Nach Iran-Angriff: Europa droht Cybergefahr

Angriffe, gesponsert von Iran und Russland Die Lage im Cyberraum nach dem An­griff der USA und Israels auf den Iran

04.03.2026 Quelle: Pressemitteilung mit Material von dpa 5 min Lesedauer

Anbieter zum Thema

Eine Untersuchung von Palo Alto Networks zeigt, wie sich die Eskalation zwi­schen Iran, Israel und den USA auf die Cybersicherheitslage auswirkt. Unit 42 beobachtet mehr Angriffe durch Hacktivisten und warnt vor Phishing und DDoS-Attacken. Auch für Europa könnte der Konflikt Folgen haben.

Die Eskalation zwischen Iran, Israel und den USA wirkt laut Unit 42 auch in Europa nach: Während komplexe Angriffe aus Iran kurzfristig erschwert sein könnten, würden Aktivitäten von Hacktivisten zunehmen. Europäische Organisationen müssen daher mit mehr Phishing-, DDoS- und Hack-and-Leak-Angriffen sowie opportunistischen Kampagnen rechnen.

(Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)

Ende Februar 2026 ist der Konflikt zwischen Iran auf der einen sowie den USA und Israel auf der anderen Seite militärisch eskaliert. Am 28. Februar starteten USA und Israel eine gemeinsame Offensive, unmittelbar danach setzte eine iranische Vergeltung ein, begleitet von massiven Stör­ungen der digitalen Infrastruktur im Iran. Die Internetverfügbarkeit im Land fiel der For­schungsabteilung von Palo Alto Networks, Unit 42, zufolge zeitweise auf nur noch ein bis vier Prozent. Damit seien zwar kurzfristig besonders komplexe, zentral koordinierte Cyber­opera­tio­nen staatlich gesteuerter iranischer Akteure erschwert worden, gleichzeitig wäre jedoch die Aktivität von Hacktivisten und dezentral agierenden Proxys, die opportunistisch Ziele im Aus­land angreifen, gestiegen. Unit 42 hat in einer aktuellen Analyse betrachtet, welche Aus­wir­kun­gen der militärische Konflikt zwischen Israel/USA und dem Iran auf die Cybersicherheit – auch in Europa – hat.

Was bedeutet der Iran-Israel-USA-Konflikt für Deutschland?

Kurzfristig seien aufwendige, zentral gesteuerte Cyberangriffe aus Iran laut Unit 42 wahr­schein­lich schwieriger, weil Infrastruktur und Internetverbindungen stark eingeschränkt sind. Gleichzeitig würden aber Angriffe durch Hacktivisten und lose verbundene Gruppen zu­neh­men, die sich spontan Ziele im Ausland aussuchen und zuschlagen könnten. Und dadurch könne auch ein Risiko für Europa bestehen: Pro-iranische Gruppen könnten zum Beispiel auf Phishing-Mails, Social Engineering, DDoS-Angriffe (Distributed Denial of Service) oder „Hack-and-Leak-Operationen nutzen, um ihre Gegner unter Druck zu setzen, Abläufe zu stören oder Informationen publik zu machen.

Darüber hinaus seien auch verdeckte iranische Aktionen in Deutschland für möglich, von Ein­schüchterung bis zu Cyberangriffen. „Die Gefahr, dass der Iran verdeckte Operationen in west­li­chen Staaten wie Deutschland durchführt, ist absolut real. Wir haben eine anhaltend hohe Gefährdungslage“, sagte Thüringens Verfassungsschutzpräsident Stephan Kramer der Deut­schen Presse-Agentur (DPA) zufolge dem Handelsblatt. Als Beispiel habe er explizit den digitalen Raum genannt. „Pro-iranische Hacker und staatliche Gruppen nutzen Cyberangriffe für gezielte Störungen und Sabotage.“ Das gehe weit über klassische Spionage hinaus. Es gebe Szenarien, dass sogar die Steuerungstechnik von Industrieanlagen ins Visier genommen werde.

Eine konkrete Gefahr von Anschlägen halte Kramer dagegen für geringer. „Ein wahlloser Terror gegen die breite Bevölkerung ist weniger wahrscheinlich. Der Iran setzt eher auf gezielte Ak­tio­nen, die er offiziell auch abstreiten kann“, sagte Kramer dem Handelsblatt. Das betreffe Ein­schüch­ter­ung oder auch Anschlagspläne etwa gegen jüdische, US-amerikanische oder is­rae­li­sche Einrichtungen oder die iranische Exil-Opposition. „Teheran nutzt oft Mittelsmänner oder gar kriminelle Netzwerke, um die eigene Beteiligung zu verschleiern.“

Hacktivisten und staatsnahe Gruppen nehmen Israel ins Visier

Dass Israel im Cyberraum angegriffen wird, belegt der Report von Unit 42. Doch nicht nur der Iran greift an. Die Analysten berichten, auch pro-russische Akteure beobachtet zu haben, die Ziele in Israel angegriffen hätten.

