Einleitung

Als die Gruppe Vulcan – mutmaßlich ein pro-russisches Hacktivismusnetzwerk – das Berliner Stromnetz angriff, wurde weder Lösegeld gefordert noch wurden Daten gestohlen. Das Ziel war einfacher: den Betrieb lahmlegen und ein öffentlichkeitswirksames Zeichen setzen (Reuters). Dies ist das definierende Merkmal des Hacktivismus. Hacktivisten werden von Ideologie und Politik angetrieben; ihr primäres Ziel ist Sichtbarkeit und Verunsicherung der Gesellschaft.

Wer sind diese Hacktivisten – und worin unterscheiden sie sich?

Die meisten Organisationen haben ihre Cyberabwehr auf ein vertrautes Bedrohungsmodell ausgerichtet: einen gewinnorientierten Angreifer, der still vorgeht, unentdeckt bleiben möchte und etwas will, das Ihre Organisation besitzt – Daten, Zugangsdaten, geistiges Eigentum. Hacktivisten durchbrechen dieses Modell. Sichtbarkeit ist das Ziel, nicht das Risiko. Während konventionelle Cyberkriminelle großen Aufwand betreiben, um unentdeckt zu bleiben, agieren Hacktivisten genau umgekehrt. Sie bekennen sich öffentlich zu ihren Angriffen, veröffentlichen Beweise in sozialen Medien und timen ihre Kampagnen auf politische Ereignisse für maximale Wirkung. Es gibt keine stillen Angriffe von denen die Öffentlichkeit nicht erfährt.

Quelle: https://www.wallstreetmojo.com/hacktivism/

Wenn man an Hacktivismusgruppen denkt, fällt einem zuerst Anonymous ein. Viele der heutigen Hacktivismusgruppen haben sich jedoch weit von den locker organisierten Kollektiven der frühen Internetzeit entfernt. Im Allgemeinen lassen sich ihre Motivationen in vier Typen einteilen:

  1. ideologische Gruppen, die Organisationen ins Visier nehmen, die ihre Weltanschauung in Frage stellen
  2. politische Gruppen, die bestimmte Agenden verfolgen oder Regierungen bekämpfen
  3. nationalistische Gruppen, die im Interesse eines Landes oder einer ethnischen Identität handeln
  4. opportunistische Gruppen, die sich einer Sache anschließen, wenn sich eine Gelegenheit ergibt.

In der Praxis überschneiden sich diese Kategorien zunehmend – und genau das macht die aktuelle Lage so schwer navigierbar. Die gefährlichsten Akteure befinden sich heute an der Schnittstelle von nationalistischer und politischer Motivation: staatsnahe Gruppen – Organisationen, die unabhängig erscheinen mögen, aber mit stillschweigender oder direkter staatlicher Unterstützung operieren und geopolitische Ziele unter ideologischem Deckmantel verfolgen. Im Kontext des Krieges in der Ukraine sind pro-russische Gruppen zur dominierenden Kraft geworden, die europäische kritische Infrastrukturen ins Visier nimmt – echte Ideologie und staatliche Interessen auf eine Weise vermischend, die bewusst schwer zu entwirren ist (CISA).

Diese Gruppen arbeiten zunehmend über Kategorien hinweg zusammen und bilden weitreichende Allianzen. Ideologische Kollektive, nationalistische Crews und staatsnahe Akteure bündeln Ressourcen, teilen Angriffswerkzeuge und koordinieren Kampagnen über Telegram-Kanäle und Dark-Web-Foren. Mit wachsender Zusammenarbeit steigt das Fähigkeitsniveau – und damit auch das Ausmaß dessen, wozu sie fähig sind.

