Was ist Hacktivismus?
Hacktivism
„Hacktivismus“ bezieht sich auf Cyberkriminelle Angriffe, bei denen häufig Systeme für politisch oder sozial motivierte Zwecke gebrochen werden, in der Regel, um eine Aussage zur Unterstützung einer Sache oder gegen Regierungen oder Organisationen zu machen.
Der Begriff „Hacktivismus“ entstammt der Kombination der Wörter „Hack“ und „Aktivismus“ und wurde erstmals 1996 von Omega, einem Mitglied des Hackerkollektivs Cult of the Dead Cow, geprägt.
Was Hacktivisten motiviert
In der Vergangenheit wurden Hacktivistenaktionen mit symbolischen, digitalen Graffiti verglichen. Heutzutage ähneln Hacktivist-Gruppen urbanen Banden. Zuvor setzten sich diese Gruppen aus wenig qualifizierten Personen zusammen und entwickelten sich zu Teams mittlerer bis hoher Fähigkeiten, die oft kleiner, aber viel leistungsfähiger sind. Die Eskalation der Fähigkeiten hat die Risiken für Organisationen direkt erhöht.
Hacktivist-Gruppen werden durch ausgeprägte politische Überzeugungen definiert, die sich sowohl in der Art ihrer Angriffe als auch in ihren Zielen widerspiegeln. Im Gegensatz zu Cyberkriminellen streben Hacktivisten normalerweise keinen finanziellen Gewinn an, obwohl wir Überschneidungen mit Cyberkriminalität beobachtet haben. Diese Gruppen konzentrieren sich größtenteils darauf, ihre politischen Agenden voranzutreiben, die sich in der Transparenz unterscheiden. Im Großen und Ganzen lassen sich ihre Motivationen in vier verschiedene Gruppen einteilen: ideologisch, politisch, nationalistisch und opportunistisch. Während einige Gruppen streng auf eine Kategorie ausgerichtet sind, verfolgen andere mehrere Tagesordnungen, oft mit einem primären Fokus, der durch sekundäre Ursachen ergänzt wird.
Ideologisch
Ideologische Motivationen sind die hacktivistischste Aktivität. Diese Gruppen zielen auf Entitäten ab, die ihre Weltanschauungen hinterfragen, wobei sie sich oft auf religiöse Überzeugungen oder geopolitische Konflikte konzentrieren. Jüngste Konflikte lassen tiefe ideologische Unterschiede erkennen.
Zum Beispiel beschuldigt die prorussische Gruppe „NoName057(16)“ diejenigen, die der Ukraine helfen, als „unterstützende ukrainische Nazis“, während russische Kritiker „GlorySec“ behaupten, „die westliche Gesellschaft in jeder Weise zu unterstützen“ und daher „das russische Regime zu bekämpfen“. GlorySec, möglicherweise eine venezolanische Gruppe, die selbst als Anarcho-Kapitalisten bezeichnet wird, „glaubt an individuelle Freiheiten und freie Märkte“ und widerspricht daher Ländern wie Russland und China sowie dem, was sie als „ihre Proxy-Regimes“ bezeichnen, wie Kuba, Nicaragua, Houthi, Hezbollah und Hamas.
Politisch
Einige Hacktivistengruppen versuchen, die Regierungspolitik oder politische Ergebnisse zu beeinflussen, obwohl solche Angriffe seltener sind als ideologische.
Zum Beispiel hat „SiegedSec“ das Projekt 2025 ins Visier genommen, eine Initiative, die konservative Richtlinien fördert. Sie begründeten einen Hack und die anschließende Leckage einer Datenbank mit 200GB, indem sie behaupteten, dass das Projekt „insbesondere das Recht auf Abtreibung des Gesundheitswesens und der LGBTQ+-Gemeinschaften gefährdet“. SiegedSec war auch in #OpTransRights aktiv und richtete sich an Organisationen, die sie in den USA als entgegengesetzte Transgender- und Transsexuelle Rechte wahrnehmen.
Bild 1. SiegedSec erklärt ihr politisches Motivations
Nationalistisch
Nationalistische Hacktivist-Angriffe sind seltener und umfassen oft kulturelle Symbole und patriotische Rhetorik, um ihre Handlungen zu rechtfertigen. Zum Beispiel behauptet die indische Gruppe „Team UCC“, „die Hindu-Stimmen zu verstärken“, indem sie „falsche Erzählungen aufdeckt, die behaupten, dass Hindus in Bangladesch sicher sind“. Sie positionieren sich weltweit als Verteidiger Hindus, insbesondere in Bangladesch. Sie greifen die Websites und Organisationen der pakistanischen Regierung an, um „den indischen Cyberspace zu verteidigen“.
