Cyberbedrohungen
Geopolitik und Cybersicherheit
Die Entwicklung der Cybersicherheit hängt mit vielen Faktoren zusammen, die nicht nur technischer Natur sind, sondern auch das globale geopolitische Umfeld betreffen. Die Grenzen zwischen „normaler“ und staatlich geförderter Cybercrime verschwimmen.
Save to Folio
Die weitere Entwicklung der Cybersicherheitslandschaft hängt zum Teil mit dem globalen geopolitischen Umfeld zusammen, mit den komplexen internationalen Konflikten, in denen Cyberfähigkeiten eine wichtige – wenn auch nicht allein entscheidende - Rolle spielen. Geopolitik und Cyberoperationen sind heute eng miteinander verknüpft und beeinflussen Strategien, Taktiken und Ergebnisse in Konflikten, die von der konventionellen Kriegsführung bis hin zu weniger „lauten“ Akten der digitalen Spionage reichen.
Ich möchte aber betonen, dass die Meinungen und Perspektiven, die ich hier vertrete, ausschließlich meine eigenen sind und nicht als Unternehmens- oder offizielle politische Positionen verstanden werden sollten. Bei der Erforschung der Cyberdimension ist mir vor allem wichtig, dass nicht vergessen werden darf, dass echte Menschenleben auf dem Spiel stehen und die Tragödie eines physischen Konflikts niemals durch die Intrigen digitaler Manöver überschattet werden darf.
Russland, die Ukraine und hybride Kampagnen
Der Krieg Russlands in der Ukraine wird sowohl mit konventionellen als auch mit Cybermitteln geführt. Cyberangriffe und digitale Spionage haben sich zeitweise auf das Tempo des Konflikts und die Zuteilung von Ressourcen ausgewirkt, aber sie bleiben eine Ergänzung zu einem Krieg, der hauptsächlich mit physischen Mitteln geführt wird, und die Opfer am Boden sind real.
Aber auch jenseits des aktuellen Kriegs wird Russland im Cyberspace wahrscheinlich weiterhin aggressiv vorgehen. Die Cyberdoktrin des Landes, die durch jahrelange staatlich unterstützte Hacking- und Beeinflussungskampagnen geprägt ist, dient dem Ziel, Unsicherheit zu schaffen und Ressourcen im Westen zu binden. Die Aktionen bleiben oft knapp unterhalb dessen, was gemeinhin als Kriegshandlung definiert wird, und nutzen digitale Taktiken für Spionage und strategische Schikane. Der Effekt ist anhaltender Druck - ein Umfeld der „Cyberzermürbung“, um andere Nationen aus dem Gleichgewicht zu bringen.
USA, China und die globale technopolitische Landschaft
Mit einer neuen Führung in den Vereinigten Staaten könnte es 2025 zu einer größeren Dynamik in den Beziehungen zwischen Washington und Peking kommen: Wird es eine direkte Konfrontation, eine kontrollierte Rivalität oder taktische Entspannung geben? Auch in Asien werden wahrscheinlich die Cyberaktionen weitergehen, sei es durch staatlich unterstützte Spionage, Diebstahl geistigen Eigentums oder Sabotage kritischer Infrastrukturen.
Kampagnen, wie die von Salt Typhoon 2024 erinnern daran, dass der Cyberspace nicht länger eine Hinterhofzone ist, sondern eine Frontlinie in modernen Konflikten. Wenn die diplomatischen Bemühungen scheitern oder die strategische Abschreckung nicht ausreicht, könnten sich diese Kampagnen durchaus intensivieren. Bezüglich den USA ist eine der drängendsten Fragen, wie sie auf diese digitalen Eindringlinge im eigenen Land reagieren werden. Mehr Cyberreife und ein stärker integrierter Ansatz für öffentlich-private Partnerschaften könnten helfen, aber der eigentliche Test wird sein, ob die USA eine kohärente Abschreckungsstrategie entwickeln können, die sowohl diplomatischen Druck als auch robuste Cyberabwehrmaßnahmen umfasst.