Übersichtstabelle: Revante Hacktivismusgruppen

Gruppe Motivation  Herkunft Methode Fähigkeit Primäre Wirkungsbereiche
NoName057(16) (Europol, EU-Council) Nationalistisch / Politisch Russland DDoS · DDoSia-Botnet Mittel DE · UA · FR · IT · SE · CH · NATO gesamt
CARR (CyberArmy Russia) (Wired, U.S. Treasury, CyberScoop) Nationalistisch / Politisch Russland (Sandworm) OT/ICS-Manipulation · HMI Hoch UA · USA · PL · Westeuropa. Industrie
Z-Pentest (Cyble, Rewards for Justice, CISA) Nationalistisch / Opportunistisch GRU / Sandworm ICS/SCADA · Hack & Leak Hoch UA · USA · DE · Energie-Infrastruktur
Handala Hack Team (Wikipedia, Check Point) Nationalistisch / Politisch / State-Proxy Iran (MOIS / Void Manticore) Wiper · Phishing · Psy-Ops · Hack & Leak Hoch Israel (Primär) · USA (Stryker) · Albanien · Westl. Rüstung
CyberAv3ngers (CISA, Dragos) Ideologisch / Politisch Iran (IRGC) SPS/HMI · ICS-Lieferkette Hoch Israel · USA (OT-Systeme)
Anonymous Sudan (Wikipedia, Cyble, Flashpoint, Dark Reading) Ideologisch / Politisch Keine / Killnet-Verbindung DDoS · SKYNET-Botnet Mittel USA · SE · DK · global
Anonymous (The Verge, Wikipedia, Mysterium VPN) Ideologisch Keine (unabhängig) DDoS · Defacement · Leaks Niedrig Global; autoritäre Regierungen, Russland (seit 2022)
Dark Engine (Cyble, Cyble, SC Media) Nationalistisch / Opportunistisch Russland (vermutet) ICS/OT · Energiesektor Hoch Europa · USA · UA
Sector 16 (Cyble, Cyble, SC Media) Nationalistisch / Opportunistisch Russland (vermutet) ICS/OT · Physische Prozessstörung Hoch Europa · USA · CA

Die Angriffslandschaft: Verschiebung hin zu industriellen Systemen

DDoS-Angriffe (Distributed Denial of Service) sind seit Langem das charakteristische Werkzeug des Hacktivismus. Bei einem DDoS-Angriff werden Tausende kompromittierter Geräte – häufig Computer und Server, die ohne Wissen ihrer Besitzer in ein Botnet eingebunden wurden – darauf ausgerichtet, ein Ziel gleichzeitig mit Anfragen zu überfluten und damit seine Kapazitätsgrenze zu überschreiten. Das Ergebnis: Legitime Nutzer werden ausgesperrt, Websites gehen offline, Anmeldeportale werden unerreichbar, und Betriebsdashboards reagieren nicht mehr.

Kostengünstig in der Durchführung und mit begrenzten technischen Kenntnissen ausführbar, bleibt DDoS die am häufigsten erfasste Methode – sie machte 77 % der Vorfalltypen bei 4.875 öffentlich gemeldeten EU-Vorfällen zwischen Juli 2024 und Juni 2025 aus, wobei Hacktivisten den überwiegenden Anteil verantworteten (ENISA Threat Landscape 2025). Hohe Volumina sollten jedoch nicht mit hoher Wirkung gleichgesetzt werden. Nur 2 % dieser hacktivistischen DDoS-Vorfälle verursachten messbare Dienstunterbrechungen (ENISA). Ein überflutetes Portal ist lediglich eine Unannehmlichkeit – es erholt sich innerhalb von Stunden, und der Schaden ist weitgehend reputationsbezogen.

Die folgenreichere Verschiebung vollzieht sich auf einer tieferen Ebene. Da Hacktivismusgruppen durch gruppenübergreifende Zusammenarbeit, gemeinsam genutzte Tools und enge Verbindungen zu staatlich unterstützten Akteuren immer fähiger werden, verlagern sie sich von DDoS hin zu weitaus bedeutenderen Zielen: Industrielle Steuerungssysteme (ICS) – die Technologie, die Stromnetze, Pipelines, Wasseraufbereitungsanlagen und Verkehrsnetze physisch steuert. ICS-Angriffe erfordern tiefes Wissen über operative Technologieumgebungen, geduldige Aufklärung und ein Maß an Koordination, das bisher fast ausschließlich staatlichen Akteuren zugeschrieben wurde.

Ein erfolgreicher Angriff nimmt nicht nur eine Website offline – er kann Ausrüstung beschädigen, Sicherheitsfehler auslösen und kaskadierende Ausfälle mit realen Konsequenzen verursachen, die kein Neustart rückgängig machen kann.

