{"id":139,"date":"2026-06-15T04:20:34","date_gmt":"2026-06-15T04:20:34","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/15\/noname057-ddos-deutschland-2026\/"},"modified":"2026-06-15T04:20:34","modified_gmt":"2026-06-15T04:20:34","slug":"noname057-ddos-deutschland-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/15\/noname057-ddos-deutschland-2026\/","title":{"rendered":"NoName057(16): 14 DDoS-Wellen gegen Deutschland [2026]"},"content":{"rendered":"\n

Knapp ein Jahr nach der international gefeierten Zerschlagung steht die prorussische Hacktivisten-Gruppe NoName057(16) im Juni 2026 wieder im Zentrum der deutschen Cyber-Bedrohungslage. Eine Untersuchung der Moscow Times vom 29. April 2026 belegt, dass das Kollektiv seine DDoS-Angriffe auf Regierungen, Banken und kritische Infrastruktur in Europa nicht nur fortsetzt, sondern mit Krypto-Belohnungen gezielt anheizt. Deutschland z\u00e4hlt dabei laut Europol zu den am h\u00e4rtesten getroffenen L\u00e4ndern: Seit November 2023 registrierten die Ermittler 14 separate Angriffswellen gegen mehr als 250 Unternehmen und Institutionen.<\/p>\n\n\n\n

Die Operation Eastwood hatte im Juli 2025 als Erfolg gegolten. Europol und Eurojust nahmen die zentrale Infrastruktur der Gruppe vom Netz, koordinierten Beh\u00f6rden aus zw\u00f6lf L\u00e4ndern und erlie\u00dfen sieben Haftbefehle. Doch die dezentrale Struktur von NoName057(16) hat den Schlag \u00fcberstanden. Wer verstehen will, warum ein loses Netzwerk aus Freiwilligen einem staaten\u00fcbergreifenden Polizeieinsatz standh\u00e4lt, muss die Mechanik dieser Gruppe kennen. Dieser Beitrag analysiert die Fakten, die Zahlen und die Folgen f\u00fcr die DACH-Region.<\/p>\n\n\n\n

NoName057(16) attackiert Deutschland erneut: die aktuelle Lage<\/h2>\n\n\n\n

Die DDoS-Welle gegen deutsche Ziele ebbt nicht ab. Prorussische Hacktivisten \u00fcberfluten Webseiten von Beh\u00f6rden, Flugh\u00e4fen, Banken und R\u00fcstungsunternehmen mit Anfragen, bis die Server unter der Last zusammenbrechen. Anders als bei Ransomware flie\u00dfen dabei keine Daten ab und es gibt keine L\u00f6segeldforderung. Das Ziel ist Sichtbarkeit. Jede ausgefallene Webseite eines Ministeriums oder eines Energieversorgers liefert ein Propagandabild, das die Gruppe in ihren Telegram-Kan\u00e4len feiert.<\/p>\n\n\n\n

Die Untersuchung der Moscow Times vom 29. April 2026 zeigt, dass NoName057(16) seine Anh\u00e4nger mit Kryptow\u00e4hrung belohnt, wenn sie an Angriffen teilnehmen. Dieses Belohnungsmodell macht aus einem politischen Protest ein Spiel mit Bestenlisten und Auszahlungen. Die Gruppe rekrutiert damit auch technisch wenig versierte Unterst\u00fctzer, die lediglich eine Software starten m\u00fcssen. Genau dieser Ansatz erkl\u00e4rt, warum die Festnahmen einzelner K\u00f6pfe die Schlagkraft des Netzwerks kaum mindern.<\/p>\n\n\n\n

F\u00fcr deutsche Organisationen bedeutet das eine andauernde Belastung. Die Angriffe folgen oft tagespolitischen Ereignissen. Liefert die Bundesregierung neue Waffen an die Ukraine oder \u00e4u\u00dfert sich ein Minister kritisch zu Russland, steigt das Risiko einer Angriffswelle innerhalb von Stunden. Diese Vorhersagbarkeit hilft Verteidigern, sie macht die Angriffe aber auch zu einem st\u00e4ndigen geopolitischen Stimmungsbarometer.<\/p>\n\n\n\n

