Hacktivismus beschreibt Cyberangriffe, die mit dem Ziel durchgeführt werden, politische oder soziale Ziele voranzutreiben. Diese Handlungen geschehen oft durch unbefugten Systemzugriff, der nicht zum finanziellen Vorteil erfolgt, sondern um Unterstützung oder Ablehnung für bestimmte Anliegen, Regierungen oder Institutionen zu bekunden.
Inhalt
Der Begriff ist eine Fusion aus „Hack“ und „Aktivismus“ und wurde 1996 von Omega eigeführt, einem Mitglied von Cult of the Dead Cow. Seit seiner Gründung steht der Begriff für eine Mischung aus digitalen Protesten und Cyber-Einmischung.
Motive von Hacktivisten
Moderne Hacktivisten arbeiten in gut organisierten, kleinen Teams mit moderaten bis fortgeschrittenen technischen Fähigkeiten. Ihre Ziele lassen sich in vier Hauptfaktoren einteilen:
Ideologisch
Ideologische Motive sind der Hauptgrund für Hacktivismus-Aktivitäten. Diese Gruppen richten sich in der Regel an diejenigen, die sie für eine Bedrohung ihrer Überzeugungen halten, unabhängig davon, ob sie religiös, ethisch oder geopolitisch sind. Laufende globale Konflikte heben hervor, wie tief diese ideologischen Kluften verwurzelt sind.
Zum Beispiel bezeichnet das prorussische Kollektiv NoName057(16) die Unterstützer der Ukraine als Verbündete von „ukrainischen Nazis“. Unterdessen bekennt sich GlorySec – eine Gruppe, die angeblich aus Venezuela stammt – zu westlichen Werten und bezeichnet sich selbst als anarchokapitalistisch. Ihre erklärten Grundsätze, die sich auf Freiheit und Marktliberalismus konzentrieren, bringen sie in Opposition zu Russland, China und den von ihnen als „ihre Stellvertreterregimes“ bezeichneten Staaten wie Kuba, Nicaragua, Houthi, Hisbollah und Hamas.
Politisch
Obwohl weniger häufig als ideologische Kampagnen, zielen politisch motivierte Cyberangriffe darauf ab, Richtlinien zu ändern oder politische Erzählungen zu gestalten. Ein solches Beispiel ist der Angriff von SiegedSec auf das Projekt 2025 – einen konservativen Think Tank. Die Gruppe hackte und veröffentlichte eine 200 GB große Datenbank und behauptete, dass die Initiative das Recht auf Abtreibung und die LGBTQ+-Gemeinschaft gefährde. SiegedSec war auch an Operationen wie #OpTransRights beteiligt. Diese richteten sich gegen US-Institutionen, die als feindlich gegenüber Transgender-Rechten angesehen werden.
Abbildung 1. SiegedSec erklärt ihre politischen Beweggründe
Nationalistisch
Nationalistische Hacktivisten-Angriffe sind seltener und enthalten oft patriotische Bilder oder kulturelle Bezüge, um ihre Handlungen zu rechtfertigen. Beispielsweise hat sich die indische Gruppe Team UCC zum Ziel gesetzt, „die Stimmen der Hindus zu verstärken” und ihrer Meinung nach falsche Darstellungen über die Sicherheit der Hindus in Bangladesch zu widerlegen. Unter dem Vorwand, den indischen Cyberspace zu verteidigen, nimmt sie pakistanische Staatsressourcen ins Visier.
In ähnlicher Weise enthalten auch viele russisch orientierte Hacktivisten-Kampagnen häufig nationale Symbole wie Bären und Flaggen, um ihre Angriffe als Akte der nationalen Verteidigung darzustellen.
Opportunistisch
Opportunistischer Hacktivismus wird oft eher durch einfachen Zugang als durch Ideologie motiviert. Die Ziele werden nicht wegen ihrer politischen Relevanz ausgewählt, sondern weil sie verwundbar sind. Beispiel: SiegedSec kompromittierte einmal eine Messaging-Plattform, einfach weil deren Infrastruktur schlecht gesichert war. Obwohl die chinesische Herkunft der App möglicherweise eine untergeordnete Rolle spielte, waren die Angreifer in erster Linie durch die leicht auszunutzenden Amazon S3-Buckets motiviert. Diese Akteure zeigen oft jugendliche Empörung und betrachten unbefugten Zugriff als gerechtfertigten Protest.