Die Zahlen spiegeln diese Verschiebung deutlich wider. ICS- und OT-Einbrüche erreichten im Q1 und Q2 2025 29 % und 31 % aller erfassten Hacktivismusaktivitäten (Cyble). Im gesamten Jahr verzeichnete Europa die höchste Konzentration ICS-bezogener Einbrüche weltweit. Gruppen wie Dark Engine und Sector 16 haben einen Großteil dieser Eskalation vorangetrieben – Dark Engine führte im Q2 2025 allein 26 ICS-gezielte Vorfälle durch, während Sector 16 im gleichen Zeitraum 14 bestätigte Angriffe durchführte, beide primär auf Energie- und Versorgungsinfrastruktur ausgerichtet (Cyble). CyberArmy of Russia_Reborn ist noch weiter gegangen – durch direkte Manipulation von Mensch-Maschine Interfaces bei Wasserversorgungsunternehmen in den USA und Polen, dass physische Prozessstörungen kein theoretisches Risiko mehr sind (U.S. Treasury).

Was das konkret bedeutet, belegen vier Akteure, deren dokumentierte Angriffe zeigen, dass diese Bedrohungen längst keine Theorie mehr sind – von massenhaften DDoS-Wellen über gezielte Eingriffe in industrielle Steuerungssysteme bis hin zu destruktiven Wiper-Operationen gegen westliche Großunternehmen.

NoName057(16): DDoS auf Finanzsektor und kritische Infrastruktur

NoName057(16) ist seit Frühjahr 2022 die aktivste pro-russische Hacktivismusgruppe in Europa. Ihr Tool DDoSia kombiniert ein eigenes Botnet (Hunderte Server) mit einem Crowdsourcing-Modell, bei dem Freiwillige für ihre Teilnahme in Kryptowährung vergütet werden. Zum Zeitpunkt der Zerschlagung koordinierte die Gruppe über 4.000 aktive Volunteer-Clients. Deutsche Behörden registrierten 14 separate Angriffswellen gegen mehr als 250 Institutionen (Europol, Juli 2025).

April 2024: Gleichzeitige DDoS-Wellen auf Sparkasse, Commerzbank und Volksbank

Ziele: Online-Banking-Portale von Sparkasse, Commerzbank und Volksbank

Methode: Koordinierter HTTP-Layer-7-Flood via DDoSia-Botnet

Auslöser: Deutscher Parlamentsbeschluss zur Ukraine-Militärhilfe

Ergebnis: Zeitweise Nichterreichbarkeit der Portale; kein dauerhafter Schaden

Quellen: DCSO; ENISA Finance TL 2024

CARR (Cyber Army of Russia Reborn): OT-Angriffe auf kritische Infrastruktur

CARR ist eine der wenigen Hacktivismusgruppen, die nachweislich physische Auswirkungen auf kritische Infrastruktur erzielt hat. Das U.S. Department of Justice stuft CARR als „gegründet, finanziert und gesteuert durch den GRU“ (Einheit 74455 / Sandworm) ein. Im Dezember 2025 benannte das gemeinsame Advisory CISA AA25-343A – mitgezeichnet von 23 internationalen Behörden, darunter aus Deutschland, Frankreich, Italien und Spanien – CARR als eine der vier Hauptgruppen, die kritische Infrastruktur weltweit angreifen.

Januar 2024: Wasserversorgung in Muleshoe und Abernathy, Texas

Ziele: Wasserversorgung der Kleinstädte Muleshoe (~5.000 Einwohner) und Abernathy, Texas

Methode: Fernzugriff auf HMI-Steuerungssysteme (Human-Machine Interfaces) via VNC; Manipulation von Steuerungswerten

Ergebnis: Wassertank in Muleshoe lief fast eine Stunde lang über – Zehntausende Gallonen Wasserverlust. Der Bürgermeister rief den Notstand aus. Im Juli 2024 verhängte das U.S. Treasury Department Sanktionen gegen zwei CARR-Mitglieder.

Quellen: U.S. Treasury Press Release jy2473, Wired, CSO Online, Daily Mail, Mandiant/CyberScoop

Handala Hack Team: Irans Cyberfront gegen Israel und den Westen

Handala Hack Team ist eine der destruktivsten Hacktivismusgruppen der Gegenwart. Check Point Research (2026) ordnet Handala als Online-Persona des iranischen Bedrohungsakteurs Void Manticore (Red Sandstorm, Banished Kitten) ein, der dem iranischen MOIS zugerechnet wird. Weitere Personas: Karma (inaktiv) und Homeland Justice (Albanien). Seit 2025 setzt die Gruppe auf NetBird für Traffic-Tunneling sowie KI-assistierte PowerShell-Wiper-Skripte.