Nordkorea: hartnäckig und opportunistisch
Die Aktivitäten Nordkoreas sind oft finanziell motiviert - das Regime finanziert seine Aktivitäten durch Diebstahl, Ransomware und andere Dinge wie Kryptowährungsüberfälle. Auch hier gehe ich davon aus, dass sich dieser Trend fortsetzen wird, da das Land mit einer anhaltenden wirtschaftlichen Isolation und Sanktionen konfrontiert ist, die auch 2025 nicht enden werden. Abgesehen von finanziellen Vorteilen haben sich nordkoreanische Akteure als geschickt darin erwiesen, sich in Remote-Teams zu integrieren, Deepfake-Profile zu verwenden und sich als legitime Fachleute auszugeben, um Unternehmen zu infiltrieren. Im Jahr 2025 müssen Unternehmen, die auf Remote- und hybride Arbeitsmodelle setzen, zunehmend wachsam sein. Die Grenze zwischen vertrauenswürdigen internen Benutzern und externen Angreifern ist gefährlich dünn, und der Aufwand für Authentifizierung und Benutzerüberprüfung wird exponentiell steigen.
Der Nahe Osten im Fokus zunehmender Cyberambitionen
Im Nahen Osten hat der Iran seit langem fortschrittliche Cyberfähigkeiten bewiesen, die auf Rivalen und regionale Gegner abzielen. In den letzten Jahren haben sie kritische Infrastrukturen und Finanzinstitutionen ins Visier genommen und Cyberangriffe als Mittel der politischen Einflussnahme eingesetzt. Daher gibt es keinen Grund zur Annahme, dass sie sich künftig zurückhalten werden. Der Iran könnte seine Taktik anpassen, seine Ziele erweitern und sich enger mit Stellvertretergruppen abstimmen, die seine strategischen Interessen teilen.
Auch andere Staaten in der Region ziehen nach und investieren in die Cyberoffensive und -verteidigung in einem Ausmaß, das darauf schließen lässt, dass der Nahe Osten in eine neue Ära des digitalen Wettbewerbs eintritt. Hinzu kommt die wachsende Bedeutung des Hacktivismus. Was früher auf DDoS-Angriffe beschränkt war, hat sich zu ausgeklügelten Kampagnen entwickelt, die in der Lage sind, echte Betriebsstörungen zu verursachen. Die turbulente Politik und die sich überschneidenden Rivalitäten in der Region schaffen den Boden für eine Zunahme cybergestützter Einflussnahme, Datendiebstahl und schädlicheren Formen der digitalen Sabotage.
Wahlen und Instabilität: ein Nährboden für digitalen Einfluss
Auch wenn 2025 nicht viele Wahlen von globalem Interesse anstehen (abgesehen von Deutschland), bedeutet die politische Instabilität in mehreren Regionen, dass vorgezogene Wahlen nicht auszuschließen sind. Wahlen - egal wie klein oder lokal sie sind - können als perfekte Prüfstände für Cyberoperationen und Beeinflussungskampagnen dienen. Nationalstaaten und nichtstaatliche Akteure werden weiterhin ihre eigenen Narrative verbreiten, Zwietracht säen und versuchen, die öffentliche Meinung über digitale Kanäle zu beeinflussen. Die Komplexität der Informationskriegsführung - Fake News, Fehlinformationen und Psyops (Psychological Operations) - wird dafür sorgen, dass Cybersicherheitsexperten wachsam bleiben müssen, da die Grenze zwischen „öffentlichem Diskurs“ und „Desinformationsoperationen“ zunehmend verschwimmt.
Außer den Aktivitäten von Nationalstaaten gibt es noch mehr zu bedenken. Die Grenzen zwischen Cybercrime-Syndikaten, staatlich geförderten Gruppen und Freiberuflern werden sich noch stärker verwischen. Diese Konvergenz formt die digitale Unterwelt neu und stellt Organisationen und Regierungen gleichermaßen vor noch nie dagewesene Herausforderungen.
