# taz.de -- Festnahme nach Cyberangriff auf die taz: Ungarischer Hacker „HANO“ gefasst
> Ungarns Polizei hat einen Mann festgenommen, der mutmaßlich am Tag der
> Bundestagswahl taz.de lahmlegte. In Ungarn attackierte er
> regierungskritische Medien.
IMG Bild: Bei den Cyberangriffen von „Hano“ handelte es sich um sogenannte DDoS-Attacken, also einen Überlastungsangriff
BERLIN taz | Er nannte sich selbst „Hano“ und hatte es offenbar vor allem
auf kritische Medien abgesehen: Die ungarische Polizei hat einen Hacker
gefasst, der zahlreiche Medienwebseiten in Ungarn und Europa angegriffen
haben soll, darunter auch die der taz.
Ausgerechnet am Tag der Bundestagswahl, am 23. Februar 2025, war die
Webseite der taz von einer massiven Cyberattacke lahmgelegt worden. Für
mehrere Stunden war sie nicht zu erreichen. [1][Recherchen der taz] legten
im April offen, dass der Angriff vermutlich aus Ungarn kam und von einer
Person namens „Hano“ gesteuert worden waren. Jener „Hano“ wurde nun
offenbar in Ungarn festgenommen.
Es soll sich laut [2][ungarischer Polizei] um einen 23-jährigen Mann aus
Budapest handeln. Bereits am 9. Juli sei sein Haus durchsucht und mehrere
IT-Geräte beschlagnahmt worden. Darauf sollen „eindeutige Beweise für die
Begehung der Straftaten“ gefunden worden sein, wie die Polizei erklärte.
Die Ermittlungen hätten ergeben, dass der Angreifer gezielt und nach einem
vorab ausgearbeiteten Plan vorgegangen sei. Der Verdächtige wurde
festgenommen, ist aber nun wieder auf freiem Fuß.
Seit April 2023 hatte Hano vornehmlich die Websites regierungskritischer
Medien in Ungarn attackiert, darunter die Portale HVG, 444, 24.hu, Telex
und Media1.hu. Auch das International Press Institute (IPI) mit Sitz in
Wien wurde Opfer eines Angriffs. Nach Informationen der taz hatte der
Hacker seine Angriffe teilweise bis ins Jahr 2025 fortgesetzt. Das
unabhängige Online-Medienhaus Media1.hu musste seine Webserver wegen der
Angriffe ins Ausland verlegen und erklärte, der Schaden gehe in die
Tausende.
## Teilweise massiven Schaden angerichtet
Daniel Szalay, Gründer und Chefredakteur von Media1, sagte der taz: „Hano
hat uns einen erheblichen materiellen und immateriellen Schaden zugefügt,
daher werden wir die Angelegenheit nicht ruhen lassen. Sobald wir die
genauen Einzelheiten kennen, werden wir prüfen, ob es sich lohnt,
zivilrechtlich gegen Hano vorzugehen.“ Auch die taz erwägt, den
mutmaßlichen Täter wegen Schadenersatz zu verklagen.
Bei den Cyberangriffen von Hano handelte es sich um sogenannte
DDoS-Attacken, also Überlastungsangriffe. Websites werden dabei mit
tausenden Anfragen überflutet, bis die Server aufgeben und reguläre
Nutzer*innen nicht mehr zugreifen können. Oftmals werden dafür
sogenannten „Botnetze“ genutzt. Als Botnetze gelten Netzwerke, bei denen
unter anderem die Rechner von Privatpersonen – freiwillig oder unfreiwillig
– für gemeinsame Attacken zentral gesteuert werden.
Auch Hano nutzte offenbar solche Botnetze. Bei seinen Angriffen hinterließ
er teilweise persönliche Nachrichten, die darauf schließen ließen, dass er
sich gut in der ungarischen Medienlandschaft auskennt – aber auch darauf,
dass er politische Motive verfolgte. Laut Media1-Chefredakteur Szalay
erfolgten die Angriffe immer dann, wenn sein Portal über besonders
peinliche Skandale der Orbán-Regierung berichtet habe. „Zum jetzigen
Zeitpunkt können wir nicht mit Sicherheit sagen, ob der Angreifer
Verbindungen zu regierungsnahen Gruppen oder ähnlichen Organisationen hatte
– oder ob er einfach ein fanatischer Anhänger der Regierung war“, sagte
Szalay der taz.