April 2026: PSK WIND Technologies — Israelischer Luftverteidigungsauftragnehmer

Ziel: PSK WIND Technologies Ltd. – C2-Systeme, RF-Kommunikation, Luftverteidigung (Iron-Dome-Zulieferer)

Behauptungen: Vollständige Netzwerk-Infiltration; Exfiltration technischer Schemata und C2-Daten

Methode: Supply-Chain-Intrusion → Lateral Movement → Exfiltration → Wiper-Malware

Einschätzung: Angriff auf PSK Wind bestätigt (Security Affairs, GBHackers); Umfang der Exfiltration nicht verifizierbar

Kontext: Angriff auf Vorabend des Pessachfestes – bewusste psychologische Kriegsführung

Quellen: Security Affairs, GBHackers, Cyberpress, Check Point Research 2026

Screenshot handala-hack.tw — PSK Wind Technologies Breach, 2. April 2026.

Quelle: NSIDE-TI-Team. ⚠ Eigenaussagen sind nicht unabhängig verifizierbar. Bemerkung: Wir haben absichtlich auf die Abbildungen der tatsächlichen Leaks, die auf dieser Seite gezeigt werden, verzichtet!

März 2026: Wiper-Angriff auf Stryker Corporation

Ziel: Stryker Corporation (US-Medizintechnikkonzern)

Behauptungen: Remote-Wipe von über 200.000 Geräten via Microsoft Entra ID/M365; ca. 50 TB exfiltriert; Büros in 79 Ländern betroffen

Methode: Microsoft-Umgebung kompromittiert; NetBird-Traffic-Tunneling; legitime Admin-Tools für Wipe missbraucht

Bedeutung: Erste dokumentierte signifikante Ausweitung auf westliche Großunternehmen ohne direkten Israel-Bezug

Quellen: Check Point Research 2026; Security Affairs

Irans koordiniertes Cyber-Ökosystem: PLC-Angriffe auf US-Infrastruktur

Am 7. April 2026 veröffentlichten FBI, CISA, NSA, EPA, DOE und U.S. Cyber Command ein gemeinsames Advisory (CISA AA26-097A), das vor laufenden Angriffen einer iranisch-affiliierten APT-Gruppe auf internetexponierte Programmable Logic Controllers (PLCs) in US-amerikanischer kritischer Infrastruktur warnt. Die Aktivität ähnelt früheren Operationen der CyberAv3ngers (Shahid Kaveh Group), die dem IRGC Cyber Electronic Command (CEC) zugeordnet werden.

März 2026: Exploitation von Rockwell Automation / Allen-Bradley PLCs

Ziel: Rockwell Automation / Allen-Bradley PLCs (CompactLogix, Micro850) in US-Infrastruktur

Sektoren: Wasser & Abwasser, Energie, Regierungseinrichtungen und Kommunen

Methode: Zugriff über internetexponierte PLCs mittels Rockwell Studio 5000 Logix Designer; Deployment von Dropbear SSH auf Port 22; Manipulation von Projektdateien und HMI/SCADA-Anzeigen

Ergebnis: Bestätigte Betriebsstörungen und finanzielle Verluste bei betroffenen Einrichtungen

Kontext: Eskalation als Reaktion auf Feindseligkeiten zwischen Iran, den USA und Israel

Quellen: CISA AA26-097A, The Hacker News, CSO Online, SecurityWeek

Warum Law-Enforcement-Takedowns oft nur begrenzt wirken

Strafverfolgungsbehörden erzielen mit Takedowns regelmäßig operative Erfolge – eine dauerhafte Neutralisierung gelingt jedoch selten. NoName057(16) ist dafür ein Paradebeispiel: Im Juli 2025 beschlagnahmte Europol im Rahmen von Operation Eastwood über 100 Server in 19 Ländern und stellte sieben Haftbefehle aus. Rund zwei Wochen später meldete die Gruppe ihre Reaktivierung; im August 2025 folgten neue DDoS-Angriffe auf deutsche Städte. Dezentrale Strukturen, Ersatzinfrastruktur in Drittstaaten und staatlicher Rückhalt machen eine vollständige Zerschlagung nahezu unmöglich. Ein Takedown reduziert kurzfristig die operative Kapazität, ersetzt aber keine dauerhafte Abwehrstrategie.