Was ist NoName057(16)? Profil der Hacktivisten-Gruppe<\/h2>\n\n\n\n

NoName057(16) ist seit M\u00e4rz 2022 aktiv, also seit dem Beginn des russischen Angriffskriegs gegen die Ukraine. Die Gruppe entstand als digitale Reaktion auf die westliche Unterst\u00fctzung Kiews und positionierte sich von Anfang an als ideologisch motiviert. Sicherheitsforscher von Imperva bezeichnen das Kollektiv als eine der aktivsten prorussischen Hacktivisten-Strukturen Europas, bekannt vor allem f\u00fcr gro\u00df angelegte DDoS-Angriffe auf Regierungs-, Medien- und Infrastrukturseiten.<\/p>\n\n\n\n

Der Name selbst ist kryptisch und folgt keiner offensichtlichen Logik. Wichtiger als die Bezeichnung ist die Organisationsform. NoName057(16) funktioniert nicht wie eine klassische kriminelle Bande mit klarer Hierarchie, sondern wie ein Schwarm. Ein kleiner Kern entwickelt die Werkzeuge und koordiniert die Ziele, w\u00e4hrend Tausende von Freiwilligen die eigentliche Angriffsleistung beisteuern. Diese Trennung zwischen Architekten und Fu\u00dfsoldaten ist der Kern der Widerstandsf\u00e4higkeit.<\/p>\n\n\n\n

Die DDoSia-Plattform als Waffe<\/h3>\n\n\n\n

Das technische Herzst\u00fcck der Gruppe ist das Werkzeug DDoSia. Europol identifiziert es als die zentrale Angriffssoftware, die das Netzwerk verteilt. Unterst\u00fctzer installieren das Programm, verbinden es mit den Kommandoservern der Gruppe und ihre Rechner werden Teil eines koordinierten Angriffs. Die Belohnungsmechanik koppelt sich direkt an diese Software: Wer mehr Datenverkehr gegen ein Ziel schleudert, klettert in der Rangliste und erh\u00e4lt h\u00f6here Krypto-Auszahlungen.<\/p>\n\n\n\n

Dieser Aufbau senkt die Einstiegsh\u00fcrde drastisch. Es braucht kein tiefes technisches Wissen, um mitzumachen. Genau das unterscheidet moderne Hacktivisten-Netzwerke von professionellen Ransomware-Banden wie Akira<\/a> oder Qilin<\/a>, die auf spezialisierte Operatoren und Affiliate-Modelle setzen.<\/p>\n\n\n\n

Operation Eastwood: die Bilanz der Zerschlagung vom Juli 2025<\/h2>\n\n\n\n

Zwischen dem 14. und 17. Juli 2025 schlugen die Ermittler zu. Die von Europol und Eurojust koordinierte Operation Eastwood richtete sich gegen die Kerninfrastruktur von NoName057(16). Beh\u00f6rden aus zw\u00f6lf L\u00e4ndern arbeiteten zusammen und nahmen einen gro\u00dfen Teil der zentralen Serverinfrastruktur der Gruppe vom Netz. Europol beschrieb das Ergebnis als die St\u00f6rung einer Angriffsinfrastruktur aus mehr als einhundert Computersystemen weltweit.<\/p>\n\n\n\n

Die nackten Zahlen wirkten beeindruckend. Doch die Festnahmen blieben mit zwei Personen \u00fcberschaubar, und die mutma\u00dflichen Hauptverantwortlichen sitzen au\u00dferhalb der Reichweite europ\u00e4ischer Justiz. Die folgende Tabelle fasst die offizielle Bilanz der Operation zusammen.<\/p>\n\n\n\n