Scott Griffen, Geschäftsführer des International Press Institute, forderte
die Behörden auf, das Motiv hinter diesen Angriffen eindeutig zu
identifizieren. Es müsse umfassend und transparent untersucht werden, ob
externe Koordinierung oder Finanzierung bei diesen gezielten Angriffen auf
unabhängige Medien und die Zivilgesellschaft eine Rolle gespielt haben.
Der Hacker schien mit seinen Attacken zudem auf Berichte über seine eigenen
Aktivitäten zu reagieren. So wurde im August 2023 der Internetauftritt des
International Press Institute (IPI) von Hano lahmgelegt, nachdem dieses
einen längeren Artikel über die Hackerangriffe in Ungarn veröffentlicht
hatte. Das IPI [3][brauchte drei Tage], bis seine Webseite wieder online
gehen konnte.
Die taz wiederum [4][berichtete] am 13. September 2023 darüber – und erlitt
genau eine Woche später, am 20. September 2023, ebenfalls eine
Überlastungsattacke. Dafür, dass diese auf Hano zurückzuführen ist, gab es
später keine Hinweise mehr, aber sie steht im zeitlichen Zusammenhang zu
der Berichterstattung.
## Angriff am Tag der Bundestagswahl
Über ein Jahr später, am Tag der Bundestagswahl am 23. Februar 2025, wurde
die taz dann erneut Ziel eines Cyberangriffs. Für jenen Tag gibt es klare
Hinweise, dass Hano dahinter steckte. In den Protokollen der Server fand
sich etwa die Aussage: „HanoHatesU“, zu Deutsch: „Hano hasst euch“.
Die Webseite der taz war an diesem Tag für über zwei Stunden nicht zu
erreichen – kurz vor den ersten Prognosen zur Bundestagswahl. Der Ausfall
an dem politisch wichtigen Tag richtete ideellen wie monetären Schaden an.
Leser*innen konnten in der Zeit nicht für das freiwillige Bezahlmodell
„[5][taz zahl ich]“ spenden, nichts im [6][taz shop] bestellen und kein
[7][Abo] abschließen. Einnahmen aus Werbeanzeigen blieben aus.
Die Staatsanwaltschaft Berlin erklärte am Dienstag, man werde die
Ermittlungen zu dem Cyberangriff auf die taz nun wieder aufnehmen. Anfang
April waren diese zunächst eingestellt worden. Ein Sprecher der
Staatsanwaltschaft erklärte damals auf taz-Anfrage, dass es keine
Anhaltspunkte gebe, um Tatverdächtige zu ermitteln. Selbst bei maximalem
Ermittlungsaufwand könnten nur die IP-Adressen der Bots festgestellt
werden, also jener Computer, die stellvertretend von dem Hacker für die
Angriffe genutzt wurden.
Demgegenüber hatte die ungarische Polizei nun offenbar Erfolg mit ihren
Ermittlungen. Identifiziert worden sei Hano anhand digitaler Spuren und
seiner Fake-Profile durch die „[8][Abteilung für Cyberkriminalität des
Nationalen Ermittlungsbüros]“, heißt es in einer Mitteilung. Durch Analyse
der Zugriffsprotokolle und des Netzwerkverkehrs habe festgestellt werden
können, dass der Täter sogenannte „DDoS-Dienste“ in Anspruch genommen und
verschiedene Online-Tools verwendet habe.
## Cyberangriff als Serviceleistung
Hackergruppen bieten die Infrastruktur für solche Überlastungsangriffe
teilweise [9][als kaufbaren Service] anonym im Darknet an. Bestehende
Botnetze können für Angriffe „gemietet“ werden. Je nach Art und Dauer eines
gewünschten Angriffs gehen die Angebote [10][laut Bundeskriminalamt] dabei
bereits ab 80 Euro los.
Nach Informationen der taz kamen entscheidende Hinweise auf Hano von den
betroffenen Medien selbst. Media1-Chefredakteur Szalay erklärte der taz,
zusammen mit Kolleg*innen habe er dem Angreifer eine Falle gestellt. „So
konnten wir feststellen, welchen ungarischen Internetdienstanbieter die
Person nutzte, und ihre IP-Adresse ermitteln.“ Die Information hätte er
sofort der Polizei weitergeleitet. „Danach verging eine lange Zeit, ohne
dass etwas geschah.“
Die ungarische Polizei erklärte, dass aufgrund der internationalen
Dimension des Falls auch die österreichischen Behörden eingeschaltet worden
seien. Dazu, ob es auch eine Kooperation mit deutschen Behörden gab,
erhielt die taz zunächst weder aus Deutschland noch aus Ungarn eine
Antwort.
