Der Aufstieg staatlich gesteuerter Hacktivismus-Kampagnen
25.09.2025
Thomas Joos
Instrumentalisierter Protest: Die neue Rolle von Hacktivisten
„Hacktivismus hat sich zu einem strategischen Werkzeug für Staaten entwickelt, um Einfluss auszuüben, ohne offiziell Verantwortung zu übernehmen“, erklärt Rik Ferguson, Vice President Security Intelligence bei Forescout. Was früher Ausdruck politischer Unzufriedenheit war, ist heute Teil taktisch geplanter Einflussoperationen. Ferguson spricht von einer „militarisierten Einflussstruktur“, die mit scheinbar unabhängigen Gruppen arbeitet, während Hintermänner in Behörden oder Nachrichtendiensten sitzen.
Beispiele dafür liefert das Jahr 2024 zuhauf. In Litauen verschaffte sich die Gruppe Just Evil Zugriff auf das Monitoring-Dashboard des Energieversorgers Ignitis Group. 22 Kundenanlagen, darunter zwei Krankenhäuser, wurden kompromittiert. Der Zugang erfolgte über gestohlene Anmeldedaten, bereitgestellt durch Malware, die auf Kundenrechnern installiert war. Im Zentrum war das Cloud-Backend des Herstellers Sungrow. Zuvor hatte dieselbe Gruppe öffentlich Screenshots des Dashboards veröffentlicht, versehen mit gezielten politischen Botschaften. Die Absicht war klar: Verunsicherung erzeugen, Vertrauen untergraben, Chaos stiften.
Infrastruktur im Fadenkreuz: Energie, Verwaltung, Kommunikation
Die Ergebnisse der Vedere-Labs-Forschung zeichnen ein deutliches Bild. Hacktivistische Gruppen mit staatlicher Anbindung konzentrieren sich zunehmend auf Energieversorger, öffentliche Einrichtungen und kritische Kommunikationssysteme. 2024 wurden 118 Vorfälle identifiziert, bei denen politische Motive mit eindeutig staatlichen Methoden einhergingen. In 60 Prozent der Fälle waren bekannte Angriffstechniken (TTPs) aus dem APT-Umfeld nachweisbar.
Besonders häufig betroffen waren Stromnetze, Solaranlagen, Verwaltungssysteme und Medienportale. Dabei reicht das Zielspektrum vom Abschalten einzelner Komponenten bis zur gezielten Desinformation über soziale Netzwerke. In einem Fall wurde in mehreren EU-Ländern eine gefälschte Liste angeblich kompromittierter Krankenhäuser verbreitet. Es handelte sich um eine bewusste Irreführung. Die Reaktionen waren überlastete Support-Hotlines, verwirrte Bürger, hektische politische Kommunikation.
„Was wir beobachten, ist kein zufälliges Phänomen. Es sind koordinierte Kampagnen mit Kalkül“, sagt Ferguson. Die Gruppen nutzten dabei dieselben Exploits, Verschlüsselungsmechanismen und Verteilungsinfrastrukturen wie klassische staatlich gesteuerte Akteure.
Die Schattenakteure im System: Botnetze, Router, Solar-Clouds
Ein zentrales Element dieser Kampagnen ist die Nutzung kompromittierter Geräte. Im Fokus stehen dabei Router, veraltete IoT-Komponenten und Cloud-Dienste. Besonders auffällig war 2024 die gezielte Übernahme von Solarüberwachungssystemen in Japan. Insgesamt 800 Geräte des Typs Contec SolarView Compact wurden gekapert. Der Zugriff erfolgte durch bekannte Schwachstellen, drei davon wurden seit 2021 in der Praxis ausgenutzt. Als Drahtzieher vermuten Sicherheitsforscher entweder das Kollektiv HackerCN oder Strukturen rund um Flax Typhoon, eine chinesische APT-Gruppe.
Die Technik dahinter wirkt unspektakulär, ist aber hochwirksam. Botnetze nutzen die betroffenen Geräte nicht nur zur Ausführung von Angriffen, sondern auch als Tarnschicht für komplexere Operationen. Die Geräte verbergen den Ursprung der Angriffe, leiten Command-and-Control-Traffic weiter oder dienen als Zwischenspeicher für exfiltrierte Daten.