Ebenso zeigen viele prorussische Gruppen nationalistische Motivationen. Ankündigungen ihrer Angriffe zeigen oft russische Flaggen, Bären als Symbole für nationalen Stolz und Ausdrücke zur Verteidigung Russlands.
Opportunistisch
Einige Hacktivist-Gruppen handeln rein opportunistisch und richten sich einfach an Organisationen, weil sie leicht zu hacken sind. Zum Beispiel hat SiegedSec in die Website einer Messaging-Anwendung gehackt und zitiert, dass „sie überhaupt nicht sicher ist“. Die App, die „in China hergestellt“ wird, könnte ihre Motivation verstärkt haben, aber die Gruppe erwähnte, dass sie „Zugriff auf ihre AWS S3-Buckets“ erhalten hat, was darauf hindeutet, dass der Angriff nur minimalen Aufwand erforderte, anstatt eine Begründung. Diese Gruppen scheinen oft aus jüngeren Menschen zu bestehen, die von richtiger Wut angetrieben werden, was sich als Anspruch und der Glaube äußert, dass jeder Hack fair ist.
Bild 2. SiegedSec beschreibt ihren Angriff auf die Website einer Messaging-App
Funktionsweise von Hacktivismus
Moderne Hacktivist-Gruppen werden in der Regel von einem kleinen Kern vertrauenswürdiger Personen geleitet, oft Online-Freunde oder Bekannte, die technische Fähigkeiten und eine gemeinsame politische oder religiöse Ideologie teilen, die die Ausrichtung der Gruppe definiert.
Zum Beispiel beschreibt der vermeintliche Eigentümer von GlorySec unter Verwendung des Alias „Charon Wheezy“ die Prinzipien der Gruppe in einem Beitrag, der ein Selfie mit anderen in einem computergefüllten Raum beinhaltet. Der Gründer von SiegedSec, bekannt als „Vio“, bezeichnet die Gruppe als „schwule Furry-Hacker“ und identifiziert sie als „ehemals Mitglied von GhostSec und Anonymous Sudan“. Diese Einführungen sind ein gemeinsamer Ausgangspunkt für die Rekrutierung anderer Hacker, die die gleiche Ideologie und Neigung teilen.
Bild 3. Persönliches Profil des Gründers von SiegedSec
Rekrutierungsstrategien variieren. Einige Gruppen wie CyberVolk bewerben offen für Mitglieder, Partnerschaften und bezahlte Werbeaktionen. Andere, wie GlorySec, suchen Insider („Moles“) aus konkurrierenden Nationen wie China, Venezuela oder Russland, um auf „Regierungs- oder Unternehmensmanagementsysteme“ zuzugreifen. Sie geben an, dass sie 200.000 US-Dollar dafür bezahlen müssen, und bieten auch an, dass das Muttermal „verlagert werden kann“ (wir verstehen dies als Verlagerung) „wenn Probleme auftreten“.
Die Führungskräfte der Gruppen, die sehr wenige zu sein scheinen, überprüfen Mitglieder persönlich und rekrutieren direkt über Ankündigungskanäle. Sie nehmen ihre Handlungen als verteidigende Ideale wahr, anstatt Straftaten zu begehen. Die Angst vor rechtlichen Auswirkungen ist jedoch weit verbreitet. Gruppen werden häufig aufgelöst, umbenannt oder ergreifen ausweichende Maßnahmen, wenn sie unter Kontrolle sind, insbesondere wenn sie in den USA oder Europa ansässig sind. SiegedSec wurde beispielsweise im Juli 2024 aufgelöst, bestätigte ihre Handlungen als Cyberkriminelle und zitierte die Angst vor „dem Auge des FBI“.
Arten von Hacktivismus
DDoS
Hacktivist-Gruppen verlassen sich in der Regel auf DDoS- und Web-Defacement-Angriffe, die von der Gruppe orchestriert und von Freiwilligen mithilfe von HTTP-Stresstools ausgeführt werden. Diese Tools wurden ursprünglich für Webadministratoren entwickelt, um die Serverkapazität zu testen. Sie werden missbraucht, um Server mit bösartigem Datenverkehr zu überfluten und Störungen zu verursachen.
Die Entfernung einer Zielwebsite ist aufgrund ihrer Einfachheit eine bevorzugte Taktik, obwohl ihre Auswirkungen oft begrenzt sind. DDoS-Angriffe sind zeitgebunden, und ihre Auswirkungen auf Websites von Unternehmen sind in der Regel kurzlebig. Während anhaltende Angriffe auf umsatzgenerierende Websites (z. B. Online-Shops, Casinos) zu Spitzenzeiten erhebliche Schäden verursachen können, sind die meisten Ziele Websites von Behörden oder Unternehmen, was zu minimalen Reputationsschäden führt.
