Die geopolitische Cyberlage in Europa hat sich seit dem 28. Februar 2026 grundlegend verschärft. Mit der Operation «Epic Fury» (USA/Israel) gegen den Iran wurde aus einer latenten Bedrohung ein aktiver Cyberkonflikt. Währenddessen positionieren sich chinesische APT-Gruppen unbemerkt in kritischen Infrastrukturen. Als führender Incident-Response-Spezialist im DACH-Raum sehen wir in der Praxis: Staatliche Cyberangriffe operieren gezielt im toten Winkel moderner Sicherheitssysteme und werden oft erst durch Zufall entdeckt. Proaktives Threat Hunting durch erfahrene Incident Responder ist derzeit die wirksamste Methode, laufende APT-Kompromittierungen aufzudecken.
Cyberoperationen sind längst Teil geopolitischer Konflikte. Iranische Hacktivisten, chinesische APT-Gruppen und russische Angreifer erhöhen den Druck auf europäische Organisationen. Der InfoGuard Threat Intelligence Report Q1/2026 analysiert die aktuelle Bedrohungslage und ihre Konsequenzen für Unternehmen.
Die Cyber-Bedrohungslage in Europa: angespannt wie nie
Die europäische Cyber-Bedrohungslage ist auf einem historischen Höchststand. Laut ENISA Threat Landscape 2025 (Berichtszeitraum Juli 2024 bis Juni 2025) entfielen 76,7 % aller Vorfälle auf DDoS-Angriffe, getrieben durch staatlich gelenkten Hacktivismus. Der öffentliche Sektor war mit 38,2 % am stärksten betroffen, doppelt so hoch wie im Vorjahr. Phishing bleibt mit 60 % der häufigste Initialvektor, wobei über 80 % der Kampagnen nachweislich KI-generierte Inhalte nutzen.
Der CrowdStrike European Threat Landscape Report 2025 zeigt: Ransomware trifft die Region auf Rekordniveau, während staatlich gesteuerte Angriffe (nation-state) um 150 % gestiegen sind. ENISA identifiziert 46 staatlich gesteuerte Intrusion-Sets, die aktiv gegen EU-Mitgliedstaaten operieren. Die Grenzen zwischen Cyberkriminalität, Hacktivismus und Staatsakteuren verschwimmen zusehends. Was früher klar trennbar war, ist heute ein komplexes Ökosystem aus Auftragsarbeit, ideologischer Motivation und staatlicher Instrumentalisierung.
Iran: Vom Cyber-Dschihad zur offenen digitalen Front – Lage März 2026
Der Eskalationspfad: Juni 2025 bis heute
Zum Verständnis der aktuellen Situation ist ein Blick auf den Eskalationspfad notwendig. Der zwölftägige Israel-Iran-Konflikt im Juni 2025 war die erste grosse Probe für Irans koordiniertes Cyber-Ökosystem im Kriegsfall. Das Center for Strategic and International Studies (CSIS) analysierte über 250.000 Telegram-Nachrichten aus mehr als 178 Hacktivist- und Proxygruppen und dokumentierte eine rasche Mobilisierung synchron zu den kinetischen Luftangriffen. Gruppen wie Fatimion Cyber Team, Cyber Fattah und Cyber Islamic Resistance koordinierten Aufklärung, DDoS-Angriffe, Website-Defacement und Datendiebstahl in direkter Abstimmung mit dem militärischen Geschehen – ein Muster, das auf institutionelle Führung hindeutet, nicht auf organischen Hacktivismus.
Parallel dazu setzte die iranische Regierung staatlich gesponserte Ransomware-Kampagnen ein und zahlte Prämien für Infektionen gegen US- und israelische Organisationen. MuddyWater (MOIS) initiierte mit Operation Olalampo eine strukturierte Cyber-Offensive gegen die META-Region (Naher Osten, Türkei, Afrika) mit Überlappungen zu einer parallel laufenden Kampagne namens RedKitten – ein Hinweis auf koordinierte Infrastruktur iranisch ausgerichteter Akteure.