Noch kritischer wird es, wenn Sicherheitslücken auf Cloud-Plattformen ausgenutzt werden. So fanden die Forscher von Vedere Labs 46 neue Schwachstellen bei den Herstellern Sungrow, Growatt und SMA. 30 davon erreichten eine Bewertung von 9.8 oder 10 auf der CVSS-Skala. Mehrere dieser Lücken ermöglichten Remote Code Execution, sowohl auf Geräten als auch auf Servern. In einem Fall konnten Angreifer mit fest hinterlegten MQTT-Zugangsdaten die Kommunikation von Geräten übernehmen und manipulieren.
„Der Einsatz von hard encoded Credentials in Verbindung mit fehlender Zertifikatsvalidierung ist eine Einladung zur Übernahme ganzer Infrastrukturen“, heißt es im technischen Teil des SUN:DOWN-Berichts. Diese Schwachstellen machen aus vernetzten Solarsystemen potenzielle Angriffswerkzeuge gegen das Stromnetz.
Politische Dimension: Lieferkette als Schwachstelle
Staatlich unterstützter Hacktivismus nutzt nicht nur Schwachstellen im Code, sondern auch geopolitische Abhängigkeiten. Mehr als die Hälfte aller Wechselrichterhersteller stammt aus China, ebenso wie 58 Prozent der Anbieter von Energiespeichern. In Australien, wo 30 Prozent aller Haushalte mit Solaranlagen ausgestattet sind, stammt der Großteil der smarten Wechselrichter von Herstellern wie GoodWe oder Huawei. Ein Bericht der australischen Cyber Security Cooperative Research Centre warnt ausdrücklich vor den Risiken chinesischer Technik im Stromnetz.
In Estland sprach der Auslandsgeheimdienst Anfang 2024 von einem erheblichen Risiko durch manipulierbare Komponenten in Solarparks. In Litauen wurde im November desselben Jahres ein Gesetz verabschiedet, das den Fernzugriff aus bestimmten Ländern auf Solaranlagen verbietet. Ein Vergleich aus einem niederländischen Bericht bringt es auf den Punkt: Die Energiesicherheit der Zukunft beruht nicht mehr auf Pipelines, sondern auf Firmware.
Gezielte Taktiken: Von Ransomware bis Falschmeldung
Die Bandbreite der eingesetzten Methoden ist beachtlich. In der Analyse von Vedere Labs tauchen neben klassischen Exploits auch Elemente wie Desinformationskampagnen, gefälschte Authentifizierungsportale, DNS-Manipulation, Man-in-the-Middle-Angriffe, kompromittierte Firmware-Updates und identitätsbasierte Täuschungsversuche auf.
In einem Fall wurde durch manipulierte Login-Seiten eines Cloud-Portals der Zugang zu mehreren Solaranlagen in Kanada übernommen. In einem anderen wurden Fake-Leaks über korrupte Daten bei einem Stadtwerk veröffentlicht, um den Bürgermeister unter Druck zu setzen. Die Angreifer verknüpfen technische Mittel mit psychologischer Wirkung, ein Muster, das in der klassischen IT-Sicherheitsstrategie kaum adressiert wird.
Hacktivismus ist längst eine geopolitische Operation
„Cyberaktivismus gehört zur nationalen Machtdemonstration“, sagt Daniel dos Santos, Senior Director, Head of Research bei Forescout Research Vedere Labs. Der Protest im Netz ist nicht verschwunden. Er hat nur seine Rolle geändert. Statt Widerstand von unten zu leisten, werden viele Gruppen heute zum taktischen Werkzeug von Staaten, die in der digitalen Grauzone operieren.
Rik Ferguson bringt es auf den Punkt: „Staatlich geförderte Hacktivisten bilden die neuen Grauzonenakteure im digitalen Gefechtsraum.“
Neue Bedrohungen erfordern neue Antworten. Nicht nur technische Systeme müssen geschützt werden, sondern auch deren narratives Umfeld. Die Verteidigung beginnt nicht erst beim Perimeter, sondern bereits bei der Wahrnehmung von Realität im digitalen Raum.
