Der digitale Nebel des Krieges: Wenn Hacktivismus professionell wird

Startseite

Blogs

Der digitale Nebel des Krieges: Wenn Hacktivismus professionell wird

Prayukth K V

23. April 2026

Vor einigen Jahren bedeutete „Hacktivismus“ noch eine verunstaltete Startseite oder einen kurzen, lästigen Ausfall eines Regierungsportals. Diese Zeiten sind vorbei. In einer nüchternen Keynote auf der CyberUK 2026-Konferenz gab Richard Horne, CEO des britischen National Cyber Security Centre (NCSC), eine unmissverständliche Warnung ab, die sich weniger wie ein Technikbriefing und mehr wie ein Kriegsbericht anhörte.

Er sagte der Versammlung, dass das Vereinigte Königreich inzwischen jede Woche vier national bedeutsame Cybervorfälle bewältigt, und dass sich das Profil der Angreifer verändert hat. Wir bekämpfen nicht mehr nur opportunistische digitale Ladendiebe und Kleinstbetrüger. Stattdessen sehen wir uns der orchestrierten Präzision von Nationalstaaten gegenüber, die sich als Basisaktivisten tarnen.

Im heutigen Blog betrachten wir die verschiedenen Dimensionen der Bedrohung, die staatlich gestützter Hacktivismus mit sich bringt, und untersuchen Wege, unsere kritische Infrastruktur gegen diese wachsende Bedrohung zu verteidigen.

Bevor wir fortfahren, vergessen Sie nicht, sich unseren vorherigen Beitrag zu CVEs in OT-Infrastrukturen hier anzusehen.

Ein „perfekter Sturm“ aus Geopolitik und KI

Horners Botschaft war klar. Das Vereinigte Königreich und damit auch seine Verbündeten bewegen sich derzeit im „Raum zwischen Frieden und Krieg“. Während geopolitische Spannungen vor allem mit Russland, Iran und China schwelen, werden auf der digitalen Front die ersten Schüsse abgegeben. Wir haben alle gesehen, mit welcher Vorgehensweise Bedrohungsakteure gegen kritische Infrastruktur und wirtschaftlich bedeutsame Einrichtungen vorgehen. Die wichtigsten Erkenntnisse aus der Rede:

Die Verschiebung des Maßstabs: Das NCSC warnt, dass das Vereinigte Königreich im Falle eines Konflikts mit „Hacktivistenangriffen in großem Maßstab“ rechnen müsse. Das wäre etwas weitaus Größeres als alles, was wir bisher gesehen haben.
Das Erpressungsparadox: Im Gegensatz zu den Ransomware-Angriffen auf Jaguar Land Rover oder Royal Mail suchen diese staatlich ausgerichteten „Hacktivisten“ nicht nach einer schnellen Beute und etwas Medienaufmerksamkeit. Sie streben nach Lähmung und Störung in nationalem Maßstab. Horne merkte an, dass in dieser neuen Ära „sich freizukaufen einfach keine Option ist“.
Der KI-Beschleuniger: Das Aufkommen von Frontier-KI-Modellen mit umfangreichen Discovery-Pipelines, die in der Lage sind, autonom Tausende von Software-Schwachstellen zu entdecken, senkt die Einstiegshürde erheblich. Solche Modelle ermöglichen schnelleres Fuzzing, ergänzte Codeanalyse und die Generierung von Exploit-Ketten in einem Zug. Sie versetzen Angreifer in die Lage, Netzwerke zu kartieren und Schwachstellen mit einer Geschwindigkeit zu finden, die menschliche Verteidiger schlicht nicht erreichen können.

