Wie ein internationaler Ermittlungsverbund ein DDoS-Botnetz zerschlug
Am 15. und 16. Juli 2025 gingen das Bundeskriminalamt (BKA) und die Bundesanwaltschaft im Rahmen der „Operation Eastwood“ gegen die prorussische hacktivistische Gruppierung NoName057(16) vor. Wie das BKA mitteilte, erfolgte die Aktion gemeinsam mit zahlreichen internationalen Partnern. Im Zentrum stand die Abschaltung eines Botnetzes, das für gezielte DDoS-Angriffe genutzt wurde.
Was ist passiert?
Bei der koordinierten Aktion arbeiteten deutsche Ermittler mit Strafverfolgern aus den USA, den Niederlanden, der Schweiz, Schweden, Frankreich, Spanien und Italien zusammen. Ziel war die Infrastruktur der Gruppierung NoName057(16), die sich systematisch gegen deutsche und europäische Infrastruktur sowie gegen Behörden gerichtet hatte.
Im Rahmen der Operation Eastwood wurde ein Botnetz aus mehreren hundert Servern weltweit abgeschaltet. Dieses Netzwerk diente als technisches Rückgrat für die DDoS-Angriffe der Gruppe. Auch das internationale Fachmedium The Register berichtete über den Schlag gegen die hacktivistische Gruppierung.
Die Aktion zeigt, dass grenzüberschreitende Cyberkriminalität zunehmend mit ebenso grenzüberschreitenden Ermittlungen beantwortet wird. Da die Server der Angreifer über viele Länder verteilt waren, ließ sich das Botnetz nur durch international abgestimmtes Vorgehen wirksam zerschlagen.
Der Kontext: Angriffe auf Behörden und Kommunen
Die Maßnahme erfolgte nicht im luftleeren Raum. Anfang und Mitte Juli 2025 hatte NoName057(16) eine spürbare Angriffswelle gegen deutsche Stellen gefahren. Wie der Behörden Spiegel berichtete, legte die Gruppe unter anderem das Landesportal Sachsen-Anhalt sowie mehrere Ministeriums-Websites zeitweise lahm. Auch kommunale Verwaltungen waren von der Angriffswelle betroffen.
Solche Angriffe richten sich häufig gegen öffentlich sichtbare Dienste – Landesportale, Behörden-Websites, Bürgerportale. Auch wenn dabei meist keine Daten entwendet werden, beeinträchtigen die Ausfälle die Erreichbarkeit von Verwaltungsleistungen und haben eine symbolische Wirkung, die im politischen Kontext gewollt ist.
Was ist ein DDoS-Angriff – und wie schützt man sich?
Ein DDoS-Angriff (Distributed Denial of Service) zielt darauf ab, ein System durch massenhafte Anfragen zu überlasten, bis es für reguläre Nutzer nicht mehr erreichbar ist. Die Anfragen kommen dabei nicht von einem einzelnen Rechner, sondern verteilt aus einem Botnetz – einem Verbund vieler ferngesteuerter Server oder Geräte, wie er in diesem Fall abgeschaltet wurde.
Organisationen können sich mit bewährten Maßnahmen wappnen:
- DDoS-Schutz und Mitigation: Spezialisierte Abwehrdienste filtern schädlichen Datenverkehr heraus, bevor er die eigentlichen Systeme erreicht.
- Content Delivery Network (CDN): Ein CDN verteilt Anfragen auf viele Standorte und federt Lastspitzen ab.
- Notfallpläne: Klare Abläufe für den Ernstfall – wer wird informiert, welche Dienste werden priorisiert, wie wird kommuniziert – verkürzen die Ausfallzeit erheblich.
- Kapazitätsreserven und Redundanz: Mehrfach ausgelegte Systeme und redundante DNS-Anbieter erhöhen die Widerstandsfähigkeit.
Verwandte Meldungen
- DDoS-Attacken erreichen neuen Höhepunkt – wie stark die Zahl der Überlastungsangriffe insgesamt gestiegen ist.
- DDoS-Angriff auf das Bundesinnenministerium – ein weiterer Angriff auf eine zentrale Bundesbehörde.
- DDoS-Angriffe auf kritische Infrastrukturen – die besondere Bedrohung für lebenswichtige Systeme.
Fazit
Die Operation Eastwood ist ein Beispiel dafür, dass hacktivistische DDoS-Kampagnen nicht folgenlos bleiben. Durch international koordinierte Ermittlungen ließ sich ein Botnetz aus mehreren hundert Servern abschalten und damit ein zentrales Werkzeug der Gruppe NoName057(16) ausschalten. Für Behörden und Unternehmen bleibt die Lehre, sich technisch und organisatorisch auf Überlastungsangriffe vorzubereiten – denn die abstrakte Bedrohung durch politisch motivierte DDoS-Angriffe besteht fort.