Die Realität: Staatsnahe Hackergruppen sind längst Teil der geopolitischen Ordnung
Cyberangriffe sind längst nicht mehr das Werk einzelner Akteure. Staatlich unterstützte Hackergruppen spielen eine zentrale Rolle in der heutigen Bedrohungslage. Dabei sprechen Sicherheitsexpert:innen von den „Big Four“:
Alle vier Länder haben in den letzten Jahren ihre Cyberfähigkeiten massiv ausgebaut, professionalisiert, und oft auch gesetzlich legitimiert. Dabei geht es nicht nur um Spionage oder Sabotage, sondern auch um wirtschaftliche Vorteile und geopolitischen Einfluss.
China: Cyberkrieg auf leisen Sohlen
Mit über 240 dokumentierten Attacken in Österreich allein 2023 war China Spitzenreiter unter den staatlich vermuteten Angreifern. Das Besondere an der chinesischen Taktik: Sie setzt auf Langlebigkeit, Tarnung und gezielte Datenspionage. Über spezialisierte Einheiten, private Dienstleister und ein eigens aufgebautes Cyber-Sicherheitszentrum in Wuhan werden Angriffe langfristig geplant und ausgeführt.
Ein durchgesickerter Leak („I-Soon-Leak“) offenbarte, dass Datenabflüsse bewusst in kleinen Mengen erfolgen, um Sicherheitsmechanismen zu umgehen und unter dem Radar zu bleiben. Besonders kritisch: Laut Gesetz müssen entdeckte Zero-Day-Schwachstellen zuerst dem Staat gemeldet werden – nicht dem Hersteller. Das ist eine bewusste Abkehr von internationalen Standards mit dem Ziel, Exploits potenziell für offensive Zwecke einzusetzen.
Russland: Sabotage, Störung, Desinformation
Russland verfolgt eine deutlich aggressivere Cyberstrategie. Symbolträchtige Angriffe, etwa auf Energieversorger oder politische Einrichtungen, stehen klar im Fokus. Im Jahr 2023 wurden in Österreich 158 Cyberangriffe mit Russlandbezug registriert.
Staatsnahe Gruppen wie „Sandworm“, ein Teil des russischen Militärgeheimdienstes GRU, operieren seit Jahren mit hoher Präzision. Ein bekanntes Beispiel ist der Angriff auf das ukrainische Stromnetz. Zusätzlich bietet Russland ein digitales Umfeld, in dem sich auch private Cyberkriminelle frei bewegen und agieren können. Ransomware-Gruppen wie „Lockbit“ profitieren von diesem rechtsfreien Raum.
Iran: Cybermacht durch Sanktionen
Der Iran investiert in Cyberfähigkeiten, seit das Atomprogramm durch Stuxnet 2010 kompromittiert wurde. Heute zählt die Islamische Republik zu den aktivsten Akteuren im globalen Cyberraum. Ziel ist häufig die Umgehung westlicher Sanktionen sowie der Zugriff auf militärisch relevante Informationen.
Im Jahr 2023 konnten über 100 Cyberangriffe mit iranischem Ursprung in Österreich beobachtet werden. Häufig geht es um Angriffe auf Raumfahrt- und Satellitenprojekte, Rüstungsunternehmen oder kritische Infrastrukturen.
Nordkorea: Cybercrime als Einnahmequelle
Nordkorea ist ein Sonderfall: Hier dient Cyberkriminalität ganz offiziell der Staatsfinanzierung. Laut den Vereinten Nationen wurden über 1,2 Milliarden US-Dollar durch Cyberdiebstahl generiert, unter anderem zur Finanzierung des nordkoreanischen Atomprogramms.
Der Fokus liegt auf Angriffen gegen Kryptobörsen und Finanzdienstleister. Typisch sind gezielte Phishing-Kampagnen, Supply-Chain-Angriffe sowie Schadsoftware, die über manipulierte Domains eingeschleust wird.
Handlungsempfehlungen: So wappnen sich Unternehmen gegen staatlich motivierte Angriffe
Um in diesem neuen Bedrohungskontext zu bestehen, braucht es mehr als klassische IT-Sicherheitsmaßnahmen:
🛡️ Cyber Threat Intelligence einführen Verstehen, wer angreift – und wie. Informationen zu staatlichen Angriffsgruppen und deren Taktiken sind entscheidend für die Prävention.
🛡️Zero-Trust-Architektur etablieren Vertrauen war gestern – heute gilt: Verifizieren, bevor Zugriff gewährt wird. Für Systeme, Nutzer und Dienste.
🛡️Supply Chain Security erhöhen Angriffe kommen oft indirekt – etwa über externe Dienstleister oder veraltete Komponenten in der Kette.
🛡️Incident Detection & Response (XDR / MDR) Angriffe in Echtzeit erkennen, schnell reagieren und den Schaden minimieren, mit automatisierten Systemen und Partnern mit 24/7 Security Operations Center.
🛡️Security-Awareness-Programme stärken Gerade bei Social Engineering und Spear Phishing reicht ein einziger Klick und der Angreifer ist drin.
Passende Themen
Zero Days - Keine Zeit zu verlieren!
Die unterschätzte Bedrohung im Verborgenen Der digitale Wettlauf zwischen Angreifenden und Verteidigenden ist ein ständiger Sprint. Vor allem, wenn es um Zero-Day-Schwachstellen geht. Damit…
Die Strategien der Angreifenden: Die Cyberkriminellen setzen dabei auf eine Kombination verschiedener Techniken, um ihre Ziele zu erreichen. Zu den Hauptstrategien gehören: …
A new frontier. Wie die IT- Welt sich öffnete und damit angreifbar wurde
Von der Insel zur offenen Welt Früher war alles definiert: das Netzwerk intern, die Server lokal, der Zugriff geregelt. VPN, Verzeichnisdienste, klar getrennte Zuständigkeiten. Eine …
Die Besten arbeiten im Hintergrund: Wie Machine Learning die Cybersicherheit stärkt
Machine Learning: Zwischen Hoffnung und Risiko Big Data Analytics, Informed ML, Visual Analytics, Quantum Learning; die Welt des Machine Learning wächst rasant. Die gute Nachricht, ML kann …