Kennzahl<\/th>Ergebnis Operation Eastwood<\/th><\/tr><\/thead>
Zeitraum<\/td>14. bis 17. Juli 2025<\/td><\/tr>
Beteiligte L\u00e4nder<\/td>12<\/td><\/tr>
Festnahmen<\/td>2<\/td><\/tr>
Internationale Haftbefehle<\/td>7<\/td><\/tr>
Gest\u00f6rte Serversysteme<\/td>\u00fcber 100<\/td><\/tr>
Hausdurchsuchungen<\/td>24<\/td><\/tr>
Befragte Personen<\/td>13<\/td><\/tr>
Benachrichtigte Unterst\u00fctzer<\/td>\u00fcber 1.000 (davon 15 Administratoren)<\/td><\/tr><\/tbody><\/table>
Quelle: Europol, Pressemitteilung zur Operation Eastwood, Juli 2025.<\/figcaption><\/figure>\n\n\n\n

Europol setzte neben den klassischen Polizeima\u00dfnahmen auf psychologische Abschreckung. \u00dcber einen Messaging-Dienst erhielten mehr als 1.000 Unterst\u00fctzer, darunter 15 Administratoren, Hinweise auf ihre pers\u00f6nliche strafrechtliche Verantwortung. Die Botschaft war klar: Wer DDoSia startet, ist kein anonymer Aktivist, sondern ein identifizierbarer Mitt\u00e4ter. Diese Taktik zielte auf die Achillesferse des Schwarmmodells, die Bereitschaft gew\u00f6hnlicher Nutzer mitzumachen.<\/p>\n\n\n\n

Wer steckt dahinter? Burlakov, Lupin und die Netzwerkstruktur<\/h2>\n\n\n\n

Europol nennt zwei mutma\u00dfliche Hauptkoordinatoren: Mikhail Burlakov und Maxim Lupin. Die Beh\u00f6rden werfen ihnen vor, das DDoSia-Werkzeug entwickelt und gewartet sowie die f\u00fcr das Netzwerk genutzten Server bezahlt zu haben. Beide gelten als die organisatorischen Drehscheiben hinter den Angriffswellen. Solange sie sich jedoch in Russland aufhalten, bleiben die sieben Haftbefehle weitgehend symbolisch.<\/p>\n\n\n\n

Die Struktur darunter ist bewusst diffus. Sch\u00e4tzungen, die in der Berichterstattung zur Operation Eastwood auftauchten, sprechen von rund 4.000 mobilisierten Nutzern. Die konservativste direkt von Europol best\u00e4tigte Zahl liegt bei \u00fcber 1.000 benachrichtigten Unterst\u00fctzern. Diese Spannweite zeigt das Grundproblem: Niemand kennt die exakte Gr\u00f6\u00dfe eines Netzwerks, das jederzeit neue Freiwillige aufnehmen und alte absto\u00dfen kann.<\/p>\n\n\n\n

Diese Dezentralit\u00e4t erkl\u00e4rt die schnelle Erholung. Werden Server beschlagnahmt, baut der Kern neue auf. Werden Administratoren enttarnt, \u00fcbernehmen andere. Das Belohnungssystem sorgt f\u00fcr stetigen Nachschub an Teilnehmern. Eine Polizeioperation kann ein solches Gebilde st\u00f6ren, aber nicht in einem Schlag ausl\u00f6schen. Genau das beobachten Ermittler im Jahr 2026.<\/p>\n\n\n\n

2026: die R\u00fcckkehr trotz Zerschlagung<\/h2>\n\n\n\n

Die Moscow Times dokumentierte am 29. April 2026, dass NoName057(16) weiterhin Cyberangriffe gegen Regierungen, Banken und Infrastruktur in ganz Europa ausf\u00fchrt. Die Gruppe hat ihr Belohnungsmodell verfeinert und gamifiziert ihre Angriffe mit Krypto-Pr\u00e4mien. Aus Sicht der Verteidiger ist das die schlechteste aller Nachrichten: Die teuerste Polizeioperation gegen die Gruppe hat ihre operative F\u00e4higkeit nicht dauerhaft gebrochen.<\/p>\n\n\n\n

Die Resilienz von NoName057(16) passt in ein gr\u00f6\u00dferes Muster. Auch professionelle Ransomware-Banden tauchen nach Strafverfolgung unter neuem Namen wieder auf, wie der Fall REvil<\/a> zeigt. Bei Hacktivisten ist die Wiederbelebung sogar einfacher, weil es keine teure Infrastruktur und keine kriminellen Gewinnmargen zu sch\u00fctzen gibt. Ideologie und Spielanreiz gen\u00fcgen als Treibstoff.<\/p>\n\n\n\n

