Cybermacht Staat: Wenn Nationalinteressen zur digitalen Bedrohung werden

Die Realität: Staatsnahe Hackergruppen sind längst Teil der geopolitischen Ordnung 

Cyberangriffe sind längst nicht mehr das Werk einzelner Akteure. Staatlich unterstützte Hackergruppen spielen eine zentrale Rolle in der heutigen Bedrohungslage. Dabei sprechen Sicherheitsexpert:innen von den „Big Four“: 

• China
• Russland
• Iran
• Nordkorea

___________________________________________________________________________________________

Alle vier Länder haben in den letzten Jahren ihre Cyberfähigkeiten massiv ausgebaut, professionalisiert, und oft auch gesetzlich legitimiert. Dabei geht es nicht nur um Spionage oder Sabotage, sondern auch um wirtschaftliche Vorteile und geopolitischen Einfluss. 

China: Cyberkrieg auf leisen Sohlen 

Mit über 240 dokumentierten Attacken in Österreich allein 2023 war China Spitzenreiter unter den staatlich vermuteten Angreifern. Das Besondere an der chinesischen Taktik: Sie setzt auf Langlebigkeit, Tarnung und gezielte Datenspionage. Über spezialisierte Einheiten, private Dienstleister und ein eigens aufgebautes Cyber-Sicherheitszentrum in Wuhan werden Angriffe langfristig geplant und ausgeführt. 

Ein durchgesickerter Leak („I-Soon-Leak“) offenbarte, dass Datenabflüsse bewusst in kleinen Mengen erfolgen, um Sicherheitsmechanismen zu umgehen und unter dem Radar zu bleiben. Besonders kritisch: Laut Gesetz müssen entdeckte Zero-Day-Schwachstellen zuerst dem Staat gemeldet werden – nicht dem Hersteller. Das ist eine bewusste Abkehr von internationalen Standards mit dem Ziel, Exploits potenziell für offensive Zwecke einzusetzen. 

Russland: Sabotage, Störung, Desinformation 

Russland verfolgt eine deutlich aggressivere Cyberstrategie. Symbolträchtige Angriffe, etwa auf Energieversorger oder politische Einrichtungen, stehen klar im Fokus. Im Jahr 2023 wurden in Österreich 158 Cyberangriffe mit Russlandbezug registriert. 

Staatsnahe Gruppen wie „Sandworm“, ein Teil des russischen Militärgeheimdienstes GRU, operieren seit Jahren mit hoher Präzision. Ein bekanntes Beispiel ist der Angriff auf das ukrainische Stromnetz. Zusätzlich bietet Russland ein digitales Umfeld, in dem sich auch private Cyberkriminelle frei bewegen und agieren können. Ransomware-Gruppen wie „Lockbit“ profitieren von diesem rechtsfreien Raum. 

Iran: Cybermacht durch Sanktionen 

Der Iran investiert in Cyberfähigkeiten, seit das Atomprogramm durch Stuxnet 2010 kompromittiert wurde. Heute zählt die Islamische Republik zu den aktivsten Akteuren im globalen Cyberraum. Ziel ist häufig die Umgehung westlicher Sanktionen sowie der Zugriff auf militärisch relevante Informationen. 

Im Jahr 2023 konnten über 100 Cyberangriffe mit iranischem Ursprung in Österreich beobachtet werden. Häufig geht es um Angriffe auf Raumfahrt- und Satellitenprojekte, Rüstungsunternehmen oder kritische Infrastrukturen. 

 Nordkorea: Cybercrime als Einnahmequelle 

Nordkorea ist ein Sonderfall: Hier dient Cyberkriminalität ganz offiziell der Staatsfinanzierung. Laut den Vereinten Nationen wurden über 1,2 Milliarden US-Dollar durch Cyberdiebstahl generiert, unter anderem zur Finanzierung des nordkoreanischen Atomprogramms. 

Der Fokus liegt auf Angriffen gegen Kryptobörsen und Finanzdienstleister. Typisch sind gezielte Phishing-Kampagnen, Supply-Chain-Angriffe sowie Schadsoftware, die über manipulierte Domains eingeschleust wird. 

Handlungsempfehlungen: So wappnen sich Unternehmen gegen staatlich motivierte Angriffe 

Um in diesem neuen Bedrohungskontext zu bestehen, braucht es mehr als klassische IT-Sicherheitsmaßnahmen: 

1. 🛡️ Cyber Threat Intelligence einführen 
   Verstehen, wer angreift – und wie. Informationen zu staatlichen Angriffsgruppen und deren Taktiken sind entscheidend für die Prävention.
2. 🛡️Zero-Trust-Architektur etablieren 
   Vertrauen war gestern – heute gilt: Verifizieren, bevor Zugriff gewährt wird. Für Systeme, Nutzer und Dienste.
3. 🛡️Supply Chain Security erhöhen 
   Angriffe kommen oft indirekt – etwa über externe Dienstleister oder veraltete Komponenten in der Kette.
4. 🛡️Incident Detection & Response (XDR / MDR) 
   Angriffe in Echtzeit erkennen, schnell reagieren und den Schaden minimieren, mit automatisierten Systemen und Partnern mit 24/7 Security Operations Center.
5. 🛡️Security-Awareness-Programme stärken 
   Gerade bei Social Engineering und Spear Phishing reicht ein einziger Klick und der Angreifer ist drin.