Sie hielten sich für unsichtbar. Unberührbar. Für irgendeine geheime Armee im digitalen Hinterzimmer des Kremls. NoName057(16) – das war der feuchte Traum aller russischen Cyberkrieger: 4000 freiwillige Tastatur-Terroristen mit DDoS im Hirn und Vaterland im Telegram-Profil. Sie fluteten Server, legten Webseiten lahm, bombardierten Infrastruktur, riefen das „Cyber-Front“-Zeitalter aus. Laut, selbstgefällig, stolz. Und niemand konnte ihnen was – dachten sie.
Dann kam Operation Eastwood. Und irgendjemand zog ihnen den Stecker.
In vier Tagen im Juli zeigte eine internationale Allianz, wie ein Gegenschlag aussieht. Mindestens zwölf Staaten, koordiniert von Europol, unterstützt von ENISA und J-CAT, schlugen gleichzeitig zu. Zwei Festnahmen. Sieben Haftbefehle, davon sechs gegen mutmaßlich in Russland lebende Akteure. 24 Hausdurchsuchungen in ganz Europa – Frankreich, Spanien, Tschechien, Italien, Polen, Deutschland. Dreizehn Personen wurden vernommen. Über 100 Server weltweit abgeschaltet. Kommunikationskanäle gekappt. Infrastruktur zerschlagen. Und plötzlich war’s still im Trollnest.
Sogar ihre Admins bekamen Post – direkt aufs Handy. Fünfzehn führende Köpfe wurden offiziell informiert, dass der Spaß vorbei ist. Und über 1000 Unterstützer wissen jetzt, dass „nur ein bisschen mitmachen“ bei einer russischen Cybertruppe möglicherweise nicht so anonym endet, wie man dachte.
NoName057(16) ist nicht mehr unsichtbar. Sie sind jetzt Aktenzeichen. IP-Adressen. Durchsuchungsprotokolle. Der Schatten hat Kontur bekommen – und genau das macht ihn angreifbar.
Denn was da operierte, war kein anarchistisches Nerd-Kollektiv, sondern Teil einer Hybridstrategie. Laut der US-Cybersicherheitsfirma Mandiant gibt es mutmaßliche Koordination zwischen NoName und dem russischen Militärgeheimdienst GRU. Offiziell geleugnet, inoffiziell beklatscht. Typisch Russland: erst behaupten, es sei „nur Zivilgesellschaft“, dann still applaudieren, wenn wieder irgendwo ein Krankenhausportal ausfällt.
Die Wirkung war real. Seit 2021 hat sich die Zahl russischer Cyberangriffe auf NATO-Staaten verdreifacht. Anfang 2024 verdoppelte sich die Zahl der Attacken auf europäische Infrastruktur noch einmal – allein im Vergleich zum Quartal davor. Krankenhäuser. Stromnetze. Verwaltung. NGOs. Alles, was hilft, wurde attackiert. Alles, was schützt, wurde gestört. Kein Unterschied zwischen Kriegsziel und Kindertagesstätte. Genau das ist russische Kriegsführung: zerstören, was funktioniert – und sich dann wundern, warum der Westen zurückschlägt.
Aber genau das ist jetzt passiert.
Operation Eastwood war kein Symbol. Kein PR-Stunt. Kein mahnender Zeigefinger. Es war ein koordiniertes, rechtsstaatlich abgesichertes, international unterstütztes Auseinandernehmen eines zentralen russischen Cybernetzwerks. Mitten im laufenden Krieg. Kein Statement – eine Ansage. Und zwar eine, die ankam.
Denn plötzlich war diese selbsternannte Cyberarmee nicht mehr überall – sondern nirgends. Server weg. Struktur weg. Kontrolle weg. Was vorher wie ein gesichtsloser Nebel wirkte, ist jetzt eine Datei mit Beweismitteln. Der Troll hat einen Namen. Und einen Aufenthaltsort. Und ein Problem.
Das alles ist mehr als ein Einzelfall. Es ist eine Verschiebung. Russland wollte zeigen, dass es den Westen digital dominieren kann. Stattdessen hat es genau das Gegenteil erreicht: Der Westen hat sich vernetzt. Nicht auf Papier, sondern in Reaktion. Kein Vertrag. Kein Gipfel. Nur ein Ergebnis: Wer einen angreift, bekommt es mit allen zu tun. Der Dieb hat das Viertel so lange terrorisiert, bis die Nachbarn eine Alarmanlage gekauft und die Polizei auf Kurzwahl gelegt haben.
Was dabei rauskam? Eine Art Cyber-NATO. Kein Logo. Keine Hymne. Sondern eine Praxis. Eine Reflexkette. Eine Immunantwort. Das Internet lernt, sich zu wehren – und diesmal hat es geklappt.
NoName057(16) war die Speerspitze. Jetzt steckt sie im Boden. Und Russland? Hat gelernt, dass selbst im Cyberspace irgendwann zurückgeschlagen wird. Nicht mit Symbolen. Sondern mit Zugriff.
────────────
— Trollhunter
Quellen und Einordnung:
Operation „Eastwood“ wurde im Juli 2025 unter Führung von Europol durchgeführt – mit Beteiligung von mindestens zwölf Staaten, darunter Deutschland, Frankreich, Spanien, Polen, Tschechien und Italien. Ziel war die pro-russische Hacktivistengruppe NoName057(16), die seit 2022 über 1500 DDoS-Angriffe auf NATO-Staaten verübt hatte. Laut der US-Cybersicherheitsfirma Mandiant bestehen mutmaßliche Verbindungen zur GRU, dem russischen Militärgeheimdienst. Im Zuge der Aktion wurden über 100 Server abgeschaltet, zwei Personen festgenommen, sieben internationale Haftbefehle erlassen und über 1000 Unterstützer identifiziert oder benachrichtigt. Es war der erste koordinierte Schlag dieser Größenordnung gegen ein russisches Cybernetzwerk seit Kriegsbeginn.
