Auf allen Kanälen: Digitale Belagerung
900 Millionen Seitenaufrufe an einem Tag: Wie die Website der Schweizer NGO Public Eye lahmgelegt wurde – offenbar von staatlichen Stellen Kasachstans.
Am 20. November wurde in Kasachstan der bisherige Präsident Kassym-Jomart Tokajew mit überwältigenden 81,2 Prozent der Stimmen wiedergewählt. Allerdings ist Korruption im Land weitverbreitet, und auch die Pressefreiheit wird mit allen verfügbaren Mitteln eingeschränkt: Es gibt Drohungen gegen Medienschaffende und Zensur, unliebsame Berichte über Tokajew wurden vor der Wahl mit digitalen Angriffen unsichtbar gemacht.
Davon war auch die Schweizer NGO Public Eye betroffen, nachdem sie im September einen Bericht über Tokajews Geschäfte veröffentlicht hatte. Kaum war die Recherche im Internet, war sie auch schon wieder verschwunden. Denn die Website von Public Eye wurde mit Millionen von automatisierten Aufrufen lahmgelegt. Solche DDoS-Angriffe (Distributed Denial of Service) sind ein beliebtes Mittel, um unerwünschte Websites auszuschalten. Bei einem DDoS-Angriff wird eine Website auf einen Schlag millionenfach aufgerufen, sodass sie unter dem Ansturm zusammenbricht und nicht mehr verfügbar ist. Ein solcher Angriff ist technisch simpel, äusserst effektiv und günstig zu haben – eine 24 Stunden anhaltende DDoS-Flut gibt es für ein paar Hundert Dollar im Darknet zu kaufen.
Versteckt hinter digitalen Schleiern
«Investigative Medien und NGOs wie Public Eye werden immer häufiger Ziel von juristischen Drohungen und Gerichtsverfahren, die sie zum Schweigen bringen sollen», schreibt Public Eye zum Angriff. «Zu diesem Einschüchterungsarsenal sind in letzter Zeit auch Cyberattacken hinzugekommen.» Gemäss Mediensprecher Oliver Classen erfolgten nach der Publikation der Tokajew-Recherchen Millionen von Websitezugriffen – «mit einem Peak von 900 Millionen Zugriffen an einem Tag». Obwohl die Website anschliessend mithilfe eines Sicherheitsdienstes vor automatisierten Abfragen geschützt wurde, erfolgten immer wieder vereinzelte Angriffswellen. «Als würde sporadisch getestet, ob man durchkommt», sagt Classen.
Von wem diese Angriffe ausgehen, lässt sich im Normalfall nicht rekonstruieren. Die Strippenzieher:innen verstecken sich hinter digitalen Schleiern. Oft werden auf der ganzen Welt verteilte infizierte Computer und Endgeräte verwendet, sodass Rückschlüsse auf die Quelle kaum möglich sind. Einiges weist aber darauf hin, dass staatliche Stellen aus Kasachstan hinter dem Angriff auf Public Eye stehen. Denn auch die kasachische Website von Radio Free Europe war aus Kasachstan nicht erreichbar – sie hatte die Recherchen von Public Eye weiterverbreitet. Unabhängige Analysen des Datenverkehrs und der Internetverfügbarkeit im Land deuten darauf hin, dass dahinter behördliche Zensur steckt. Der kasachische Geheimdienst schob die Schuld derweil auf ausländische Hacker:innen.
Feinmaschige Angriffe
Die digitalen Angriffe im Zusammenhang mit der Wahl in Kasachstan sind keine Einzelfälle. Sie gehören vielmehr zum Standardrepertoire, um die Pressefreiheit zu untergraben. DDoS-Attacken wie jene auf Public Eye sind dabei nur das digitale Grundrauschen. Sie fressen Ressourcen und schüchtern Medienschaffende ein. Daneben finden auch feinmaschigere Angriffe auf Journalist:innen statt. Am bekanntesten sind staatliche Trojaner wie Pegasus (siehe WOZ Nr. 33/22), die unerkannt auf die Endgeräte von Medienschaffenden geschleust werden und selbst verschlüsselte Kommunikation mitlesen können.
Die schiere Menge von Cyberangriffen auf Journalist:innen und Medien hat seit Beginn des russischen Angriffskriegs gegen die Ukraine nochmals zugenommen. Gemäss Cloudflare – einem verbreitet genutzten Dienstleister für Internetsicherheit – wurden von ihm geschützte Nachrichtenwebsites in Europa und Nordamerika in diesem Jahr zweieinhalb Mal so oft angegriffen. Verantwortlich dafür sind häufig regierungsnahe Hackingkollektive wie Xaknet, Killnet, People’s Cyber Army oder die zum russischen Militärgeheimdienst gehörende Sandworm-Gruppe. Praktisch im Wochenrhythmus greifen diese Gruppen Nachrichtenseiten und Journalist:innen an – allein im November wurden neun ukrainische Medienwebsites mit DDoS-Angriffen vorübergehend lahmgelegt.