Abbildung 2. SiegedSec beschreibt den Angriff auf die Website einer Messaging-App
Funktionsweise von Hacktivismus
Der Gründer von GlorySec beschrieb unter dem Alias „Charon Wheezy“ die Kernwerte der Gruppe in einem Telegram-Post, der ein Gruppenfoto mit Mitgliedern an Arbeitsplätzen enthielt. „Vio“, der Gründer von SiegedSec, bekennt sich offen zur LGBTQ+-Community und beschreibt die Gruppe als „schwule Furry-Hacker”, die früher Verbindungen zu GhostSec und Anonymous Sudan hatten. Diese Vorstellungen sind oft ein Ausgangspunkt für die Rekrutierung anderer gleichgesinnter Hacker.
Abbildung 3. Persönliches Profil des Gründers von SiegedSec
Andere Gruppen wie CyberVolk werben öffentlich um neue Mitglieder, bezahlte Kollaborationen und andere Möglichkeiten. Im Gegensatz dazu sucht GlorySec Insider aus Ländern wie China, Russland und Venezuela und bietet bis zu 200.000 US-Dollar für den Zugang zu internen Regierungs- oder Unternehmenssystemen. Das Versprechen einer Umsiedlung ist als Anreiz für den Fall enthalten, dass Probleme auftreten sollten.
In den meisten Gruppen ist ein kleines Führungsteam dafür verantwortlich, neue Mitglieder zu überprüfen und direkt über ihre Ankündigungskanäle zu rekrutieren. Während sich diese Hacker oft als Verteidiger der Wahrheit oder Freiheit sehen, bleibt die Realität der rechtlichen Risiken ein Problem. Unter Druck werden sich einige dieser Gruppen, insbesondere diejenigen, die im Westen operieren, auflösen, umbenennen oder Ausweichmanöver ergreifen, wenn gegen sie ermittelt wird. SiegedSec beispielsweise löste sich im Juli 2024 auf, gab Cyberkriminalität zu und begründete dies mit der Angst vor dem „Auge des FBI“.
Arten von Hacktivismus
DDoS
Eine der häufigsten Taktiken von Hacktivisten ist der Angriff über Distributed Denial-of-Service (DDoS). Diese Kampagnen werden häufig von der Kerngruppe koordiniert und von Freiwilligen mithilfe von HTTP-Stresstools durchgeführt. Die Tools, ursprünglich für das Testen der Serverkapazität entwickelt, werden missbraucht, um Websites mit bösartigem Datenverkehr zu überfluten und Störungen zu verursachen.
Das Abschalten von Websites ist aufgrund seiner Einfachheit eine beliebte Taktik. DDoS-Störungen sind jedoch in der Regel nur von kurzer Dauer und stellen für gut geschützte Infrastrukturen nur eine begrenzte Bedrohung dar. Erheblicher Schaden kann entstehen, wenn Angriffe strategisch zeitlich abgestimmt werden, beispielsweise indem umsatzstarke Websites wie Online-Casinos oder Einzelhandelsplattformen während der Stoßzeiten angegriffen werden.
Abbildung 4. Indische Cyber Forces greifen eine Website der Hamas mit DDoS an
Malware
Malware ist für die meisten Hacktivisten-Gruppen keine bevorzugte Methode, vor allem aufgrund ihrer Komplexität. Dennoch gibt es ein paar Ausnahmen. Einige Gruppen entwickeln ihre eigene Ransomware, um ihren Betrieb zu finanzieren.
Die pro-ukrainische Gruppe Twelve kopiert Berichten zufolge die Taktiken von Ransomware-Banden. Im Gegensatz zu herkömmlichen Cyberkriminellen verlangt sie jedoch keine Zahlung. Stattdessen verschlüsselt, exfiltriert und löscht ihre Malware manchmal Daten, die dann über ihren Telegram-Kanal geteilt werden.
In einem anderen Fall soll GlorySec Malware über USB-Sticks in Venezuela verbreitet und erfolgreich Systeme in rund 100 Organisationen infiltriert haben.
Abbildung 5. GlorySec erklärt den Malware-Angriff
Doxing
Doxing, kurz für „dropping dox“, bezeichnet die böswillige Praxis, ohne Zustimmung des Opfers persönliche Informationen wie Adressen, Telefonnummern und Finanzdaten zu sammeln und zu veröffentlichen. Mit dieser Taktik werden Personen belästigt, eingeschüchtert oder geschädigt, indem private Daten öffentlich gemacht werden. In Zeiten von Social Media, in denen riesige Mengen an persönlichen Informationen online verfügbar sind, hat dieser Ansatz an Bedeutung gewonnen. Die Motive sind zwar unterschiedlich, beruhen jedoch in der Regel auf ideologischen Streitigkeiten, persönlichen Fehden oder dem Wunsch, eine Persönlichkeit des öffentlichen Lebens zu diskreditieren.