Kategorie	Grad der staatlichen Anbindung	Primärer strategischer Zweck	Beispiele
Locker angebundene Stellvertreter	Toleriert / semiautonom. Sie agieren im jeweiligen Territorium ohne Eingriffe, solange sie nicht die Gastgebernation angreifen.	Abstreitbare Störung; „crowdsourced“ Belästigung geopolitischer Rivalen.	Scattered Spider(0ktapus)
Gesteuerte False-Flag-Operationen	Vollständige Befehls- & Kontrollstruktur. Agiert unter dem Deckmantel einer unabhängigen Gruppe, ist jedoch ein direktes Staatsorgan.	Maximale plausible Abstreitbarkeit; ermöglicht Staaten, hochwirksame Schläge mit „sauberen Händen“ durchzuführen.	Handala (Iran), Transparent Tribe(Pakistan)
Opportunistisch eigenständig	Unabhängig, aber synergetisch. Echte Basisgruppen, die sich im Konfliktfall zufällig mit staatlichen Interessen decken.	Chaotische Störung; den „digitalen Frontlinien“ aus ideologischen oder persönlichen Motiven folgen.	Russian Cyber Army

Wenn man diese Trends zusammen betrachtet, belasten sie die Verteidiger der Infrastruktur zusätzlich. Wir müssen verhältnismäßig auf das Ausmaß der Bedrohung reagieren, nicht mit inkrementellen, verzögerten Kontrollen. Vier Ereignisse pro Woche sind vier zu viel. Auch wenn er nicht sagte, ob es sich dabei um Angriffe auf OT oder IT handelte, ist die Zahl allein schon Grund zur Sorge.

Das bedeutet, dass die Angriffe gezielt, persistent und verteilt sind. Das wirft eine kritische Frage auf: Wie würde sich dies unter Konfliktbedingungen skalieren? Die meisten Nationalstaaten verfügen über Cyberarmeen, die bereits Vorpositionierungs-Kampagnen fahren. Es braucht nur einen Angriff, damit ein Land wirtschaftlich und strategisch abgelenkt wird.

Diese Rede enthält Lehren für Regierungen und Betreiber von Infrastrukturen überall. Indem Horne die Anzahl der Angriffe pro Woche offengelegt hat, hat er das Problem nicht nur quantifiziert, sondern auch deutlich gemacht, dass Maßnahmen zur Eindämmung dieser Herausforderung dringend auf allen Ebenen und in allen Ländern hochgefahren werden müssen.

Über die britischen Grenzen hinaus: Ein Blueprint für Cyberresilienz

Während Hornes Rede sich auf das Vereinigte Königreich konzentrierte, ist die „Glasgow Warning“ ein universeller Alarm. Die Taktiken, die in europäischen Einsatzräumen verfeinert werden, werden weltweit exportiert. Schauen wir uns nun einige der wichtigsten Dimensionen des Problems an.

Die OT-Schwachstelle

Diese Warnung ist besonders akut für Operational Technology (OT), also für die Hardware und Software, die Stromnetze, Wasseraufbereitung und Fertigungslinien steuert. Jüngste Angriffe iranisch verbundener Gruppen auf Hersteller medizinischer Geräte wie Stryker zeigen, dass das Ziel nicht nur Daten sind. Es ist die physische Welt selbst, einschließlich kritischer Dienste wie der Gesundheitsversorgung für Bürgerinnen und Bürger. Für jedes Land mit alternder Infrastruktur oder mehreren Single Points of Failure ist die Gefahr durch „Wiper“-Malware, die darauf ausgelegt ist, Daten dauerhaft zu löschen und Systeme unbrauchbar zu machen, eine gegenwärtige und akute Bedrohung.

Der Ansatz „Remediation First“

In der OT-Welt können unentdeckte Bedrohungen über flache Netzwerke von IT auf OT übergehen oder über Fernzugriffspfade, Lieferantenkanäle oder kompromittierte Engineering-Workstations eindringen. Anschließend können sie die PLC-Logik oder das HMI manipulieren, das Safety Instrumented System (SIS) beeinträchtigen oder Sollwerte verändern, um eine störende Wirkung zu erzielen. Fortgeschrittene Akteure können Living-off-the-Land-Techniken nutzen, um ihre Präsenz monatelang zu verbergen. Indem sie native Engineering-Tools missbrauchen, können sie sogar ganz auf den Einsatz einer Payload oder Malware verzichten, was die Entdeckung erschwert.

