Staatliche Cyberbedrohungen aus Iran, China und Russland eskalieren Wenn Cyberkriminalität, Hacktivismus und Staatsakteure verschmelzen

Die Grenzen zwischen Cyberkriminalität, Hacktivismus und staatlicher Kriegs­führung verschwimmen. Die Epic-Fury-Operation im Februar 2026 und Irans hybride Vergeltungskampagne zeigen eine neue Eskalationsstufe. Gleichzeitig bringt China sich in europäischen Infrastrukturen in Stellung und Russland bleibt die aktivste staatliche Cyberbedrohung für die EU.

Der Israel-Iran-Konflikt im Juni 2025 markierte einen Wendepunkt in der digitalen Kriegsführung. Der Iran koordinierte erstmals systematisch verschiedene Cyber-Einheiten parallel zu militärischen Operationen. Gleichzeitig setzte die iranische Regierung staatlich finanzierte Ransomware-Kampagnen ein und zahlte Prämien für erfolgreiche Angriffe auf US- und israelische Organisationen.

Im Februar 2026 starteten die USA gemeinsam mit Israel die „Epic Fury“-Militäroperation mit Angriffen auf iranische Führungsstrukturen und nukleare Anlagen. Der Iran antwortete binnen weniger Stunden mit einer hybriden Vergeltungskampagne. Mit dem anschließenden Cybergegenschlag reduzierte Israel Irans Internetkonnektivität auf ein bis vier Prozent und schränkte so Irans hochspezialisierte APT-Gruppen im Inland operativ deutlich ein.

Angriffe, gesponsert von Iran und Russland

Die Lage im Cyberraum nach dem An­griff der USA und Israels auf den Iran

Die Konsequenzen: Außerhalb Irans operierende Zellen handeln nun autonom, was ihre Aktionen noch weniger vorhersehbar macht. Und nach Wiederherstellung der Konnektivität ist mit verstärkten staatlichen Cyberangriffen zu rechnen. Wie iranische Akteure dabei operieren, zeigt ein Blick auf ihre bevorzugten Angriffstechniken.

Irans Cyberarsenal ist heterogen: Es reicht von hochkomplexen APT-Kampagnen bis zu kriminell genutzten Ransomware-Operationen. Das Besondere ist dabei die strukturelle Vermischung: Staatliche Akteure monetarisieren erlangte Zugänge für kriminelle Zwecke, während sie ihre Beteiligung gleichzeitig plausibel abstreiten können.

Technisch operieren iranische Gruppen bevorzugt über: Ausnutzung von VPN-Gateways und Firewalls, ASPX-Webshells auf exponierten Servern, Living-off-the-Land-Techniken (LOLBins) für Persistenz und laterale Bewegung sowie KI-gestützte Spear-Phishing-Kampagnen mit hohem Personalisierungsgrad.

Nach Cyberangriff auf FBI-Chef

USA melden iranischen Hackerangriff auf Infrastruktur

Risiken aus China und Russland

Anders als der Iran agiert China mit maximaler Stille, minimalen Spuren und langfristiger Positionierung. China verschiebt seinen Fokus von klassischer Industrie- und IP-Spionage hin zu staatlichen Organisationen und kritischer Infrastruktur. Und in Europa sind chinesische Cyberoperationen längst angekommen. Vor dem Hintergrund Chinas zunehmender Abkopplung vom Westen ist das ein besonders hohes Risiko: Sollte etwa der Taiwan-Konflikt eskalieren, könnten chinesische Akteure Angriffe zur Ablenkung, Demoralisierung oder direkten Sabotage westlicher Unterstützungsstrukturen nutzen.

Russland bleibt indes laut ENISA 2025 die aktivste staatlich gelenkte Bedrohung für die EU. Gruppen wie APT28 (Fancy Bear, GRU), APT44 (Sandworm) und APT29 (Cozy Bear) haben in den vergangenen Jahren diverse Ziele in Europa angegriffen und dabei Schäden in Millionenhöhe verursacht. Für Unternehmen in Europa ergibt sich daraus eine klare Konsequenz: Sie müssen laufende Kompromittierungen früher erkennen, bevor aus unerkannten Zugriffen operative Schäden entstehen.

ENISA Threat Landscape 2025

Hacktivismus wird zur Gefahr für Europas Infrastruktur

Die Notwendigkeit von Threat Hunting

Staatliche APT-Angriffe fallen fast nie durch Alarme der eigenen Sicherheitssysteme auf, sondern erst durch Ermittlungen von Incident-Response-Teams. Diese kennen die Taktiken und Techniken der Angreifer aus zahlreichen Einsätzen und verfügen über die notwendige forensische Untersuchungskompetenz, um auch kleinste Anomalien zu entlarven. Threat Hunting durch erfahrene Incident Responder erhöht in der aktuellen Lage die Chance, laufende APT-Angriffe zu entdecken – ob iranisch, chinesisch oder russisch. Unternehmen sollten daher selbst aktiv werden und mögliche Kompromittierungen aufdecken, bevor größere Schäden entstehen.

Über den Autor: Daniel Heinzig ist CEO der InfoGuard Deutschland GmbH und Experte für Cyber Defence, Incident Response und Managed Security. Sein Fokus liegt auf der Verbindung strategischer Sicherheitsplanung mit praxisnaher Cyberabwehr.

Backdoor MiniJunk und Stealer MiniBrowse

Iranische Gruppe greift Verteidigungs- und Luftfahrtindustrie in Europa an

(ID:50814754)