Konvergenz von Nationalstaat und Cyberkriminalität
Staatlich geförderte Cyberoperationen werden sich höchstwahrscheinlich zunehmend mit traditionellen cyberkriminellen Taktiken vermischen. In Situationen, in denen geopolitische Spannungen vorübergehend abgemildert oder zumindest verschleiert werden, könnte ein Staat verstärkt auf indirekte Cyberoperationen zurückgreifen, um den Druck aufrechtzuerhalten, ohne eine direkte Beteiligung zuzugeben. Hier wird es in der „Grauzone“ eng. Kriminelle Gruppen können mit hinzugezogen werden, eine lockere Leitung haben oder innerhalb bestimmter Parameter im Namen der Interessen einer Regierung operieren dürfen. Solche Verbindungen geben den Staaten die Möglichkeit, ihre Beteiligung zu leugnen. Ein paar nuancierte Zweifel oder widersprüchliche Erkenntnisse reichen oft aus, um Verwirrung zu stiften.
Was bedeutet das für uns? Wir müssen damit rechnen, dass Ransomware-Angriffe, Datenschutzverletzungen oder Störmanöver von scheinbar „unabhängigen“ Gruppen durchgeführt werden, die bei näherer Betrachtung verdächtig auf die strategischen Ziele einer bestimmten Nation ausgerichtet sind. Dies bereitet den Verteidigern Kopfzerbrechen bei der Aufklärung und Zuordnung von Angriffen und erhöht die Anforderungen an die Cybersicherheitsteams von Unternehmen und Behörden. Es reicht nicht mehr aus, Cyberkriminalität als rein profitorientiert zu betrachten. Einige Cyberbanden agieren möglicherweise als Stellvertreter und nutzen Ransomware nicht nur als finanzielle Waffe, sondern auch als Mittel der politischen Einflussnahme.
Ransomware: Eskalation und Anpassung
In den letzten Jahren gab es immer wieder große Angriffe auf alle - von lokalen Behörden bis hin zu multinationalen Unternehmen. Mittlerweile ist die Häufigkeit von Lösegeldzahlungen zurückgegangen, da die Unternehmen aus den Erpressungsversuchen offenbar gelernt haben und mehr in Backups und die Reaktion auf Vorfälle investieren. Leider bedeutet dies nicht das Ende des Problems, sondern nur eine Weiterentwicklung der Taktik der Angreifer.
Die Bedrohungsakteure greifen auf strategischere Formen des Drucks zurück. Das Konzept der „Großwildjagd“ - also große, ressourcenstarke Organisationen, die hohe Lösegelder zahlen können - wird weiter zunehmen. Solche Operationen bauen höchstwahrscheinlich auf umfassende Kenntnisse der Umgebung des Opfers, des Rufs der Marke und der Sensibilität der Daten. Mithilfe fortschrittlicher Tools - möglicherweise sogar großer Sprachmodelle (LLMs) - durchforsten die Angreifer die gestohlenen Dateien nach dem schädlichsten Material und suchen nach einem Hebel, der über die reine Verschlüsselung hinausgeht. Private Korrespondenz, F&E-Geheimnisse, strategische Geschäftspläne - alles, was den Zahlungsdruck erhöhen kann, wird genutzt.
Ein weiterer Schlüsselfaktor für den Erfolg der Angreifer besteht in der Rationalisierung ihrer Operationen. Die manuelle Arbeit des Eindringens, der Erkundung und der seitlichen Bewegung ist zeitaufwändig und anfällig für Entdeckung. Automatisierung, verbesserte Tools und sogar KI-gesteuerte Aufklärung können den Aufwand der Angreifer verringern und ermöglichen es ihnen, mehr gleichzeitige Kampagnen mit weniger menschlichen Mitarbeitern zu starten.
Verteidiger sollten auf zweierlei Weise reagieren: proaktive Resilienz durch bessere Segmentierung, Backup-Strategien und schnelle Bedrohungsjagd aufbauen und Systeme gegen die einfachsten Angriffsvektoren abhärten. Da die meisten Angreifer den Weg des geringsten Widerstands wählen, kann eine auch nur geringfügige Anhebung der Schwelle weniger fähige Angreifer abschrecken und Zeit gegen fortgeschrittenere Angreifer gewinnen.
Weitere Trends folgen in einem zweiten Teil.