Krieg wird heute am Boden, in der Luft – und im Cyberspace ausgefochten. Vor dem Hintergrund des anhaltenden Konflikts im Nahen Osten beobachten wir eine Zunahme von Cyberaktivitäten, die mit den Ereignissen in der Region in Verbindung stehen. Es gibt keine Anzeichen für Geheimwaffen oder völlig neue Techniken. Für Risikomanager und Cyberversicherer sind das bekannte Bedrohungen in einem volatileren Umfeld, und es ist dringend erforderlich, grundlegende Dinge auf den Weg zu bringen.
Was sich geändert hat – und was nicht
Wenn geopolitische Spannungen zunehmen, nehmen auch die Cyberaktivitäten zu. In diesem Konflikt nutzen mit dem iranischen Staat verbundene und ihm nahestehende Gruppen Cyberoperationen als weitere Möglichkeit, auf die Situation zu reagieren.
Wichtig ist die Perspektive.
Wie die Threat Intelligence Group von Google betont, ist nicht mit einer völlig neuen Art von Angriffen zu rechnen, sondern mit einer häufigeren Anwendung von Techniken, die wir bereits in den letzten Jahren gesehen haben.
Diese sind:
- DDoS-Angriffe und Website-Defacements
- Hacking und „Hack-and-Leak“-Operationen
- Social-Engineering- und Phishing-Kampagnen
- Malware, Ransomware und in einigen Fällen zerstörerische Wiper-Tools
Die Bedrohung ist real, aber nicht neu. Kontrollmaßnahmen, die für diese bekannten Techniken entwickelt wurden, sind nach wie vor äußerst relevant – insbesondere da die Versuche zunehmen und sich die Angriffsmuster verschieben.
Wer steckt hinter diesen Aktivitäten?
Der Iran kann auf ein breites Spektrum an Cyberakteuren zurückgreifen.
- Hackergruppen und sympathisierende Gruppierungen
Bis zum 6. März hatten mehr als 70 Gruppen und Vereinigungen öffentlich ihre Unterstützung für den Iran bekundet. Sie sind in erster Linie für Datenlecks, Webseite-Manipulation und störende DDoS-Angriffe bekannt, die häufig auf Webseiten, Apps, APIs und andere öffentlich zugängliche Ressourcen von Organisationen abzielen, die als Unterstützer der USA und Israels wahrgenommen werden.
Bislang wurden vor allem Störungen und Belästigungen gemeldet, keine groß angelegten Zerstörungen.
- Iranische Advanced Persistent Threat (APT)-Gruppen
Gruppen wie APT33, APT42 und MuddyWater haben eine Erfolgsbilanz bei komplexeren Kampagnen vorzuweisen. Sie kombinieren Spear-Phishing, Social Engineering, Malware, Ransomware, Datenexfiltration und Wiper-Tools. Jüngste Untersuchungen haben Hinweise darauf gefunden, dass iranische Akteure in einigen US-Unternehmensnetzwerken eingeschleust sind. Gleichzeitig müssten viele neue Kampagnen noch weitgehend von Grund auf neu aufgebaut werden, und Bombardements sowie Verbindungsprobleme innerhalb des Iran schränken einige Aktivitäten vorerst ein.
Es ist davon auszugehen, dass die mit dem Konflikt verbundenen Cyberaktivitäten anhalten und sich auch auf Organisationen auswirken werden, die weit von der Front entfernt sind.
Vom Cyberspace bis hin zu physischen Schäden
Eine der auffälligsten Entwicklungen ist der Zusammenhang zwischen Operationen vor Ort und digitaler Widerstandsfähigkeit.
Iranische Drohnen haben mehrere AWS-Rechenzentren in der Region getroffen und damit trotz der wahrscheinlich im Voraus getroffenen Notfallmaßnahmen zur Aufrechterhaltung des Betriebs Störungen im digitalen Betrieb der darauf angewiesenen Organisationen verursacht. Im weiteren Sinne ist die digitale Infrastruktur – von Rechenzentren bis hin zur Telekommunikation – nun eindeutig ein potenzielles Ziel militärischer Kampfhandlungen.
Dies hat zwei wesentliche Auswirkungen. Regionale Störungen können schnell weltweit zu einem Problem für die Geschäftskontinuität werden. Gleichzeitig sind Notfallwiederherstellungs- und Resilienzpläne nicht mehr nur rein theoretischer Natur – sie werden in Echtzeit auf die Probe gestellt.
Für die Cyberversicherung ist dies genau der Punkt, an dem Deckung und Dienstleistungen zusammenlaufen: durch Ausfälle verursachte Betriebsunterbrechungen, Abhängigkeiten von Cloud und Technologie sowie die Stärke der Vorfallreaktions- und Kontinuitätsplanung einer Organisation.
