Die IT-Abteilung der Dortmunder Stadtverwaltung und ihr IT-Dienstleister Dokom21 sind am vergangenen Donnerstag und Freitag (12. /13.10.) mächtig ins Schwitzen gekommen. Hacker hatten das städtische Internetportal dortmund.de mit Anfragen derart geflutet, dass es in die Knie ging und zwei Tage lang für die Bürger und Bürgerinnen nicht zu erreichen war. Das Gleiche war auch zur selben Zeit den Städten Köln, Hannover, Nürnberg und Dresden passiert.
Daten wurden nicht gestohlen und es gab auch keine Erpressungsversuche gegen die Stadt. Es handelte sich um einen sogenannten DDoS-Angriff (Distributed Denial of Service), der darauf abzielt, ein Netzwerk oder eine Website durch eine Überlastung mit Datenverkehr lahmzulegen.
Aber was haben Hacker davon? Warum legen sie die Website einer Stadtverwaltung, in diesem Fall unter anderem von Dortmund, lahm?
Mögliche Motive
„Die Motive und Gründe für einen DDoS-Angriff sind vielfältig und können sehr unterschiedlich sein“, teilt Patricia Schöttler, Pressesprecherin im NRW-Innenministerium mit.
Doch die Fachleute im Ministerium haben Vermutungen zu möglichen Motiven. So könnten zum Beispiel einige DDoS-Angriffe aus politischen Gründen ausgeübt werden, um beispielsweise die Online-Präsenz einer Regierung oder einer Organisation zu stören, aus Protest gegen bestimmte politische Entscheidungen oder aus ideologischen Gründen.
Die Behördensprecherin: „DDoS-Angriffe werden auch durchgeführt, um Websites oder Online-Dienste zu sabotieren oder um gezielt Schäden anzurichten, die das Opfer finanziell, reputativ oder operationell beeinträchtigen.“
Freude an der Zerstörung
Außerdem könnten DDoS-Angriffe dazu dienen, die Aufmerksamkeit der Sicherheitsteams von einem anderen Angriff abzulenken, der gleichzeitig durchgeführt werde, während die Verteidiger versuchten, den DDoS-Angriff abzuwehren.
Es gebe Hacker, die führten DDoS-Angriffe aus schierer Freude an der Zerstörung oder um Aufmerksamkeit und Anerkennung in der Hacking-Community zu erlangen aus, erläutert Patricia Schöttler.
Angreifer könnten DDoS-Angriffe nutzen, um Kontrolle über bereits infizierte Botnetze zu behalten oder um deren Funktionstüchtigkeit zu testen. „Hacker-Gruppen wie Anonymous und andere Aktivisten führen DDoS-Angriffe als Teil ihrer Online-Aktivismus-Kampagnen durch, um politische oder soziale Botschaften zu verbreiten“, sagt Patricia Schöttler. Man könne aber nicht generell davon ausgehen, dass die angenommenen Beweggründe der Täter die tatsächlichen Motive widerspiegelten.
„NoName057(16)“
Wer hinter diesen Angriffen steckt, ist nicht immer klar. Im Zusammenhang mit dem völkerrechtswidrigen russischen Angriffskrieg in der Ukraine würden immer wieder DDoS-Angriffe festgestellt, sagt Schöttler.
Diese Attacken könnten, wie in Dortmund geschehen, zeitweise die Verfügbarkeit von Web-Angeboten einschränken. Schöttler: „In der Regel werden jedoch keine lang anhaltenden Schäden durch die Angriffe verursacht.“ Dennoch hat die Stadt Dortmund Anzeige erstattet.
Laut der Fachleute im Ministerium werden viele dieser Angriffe mutmaßlich von Gruppen initiiert, die sich selbst als pro-russische Hacktivisten bezeichnen. So habe die Gruppierung „NoName057(16)“ am 12. Oktober auf dem Messenger-Dienst Telegram bekannt gegeben, die Portale verschiedener deutscher Städte einem „Stress-Test“ zu unterziehen. Dortmund wurde am 12. Oktober angegriffen.
Winter-Paket für die Ukraine
Als Hintergrund nennt die Gruppierung die Ankündigung des deutschen Verteidigungsministeriums, die Ukraine mit einem Winter-Paket im Wert von rund einer Milliarde Euro zu unterstützen.
NoName057(16) ist erstmals im März 2022 bekannt geworden. Die Gruppe übernahm die Verantwortung für die Hackerangriffe in der Ukraine, in den USA und einigen europäischen Ländern. Die Attacken zielen meistens auf Webseiten von staatlichen Behörden, Massenmedien und privaten Firmen.
Die nordrhein-westfälischen Polizeibehörden sowie die Spezialistinnen und Spezialisten des Cybercrimekompetenzzentrums des Landeskriminalamtes (LKA) NRW unterstützen die Kommunen auf deren Anforderung im Falle von Cyberangriffen im Rahmen der gesetzlichen Aufgaben. Ebenso das NRW-Ministerium für Heimat, Bau, Kommunales und Digitalisierung, soweit es die kommunale Selbstverwaltung zulässt.
Netzwerk überlastet
Bei einem DDoS-Angriff werden in der Regel zahlreiche infizierte Computer oder Botnets verwendet, um gleichzeitig eine große Menge an Anfragen an das Zielnetzwerk zu senden. Dadurch wird das Netzwerk überlastet und kann legitime Benutzeranfragen nicht mehr verarbeiten.
Um sich vor DDoS-Angriffen zu schützen, sei es wichtig, Vorsorge zu treffen und präventive Maßnahmen durchzuführen, so die Experten im Innenministerium. Die Stadt Dortmund hatte für die Abwehr des Hackerangriffs nach eigenen Angaben auch einen externen Dienstleister hinzugezogen.
Die Stadtverwaltung nehme Angriffe auf ihre IT-Struktur sehr ernst, hatte Stadtsprecher Michael Meinders bereits bei früherer Gelegenheit betont. Technische Sicherheitsmaßnahmen würden laufend an geänderte Bedrohungslagen angepasst. Offensichtlich gilt es jetzt, Sicherheitslücken zu schließen, um solchen Attacken wie zuletzt zuvorzukommen.
Hackerangriff auf städtische Homepage dauerte zwei Tage: Stadt Dortmund erstattet Anzeige
Cyber-Attacken: 450.000 Angriffe auf Stadt Dortmund – in nur 4 Wochen
Hackerangriff auf städtische Homepage von Dortmund: Website für Stunden nicht erreichbar
