Wenn Server verstummen
Einer internationalen Taskforce von Cyberermittlerinnen und Cyberermittlern gelingt im Juli 2025 die Enttarnung dreier mutmasslicher Krimineller. Der Fall zeigt auf, wie wichtig internationale Polizeizusammenarbeit ist, insbesondere gegen Cyberkriminelle, die über Landesgrenzen hinweg eng vernetzt sind.
Gezielt, koordiniert und mit politischer Botschaft – so beschreiben Ermittlerinnen und Ermittler die Welle von DDoS-Angriffen, die im Juni 2023 über 200 Schweizer Websites trifft. DDoS steht für Distributed Denial of Service und beschreibt eine Methode, bei der Server durch immense Massen an Anfragen überlastet und zum Stillstand gebracht werden. Ziel ist die Blockierung oder Störung digitaler Dienste. Besonders betroffen ist 2023 die Plattform des Parlaments. Die prorussische Hacker-Gruppierung NoName057(16) bekennt sich zu den Attacken und steht damit offen zu ihrer Absicht, westliche Demokratien zu destabilisieren.
Noch während der Angriffe erkennt fedpol, dass es sich nicht um vereinzelte technische Störungen handelt, sondern um koordinierte digitale Attacken mit internationalem Hintergrund. Gemeinsam mit der Bundesanwaltschaft und dem Bundesamt für Cybersicherheit BACS leitet fedpol umfassende Ermittlungen ein.
Internationale Antwort auf ein internationales Netzwerk
fedpol bringt den Fall bereits 2023 auf die europäische Ebene und stösst damit zusammen mit Kanada die Operation EASTWOOD an. Sie wächst zu einer Aktion an, die 19 Länder umfasst, koordiniert von Europol und der Joint Cybercrime Action Taskforce (J-CAT).
Von 2023 bis 2025 erfolgen weltweit Hunderte DDoS-Angriffe, zu denen sich NoName057(16) bekennt. fedpol gelingt es dank einer detaillierten Analyse der Angriffe, Muster zu erkennen. Daraus gewonnene Hinweise zur Struktur der Tätergruppe in Verbindung mit weiteren Ermittlungserkenntnissen führen zur Identifizierung der Verantwortlichen. Das Resultat: Drei mutmassliche Schlüsselpersonen der Hacker-Gruppierung können im Frühjahr 2025 ermittelt und zur Festnahme ausgeschrieben werden.
Am 15. Juli 2025 folgt der Zugriff auf das Bot-Netzwerk – ein Netz, das Hunderte oder sogar Tausende Computer über installierte Dateien zusammenschliesst und diese am Netzwerk beteiligten Rechner für bestimmte Aktionen auf Befehl eines entfernten Rechners hin benutzt. In mehreren Ländern durchsuchen Einsatzkräfte Wohnhäuser, beschlagnahmen Computer, nehmen Server vom Netz. Über 100 Systeme werden weltweit deaktiviert, darunter die zentrale Infrastruktur der Gruppierung NoName057(16). Zehn Haftbefehle werden ausgestellt, zwei direkt vollzogen. Über 1 000 Personen, die das Netzwerk unterstützt haben, werden auf ihre mögliche strafrechtliche Verantwortung durch die Installation der Verbindung zum Netzwerk auf ihren Computern hingewiesen. In der Schweiz sind keine Durchsuchungen erforderlich – Schweizer Computer sind, soweit bekannt, dem Netzwerk nicht angeschlossen.
Im Netz versteckt – aber nicht unantastbar
Den Zeitpunkt der Attacken wählte die Hacker-Gruppierung stets bewusst mit starker Symbolkraft: Die Rede des ukrainischen Präsidenten Wolodimir Selenski im Bundeshaus im Juni 2023, das World Economic Forum im Januar 2024, der Eurovision Song Contest in Basel im Mai 2025. Sie will provozieren, öffentliches Aufsehen erzeugen und Verunsicherung auslösen. Doch mit der Operation EASTWOOD wird deutlich: Auch im digitalen Raum gelingt es Tätern nicht, sich in der Anonymität der virtuellen Welt zu verstecken, wenn Strafverfolgungsbehörden entschlossen und vernetzt handeln.
Der Fall NoName057(16) zeigt, was erfolgreiche Bekämpfung von Cyberkriminalität heute voraussetzt: grenzüberschreitendes Denken und Handeln, technologisches Know-how und umfangreiche Koordination. fedpol übernimmt diese Rolle als nationale Drehscheibe.
«Ich bin stolz darauf, dass fedpol zusammen mit Kanada eine solche Operation anstossen konnte, die so viele Länder betrifft. Erfolgreich waren wir dank sehr guter Teamarbeit: von unserer J-CAT-Vertretung bei Europol über die IT-Forensik, die operative Kriminalanalyse bis hin zu den Ermittlerinnen und Ermittlern.»
Andreas, Bundesermittler Cyberkriminalität