F\u00fcr Deutschland verschiebt sich damit die strategische Frage. Es geht nicht mehr darum, ob die Gruppe zur\u00fcckkehrt, sondern wie oft und gegen welche Ziele. Die Verteidigung muss von einem einmaligen Vorfall auf ein Dauerph\u00e4nomen umstellen. Das bedeutet permanente DDoS-Schutzma\u00dfnahmen statt reaktiver Notfallpl\u00e4ne.<\/p>\n\n\n\n

Deutschland im Visier: 14 Angriffswellen, 250+ Ziele<\/h2>\n\n\n\n

Deutschland nimmt in der Zielliste von NoName057(16) einen Spitzenplatz ein. Laut Europol erlebte das Land seit Beginn der Ermittlungen im November 2023 14 separate Angriffswellen gegen mehr als 250 Unternehmen und Institutionen. Eurojust nannte als betroffene Kategorien ausdr\u00fccklich R\u00fcstungsfabriken, Energieversorger und Regierungsorganisationen. Die Auswahl ist kein Zufall, sie spiegelt die Themen wider, an denen sich prorussische Propaganda abarbeitet.<\/p>\n\n\n\n

Diese Konzentration auf Deutschland deckt sich mit anderen Lagebildern. Bundesinnenminister Alexander Dobrindt brachte es bei der Vorstellung des aktuellen Lageberichts auf den Punkt: “Deutschland ist nach den USA, Indien und Japan eines der Topziele f\u00fcr Cyberangriffe.”<\/em> DDoS-Hacktivismus ist dabei nur eine Facette, aber die sichtbarste, weil sie \u00f6ffentliche Webseiten lahmlegt.<\/p>\n\n\n\n

Banken und Finanzdienstleister geh\u00f6ren zu den bevorzugten Zielen, weil ein Ausfall des Online-Bankings sofort Schlagzeilen produziert. Flugh\u00e4fen und Verkehrsbetriebe sind \u00e4hnlich attraktiv, da St\u00f6rungen f\u00fcr Reisende unmittelbar sp\u00fcrbar werden. R\u00fcstungsunternehmen wiederum bedienen die politische Erz\u00e4hlung der Gruppe. Diese Zielauswahl optimiert nicht auf finanziellen Schaden, sondern auf mediale Wirkung.<\/p>\n\n\n\n

Die ENISA-Zahlen: DDoS dominiert die EU-Bedrohungslage<\/h2>\n\n\n\n

Die ENISA Threat Landscape 2025, ver\u00f6ffentlicht im Januar 2026, ordnet das Ph\u00e4nomen europaweit ein. Hacktivistische DDoS-Angriffe gegen digitale Infrastruktur und Dienste machten 57,5 Prozent aller Angriffe auf diesen Sektor in der EU aus. Innerhalb dieser Kategorie ist NoName057(16) mit Abstand der aktivste Akteur. Die folgende Tabelle zeigt die Verteilung der wichtigsten Gruppen und Bedrohungen.<\/p>\n\n\n\n

Akteur \/ Bedrohung<\/th>Anteil<\/th>Kategorie<\/th><\/tr><\/thead>
Hacktivistische DDoS-Angriffe<\/td>57,5 %<\/td>Angriffe auf EU-Digitalinfrastruktur<\/td><\/tr>
NoName057(16)<\/td>33,8 %<\/td>Hacktivisten-DDoS<\/td><\/tr>
Keymous+<\/td>21,4 %<\/td>Hacktivisten-DDoS<\/td><\/tr>
Mr Hamza<\/td>6,5 %<\/td>Hacktivisten-DDoS<\/td><\/tr>
Fertigungsindustrie<\/td>14,9 %<\/td>Ransomware-Ziele<\/td><\/tr>
Digitalinfrastruktur<\/td>10,3 %<\/td>Ransomware-Ziele<\/td><\/tr><\/tbody><\/table>
Quelle: ENISA Threat Landscape 2025, ver\u00f6ffentlicht Januar 2026.<\/figcaption><\/figure>\n\n\n\n