Der Aufstieg staatlich gesteuerter Hacktivismus-Kampagnen
25.09.2025
Thomas Joos
Instrumentalisierter Protest: Die neue Rolle von Hacktivisten
„Hacktivismus hat sich zu einem strategischen Werkzeug für Staaten entwickelt, um Einfluss auszuüben, ohne offiziell Verantwortung zu übernehmen“, erklärt Rik Ferguson, Vice President Security Intelligence bei Forescout. Was früher Ausdruck politischer Unzufriedenheit war, ist heute Teil taktisch geplanter Einflussoperationen. Ferguson spricht von einer „militarisierten Einflussstruktur“, die mit scheinbar unabhängigen Gruppen arbeitet, während Hintermänner in Behörden oder Nachrichtendiensten sitzen.
Beispiele dafür liefert das Jahr 2024 zuhauf. In Litauen verschaffte sich die Gruppe Just Evil Zugriff auf das Monitoring-Dashboard des Energieversorgers Ignitis Group. 22 Kundenanlagen, darunter zwei Krankenhäuser, wurden kompromittiert. Der Zugang erfolgte über gestohlene Anmeldedaten, bereitgestellt durch Malware, die auf Kundenrechnern installiert war. Im Zentrum war das Cloud-Backend des Herstellers Sungrow. Zuvor hatte dieselbe Gruppe öffentlich Screenshots des Dashboards veröffentlicht, versehen mit gezielten politischen Botschaften. Die Absicht war klar: Verunsicherung erzeugen, Vertrauen untergraben, Chaos stiften.
Infrastruktur im Fadenkreuz: Energie, Verwaltung, Kommunikation
Die Ergebnisse der Vedere-Labs-Forschung zeichnen ein deutliches Bild. Hacktivistische Gruppen mit staatlicher Anbindung konzentrieren sich zunehmend auf Energieversorger, öffentliche Einrichtungen und kritische Kommunikationssysteme. 2024 wurden 118 Vorfälle identifiziert, bei denen politische Motive mit eindeutig staatlichen Methoden einhergingen. In 60 Prozent der Fälle waren bekannte Angriffstechniken (TTPs) aus dem APT-Umfeld nachweisbar.
Besonders häufig betroffen waren Stromnetze, Solaranlagen, Verwaltungssysteme und Medienportale. Dabei reicht das Zielspektrum vom Abschalten einzelner Komponenten bis zur gezielten Desinformation über soziale Netzwerke. In einem Fall wurde in mehreren EU-Ländern eine gefälschte Liste angeblich kompromittierter Krankenhäuser verbreitet. Es handelte sich um eine bewusste Irreführung. Die Reaktionen waren überlastete Support-Hotlines, verwirrte Bürger, hektische politische Kommunikation.
„Was wir beobachten, ist kein zufälliges Phänomen. Es sind koordinierte Kampagnen mit Kalkül“, sagt Ferguson. Die Gruppen nutzten dabei dieselben Exploits, Verschlüsselungsmechanismen und Verteilungsinfrastrukturen wie klassische staatlich gesteuerte Akteure.
Die Schattenakteure im System: Botnetze, Router, Solar-Clouds
Ein zentrales Element dieser Kampagnen ist die Nutzung kompromittierter Geräte. Im Fokus stehen dabei Router, veraltete IoT-Komponenten und Cloud-Dienste. Besonders auffällig war 2024 die gezielte Übernahme von Solarüberwachungssystemen in Japan. Insgesamt 800 Geräte des Typs Contec SolarView Compact wurden gekapert. Der Zugriff erfolgte durch bekannte Schwachstellen, drei davon wurden seit 2021 in der Praxis ausgenutzt. Als Drahtzieher vermuten Sicherheitsforscher entweder das Kollektiv HackerCN oder Strukturen rund um Flax Typhoon, eine chinesische APT-Gruppe.
Die Technik dahinter wirkt unspektakulär, ist aber hochwirksam. Botnetze nutzen die betroffenen Geräte nicht nur zur Ausführung von Angriffen, sondern auch als Tarnschicht für komplexere Operationen. Die Geräte verbergen den Ursprung der Angriffe, leiten Command-and-Control-Traffic weiter oder dienen als Zwischenspeicher für exfiltrierte Daten.