28. Februar 2026: Operation «Epic Fury» und die digitale Reaktion
Am 28. Februar 2026 starteten die USA und Israel die koordinierte Militäroperation «Epic Fury» / «Operation Roaring Lion» mit Strikes auf iranische Führungsstrukturen, IRGC-Einrichtungen und nukleare Infrastrukturen. Innerhalb von Stunden begann Iran eine mehrstufige Vergeltungskampagne – sowohl kinetisch als auch im Cyberraum.
Ein technisch bemerkenswerter Faktor: Die israelische Gegenmassnahme war auch eine der grössten Cyberoperationen der Geschichte gegen Iran selbst und reduzierte die iranische Internetkonnektivität auf 1–4 % (Unit 42 / Palo Alto Networks, März 2026). Das bedeutet: Irans hochspezialisierte APT-Gruppen sind kurzfristig im Inland operativ eingeschränkt.
Daraus ergeben sich zwei parallele Bedrohungsszenarien:
Ausserhalb Irans operierende Zellen und Proxy-Gruppen handeln jetzt mit taktischer Autonomie – ohne direkte Befehlsstruktur aus Teheran. Das macht ihre Aktionen schwerer vorhersagbar.
Mittelfristig – wenn die Konnektivität wiederhergestellt ist – ist mit einer intensivierten Welle staatlicher APT-Operationen zu rechnen, da die IRGC-Einheiten Zeit hatten, Prioritäten zu setzen und Zugänge zu aktivieren, die schon länger «dormant» vorhanden waren.
Der «Electronic Operations Room» – koordinierter Cyber-Dschihad
Noch am 28. Februar 2026 wurde der «Electronic Operations Room» gegründet – ein Koordinationsgremium, das pro-iranische Hacktivist-Kollektive in einem strukturierten Cyber-Dschihad bündelt. Das Umbrella-Netzwerk «Cyber Islamic Resistance» (auch: Islamic Cyber Resistance Axis) koordiniert Gruppen wie RipperSec, Cyb3rDrag0nzz und zahlreiche weitere für synchronisierte DDoS-Wellen, Datenlöschoperationen und Defacements. Bis Anfang März 2026 wurden über 150 dokumentierte Hacktivismus-Vorfälle gezählt, wobei ca. 60 einzelne Gruppen aktiv sind – darunter auch pro-russische Kollektive (CloudSEK Situation Report, März 2026).
Europol warnte am 6. März 2026 explizit vor einer erhöhten Bedrohung für die EU: «Key risks are an elevated threat of terrorism and violent extremism, increased cyber-attacks targeting EU infrastructure, a rise in conflict-themed online fraud schemes, and the spread of disinformation and influence campaigns.» Frankreich, Deutschland und andere EU-Staaten haben ihre Sicherheitsmassnahmen erhöht, da iranische Netzwerke auch in Europa operativ sind.
Welche konkreten Cyberrisiken entstehen daraus für europäische Organisationen?
Das UK National Cyber Security Centre (NCSC) hat Anfang März 2026 eine explizite Warnung herausgegeben: Auch wenn derzeit kein signifikanter Anstieg direkter Cyberangriffe auf britische Netzwerke zu beobachten ist, warnen die Behörden: Die Lage kann sich jederzeit und mit nur geringer Vorwarnung ändern. Historisch gesehen hat Irans Cyberaktivität Europa immer wieder getroffen – Deutschland, Frankreich, Niederlande, und das vereinigte Königreich – oft als Kollateralschaden oder gezielter Sekundärangriff auf Organisationen mit Nahostbezug.
Das primäre Cyberrisikoprofil für europäische Organisationen im aktuellen Kontext:
Kritische Infrastruktur (Energie, Wasser, OT/ICS):Â Iran hat nachweislich ICS/SCADA-Systeme als Ziele priorisiert. Die Schwachstelle CVE-2025-1960 in Schneider Electric EcoStruxure WebHMI ist bereits in iranisch-affiliierten Kampagnen ausgenutzt worden.
