Sie macht mit weltweiten DDoS-Angriffen von sich reden, hat Tausende Mitglieder mobilisiert und wird möglicherweise sogar von der russischen Regierung unterstützt: die Hackergruppe NoName057(16). Wer steckt hinter den Hacktivisten und wie arbeiten sie?
NoName057(16) ist eine – vermutlich von der russischen Regierung gesponserte – Hackergruppe, die derzeit für Aufsehen sorgt.
Die pro-russische Hacktivistengruppe NoName057(16) sorgt seit Beginn des Ukraine-Kriegs mit massiven DDoS-Kampagnen für Schlagzeilen. Ihr Vorgehen kombiniert klassische Cybercrime-Methoden mit politisch motiviertem Aktivismus. Der folgende Steckbrief liefert einen Überblick über Taktiken, Besonderheiten, Bedrohungslage und Schutzmaßnahmen – und zeigt, warum die Gruppe auch für deutsche Unternehmen und Behörden hochrelevant ist.
Zuletzt berichtete das Bundeskriminalamt (BKA) darüber, ein aus mehreren Hundert weltweit verteilten Servern bestehendes Botnetz abgeschaltet zu haben, das NoName057(16) zugeordnet wurde. An der Operation „Eastwood“ waren auch Strafverfolgungsbehörden aus den USA, den Niederlanden, der Schweiz, Schweden, Frankreich, Spanien und Italien beteiligt, die durch Europol und Eurojust unterstützt wurden. In Deutschland wurden daraufhin sechs Haftbefehle gegen russische Staatsangehörige beziehungsweise in der Russischen Föderation wohnhafte Beschuldigte erwirkt. Zwei davon werden beschuldigt, die Hauptakteure hinter NoName057(16) zu sein. Darüber hinaus wurde ein weiterer Haftbefehl durch die spanischen Behörden erlassen. Nach allen Beschuldigten wird international und teils öffentlich gefahndet. Außerdem wurden mehr als 1.000 bislang nicht vollständig identifizierte Unterstützer der Gruppierung mittels des genutzten Messengerdienstes Telegram über die behördlichen Maßnahmen informiert und auf die Strafbarkeit der Handlungen nach deutschem Recht aufmerksam gemacht.
Die Tactics, Techniques, and Procedures (TTPs) von NoName057(16) sind klar auf Schlagkraft und Reichweite ausgelegt. Ihre Haupttaktik besteht darin, mit einer hohen Frequenz Distributed-Denial-of-Service-(DDoS)-Angriffe zu fahren und so die Zielsysteme durch massenhafte Anfragen lahmzulegen. Die Koordination erfolgt größtenteils über offene Telegram-Kanäle, die zur Rekrutierung neuer Unterstützer, zur Ankündigung bevorstehender Attacken und zur Verbreitung propagandistischer „Erfolgsmeldungen“ nach erfolgten Angriffen genutzt werden.
Bei den Tools und der Infrastruktur setzt die Gruppe vor allem auf ihr eigenes Toolkit DDoSia. Dieses wurde zunächst in Python entwickelt, später jedoch nach Go portiert, um eine höhere Performance und plattformübergreifende Einsatzmöglichkeiten auf Windows, Linux, macOS und Android zu gewährleisten. DDoSia nutzt CPU-Threads, um eine besonders große Zahl an Netzwerkanfragen parallel abzufeuern. Zudem greift NoName057(16) auf einen Gamification-Ansatz zurück: Teilnehmer sammeln Punkte, die sich in Kryptowährungen umwandeln lassen, und können sich über Rankings messen. Zur Verschleierung der Herkunft des Datenverkehrs werden VPNs eingesetzt.
Darüber hinaus betreibt die Gruppe ein Botnetz, das durch den gezielten Einsatz von Malware verstärkt wird. Infizierte Systeme dienen dabei als zusätzliche „Feuerkraft“, um die Effektivität der Angriffe noch einmal zu steigern.
Zu den besonderen Merkmalen von NoName057(16) zählt vor allem ihr Crowdsourcing-Modell: Die Gruppe rekrutiert gezielt Freiwillige, die aus ideologischer Überzeugung an den Angriffen teilnehmen. Damit unterscheidet sie sich von klassischen Cybercrime-Gruppen, die in der Regel rein finanziell motiviert sind. Unterstützt wird diese Strategie durch einen ausgeprägten Gamification-Ansatz: Teilnehmer sammeln Punkte, die sich nach der Anzahl generierter Netzwerkanfragen bemessen und später gegen Kryptowährungen eingetauscht werden können. So schafft die Gruppe zusätzliche Anreize, die Aktivitäten kontinuierlich auszuweiten.
Neben der operativen Seite setzt NoName057(16) stark auf Propaganda. Cyberangriffe werden eng mit Desinformationskampagnen verknüpft, wodurch die technische Ebene der Attacken mit der Beeinflussung der öffentlichen Wahrnehmung kombiniert wird. Auffällig ist, dass die Gruppe trotz ihres hohen Werts auf Anonymität über eine bemerkenswert professionelle Organisation verfügt.