Bild 4. Indische Cyber Forces zielen auf eine Hamas-Website mit DDoS
Malware
Malware-Angriffe sind bei Hacktivist-Gruppen selten, wahrscheinlich, weil die Erstellung und Bereitstellung von Malware komplexer ist als schnelle, ruforientierte Angriffe. Dennoch entwickeln einige Gruppen Ransomware, um ihre Aktivitäten zu finanzieren.
Ein Beispiel ist die Pro-Ukraine „Zwölf“, die Berichten zufolge wie eine Ransomware-Gruppe funktioniert. Im Gegensatz zu Cyberkriminellen, die nach Lösegeld fragen, verschlüsselt, löscht und exfiltriert die Malware, die sie verwenden, Daten, wobei die gestohlenen Informationen auf einem Telegram-Kanal geteilt werden. Wir haben diesen Kanal jedoch nicht gefunden oder die tieferen Motivationen der Gruppe überprüft.
In einem anderen Fall platzierte GlorySec Malware auf USB-Sticks in einer venezolanischen Stadt und verschaffte sich angeblich Zugriff auf Systeme in „100 verschiedenen Unternehmen“.
Figure 5. GlorySec explaining their malware attack
Doxing
Doxing, kurz für „Dropping Dox“ („Dox“ ist Slang für Dokumente), ist die böswillige Praxis, persönliche Daten einer Person ohne deren Zustimmung zu sammeln und öffentlich zu verbreiten. Dazu gehören beispielsweise die Privatadresse, Telefonnummern, Finanzdaten und andere persönliche Informationen.
Mit dem Aufkommen der sozialen Medien und leicht zugänglichen Online-Daten ist Doxing zu einer beliebten Taktik geworden. Sie wird oft eingesetzt, um Einzelpersonen zu belästigen, einzuschüchtern oder ihnen zu schaden. Dahinter stehen in der Regel persönliche Fehden, ideologische Konflikte oder der Wunsch, dem Opfer Schaden zuzufügen.
Hacken und Lecks
Heutige Hacktivist-Gruppen beteiligen sich zunehmend an „Hack-and-Lak“-Angriffen, die komplexer sind als DDoS und Web-Defacements. Sie hacken Netzwerke und Server, um Daten zu exfiltrieren, die dann öffentlich über Filesharing-Plattformen geteilt werden. Diese Angriffe werden häufig auf dem Telegram-Kanal der Gruppe beworben. Der fortgeschrittene Charakter dieser Vorgänge deutet auf einen komplexeren Rekrutierungsprozess hin, bei dem Mitglieder mit anstößigeren Hacking-Fähigkeiten priorisiert werden.
Beispiele für Hacktivismus
GlorySec
Russische Kritiker „GlorySec“ behaupten, die westliche Gesellschaft in jeder Hinsicht zu unterstützen und daher „das russische Regime zu bekämpfen“. GlorySec, möglicherweise eine venezolanische Gruppe, die selbst als Anarcho-Kapitalisten bezeichnet wird, „glaubt an individuelle Freiheiten und freie Märkte“ und widerspricht daher Ländern wie Russland und China sowie dem, was sie als „ihre Proxy-Regimes“ bezeichnen, wie Kuba, Nicaragua, Houthi, Hezbollah und Hamas.
GlorySec hat sich bei seinen Bemühungen, sich von China zu lösen, ebenfalls mit Taiwan abgesprochen und #OpPRC initiiert, um chinesische Unternehmen anzugreifen. Sie gaben an, dass „das PRC ein gefälschtes Land ist; es sollte das ROC sein“, was sich auf die Selbstbezeichnungen China (PRC) und Taiwan (ROC) bezieht. GlorySec ist weder Chinesisch noch Taiwanesisch. Ironischerweise haben russische Hacker #OpTaiwan aus dem entgegengesetzten Grund durchgeführt und China unterstützt.
Anonymous
Sie haben wahrscheinlich schon von der Gruppe Anonymous gehört, einem Kollektiv geheimer – und ja anonymer – Hacker, die Computersysteme von Unternehmen und Regierungen, mit denen sie politische Meinungsverschiedenheiten haben, heruntergenommen und infiltriert haben.
Von 2008 bis 2012 gelang es Anonymous, eine Reihe von Hacks auszuführen, mit Auswirkungen, die von unerheblich bis kritisch reichten. Einer ihrer berüchtigtsten, auch als „Operation Tunesien“ bezeichneten Hacker aus Tunesien umfasste die Rekrutierung einer Reihe von tunesischen Hackern, um acht Regierungswebsites mithilfe von DDoS-Angriffen (Distributed Denial of Service Attacks) zur Unterstützung der Bewegungen des Arabischen Frühlings im Jahr 2010 zu entfernen.
In dieser Tabelle wurden einige Hacktivismusgruppen zusammengestellt, die mehrere Konflikte umfassten:
Bild 6. Hacktivist-Gruppen mit überlappendem Motivations
Weiterführende Forschung