[11][Erst in der vergangenen Woche war ein Schlag deutscher und
internationaler Ermittler gegen eine russische Hackergruppe bekannt
geworden], die ebenfalls schon mehrfach die taz mit DDoS-Angriffen
überzogen hatte. Am Dienstag vor einer Woche waren dabei sechs Haftbefehle
gegen Hinterleute der Gruppierung „NoName057(16)“ erlassen worden, wie das
Bundeskriminalamt erklärte. Bei allen handele es sich entweder um russische
Staatsbürger oder sie seien in Russland wohnhaft. Zudem seien 24 Objekte
von mutmaßlichen Unterstützern durchsucht worden, darunter in Bayern und
Berlin.
## Hacker als Unterstützung für Angriffskrieg
Im Zuge der international koordinierten Aktion sei auch ein sogenanntes
Botnetz abgeschaltet worden, das für „DDoS“-Angriffe genutzt worden sei.
Die Hackergruppe „NoName057(16)“ hatte solche „DDoS“-Angriffe vor allem als
Unterstützung des russischen Angriffskriegs gegen die Ukraine unternommen.
Sie richteten sich vor allem gegen Unternehmen der Kritischen Infrastruktur
wie Rüstungsbetriebe, Stromversorger und Verkehrsbetriebe, aber auch gegen
öffentliche Einrichtungen und Behörden.
Die taz wurde am 25. November 2024 sowie am 14. Februar 2025, dem Tag der
Münchner Sicherheitskonferenz, Ziel eines Angriffs der Gruppe. Neben der
taz hatte „NoName057(16)“ auch dazu aufgerufen die Webseiten der FAZ, des
Handelsblatts, der Münchner Abendzeitung und des Neuen Deutschlands zu
attackieren. Viele deutsche Medien sehen die Presse zunehmend im Fokus von
Cyberkriminellen. Zu den Angriffen zählen Desinformationskampagnen bis
hin zu Versuchen, die freie Berichterstattung zu unterdrücken. Über
Cyberangriffe wird allerdings aus Sicherheitsgründen selten offen
gesprochen.
Ob die Festnahme von Hano in Budapest mit den internationalen Ermittlungen
gegen „Noname057(16)“ zusammenhängt, und die Hacker womöglich kooperierten,
blieb bislang unklar. Anfrage dazu wurden von deutschen und ungarischen
Behörden zunächst nicht beantwortet.
22 Jul 2025
## LINKS
DIR [1] /Angriff-auf-die-taz/!6081815
DIR [2] https://www.police.hu/hu/hirek-es-informaciok/legfrissebb-hireink/bunugyek/hano-leleplezve
DIR [3] https://www.qurium.org/weaponizing-proxy-and-vpn-providers/ddos-attacks-traced-to-proxy-infrastructure-white-proxies/
DIR [4] /Hacker-mit-Spuren-nach-Ungarn/!5960140
DIR [5] /!v=89a68133-aa34-42d3-9f80-01ebd7e1738b/
DIR [6] https://shop.taz.de/
DIR [7] /!v=2f71d22a-827d-4693-a3aa-1d7225a94c26/
DIR [8] https://www.police.hu/hu/hirek-es-informaciok/legfrissebb-hireink/bunugyek/hano-leleplezve
DIR [9] https://encyclopedia.kaspersky.com/glossary/ddos-as-a-service/
DIR [10] https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2020.pdf?__blob=publicationFile&v=5
DIR [11] /Polizeiaktion-gegen-Cyberkriminelle/!6098264
## AUTOREN
DIR Anne Fromm
DIR Jean-Philipp Baeck
## TAGS
DIR Cyberattacke
DIR Hackerangriff
DIR Feinde der Pressefreiheit
DIR Ungarn
DIR Viktor Orbán
DIR Social-Auswahl
DIR Longread
DIR Ungarn
DIR Viktor Orbán
## ARTIKEL ZUM THEMA
DIR Angriff auf die taz: Gezielt getroffen
Am Tag der Bundestagswahl legt ein Cyberangriff taz.de lahm. Es ist nicht
der erste dieser Art. Warum das kein Zufall ist.
DIR Hacker mit Spuren nach Ungarn: Cyber-Attacke gegen Presse-Institut
Das International Press Institute in Wien wird von Hackern attackiert. Es
sieht einen Bezug zu ähnlichen Angriffen auf unabhängige Medien in Ungarn.
DIR Angegriffene Pressefreiheit in Ungarn: Kämpfer an Orbáns Medienfront
Eine österreichische Journalistin wird tagelang in Ungarns TV-Nachrichten
diffamiert. Orbán-treue Medien sehen sich als Teil eines rechten
Kulturkampfes.