In Bezug auf die Attribution gehen Sicherheitsbehörden davon aus, dass NoName057(16) zumindest indirekt von Russland geduldet oder logistisch unterstützt wird. Die Gruppe wird offiziell als „Hacktivismus mit staatlicher Unterstützung“ eingestuft. Das Bedrohungsniveau für deutsche Unternehmen gilt daher als hoch – besonders für die öffentliche Verwaltung, kritische Infrastrukturen sowie für die Finanzbranche, die immer wieder im Fokus der Angriffe steht.
Um sich wirksam gegen die Angriffe von Gruppen wie NoName057(16) zu schützen, sollten CISOs und IT-Sicherheitsverantwortliche auf einen mehrschichtigen Ansatz setzen. Zentrale Bausteine sind der Einsatz spezialisierter DDoS-Mitigation-Provider wie Cloudflare, Akamai, Link11 oder Radware, die schädlichen Traffic bereits an der Peripherie herausfiltern. Ergänzend dazu empfiehlt sich die konsequente Traffic-Filterung und Ratenbegrenzung in Firewalls und Loadbalancern, um Überlastungen durch massenhafte Anfragen abzufangen. Zur Früherkennung verdächtiger Muster dienen SIEM- sowie IDS/IPS-Systeme, die Anomalien im Datenverkehr analysieren und im Ernstfall Warnungen auslösen. Ebenso wichtig sind Notfallpläne und regelmäßige Stresstests, mit denen Organisationen ihre Resilienz gegen Überlastungsszenarien realistisch prüfen können. Besonders im Fokus stehen hierbei verwaltungsnahe Einrichtungen, die Energie- und Finanzbranche sowie der Gesundheitssektor, da sie zu den bevorzugten Zielen von Hacktivisten zählen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Für die Security-Community ist NoName057(16) ein prägnantes Beispiel für die Verschmelzung von Hacktivismus mit klassischen Cybercrime-Methoden. Die Gruppe verdeutlicht, wie Gamification-Ansätze Angriffe skalierbar machen, indem sie Massen freiwilliger Unterstützer mobilisiert. Gleichzeitig zeigt ihr Vorgehen, wie stark geopolitische Konflikte als Treiber für Cyberangriffe wirken. Nicht zuletzt macht das Phänomen deutlich, dass auch technisch vergleichsweise einfache Attacken, wenn sie massenhaft organisiert werden, enorme Auswirkungen auf Unternehmen und kritische Infrastrukturen haben können.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/91/59/91597da6684aa64fc164bbc5c24afb66/0125912070v2.jpeg "Ein DDoS-Angriff überflutet Server mit massenhaften Anfragen, bis sie überlasten und nicht mehr erreichbar sind. Die Folge: Webseiten, Dienste oder kritische Infrastruktur wie Notfallkommunikation können ausfallen. (Bild: Tomasz Zajda - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ee/65/ee6556ef9a1dac55abb27616829c52ae/0123065426v2.jpeg "Die Website der Bayerischen Staatskanzlei im Münchener Hofgarten war einen Tag vor Beginn der Münchner Sicherheitskonferenz nicht mehr zu erreichen. (© allessuper_1979 – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/11/2b1111015f4de04522f66f4f91bddb9f/0126260608v2.jpeg "Mit ihrem Belohnungssystem des DDoSia-Projekts motivieren die Akteure hinter NoName andere, Überlastungsangriffe zu starten und so Punkte zu sammeln, die sie später gegen Kryptowährungen eintauschen können. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e0/76/e07626627626bd631e198ba298334b27/0125588742v2.jpeg "Die Internetauftritte der Städte Nürnberg und Bielefeld fielen am 9. Juli aus. Auch Stuttgart und Düsseldorf sind Falconfeeds zufolge Opfer von DDoS-Attacken geworden. (Bild: © Thomas Bethge - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ce/54/ce5426b2cf638400b5fa1816689f7098/0124597738v2.jpeg "Die Hackergrupe „NoName057(16)“ hat sich zu dem Cyberangriff auf die Stadtverwaltung Stuttgart bekannt. Die Akteure greifen fokussiert Städte in Ländern an, die die Ukraine unterstützen. (©Bits and Splits – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/32/77327e32dc13564e196153fb28fb2a37/0124860739v2.jpeg "Die Hacker, die zum russichen Geheimdienst GRU gehören, sind auch unter den Namen Fancy Bear und APT28 bekannt. Sie fokussieren sich auf Unternehmen – vor allem solche, die der kritischen Infrastruktur angehören – die die Ukraine unterstützen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8f/4e/8f4e135fd1c948895b6dec8e162f6364/0115782241.jpeg "Die Schutzmaßnahme Geoblocking versagt bei modernen DDoS-Angriffen zunehmend. (Bild: S.Gvozd - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/11/2b1111015f4de04522f66f4f91bddb9f/0126260608v2.jpeg "Mit ihrem Belohnungssystem des DDoSia-Projekts motivieren die Akteure hinter NoName andere, Überlastungsangriffe zu starten und so Punkte zu sammeln, die sie später gegen Kryptowährungen eintauschen können. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/55/1e/551e0e0c39e3b811870777a2159eb7d2/0126295108v2.jpeg "Der Netscout-Report zeigt, dass DDoS-Angriffe 2025 stark zunehmen und Gruppen wie NoName057(16) mit automatisierten Methoden eine zentrale Rolle spielen. (©Bits and Splits – stock.adobe.com)")