Hacktivismus 2025: Sichtbarkeit statt Heimlichkeit Wie Hacktivisten ihre Angriffe über Hashtags koordinieren

Anbieter zum Thema

Kaspersky Labs GmbH

Fsas Technologies GmbH

FTAPI Software GmbH

Insider Research

Hacktivisten organisieren sich zunehmend über Hashtags und nutzen Plattformen wie Telegram zur Koordination und Selbstdarstellung. Eine aktuelle Kaspersky-Analyse zeigt, wie sichtbar ihre Angriffe sind und warum DDoS-Attacken dabei dominieren. Für Unternehmen liefert das neue Einblicke in Muster, Vorwarnzeiten und Schutzstrategien gegen politisch motivierte Cyberkampagnen.

Hacktivisten sind politisch motivierte Bedrohungsakteure, die in der Regel Sichtbarkeit über Raffinesse stellen. Ihre Taktiken und Methoden sind auf Sichtbarkeit, Reichweite und einfache Ausführung ausgelegt, nicht auf Heimlichkeit oder technische Komplexität wie bei anderen Cyberbedrohungen. Aktuelle Kaspersky-Analysen zeigen, dass sich Hacktivisten unter anderem über Hashtags im Internet organisieren. Über Hashtags bündeln sie Zugehörigkeit, markieren Kampagnen, signalisieren Allianzen und bekennen sich öffentlich zu Angriffen. Diese Sichtbarkeit macht die Muster messbar – und damit auswertbar für Security-Teams.

Im Jahr 2025 wurden bisher über 2.000 eindeutige Hashtags identifiziert; der Großteil davon trat erstmals in diesem Jahr auf. Viele dieser Marker sind kurzlebig und verschwinden nach etwa 2 Monaten; „populäre“ Hashtags halten signifikant länger, wenn sie durch Allianzen getragen und wiederholt aufgegriffen werden. Ihre „Haltbarkeit“ liegt bei durchschnittlich 6,7 Monaten. Neben dem natürlichen Auf und Ab spielen Kanal-Sperren eine Rolle: Wird der Ursprungskanal eines Hashtags geschlossen, verschwindet der Marker häufig dauerhaft – bis Rückkehrer oder neue Verbünde ihn reaktivieren.

ENISA Threat Landscape 2025

Hacktivismus wird zur Gefahr für Europas Infrastruktur

Wo sich Koordination abspielt

Kommunikativ konzentriert sich die Koordination auf wenige Plattformen: 88 Prozent der Social-Media-Verweise in Hashtag-haltigen Beiträgen führen zu Telegram; X/Twitter liegt bei knapp 10 Prozent, der Rest verteilt sich auf Randplattformen. Telegram bündelt die Koordination und Veröffentlichung: Hier werden Drohungen angekündigt, „Proofs“ nachgereicht und Inhalte gegenseitig repostet – ein dichtes Geflecht, das sich in Echtzeit beobachten lässt.

Die Auswahl der Betroffenen ist global. Genannt werden unter anderem Ziele in Europa und im Nahen Osten ebenso wie in den USA, Argentinien, Indien, Vietnam oder Indonesien. Dabei scheinen Reichweite und Symbolik wichtiger zu sein als geografische Nähe – ein Grund, warum Angriffe auf öffentlich zugängliche Systeme weltweit besonders häufig gemeldet werden. Zugleich zeigen die Daten ein phasenhaftes Muster: Im März/April 2025 verstummten 73 Prozent populärer älterer Hashtags, ehe sie im Mai – nach der Rückkehr von RipperSec – wieder aufflammten; im Juli gewannen neue Marker erstmals die Oberhand. Solche Phasenwechsel zeigen, wann Allianzen Reichweite bündeln und wie „Wiederbelebungen“ älterer Marker Momentum verschieben.

Auch thematisch zeigt sich ein klares Muster: Operativ dominieren Beiträge, die über abgeschlossene Angriffe berichten – sie machen 58 Prozent aller Hashtag-bezogenen Inhalte aus. Dieser Fokus auf dokumentierte Aktionen verdeutlicht, wie stark Sichtbarkeit und Nachweisbarkeit für hacktivistische Kommunikation geworden sind.

Stadt Nürnberg findet Hackerangriff „ärgerlich“

DDoS-Attacken legen vier städtische Webseiten lahm

DDoS als dominierender Kontext

Doch welche Angriffe werden letztlich über die Hashtags koordiniert? In der Kategorie der bestätigten („completed“) Vorfälle entfällt der größte Anteil auf DDoS (61 Prozent). Eine Link-Analyse macht sichtbar, warum diese Taktik das Bild prägt: 90 Prozent der ausgehenden, schädlich genutzten Verweise in den Beiträgen führen zu Dritt-Ressourcen, die Verfügbarkeits­einbußen dokumentieren (etwa Downtime-Checker). Häufig belegt ein einzelner Post mehrere Ausfälle – daher die Differenz zwischen dem Anteil der DDoS-Posts und dem der DDoS-bezogenen Links. Kurz: DDoS ist nicht nur verbreitet, sondern auch am stärksten nachweisbar.

Wie sich Unternehmen und Institutionen vorbereiten und schützen können

Hacktivistische Gruppen bevorzugen Sichtbarkeit vor Heimlichkeit. Hashtags kartieren Zugehörigkeiten und Kampagnen, Telegram bündelt Koordination, Allianzen erhöhen Takt, und DDoS liefert die am besten belegte Wirkung. Wer diese Konstanten kennt, kann zwischen Lärm und Signalen unterscheiden – und knappe Vorwarnfenster in handfeste Entscheidungen übersetzen. Daher sollten Unternehmen:

• DDoS-Mitigation priorisieren. DDoS stellt den größten Anteil der bestätigten Vorfälle dar und bleibt damit die häufigste Angriffsform. Maßnahmen zum Schutz der Verfügbarkeit sollten entsprechend frühzeitig geplant und regelmäßig überprüft werden.

• Kontinuierlich monitoren. Offene Quellen gilt es fortlaufend zu beobachten, insbesondere Telegram und angrenzende Kanäle, um Allianz-Ankündigungen, Drohposts und veröffentlichte „Proofs“ schnell zu erkennen und in aktuelle Lagebilder einfließen zu lassen.

• Kurzfristige Warnfenster ernst nehmen. Öffentliche Ankündigungen liegen häufig nur wenige Tage oder Wochen vor der Umsetzung. Früh erkannte Signale ermöglichen es, Reaktionen rechtzeitig einzuleiten und Schutzstufen gezielt anzupassen.

• Globale Exponierung berücksichtigen. Sichtbarkeit zählt mehr als Geografie: Auch Organisationen außerhalb von Konfliktregionen können ins Blickfeld geraten, weil Reichweite und Symbolik im Zentrum hacktivistischer Kampagnen stehen.

Über den Autor: Kseniya Kudasheva ist Digital Footprint Analyst bei Kaspersky.

Pro-russische Hackergruppe

Wer ist NoName057(16)?

(ID:50618244)