Noch kritischer wird es, wenn Sicherheitslücken auf Cloud-Plattformen ausgenutzt werden. So fanden die Forscher von Vedere Labs 46 neue Schwachstellen bei den Herstellern Sungrow, Growatt und SMA. 30 davon erreichten eine Bewertung von 9.8 oder 10 auf der CVSS-Skala. Mehrere dieser Lücken ermöglichten Remote Code Execution, sowohl auf Geräten als auch auf Servern. In einem Fall konnten Angreifer mit fest hinterlegten MQTT-Zugangsdaten die Kommunikation von Geräten übernehmen und manipulieren.
„Der Einsatz von hard encoded Credentials in Verbindung mit fehlender Zertifikatsvalidierung ist eine Einladung zur Übernahme ganzer Infrastrukturen“, heißt es im technischen Teil des SUN:DOWN-Berichts. Diese Schwachstellen machen aus vernetzten Solarsystemen potenzielle Angriffswerkzeuge gegen das Stromnetz.
Politische Dimension: Lieferkette als Schwachstelle
Staatlich unterstützter Hacktivismus nutzt nicht nur Schwachstellen im Code, sondern auch geopolitische Abhängigkeiten. Mehr als die Hälfte aller Wechselrichterhersteller stammt aus China, ebenso wie 58 Prozent der Anbieter von Energiespeichern. In Australien, wo 30 Prozent aller Haushalte mit Solaranlagen ausgestattet sind, stammt der Großteil der smarten Wechselrichter von Herstellern wie GoodWe oder Huawei. Ein Bericht der australischen Cyber Security Cooperative Research Centre warnt ausdrücklich vor den Risiken chinesischer Technik im Stromnetz.
In Estland sprach der Auslandsgeheimdienst Anfang 2024 von einem erheblichen Risiko durch manipulierbare Komponenten in Solarparks. In Litauen wurde im November desselben Jahres ein Gesetz verabschiedet, das den Fernzugriff aus bestimmten Ländern auf Solaranlagen verbietet. Ein Vergleich aus einem niederländischen Bericht bringt es auf den Punkt: Die Energiesicherheit der Zukunft beruht nicht mehr auf Pipelines, sondern auf Firmware.
Gezielte Taktiken: Von Ransomware bis Falschmeldung
Die Bandbreite der eingesetzten Methoden ist beachtlich. In der Analyse von Vedere Labs tauchen neben klassischen Exploits auch Elemente wie Desinformationskampagnen, gefälschte Authentifizierungsportale, DNS-Manipulation, Man-in-the-Middle-Angriffe, kompromittierte Firmware-Updates und identitätsbasierte Täuschungsversuche auf.
In einem Fall wurde durch manipulierte Login-Seiten eines Cloud-Portals der Zugang zu mehreren Solaranlagen in Kanada übernommen. In einem anderen wurden Fake-Leaks über korrupte Daten bei einem Stadtwerk veröffentlicht, um den Bürgermeister unter Druck zu setzen. Die Angreifer verknüpfen technische Mittel mit psychologischer Wirkung, ein Muster, das in der klassischen IT-Sicherheitsstrategie kaum adressiert wird.
Hacktivismus ist längst eine geopolitische Operation
„Cyberaktivismus gehört zur nationalen Machtdemonstration“, sagt Daniel dos Santos, Senior Director, Head of Research bei Forescout Research Vedere Labs. Der Protest im Netz ist nicht verschwunden. Er hat nur seine Rolle geändert. Statt Widerstand von unten zu leisten, werden viele Gruppen heute zum taktischen Werkzeug von Staaten, die in der digitalen Grauzone operieren.
Rik Ferguson bringt es auf den Punkt: „Staatlich geförderte Hacktivisten bilden die neuen Grauzonenakteure im digitalen Gefechtsraum.“
Neue Bedrohungen erfordern neue Antworten. Nicht nur technische Systeme müssen geschützt werden, sondern auch deren narratives Umfeld. Die Verteidigung beginnt nicht erst beim Perimeter, sondern bereits bei der Wahrnehmung von Realität im digitalen Raum.