Mit einem Anteil von 33,8 Prozent ist NoName057(16) f\u00fcr rund ein Drittel der hacktivistischen DDoS-Angriffe in der EU verantwortlich. Keymous+ folgt mit 21,4 Prozent, Mr Hamza mit 6,5 Prozent. Die Konzentration auf wenige Gruppen zeigt, dass eine Handvoll Netzwerke den Gro\u00dfteil der Last erzeugt. Gelingt es, diese gezielt zu schw\u00e4chen, sinkt die Gesamtbelastung deutlich. Genau hier setzte Operation Eastwood an.<\/p>\n\n\n\n

Marktauswirkung: was DDoS-Angriffe Unternehmen kosten<\/h2>\n\n\n\n

DDoS-Angriffe stehlen keine Daten, doch ihr wirtschaftlicher Schaden ist real. Jede Minute, in der ein Online-Shop, ein Buchungsportal oder eine Banking-App nicht erreichbar ist, kostet Umsatz und Vertrauen. F\u00fcr Handelsunternehmen summieren sich Ausf\u00e4lle in Sto\u00dfzeiten schnell zu sechsstelligen Verlusten. Hinzu kommen Kosten f\u00fcr Notfallreaktion, zus\u00e4tzliche Bandbreite und teure DDoS-Schutzdienste.<\/p>\n\n\n\n

Die deutsche Wirtschaft tr\u00e4gt ohnehin eine Rekordlast. Der Branchenverband Bitkom bezifferte die j\u00e4hrlichen Cybersch\u00e4den in Deutschland auf 289 Milliarden Euro<\/a>. DDoS ist davon nur ein Teil, doch die st\u00e4ndige Verf\u00fcgbarkeit von Verteidigungskapazit\u00e4t bindet Budgets, die anderswo fehlen. Der Markt f\u00fcr DDoS-Mitigation w\u00e4chst entsprechend, getrieben von Anbietern, die st\u00e4ndig steigende Angriffsvolumen abfangen.<\/p>\n\n\n\n

Besonders teuer wird es f\u00fcr Betreiber kritischer Infrastruktur. Sie unterliegen seit der NIS2-Umsetzung in Deutschland<\/a> versch\u00e4rften Pflichten und m\u00fcssen Vorf\u00e4lle melden. Ein erfolgreicher DDoS-Angriff kann damit nicht nur Umsatz kosten, sondern auch regulatorische Konsequenzen nach sich ziehen. Die Kombination aus Betriebsausfall und Compliance-Druck erh\u00f6ht den Einsatz f\u00fcr jeden einzelnen Vorfall.<\/p>\n\n\n\n

Stimmen der Experten zur Bedrohung durch Hacktivisten<\/h2>\n\n\n\n

Die Beh\u00f6rden bewerten die Lage als angespannt. BSI-Pr\u00e4sidentin Claudia Plattner betonte bei der Vorstellung des aktuellen Lageberichts die Dimension des Problems: “Wir erleben im Berichtszeitraum, dass jeden Tag durchschnittlich 280.000 neue Schadprogrammvarianten bekannt werden.”<\/em> Plattner machte zugleich deutlich, wo sie den gr\u00f6\u00dften Hebel sieht: “Das ist unser gr\u00f6\u00dftes Thema, die Angriffsfl\u00e4chen.”<\/em><\/p>\n\n\n\n

Europol formulierte den Erfolg der Operation Eastwood vorsichtig. Die Beh\u00f6rde sprach von der St\u00f6rung einer Angriffsinfrastruktur aus \u00fcber einhundert Computersystemen weltweit und davon, dass ein gro\u00dfer Teil der zentralen Serverinfrastruktur der Gruppe vom Netz genommen wurde. Eurojust erg\u00e4nzte die deutsche Perspektive und nannte als Ziele in Deutschland ausdr\u00fccklich R\u00fcstungsfabriken, Energieversorger und Regierungsorganisationen.<\/p>\n\n\n\n

