Kritische Infrastruktur
DIR Cyberattacke
DIR Cyberattacke
DIR Kritische Infrastruktur
DIR Europa
DIR Cybersicherheit
DIR Cyberattacke
DIR Schwerpunkt Decoding the Disinformation Playbook
DIR Cybersicherheit
## ARTIKEL ZUM THEMA
DIR IT-Experte über bedrohte Infrastruktur: „Es wird maximal rumgeeiert“
Ob Anschläge auf Strommasten oder Drohnenangriffe: IT-Sicherheitsexperte
Manuel Atug Verbesserungsbedarf bei der kritischen Infrastruktur in
Deutschland.
DIR Verhaftung nach Cyberangriff auf die taz: „Medien sind leichte Ziele“
Expertin für Cybersicherheit Kerstin Zettl-Schabath über internationale
Hackergruppen, ihre Strategien – und ihre Verbindungen zu autoritären
Regimen.
DIR Festnahme nach Cyberangriff auf die taz: Ungarischer Hacker „HANO“ gefasst
Ungarns Polizei hat einen Mann festgenommen, der mutmaßlich am Tag der
Bundestagswahl taz.de lahmlegte. In Ungarn attackierte er
regierungskritische Medien.
DIR Polizeiaktion gegen Cyberkriminelle: Ermittler legen russische Hacker lahm
Die Polizei ist in einer internationalen Aktion gegen die russische
Hackergruppe „NoName057(16)“ vorgegangen. Auch die taz war mehrfach deren
Ziel.
DIR Medienportal Eurotopics: Über Grenzen hinweg
Mit seiner täglichen Presseschau will Eurotopics zu einer europäischen
Öffentlichkeit beitragen.
DIR Pläne für mehr IT-Sicherheit: Angriffsschutz mit Schwachstellen
Ein neues Gesetz soll für mehr IT-Sicherheit sorgen. Expert:innen
kritisieren bei einer Anhörung Lücken – darunter eine zentrale.
DIR Bundeslagebild Cyberkriminalität: „Möglich, vor die Welle zu kommen“
Cyberattacken aus dem Ausland nehmen deutlich zu. Russlands Krieg in der
Ukraine findet auch im digitalen Raum statt.
DIR Hacker mit Spuren nach Ungarn: Cyber-Attacke gegen Presse-Institut
Das International Press Institute in Wien wird von Hackern attackiert. Es
sieht einen Bezug zu ähnlichen Angriffen auf unabhängige Medien in Ungarn.
DIR Versichertendaten in Gefahr: Cyberattacke auf Krankenkassen
Einer der größten IT-Dienstleister der gesetzlichen Krankenkassen muss nach
einem digitalen Angriff Systeme abschalten. Das Ausmaß ist unklar.