Im Rahmen der internationalen Operation „Eastwood“ haben ZIT und BKA gemeinsam mit internationalen Partnern eine koordinierte Aktion gegen die pro-russische Hacktivistengruppe „NoName057(16)“ durchgeführt. Dabei wurden Haftbefehle gegen mehrere mutmaßliche Verantwortliche erlassen, Server abgeschaltet und umfangreiche Beweismittel sichergestellt.

Haftbefehle, Durchsuchungen, Sicherstellungen und Abschaltung krimineller IT-Infrastruktur: Deutschland und internationale Partner gehen gemeinsam in der Operation Eastwood gegen Cyberkriminelle vor

Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) sind am 15.07.2025 in einer international abgestimmten Aktion gemeinsam mit Strafverfolgungsbehörden aus den USA, den Niederlanden, der Schweiz, Schweden, Frankreich, Spanien und Italien, unterstützt durch Europol und Eurojust sowie unter Beteiligung weiterer europäischer Länder, gegen Akteure und Infrastruktur der hacktivistischen Gruppierung „NoName057(16)“ vorgegangen. Die maßgeblich durch die ZIT und das BKA koordinierten Maßnahmen waren Teil der internationalen Polizeioperation „Eastwood“.

Durch die international koordinierten Maßnahmen konnte ein aus mehreren Hundert weltweit verteilten Servern bestehendes Botnetz abgeschaltet werden, das für gezielte digitale Überlastungsangriffe auf Webpräsenzen (sog. „DDoS“-Angriffe) eingesetzt wurde.

In Deutschland wurden durch ZIT und BKA sechs Haftbefehle gegen russische Staatsangehörige bzw. in der Russischen Föderation wohnhafte Beschuldigte erwirkt. Zwei davon werden beschuldigt, die Hauptverantwortlichen hinter „NoName057(16)“ zu sein. Darüber hinaus wurde ein weiterer Haftbefehl durch die spanischen Behörden erlassen. Nach allen Beschuldigten wird international und teils öffentlich gefahndet.

Außerdem wurden internationale Durchsuchungsmaßnahmen an insgesamt 24 Objekten von mutmaßlichen Unterstützern der Gruppierung durchgeführt, darunter ein Objekt in Berlin und zwei in Bayern. Umfangreich sichergestellte Beweismittel befinden sich derzeit in der Auswertung.

Ergänzend wurden mehr als 1.000 bislang nicht abschließend identifizierte Unterstützer der hacktivistischen Gruppierung mittels des genutzten Messengerdienstes Telegram über die behördlichen Maßnahmen informiert und auf die Strafbarkeit der Handlungen nach deutschem Recht aufmerksam gemacht.

Den Maßnahmen sind langwierige und aufwändige Ermittlungen gegen „NoName057(16)“ vorausgegangen. In Deutschland wird durch ZIT und BKA gegen die Rädelsführer, Mitglieder und Unterstützer der Gruppierung u. a. wegen des Verdachts der Bildung einer kriminellen Vereinigung im Ausland zum Zwecke der Computersabotage ermittelt.

BKA-Präsident Holger Münch:

„Organisierte DDoS-Kampagnen können gravierende Folgen haben, auch für das Sicherheitsgefühl der Bevölkerung. Sie müssen daher konsequent strafrechtlich verfolgt und wo möglich unterbunden werden. Unsere international abgestimmten Maßnahmen zeigen, dass wir gemeinsam mit unseren Partnern in der Lage sind, Angriffe im digitalen Raum aufzuklären und der gestiegen Bedrohungslage im Cyberraum polizeiliche Maßnahmen entgegenzusetzen.“

ZIT-Leiter Oberstaatsanwalt Dr. Benjamin Krause: „Die Verantwortlichen, Mitglieder und Unterstützer der Gruppierung verfolgen wir als das, was sie sind: als kriminelle Vereinigung. Durch diesen Ansatz ist es nicht mehr notwendig, bei jedem einzelnen Schadensfall mit neuen Ermittlungen zu beginnen. Zudem ermöglicht uns die internationale Kooperation der Strafverfolgungsbehörden besonders effektiv und schlagkräftig zu agieren.“

Erläuterungen zu „NoName057(16)“:

Bei „NoName057(16)“ handelt es sich um ein ideologisch geprägtes Hacktivisten-Kollektiv, welches sich als Unterstützer der Russischen Föderation positioniert hat und im Kontext des Russland-Ukraine-Konflikts Cyberangriffe in Form von sogenannten „Distributed Denial of Service“ (DDoS)-Angriffen durchführt. Bei DDoS-Angriffen handelt es sich um Überlastungsangriffe auf Webpräsenzen und Online-Services mit dem Ziel, dass diese nicht mehr aufrufbar sind.

Durch die Nutzung des Messengerdienstes Telegram hat „NoName057(16)“ seit Beginn des russischen Angriffskrieges in der Ukraine öffentliche Aufmerksamkeit erregt und Unterstützer rekrutiert. Den Unterstützern wurde der Download einer speziellen Software, der sogenannten „DDoSia-Software“ angeboten, mittels derer sie sich dann unter Nutzung eigener Ressourcen an DDoS-Angriffen beteiligen konnten. Neben dem Unterstützernetzwerk, das nach Einschätzung der Strafverfolgungsbehörden mutmaßlich mehr als 4.000 Nutzer umfasst, konnte die Gruppierung außerdem ein eigenes Botnetz aus mehreren hundert Servern aufbauen, welches zur weiteren Erhöhung der Angriffslast genutzt wurde.

Bei der Auswahl der Angriffsziele reagierte „NoName057(16)“ jeweils auf politische Ereignisse und proklamierte diese entsprechend in Telegram-Gruppen. So war Deutschland seit Beginn der Ermittlungen im November 2023 Ziel von insgesamt 14 Angriffswellen, die teilweise über mehrere Tage andauerten und in Summe ca. 250 Unternehmen und Einrichtungen betrafen, darunter Unternehmen der Kritischen Infrastruktur (u. a. Rüstungsbetriebe, Stromversorger, Verkehrsbetriebe), öffentliche Einrichtungen und Behörden. Vergleichbare Angriffe waren gegen Infrastrukturen anderer Staaten festzustellen, wie beispielsweise bei der Europawahl oder zuletzt anlässlich des Nato-Gipfels in den Niederlanden.

Das Hauptziel der Angriffe auf deutsche Ziele bestand darin, mediale Aufmerksamkeit zu erreichen und dadurch Einfluss auf politische und/oder gesellschaftliche Entscheidungen in Deutschland zu nehmen. „NoName057(16)“ gilt als eine relevante hacktivistische Gruppierung, deren Aktionen darauf abzielen, das gesamtgesellschaftliche und politische Gefüge der Bundesrepublik nachhaltig zu stören oder zu beeinflussen.

BKA, 16.07.2025