Rüstung, Luft- und Raumfahrt, Telekommunikation: UNC1549 (Tortoise Shell) war im zweiten Halbjahr 2025 der viertaktivste iranische Akteur mit Fokus auf genau diese Sektoren.
Regierungsstellen und diplomatische Einrichtungen: MuddyWater verbrachte 8 Monate unentdeckt in einem nahöstlichen Regierungsnetzwerk – ähnliche Muster sind bei europäischen Stellen zu erwarten.
Supply-Chain-Risiko: Organisationen, die israelische OT-Komponenten einsetzen (z. B. bestimmte Unitronics-Systeme), gelten als indirekte Ziele nach dem Angriffsmuster der CyberAv3ngers-Kampagnen von 2023–2024.
Organisationen mit Iran-nahen Mitarbeitern oder Diaspora: Iranische Akteure führen aktiv Verfolgungsoperationen gegen Regime-Gegner in Europa durch, inklusive physischer Bedrohungen nach Cyber-Kompromittierung.
Typische Angriffstechniken iranischer Cyberoperationen
Irans Cyberarsenal ist heterogen: Es reicht von hochkomplexen APT-Kampagnen bis zu kriminell genutzten Ransomware-Frameworks. Das Besondere ist die strukturelle Vermischung: Staatlich gesteuerter Zugang wird für kriminelle Zwecke monetarisiert, während gleichzeitig plausible Abstreitbarkeit staatlicher Beteiligung gewahrt bleibt. Sicarii – eine seit Dezember 2025 aktive RaaS-Operation – hat einen kritischen Defekt: Die Malware löscht ihre eigenen Entschlüsselungsschlüssel nach der Verschlüsselung, was eine Wiederherstellung dauerhaft unmöglich macht, unabhängig von einer Lösegeldzahlung (Halcyon, März 2026).
Technisch operieren iranische Gruppen bevorzugt über: Ausnutzung von VPN-Gateways und Firewalls (Pulse Secure, Fortinet, Palo Alto, F5, Citrix), ASPX-Webshells auf exponierten Servern, Living-off-the-Land-Techniken (LOLBins) für Persistenz und laterale Bewegung sowie KI-gestützte Spear-Phishing-Kampagnen mit hohem Personalisierungsgrad.
China: Stille Präsenz in staatlichen Netzwerken – eine unterschätzte Bedrohung
Während der Iran mit lautem Hacktivismus und politisch aufgeladenen Operationen auffällt, agiert China nach dem gegenteiligen Prinzip: maximale Stille, minimale Spuren, langfristige Positionierung. Dieser Paradigmenwechsel ist in den letzten zwei Jahren immer deutlicher geworden: China verschiebt seinen Fokus von klassischer Industrie- und IP-Spionage hin zu staatlichen Organisationen und kritischer Infrastruktur.
Volt Typhoon – die bekannteste chinesische APT-Gruppe für Infrastruktur-Targeting – wurde in einigen US-Netzwerken über fünf Jahre unentdeckt betrieben. CISA-Direktorin Jen Easterly formulierte es klar: Was bisher gefunden wurde, ist «wahrscheinlich nur die Spitze des Eisbergs.» Volt Typhoon nutzt ausschliesslich Living-off-the-Land-Techniken – keine Malware, nur native Systemtools. Das macht traditionelle signaturbasierte Erkennung weitgehend wirkungslos.
In Europa sind chinesische Cyberoperationen längst angekommen: Die niederländischen Dienste MIVD und AIVD bestätigten 2024 den ersten öffentlich attribuierten chinesischen Angriff auf das Verteidigungsministerium («Coathanger»-Malware für Fortinet FortiGate). Tschechien machte APT31 im Mai 2025 für die Kompromittierung des Aussenministeriums während der EU-Ratspräsidentschaft 2022 verantwortlich. Die EU-Aussenbeauftragte Kaja Kallas erklärte, die EU sei «bereit, Peking Kosten aufzuerlegen».