Ein ausgereiftes Unternehmen, das eine saubere Trennung von OT und IT sicherstellt und für beide spezifische Sicherheitsstandards anwendet, während es Transparenz, Kontrolle und die Durchsetzung von Drittanbieter-Kontrollen aufrechterhält, ist besser auf eine Bedrohung durch einen Nationalstaat vorbereitet.

Globale Organisationen bewegen sich hin zu dem, was viele den Ansatz „Remediation First“ nennen. Dazu gehören:

Asset-Transparenz: Umfassende Asset-Transparenz über die Ebenen 0–3 hinweg, einschließlich nicht verwalteter und Legacy-Geräte
Mean Time to Disconnect: Eine neue Kennzahl für Resilienz. Wie schnell können Sie Ihre kritischen Systeme bei Beginn eines Angriffs vom Internet abkoppeln?
Zero-Trust-Mikrosegmentierung: Jedes Gerät als potenzielle Bedrohung behandeln, insbesondere Legacy-Geräte, die nicht gepatcht werden können.
Zonen- und Conduit-Design gemäß IEC 62443
Der minimale OT-Sicherheits-Stack sollte Folgendes abdecken:
- Passive Netzwerküberwachung (OT NDR)
- Asset-Inventarisierung (Transparenz Level 0–3)
- Sicherer Fernzugriff
- Backup und Wiederherstellung für Engineering-Stationen
- Incident-Playbooks für Anlagenstilllegungsszenarien

Shieldworkz hat eine Reihe von OT-Sicherheitsbehebungsleitfäden zusammengestellt, die Ihr Sicherheitsteam kostenlos verwenden kann, um grundlegende Probleme zu beheben. Die Leitfäden, die sowohl Standards als auch konkrete Sicherheitsprobleme abdecken, können hier heruntergeladen werden. Diese Leitfäden werden jeden Monat von unserem OT-Sicherheits-Remediation-Team aktualisiert. Ich bin sicher, dass Sie sie nützlich finden werden.

Sie können auch zum Abschnitt der regulatorischen Playbooks gehen, um zu verstehen, wie Sie regionale und nationale Sicherheitsvorgaben umsetzen können hier.

Das Mandat der Unternehmensleitung

Cybersicherheit ist längst kein „IT-Problem“ mehr, das in den Keller verbannt werden kann; sie ist heute eine nicht zu ignorierende zentrale Unternehmensaufgabe.

„Sicherzustellen, dass sie das volle Ausmaß der Risiken verstehen, denen sie ausgesetzt sind, und eine Tiefenverteidigung aufzubauen, damit erste Eindringpunkte eines Angreifers nicht in einem katastrophalen Schaden resultieren.“ - Richard Horne, CEO des NCSC

Relevante Kennzahl	Niveau 2024	Prognose 2026
Nationalstaatliche Vorfälle	Erheblich	Mehrheit der bearbeiteten Fälle
KI-gestützte Schwachstellenerkennung	Manuell / werkzeugunterstützt	Vollautonome, KI-gestützte Schwachstellenerkennungs-Pipelines (z. B. Mythos)
Minderungsstrategie	Lösegeldverhandlungen	Resilienz & schnelle Wiederherstellung

Das Fazit

Die Ära des „impliziten Vertrauens“ in digitale Netze ist längst vorbei. Ob Sie nun ein Versorgungsunternehmen im amerikanischen Mittleren Westen, ein Hersteller in Deutschland oder eine Regierungsbehörde in London sind – die zentralen Prinzipien des Playbooks bleiben dieselben: Einen Sicherheitsvorfall unterstellen, die Verteidigung automatisieren und auf einen Betrieb ohne Internetverbindung vorbereitet sein. Im Jahr 2026 geht es bei Resilienz nicht nur darum, den Angriff zu stoppen. Es geht auch darum, seine Tragweite zu überleben.