Cybersicherheitslage : Neue Dynamik rund um Iran

Auch im Cyberraum stand in den vergangenen Jahren der Krieg Russlands gegen die Ukraine im Mittelpunkt der internationalen Sicherheitsagenda. Mit den israelischen Militärschlägen gegen den Iran im Juni dieses Jahres verlagerte sich die öffentliche Aufmerksamkeit jedoch erneut in den Nahen Osten.

Seit den Hamas-Angriffen auf Israel im Oktober 2023 ist eine deutliche Zunahme iranischer Cyberoperationen zu beobachten. Diese Dynamik birgt erhöhte Risiken für europäische, insbesondere deutsche Akteure, sowohl durch digitale Angriffsversuche als auch durch mögliche militärische Eskalationen.

Obwohl Israel und die USA bislang im Zentrum iranischer Cyberoperationen stehen, könnten stockende Atomverhandlungen, zunehmende Spannungen mit westlichen Staaten sowie innenpolitische Entwicklungen das Risiko von Angriffen auf Europa erhöhen.

Dabei rücken möglicherweise auch deutsche Ziele in den Mittelpunkt, pflegt die Bundesrepublik doch eine intensivierte Zusammenarbeit mit Israel in den Bereichen Rüstung, Cybersicherheit und der Nachrichtendienste. Zuletzt hat die bekannt gewordene Cyberspionage-Operation gegen die aus dem Iran stammende Berliner Justizsenatorin Felor Badenberg Schlagzeilen gemacht. Einrichtungen wie die TU Berlin, die durch ihre Forschung ebenfalls zum Ziel solcher Operationen werden könnten, reagierten bereits mit entsprechenden Warnhinweisen für ihre MitarbeiterInnen. Zudem wurde kürzlich eine breitangelegte Spear-Phishing-Kampagne der Gruppe „Homeland Justice“ aufgedeckt, die auch deutsche Botschaften und Konsulate zum Ziel hatte.

Drei Phasen der Entwicklung

Laut des National Cyber Power Index der Harvard University entwickelte sich Iran in den vergangenen 15 Jahren zu einer der zehn einflussreichsten „Cyber-Mächte“ weltweit. Diese Entwicklung verlief in drei Phasen: Zwischen 2009 und 2011 führten die Proteste nach den Präsidentschaftswahlen sowie die Infiltration und Sabotage der Nuklearanlage in Natanz durch die Stuxnet Malware zu massiven Investitionen in defensive und offensive Cyberfähigkeiten - insbesondere auch zur Kontroll- und Repressionszwecken.

In den Jahren 2012 bis 2018 etablierte Teheran zentrale Cyberinstitutionen, baute Outsourcing-Modelle für staatliche Operationen auf, intensivierte die Zusammenarbeit mit Russland und China und verlagerte seinen Schwerpunkt zunehmend auf offensive Operationen. Seit 2019 stärkt das Regime die defensive Resilienz, während es parallel reaktive Angriffe gegen Israel und die USA ausweitet. Das übergeordnete Ziel ist dabei der Machterhalt des Regimes.

Aktuelle Risiken für Europa und Deutschland

Iranische und pro-iranische Akteure operieren entlang eines breiten Spektrums: Spionage, Überwachung, Sabotage, Hacktivismus, Cyberkriminalität und Desinformation werden miteinander kombiniert. Ziel sind staatliche Institutionen, strategische Branchen wie Energie, Hightech oder Verteidigung sowie wissenschaftliche Einrichtungen. Eingesetzt werden im Rahmen komplexer Social Engineering-Kampagnen unter anderem Phishing, die Registrierung von Fake-Domains und Accounts, sowie an die jeweiligen Ziele angepasste Schadsoftware-Varianten.

Exemplarisch sind die Operationen der mutmaßlich miteinander verbundenen Gruppen APT35 und APT42, die 2020 unter anderem die Münchner Sicherheitskonferenz und EU-Politiker ins Visier nahmen. Bereits von 2013 bis 2017 kompromittierten dagegen Akteure des Mabna Instituts rund 320 Universitäten weltweit, darunter auch deutsche Einrichtungen. Parallel hierzu betreibt das Regime Überwachung von Oppositionellen, Journalisten und Aktivisten im In- und Ausland.

Zum Teil in Kooperation mit pro-russischen Gruppen richteten pro-iranische Hacktivisten ihre häufig koordinierten, jedoch nur mit sehr begrenzter Schadwirkung versehenen DDoS-Kampagnen zuletzt gegen europäische Ziele, auch im Militärbereich. Sabotageversuche gegen europäische Ziele konzentrierten sich bislang auf industrielle Steuerungssysteme und kritische Infrastrukturen; Cybercrime-Aktivitäten wie Info-Stealer- oder Ransomware-Kampagnen sind wiederum oft ideologisch motiviert, etwa Pay2Key oder LokiLocker.