Salt Typhoon – eine weitere chinesische Gruppe – infiltrierte die Infrastruktur der Telekommunikation von über acht US-Anbietern, darunter CALEA-Abhörsysteme, und blieb in einigen Umgebungen bis zu drei Jahre unentdeckt. Das FBI informierte über 600 Organisationen in mehr als 80 Ländern über mögliche Kompromittierungen. ENISA warnt 2025 explizit vor sechs chinesischen APT-Gruppen (APT27, APT30, APT31, Ke3chang, GALLIUM, Mustang Panda) als «bedeutende und andauernde Bedrohungen für die EU». CrowdStrike identifiziert Vixen Panda als «die produktivste Bedrohung für europäische Regierungs- und Verteidigungseinrichtungen» (November 2025).
Der geopolitische Rahmen: Chinas zunehmende Abkopplung vom Westen und sein Anspruch auf Taiwan machen diese Positionierung strategisch: «Pre-Positioning» bedeutet, Zugänge zu kritischer Infrastruktur anzulegen, die im Ernstfall eines Taiwan-Konflikts aktiviert werden könnten – zur Ablenkung, Demoralisierung oder direkten Sabotage westlicher Unterstützungsstrukturen. Ein chinesischer Beamter deutete bei einem geheimen Treffen in Genf im Dezember 2024 an, dass die Infrastruktur-Hacks direkt mit der US-Militärunterstützung für Taiwan zusammenhingen.
Russland: Hybride Kriegsführung als Dauerzustand
Russland bleibt laut ENISA 2025 die aktivste staatlich gelenkte Bedrohung für die EU. APT28 (Fancy Bear, GRU) hat 2024 die SPD-Zentrale, tschechische Regierungsstellen und die Deutsche Flugsicherung (DFS) angegriffen, wobei letzteres allein Kosten von ca. 9 Mio. Euro verursachte. Frankreich machte im April 2025 die Gruppe APT28 für Cyberangriffe auf ein Dutzend Einrichtungen seit 2021 verantwortlich. Zu den betroffenen Zielen zählten unter anderen auch Strukturen der Olympischen Spiele 2024.
Sandworm (APT44) operiert mit seiner «BadPilot»-Kampagne seit 2022 global und war bis Dezember 2025 für destruktive Wiper-Angriffe auf Wind- und Solarparks sowie Kraftwerke in Polen verantwortlich – der erste bestätigte destruktive Angriff auf eine EU-Energieinfrastruktur. APT29 (Cozy Bear) nutzt weiterhin raffinierte Social-Engineering-Angriffe gegen EU-Diplomaten, zuletzt mit gefälschten Weinverkostungseinladungen und der neuen WINELOADER-Backdoor. Pro-russischer Hacktivismus durch NoName057(16) – im Juli 2025 durch Europol/Eurojust in «Operation Eastwood» teilweise zerschlagen – hat in Deutschland allein 14 mehrtägige DDoS-Wellen gegen ca. 230 Organisationen verursacht.
Die geopolitische Lage hat sich in wenigen Wochen grundlegend verschärft. Iranische Cybermobilisierung, chinesisches Pre-Positioning und russische hybride Kriegsführung erhöhen den Cyberdruck auf Europa. Organisationen sollten nicht darauf warten, bis Angriffe entdeckt werden. Threat Hunting bringt Klarheit, bevor ein Angriff sichtbar wird.
Die unbequeme Wahrheit: Wie staatlich gesteuerte Cyberangriffe tatsächlich entdeckt werden
Im Alltag eines Incident Responders bestätigt sich immer wieder, was die Daten zeigen: Staatliche APT-Angriffe werden selten durch eigene Sicherheitssysteme erkannt. Mandiant M-Trends 2025 (basierend auf 450.000+ Untersuchungsstunden) zeigt: 57 % aller Kompromittierungen wurden durch externe Quellen entdeckt – nicht durch das eigene SOC oder die eigene Sicherheitsinfrastruktur. Nur 43 % der Fälle wurden intern detektiert.