Sicherheitsforscher von Imperva ordnen NoName057(16) als eine der aktivsten prorussischen Hacktivisten-Gruppen ein, die seit M\u00e4rz 2022 vor allem durch gro\u00df angelegte DDoS-Angriffe auff\u00e4llt. Diese Einsch\u00e4tzung deckt sich mit den ENISA-Daten. Bundesinnenminister Alexander Dobrindt verortet Deutschland im internationalen Vergleich als eines der vier wichtigsten Angriffsziele weltweit, hinter den USA, Indien und Japan.<\/p>\n\n\n\n

Historischer Kontext: Hacktivismus seit dem Ukraine-Krieg<\/h2>\n\n\n\n

Politisch motivierter Hacktivismus ist nicht neu, doch der russische Angriffskrieg gegen die Ukraine hat ihn ab 2022 in eine neue Phase getrieben. Vor dem Krieg dominierten lose Kollektive wie Anonymous die \u00f6ffentliche Wahrnehmung. Seitdem haben sich entlang der geopolitischen Frontlinien dauerhafte Gruppen formiert, die ihre Angriffe als digitale Verl\u00e4ngerung des Konflikts verstehen. NoName057(16) entstand exakt in diesem Moment im M\u00e4rz 2022.<\/p>\n\n\n\n

Die Vorg\u00e4ngergeneration prorussischer Hacktivisten war Killnet, das 2022 und 2023 Schlagzeilen mit DDoS-Angriffen auf westliche Ziele machte. NoName057(16) hat diese Rolle \u00fcbernommen und professionalisiert. Der entscheidende Unterschied liegt im Belohnungssystem und in der Software DDoSia, die das Mitmachen industrialisiert. Aus spontaner Emp\u00f6rung wurde ein dauerhaft betriebenes Netzwerk mit Anreizstruktur.<\/p>\n\n\n\n

Die Antwort der Strafverfolgung hat sich parallel entwickelt. Fr\u00fche Reaktionen beschr\u00e4nkten sich auf Warnungen und einzelne Server-Beschlagnahmen. Operation Eastwood markierte 2025 eine neue Qualit\u00e4t, weil sie zw\u00f6lf L\u00e4nder, Haftbefehle und gezielte Abschreckung gegen einfache Unterst\u00fctzer kombinierte. Dass die Gruppe dennoch zur\u00fcckkehrte, zeigt die Grenzen rein polizeilicher Ans\u00e4tze gegen ideologisch getriebene Schw\u00e4rme.<\/p>\n\n\n\n

Wettbewerb der Hacktivisten: NoName057(16) im Vergleich<\/h2>\n\n\n\n

NoName057(16) ist nicht allein. Mehrere prorussische und ideologisch verwandte Gruppen konkurrieren um Aufmerksamkeit und Ziele. Keymous+ und Mr Hamza erscheinen in den ENISA-Daten als n\u00e4chstgr\u00f6\u00dfere Akteure im Bereich hacktivistischer DDoS-Angriffe. Der Vergleich zeigt, dass NoName057(16) durch sein Belohnungssystem und die DDoSia-Plattform einen strukturellen Vorsprung bei der Mobilisierung hat.<\/p>\n\n\n\n

Im Unterschied zu finanziell motivierten Banden verfolgen diese Gruppen keine L\u00f6segeldstrategie. Ihr Erfolgsma\u00dfstab ist Reichweite, nicht Profit. Das ver\u00e4ndert die Abwehrlogik grundlegend. W\u00e4hrend man Ransomware-Banden \u00fcber das Geld treffen kann, etwa durch Sanktionen gegen Krypto-Adressen, l\u00e4sst sich ein ideologischer Schwarm so kaum austrocknen. Die Bek\u00e4mpfung muss bei Infrastruktur, Identifizierung und Abschreckung ansetzen.<\/p>\n\n\n\n