Hinzu kommen Desinformations- und Einflusskampagnen, die zunehmend auf KI-gestützte Social-Engineering-Techniken setzen. Das Land wird trotz internationaler Isolation seine KI-Fähigkeiten mutmaßlich weiter ausbauen und dabei auf die Unterstützung Chinas und Russlands zurückgreifen.

Finanziell motivierte Kampagnen

Europa muss neben weiteren Operationen gegen Dissidenten und Exilgemeinden mit politischer Spionage, ideologisch motivierten DDoS-Angriffen und der Kompromittierung kritischer Infrastrukturen rechnen. Das Ausmaß hängt dabei nicht nur von geopolitischen, sondern auch von innenpolitischen Entwicklungen in Iran ab.

Teheran verfolgt drei übergeordnete Ziele: die Etablierung regionaler Führungsansprüche, die Eindämmung westlichen Einflusses und den Schutz schiitischer Gemeinschaften. Die Feindschaft zu Israel (und den USA) prägt diese Strategie entscheidend, auch im Cyberbereich.

Die laufenden Verhandlungen mit den E3-Staaten (Deutschland, Frankreich, Großbritannien) und den USA über ein neues Atomabkommen bedeuten eine Weggabelung: Ein Abkommen könnte Angriffe auf Europa verringern und den iranischen Fokus stärker auf den Nahen Osten lenken, zugleich aber – je nach Ausgestaltung – nukleare Spionage fördern.

Scheitern die Gespräche, drohen verschärfte Spannungen: mehr Spionage, Sabotageversuche, Desinformation und Cyberangriffe gegen europäische Ziele – typische Mittel asymmetrischer Kriegsführung, die Iran strategisch anwendet. Ein Austritt aus dem Atomwaffensperrvertrag würde die Eskalationsgefahr und iranische Isolation weiter verstärken. Dies könnte etwa verstärkte Kooperation mit Russland und eine Übernahme nordkoreanischer Cyber-Taktiken zur Folge haben. Eine engere Anbindung an Russland, China und Nordkorea zeichnet sich bereits ab.

Ungewisse Faktoren, von den Atomverhandlungen über die Stabilität des Regimes, beeinflusst auch durch sogenannte „Black Jellyfish“- oder „Dirty White Swan“-Ereignisse, wie etwa regionale Protestbewegungen oder internationale Konflikte, können Irans Cyberstrategie dabei mit prägen.

Repressionen gegen Regimegegner könnten zum Beispiel zu verstärkten Überwachungs- und Spionageaktivitäten im Ausland führen. In Deutschland leben rund 319.000 Menschen mit iranischem Migrationshintergrund, eine potenzielle Zielgruppe für Einflussoperationen. Zudem bietet die enge deutsch-israelische Kooperation, etwa im Rahmen des geplanten und bislang noch sehr vage gehaltenen „Cyber Domes“ oder gemeinsamer IT- sowie Rüstungsprojekte, weitere Angriffsfläche für iranische Akteure.

Neben Spionage und Überwachung ist mit einer Zunahme finanziell motivierter Kampagnen zu rechnen, insbesondere durch die bereits erfolgte Arbeitsteilung krimineller und staatlich-geleiteter Akteure des Iran. Outsourcing an kriminelle Gruppen sowie Technologietransfers an Drittstaaten könnten die Attribution erheblich erschweren.

Sekundäreffekte drohen

Deutsche Unternehmen, die aufgrund ihres Profils zum Ziel dieser Aktivitäten werden könnten, sollten daher Bedrohungsberichte der Threat Intelligence Community laufend verfolgen, ihre Abwehrfähigkeiten und Lieferkettensicherheit ausbauen sowie die im EU Cyber Resilience Act geforderten Software Bill of Materials (SBOMs) implementieren.

Forschungseinrichtungen, Behörden und NGOs wiederum sollten Notfallpläne entwickeln und sich auf komplexe Social-Engineering-Kampagnen vorbereiten, insbesondere gegen Mitarbeitende, deren Tätigkeit Bezüge zu Israel und/oder dem Iran aufweist.

Schließlich sollte auch mit möglichen Sekundäreffekten gerechnet werden, wenn etwa russische APTs im Kontext verschärfter geopolitischer Spannungen iranische Infrastruktur oder Identitäten für Angriffe auf Europa nutzen, wie sie es bereits in der Vergangenheit getan haben.

Kerstin Zettl-Schabath ist Senior Cyber Threat Intelligence Analystin bei der Deutschen Cyber-Sicherheitsorganisation (DCSO). Zuvor arbeitete sie als wissenschaftliche Mitarbeiterin im Forschungsprojekt „European Repository of Cyber Incidents“ (EuRepoC) an der Universität Heidelberg.