So habe Unit 42 eine aktive Phishing-Kampagne identifiziert, die eine bösartige Kopie der israelischen RedAlert-Anwendung des Heimatschutzkommandos nutze. Diese Kampagne missbrauche ein täuschend echt aussehendes Android-Paket, um Malware zur mobilen Überwachung und zum Datenabfluss zu verbreiten. Zudem sei ein Anstieg hacktivistischer Aktivitäten beobachtet worden. Schätzungen zufolge seien am 2. März 2026 etwa 60 Gruppen aktiv gewesen, darunter auch prorussische. Mehrere iranische, dem Staat nahestehende Personen und Kollektive hätten sich zu einer Reihe von Störaktionen bekannt. Zu den wichtigsten von Unit 42 beobachteten Akteuren gehören:

• „Handala Hack“ ist eine pro-iranische Hackergruppe mit Verbindung zum iranischen Mi­nis­try of Intelligence and Security und kombiniert Unit 42 zufolge Datenexfiltration mit Cy­ber­operationen gegen das israelische politische und Verteidigungs-Establishment. Die Gruppe habe unter anderem die Kompromittierung eines israelischen Energie­un­ter­neh­mens, von Jordaniens Treibstoffsystemen sowie Angriffe auf Israels ziviles Ge­sund­heits­we­sen be­an­sprucht, um kurz vor Kriegsbeginn innenpolitischen Druck zu erzeugen.

• „APT Iran“ ist ein pro-iranisches Hack­tivisten-Kollektiv, das vor allem durch Hack-and-Leak-Operationen bekannt geworden sei und auch Sabotage an Jordaniens kritischer Infrastruktur für sich reklamiert habe.

• „The Cyber Islamic Resistance“ ist ebenfalls ein pro-iranisches Kollektiv, das mehrere Hack­tivisten-Teams koordiniere, um synchronisierte DDoS-Angriffe gegen israelische und west­liche Infrastruktur durchzuführen. Die Gruppe habe die Kompromittierung eines Drohnenabwehrsystems sowie israelischer Zahlungsinfrastruktur für sich beansprucht.

• „Dark Storm Team“ ist ein pro-palästinensisches und pro-iranisches Kollektiv, das auf große DDoS- und Ransomware-Aktivitäten spezialisiert sei und angegeben habe, mehrere israelische Webseiten, darunter die einer israelischen Bank, per DDoS angegriffen zu haben.

• „The FAD Team“ bestehe laut Unit 42 aus pro-regime Akteuren mit Fokus auf Wiper-Malware und permanente Datenzerstörung. Über Telegram habe die Gruppe den unautorisierten Zu­griff auf mehrere industrielle Steuerungssysteme in Israel und anderen Ländern sowie auf Kontrollsysteme, die mit mehr als 24 privaten Geräten eines israelischen Sicherheits­dienst­leis­ters verbunden seien, beansprucht, und habe zudem einen Angriff auf ein türkisches Medienhaus durchgeführt.

• „Evil Markhors“ ist eine pro-iranische Gruppe, die typischerweise Credential Harvesting betreibe und nach ungepatchten kritischen Systemen suche. Auch sie habe über Telegram einen Angriff auf die Website einer israelischen Bank für sich beansprucht.

• „Sylhet Gang“ fungiere den Analysten nach als „Message Amplifier“ und Rekru­tier­ungs­ins­tru­ment für die pro-iranische Hacktivisten-Front und beteilige sich an DDoS-Angriffen. Auf Telegram gebe es Bekanntmachungen der Gruppe zu Angriffe auf die Internal-Management-Systeme des saudi-arabischen Innenministeriums.

• „DieNet“ ist eine pro-iranische Hacktivisten-Gruppe, die DDoS-Angriffe gegen verschiedene Organisationen im Nahen Osten durchführt habe und unter anderem Angriffe auf einen Flughafen in Bahrain sowie auf den Sharjeh Airport in Saudi-Arabien begonnen habe. Auch die Riyadh-Bank-Website, die Bank of Jordan und ein Flughafen in den Vereinigten Arabischen Emiraten seien durch die Gruppe angegriffen worden.

• „Cardinal“ ist eine prorussische Hacktivistengruppe, die über ihren öffentlichen Telegram-Kanal angegeben habe, Systeme der israelischen Verteidigungsstreitkräfte anzugreifen.

• „NoName057(16)“ ist eine der bekanntesten prorussische Hacktivistengruppen, die sich zu mehreren Angriffen auf is­ra­eli­sche Ziele bekannt habe, darunter Störaktionen gegen israelische kommunale, politische, Telekommunikations- und Verteidigungseinrichtungen.

• „Russian Legion“ ist ein prorussisches Hacktivistenkollektiv, das behauptet habe, Zugriff auf Israels Raketenabwehrsystem Iron Dome zu haben und Radaranlagen zu steuern, Ziele ab­zufangen sowie in Echtzeit zu überwachen. Zudem gebe es Berichte, dass die Gruppe im Rahmen einer neuen Cyberoperation geschlossene Server der israelischen Streitkräfte kompromittiert habe.

Die im Unit‑42 Threat Brief beschriebenen Angreifer würden vor allem politischen Druck er­zeu­gen und die Systeme ihrer Gegner stören wollen. Staatlich ausgerichtete Akteure würden zusätzlich Spionageziele verfolgen und könnten über Lieferketten und Dienstleister auch kritische Infrastruktur ins Visier nehmen, unter anderem, um Logistik in Regionen mit US-Militärbasen zu beeinträchtigen.

Palo Alto Networks empfiehlt Unternehmen, angesichts der sich schnell entwickelnden Lage, auf einen mehrschichtigen Schutzansatz und solide Security-Basishygiene zu setzen. Dazu zählen Offline-Backups, strikte Out-of-Band-Prüfungen bei sensiblen Anfragen, schnelles Patchen und Härten internetexponierter Systeme (Web, VPN, Cloud) sowie Schulungen gegen Phishing und Social Engineering. Zudem sollten Unternehmen Vorfälle und Leak-Be­haup­tun­gen rasch verifizieren, einen Kommunikationsplan bereithalten und Lageupdates von Behörden verfolgen.

(ID:50772290)