Bemerkenswert ist auch die \u00dcberschneidung mit klassischer Cyberkriminalit\u00e4t. Der aktuelle DACH-Bericht von Check Point verzeichnete f\u00fcr 2025 einen Anstieg der kombinierten Hacktivismus- und Ransomware-Vorf\u00e4lle um 124 Prozent, wobei Deutschland 82 Prozent aller Vorf\u00e4lle in der Region auf sich zog und Defacement mit 66 Prozent die h\u00e4ufigste Angriffsart war. Mehr Details liefert unsere Analyse zum 124-Prozent-Anstieg der Cyberangriffe<\/a>.<\/p>\n\n\n\n

So sch\u00fctzen sich deutsche Organisationen vor DDoS<\/h2>\n\n\n\n

Gegen DDoS-Angriffe hilft kein einzelnes Produkt, sondern eine geschichtete Verteidigung. An erster Stelle steht ein spezialisierter Mitigation-Dienst, der b\u00f6sartigen Datenverkehr filtert, bevor er die eigenen Server erreicht. Content-Delivery-Netzwerke verteilen die Last \u00fcber viele Standorte und absorbieren Angriffsspitzen. Wer kritische Dienste betreibt, sollte diese Kapazit\u00e4t dauerhaft vorhalten und nicht erst im Angriffsfall zuschalten.<\/p>\n\n\n\n

Ebenso wichtig ist die Vorbereitung auf den Ernstfall. Ein einge\u00fcbter Notfallplan legt fest, wer entscheidet, wie kommuniziert wird und welche Systeme priorisiert online bleiben. Da NoName057(16) seine Angriffe oft an tagespolitische Ereignisse koppelt, lohnt sich ein Fr\u00fchwarnsystem, das geopolitische Ausl\u00f6ser mit der eigenen Bereitschaft verkn\u00fcpft. Verteidigung beginnt mit Erwartungsmanagement.<\/p>\n\n\n\n

Grundlegende Hygiene bleibt die Basis. Aktuelle Patches schlie\u00dfen Schwachstellen, \u00fcber die Angreifer zus\u00e4tzliche Ressourcen kapern k\u00f6nnten. Eine saubere Verschl\u00fcsselung sensibler Verbindungen verhindert, dass ein DDoS-Ablenkungsman\u00f6ver einen Datendiebstahl verdeckt. Wer die Grundlagen sichern will, findet in unserem \u00dcberblick zur aktuellen Bedrohungslage des BSI<\/a> einen guten Ausgangspunkt.<\/p>\n\n\n\n

5 Prognosen f\u00fcr die DDoS-Bedrohung bis Ende 2026<\/h2>\n\n\n\n

Erstens wird NoName057(16) aktiv bleiben. Die R\u00fcckkehr nach Operation Eastwood zeigt, dass die dezentrale Struktur Polizeischl\u00e4ge \u00fcbersteht. Solange der Krieg in der Ukraine andauert, fehlt der ideologische Treibstoff nicht. Deutsche Organisationen sollten von weiteren Angriffswellen ausgehen, getaktet nach politischen Ereignissen.<\/p>\n\n\n\n

Zweitens wird die Gamification zunehmen. Krypto-Belohnungen senken die H\u00fcrde und erweitern den Teilnehmerkreis. Andere Gruppen d\u00fcrften das Modell kopieren, weil es Mobilisierung skalierbar macht. Drittens verschmelzen Hacktivismus und Cyberkriminalit\u00e4t weiter. Der DACH-Anstieg um 124 Prozent deutet darauf hin, dass politische und finanzielle Motive bei Angriffen zunehmend zusammenfallen.<\/p>\n\n\n\n

Viertens werden Beh\u00f6rden ihre Taktik anpassen. Nach Eastwood ist klar, dass einzelne Festnahmen wenig bewirken. K\u00fcnftige Operationen d\u00fcrften st\u00e4rker auf dauerhafte St\u00f6rung der Infrastruktur und auf die Abschreckung gew\u00f6hnlicher Unterst\u00fctzer setzen. F\u00fcnftens steigt der regulatorische Druck. Mit NIS2 und dem Cyber Resilience Act w\u00e4chst die Pflicht, Verf\u00fcgbarkeit nachzuweisen und Vorf\u00e4lle zu melden, was DDoS-Resilienz zur Compliance-Frage macht.<\/p>\n\n\n\n