Implikationen für Organisationen

Angriffsbereitschaft nicht vorhersehbar, Gelegenheiten schon

Hacktivisten timen Angriffe oft auf externe Trigger-Events. Wer relevante geopolitische Ereignisse kennt, kann das Bedrohungsniveau antizipieren und die Abwehrbereitschaft situativ erhöhen.

Die Eskalationsschwelle hat sich gesenkt

Die Fähigkeitslücke zwischen DDoS-fokussierten und ICS/OT-fähigen Akteuren schwindet. Und die eigene DDoS-Resilienz schützt bekannterweise nicht gegen das Handala-Modell: Wiper + Hack-and-Leak + Psychologische Operation.

Reputationsschaden ist Teil der Angriffsstrategie

Incident-Response- und Krisen-Pläne müssen eine vorbereitete Kommunikationsstrategie für den öffentlichen Raum einschließen – nicht erst nach dem Vorfall.

Identifizieren Sie Ihre Schwachstellen, bevor es andere tun:

Es reicht nicht aus zu wissen, dass die Bedrohung existiert. Die entscheidende Frage für jede Führungskraft lautet: Wie würden wir uns tatsächlich schlagen, wenn eine dieser Gruppen uns ins Visier nähme? Die ehrlichste Antwort liefert ein ICS- und OT-Penetrationstest – eine kontrollierte, expertengeleitete Bewertung, die Ihre operative Technologieumgebung durch die Augen eines Angreifers betrachtet. Ein solcher Test identifiziert falsch konfigurierte Systeme, exponierte Schnittstellen und ausnutzbare Zugangswege in industrielle Netzwerke: genau die Einfallstore, die Gruppen wie CARR, Dark Engine und Sector 16 aktiv sondieren. Das Ergebnis ist konkret und priorisiert – kein theoretisches Risiko, sondern ein klares Bild davon, wo Sie exponiert sind und was sich ändern muss. Dieser dokumentierte Nachweis aktiver Risikobewertung ist auch genau das, was Regulatoren und Frameworks wie NIS-2 zunehmend fordern (NIS-2, Artikel 21).

Was Hacktivisten letztendlich anstreben, ist Sichtbarkeit – und das Lahmlegen operativer Systeme liefert genau das. Ein abgedunkeltes Stromnetz, eine gestörte Wasserversorgung, ein gelähmtes Verkehrsnetz: Das macht Schlagzeilen auf eine Weise, wie es ein gestohlener Datensatz kaum je tun wird. Deshalb müssen operative Sicherheit und Systemverfügbarkeit mit derselben Sorgfalt behandelt werden wie der Schutz sensibler Daten. Ein Penetrationstest ermöglicht es Ihnen, diese Lücken zu Ihren eigenen Bedingungen zu finden – bevor ein Angreifer sie nutzt, um seinen Punkt zu beweisen.

Die Frage ist nicht, ob Ihre Infrastruktur getestet werden wird. Die Frage ist, ob Sie der Erste sein werden, der sie testet.

Bereit, Ihre Verteidigung zu stärken?

Die Bedrohungslage durch Hacktivisten und staatsnahe Akteure entwickelt sich schneller als die meisten Abwehrstrategien. NSIDE ATTACK LOGIC unterstützt Sie mit gezielten Red-Team-Assessments, TIBER-EU-konformer Threat Intelligence und praxiserprobten Penetrationstests – zugeschnitten auf Ihre kritischen Assets und die aktuelle Angriffsfläche.

Ob Resilienz gegen Bedrohungsakteure, Simulation von Supply-Chain-Attacken oder offensive Open Source Intelligence: Wir simulieren reale Angriffe, bevor Bedrohungsakteure erfolgreich sind.

→  Vereinbaren Sie ein 30-minütiges Gespräch mit unseren Experten: https://www.nsideattacklogic.de/kontakt/

Ausgewählte Quellen