Wer ist am stärksten gefährdet?
In der Vergangenheit hatten sich die mit dem Iran verbündeten Akteure auf US-amerikanische und israelische Interessen konzentriert, darunter kritische Infrastruktur, Energie, Verteidigung, Telekommunikation und Finanzdienstleistungen in der Region und darüber hinaus. Heute sehen wir drei große Gruppen potenzieller Ziele: Direkte politische Beteiligung ist nicht der einzige Risikofaktor. Wahrnehmung, Branche, Partnerschaften und geografische Lage spielen ebenfalls eine Rolle – und sind entscheidende Faktoren bei der Risikobewertung.
- US-amerikanische und israelische Organisationen
Insbesondere solche in kritischen Infrastrukturen und Schlüsselbranchen oder mit starken strategischen oder Lieferkettenverbindungen zu den direkt beteiligten Parteien. Diese Organisationen sollten verstärkte Überwachungs- und Resilienzmaßnahmen gegen groß angelegte DDoS-Angriffe, Ransomware und potenziell zerstörerische Malware aufrechterhalten.
- Lokale und globale Organisationen in der gesamten Region
Unternehmen in Ländern, die als traditionelle Verbündete der USA gelten – darunter Kuwait, Katar, Bahrain und Saudi-Arabien – sind einem erhöhten Risiko einschließlich gezielter Angriffe ausgesetzt. Große Technologieanbieter wie Google, Microsoft, Oracle und Amazon betreiben Einrichtungen in der Region und sind der Gefahr von Betriebsstörungen ausgesetzt, was potenzielle Folgewirkungen für ihre Kunden nach sich ziehen könnte.
- Organisationen in anderen Ländern, die als „unterstützende Feinde“ angesehen werden
Vom Iran unterstützte Akteure nahmen während der Atomverhandlungen 2015 europäische Organisationen ins Visier, ebenso wie die albanische Regierung im Jahr 2022. Ähnliche Muster können immer dann auftreten, wenn Länder oder Organisationen als gegen iranische Interessen handelnd wahrgenommen werden.
Direkte politische Beteiligung ist nicht der einzige Risikofaktor. Wahrnehmung, Branche, Partnerschaften und geografische Lage spielen ebenfalls eine Rolle – und sind entscheidende Faktoren bei der Risikobewertung.
Was Unternehmen jetzt tun sollten
Die meisten Organisationen benötigen keine völlig neuen Sicherheitslösungen. Sie sollten sicherstellen, dass die bestehenden Kontrollmechanismen aktiv, wirksam und gründlich getestet sind.
In diesem Umfeld empfehlen wir Unternehmen Folgendes:
- Sorgen Sie mithilfe interner Teams und vertrauenswürdiger Quellen aus dem Bereich der Bedrohungsanalyse für ein hohes Maß an Situationsbewusstsein.Halten Sie die Sicherheitsabteilungen in erhöhter Alarmbereitschaft hinsichtlich Phishing, Social Engineering, dem Abgreifen von Anmeldedaten und DDoS-Versuchen.
- Stellen Sie sicher, dass die zentralen Sicherheitsmaßnahmen funktionieren – einschließlich MFA, EDR/MDR-Lösungen und Filtern von E-Mails.
- Halten Sie Bestandslisten auf dem neuesten Stand und installieren Sie Sicherheitspatches umgehend.
- Stellen Sie sicher, dass Pläne für die Reaktion auf Vorfälle und das Krisenmanagement aktuell sind, geprobt wurden und einsatzbereit sind.
Diese Maßnahmen verringern nicht nur die Wahrscheinlichkeit und die Auswirkungen eines Schadens. Sie zeugen auch von guter Cyber-Hygiene, die für den Abschluss und die Aufrechterhaltung einer Cyberversicherung zu tragbaren Konditionen immer wichtiger wird.
Bleiben Sie wachsam, aber nicht beunruhigt
Es ist davon auszugehen, dass die mit dem Konflikt verbundenen Cyberaktivitäten anhalten und sich auch auf Organisationen auswirken werden, die weit von der Front entfernt sind.
Wir stehen nicht vor einer neuen Kategorie unaufhaltsamer Cyberwaffen. Wir sehen uns vielmehr mit einem häufigeren Einsatz bekannter Techniken durch entschlossene Angreifer in einem angespannten geopolitischen Umfeld konfrontiert.
Der Schlüssel liegt darin, wachsam zu bleiben, aber nicht in Panik zu geraten.
Dieser Artikel stützt sich auf öffentlich zugängliche Berichte und Open-Source-Informationen. Wie bei allen Open-Source-Materialien können sich einige Details weiterentwickeln oder einer weiteren Überprüfung unterliegen.