H\u00e4ufig gestellte Fragen zu NoName057(16) und DDoS-Angriffen<\/h2>\n\n\n\n

Wer ist NoName057(16)?<\/h3>\n\n\n\n

NoName057(16) ist eine prorussische Hacktivisten-Gruppe, die seit M\u00e4rz 2022 aktiv ist. Sie ist bekannt f\u00fcr gro\u00df angelegte DDoS-Angriffe auf Regierungs-, Medien- und Infrastrukturseiten in Europa und betreibt daf\u00fcr die Angriffssoftware DDoSia.<\/p>\n\n\n\n

Was war Operation Eastwood?<\/h3>\n\n\n\n

Operation Eastwood war eine von Europol und Eurojust koordinierte internationale Aktion zwischen dem 14. und 17. Juli 2025. Beh\u00f6rden aus zw\u00f6lf L\u00e4ndern nahmen \u00fcber 100 Serversysteme vom Netz, erlie\u00dfen sieben Haftbefehle und f\u00fchrten zwei Festnahmen sowie 24 Hausdurchsuchungen durch.<\/p>\n\n\n\n

Warum ist die Gruppe 2026 wieder aktiv?<\/h3>\n\n\n\n

Die Struktur von NoName057(16) ist dezentral. Ein kleiner Kern koordiniert, w\u00e4hrend Tausende Freiwillige angreifen. Werden Server beschlagnahmt oder K\u00f6pfe enttarnt, baut das Netzwerk neue Kapazit\u00e4ten auf. Krypto-Belohnungen sorgen f\u00fcr stetigen Nachschub an Teilnehmern.<\/p>\n\n\n\n

Wie stark ist Deutschland betroffen?<\/h3>\n\n\n\n

Laut Europol erlebte Deutschland seit November 2023 14 separate Angriffswellen gegen mehr als 250 Unternehmen und Institutionen. Zu den Zielen z\u00e4hlten R\u00fcstungsfabriken, Energieversorger und Regierungsorganisationen.<\/p>\n\n\n\n

Wie gef\u00e4hrlich sind DDoS-Angriffe im Vergleich zu Ransomware?<\/h3>\n\n\n\n

DDoS-Angriffe stehlen keine Daten und fordern kein L\u00f6segeld, sie legen Dienste lahm. Der Schaden entsteht durch Ausfallzeiten, Umsatzverluste und Vertrauensverlust. Ransomware verursacht in der Regel h\u00f6here direkte Kosten, DDoS dagegen h\u00e4ufigere und sichtbarere St\u00f6rungen.<\/p>\n\n\n\n

Wie k\u00f6nnen sich Unternehmen sch\u00fctzen?<\/h3>\n\n\n\n

Wirksam ist eine geschichtete Verteidigung aus spezialisierten DDoS-Mitigation-Diensten, Content-Delivery-Netzwerken, einem einge\u00fcbten Notfallplan und einem Fr\u00fchwarnsystem f\u00fcr geopolitische Ausl\u00f6ser. Aktuelle Patches und saubere Verschl\u00fcsselung bilden die Grundlage.<\/p>\n\n\n\n

Wer steht an der Spitze der Gruppe?<\/h3>\n\n\n\n

Europol nennt Mikhail Burlakov und Maxim Lupin als mutma\u00dfliche Hauptkoordinatoren, die das DDoSia-Werkzeug entwickelt und gewartet sowie die Server bezahlt haben sollen. Beide befinden sich au\u00dferhalb der Reichweite europ\u00e4ischer Strafverfolgung.<\/p>\n\n\n\n

Welche Rolle spielt das Werkzeug DDoSia?<\/h3>\n\n\n\n

DDoSia ist die zentrale Angriffssoftware der Gruppe. Unterst\u00fctzer installieren sie, verbinden ihre Rechner mit den Kommandoservern und werden Teil eines koordinierten Angriffs. Die Krypto-Belohnungen koppeln sich direkt an den erzeugten Datenverkehr.<\/p>\n\n\n\n

Related Coverage<\/h3>\n\n\n\n