Hack and Leak
Hack-and-Leak-Angriffe kommen unter den heutigen Hacktivisten-Gruppen immer häufiger vor. Bei diesen Angriffen werden Netzwerke und Server gehackt, um sensible Daten zu stehlen, die dann über Filesharing-Plattformen öffentlich gemacht werden. Diese Art von Angriff wird normalerweise auf dem Telegram-Kanal einer Gruppe beworben. Die Komplexität dieser Art von Angriffen lässt darauf schließen, dass es einen ausgeklügelten Rekrutierungsprozess gibt, bei dem potenzielle Kandidaten mit Kenntnissen in offensiven Hacking-Techniken bevorzugt werden.
Beispiele für Hacktivismus
GlorySec
GlorySec bezeichnet sich selbst als pro-westliche, antiautoritäre Gruppe, deren Wurzeln möglicherweise in Venezuela liegen. Die Gruppe hat sich offen gegen die russische und chinesische Governance eingesetzt und behauptet, die individuelle Freiheit und wirtschaftliche Freiheit zu unterstützen. Ihre Handlungen zielen auf Organisationen ab, die sie als autoritär oder repressiv betrachten, einschließlich Verbündete und Vertreter dieser Regierungen, wie Kuba und Hisbollah.
Die Gruppe stellte sich auch hinter Taiwan und rief die #OpPRC ins Leben, um chinesische Unternehmen anzugreifen. Die Mitglieder argumentieren, dass „die VR China ein Scheinland“ sei, und befürworten stattdessen die Unabhängigkeit Taiwans. Währenddessen starteten russische Hacker eine Gegenoperation, #OpTaiwan, die sich an den Behauptungen Chinas orientiert.
Anonymous
Anonymous ist vielleicht die bekannteste Hacktivisten-Gruppe. Sie ist für ihre locker organisierte Struktur und die ikonische Guy-Fawkes-Maske bekannt ist. Das Kollektiv hat sowohl staatliche als auch unternehmerische Systeme angegriffen, im Einklang mit verschiedenen politischen Anliegen.
Zwischen 2008 und 2012 führte Anonymous mehrere hochkarätige Angriffe durch. Bei einer ihrer bemerkenswertesten Aktionen, der „Operation Tunesien“, schloss sich die Gruppe mit lokalen Hackern zusammen, um acht Websites der tunesischen Regierung mit DDoS-Angriffen lahmzulegen. Die Kampagne war Teil der breiteren Bewegung Arabischer Frühling und schärfte das globale Bewusstsein für digitalen Aktivismus.
Abbildung 6. Hacktivisten-Gruppen mit überlappenden Motiven
Trend Vision One™ Threat Intelligence
Um Bedrohungen einen Schritt voraus zu sein, können Trend Vision One™-Kunden auf eine Vielzahl von Intelligence-Berichten und Threat Insights innerhalb von Vision One zugreifen. Threat Insights hilft Kunden, Cyberbedrohungen frühzeitig zu erkennen und sich auf neue Bedrohungen vorzubereiten, indem umfassende Informationen über Bedrohungsakteure, deren bösartige Aktivitäten und Techniken bereitgestellt werden. Durch die Nutzung dieser Informationen können Kunden proaktive Maßnahmen ergreifen, um ihre Umgebungen zu schützen, Risiken zu mindern und effektiv auf Bedrohungen zu reagieren.
Jon Clay arbeitet seit über 29 Jahren im Bereich Cybersicherheit. Er nutzt seine Branchenerfahrung, um Wissen zu vermitteln und Einblicke in alle extern veröffentlichten Bedrohungsanalysen und -informationen von Trend Micro zu geben.
Häufig gestellte Fragen (FAQs)
Was ist Hacktivism?
Hacktivismus verbindet Hacking und Aktivismus, nutzt Cyberangriffe zur Förderung politischer, sozialer oder ideologischer Ziele durch digitale Störung oder Informationsoffenlegung.
Was ist ein Beispiel für Hacktivismus?
Ein typisches Beispiel ist das Manipulieren staatlicher Webseiten oder Durchführen von DDoS‑Angriffen, um Proteste auszudrücken oder Aufmerksamkeit zu schaffen.
Ist Hacktivismus eine Straftat?
Hacktivismus ist meist strafbar, da unerlaubter Zugriff, Datenangriffe oder Serviceunterbrechungen gegen Cybersicherheitsgesetze verstoßen und harte Strafen verursachen.
Was sind die Folgen von Hacktivismus?
Folgen umfassen strafrechtliche Konsequenzen, finanzielle Schäden, Betriebsunterbrechungen, Datenlecks, Reputationsverluste und verstärkte Sicherheitsmaßnahmen der betroffenen Organisation.
Unterscheidet sich Hacktivismus von Cyberterrorismus?
Ja, Hacktivismus umfasst politisch motivierte digitale Störungen, während Cyberterrorismus Angst, Schaden oder Gewalt durch gezielte bösartige Cyberangriffe verursachen will.