Die mediane Verweildauer (Dwell Time) eines Angreifers im Netzwerk lag 2024 global bei 11 Tagen – in der EMEA-Region sogar bei 22 Tagen. Das bedeutet: Ein Angreifer bewegt sich im Schnitt fast drei Wochen unbemerkt durch Netzwerke, bevor eine Kompromittierung entdeckt wird. Bei Intrusionen, die erst durch externe Hinweise auffliegen, steigt die Dwell Time auf 26 Tage.
Warum viele Cyberangriffe nicht entdeckt werden?
Dafür gibt es drei strukturelle Ursachen:
LOTL-Techniken: 62 % aller Bedrohungserkennungen 2024 nutzten keine Malware (CrowdStrike). Angreifer verwenden native Systemtools – PowerShell, WMI, WMIC – die signaturbasierte Systeme schlicht nicht als bösartig flaggen.
Blinde Flecken an Perimetern: 44 % der im Jahr 2024 ausgenutzten Zero-Days zielten auf Edge-Geräte wie VPNs und Firewalls – Systeme, auf welchen typischerweise kein EDR installiert ist (Mandiant M-Trends 2025).
Supply-Chain-Kompromittierungen: Drittanbieter-bezogene Breaches haben sich 2025 laut Verizon DBIR auf 30 % aller Fälle verdoppelt. Die Kontrollen beim Endopfer werden vollständig umgangen.
Das Präzedenzbeispiel schlechthin ist Volt Typhoon: Über fünf Jahre operierte die Gruppe unentdeckt in US-Infrastrukturen. Entdeckt wurde sie nicht durch ein SIEM, nicht durch ein EDR – sondern durch dedizierte Threat-Hunting-Teams der CISA, die aktiv nach Kompromittierungsindikatoren gesucht haben. Der SolarWinds-Angriff (Verweildauer 8–9 Monate, 18.000 kompromittierte Organisationen) flog auf, weil FireEye beim Untersuchen eines anderen Sicherheitsvorfalls zufällig auf die Supply-Chain-Kompromittierung stiess.
Auch in realen Incident-Response-Einsätzen zeigt sich dasselbe Muster: Nation-State-Vorfälle werden fast nie durch Alarme der eigenen Sicherheitssysteme aufgedeckt. Sie werden meist im Zuge eines anderen Cybervorfalls entdeckt. Etwa wenn ein Incident-Response-Team im Zusammenhang mit einem Ransomware-Angriff gerufen wird und sich in der Analyse dann ein zweiter, deutlich älteren Zugangspfad zeigt. Nicht selten erfolgt die Entdeckung auch durch Hinweise von aussen: Ein CERT, eine Behörde oder ein ausländischer Partner meldet, dass die eigene Infrastruktur als Command-and-Control-Relay missbraucht wird. Das sind keine Ausnahmen, das ist der Normalfall.
Threat Hunting durch Incident Responder: Der proaktive Ausweg
Wenn reaktive Detektion systematisch versagt, braucht es einen anderen Ansatz: proaktives Threat Hunting. Threat Hunting ist die hypothesengetriebene, aktive Suche nach bösartiger Aktivität, die bestehende Sicherheitskontrollen umgangen hat – ohne auf einen Alarm zu warten.
Der Unterschied liegt im grundlegenden Ansatz: Statt «Wir reagieren, wenn etwas auffällt» gilt «Wir gehen davon aus, dass wir bereits kompromittiert sein könnten und suchen systematisch danach.»
Warum sind gerade Incident Responder die besten Threat Hunter? Weil sie wissen, wie Angreifer denken und agieren. IR-Teams kennen die Taktiken und Techniken realer Angreifer aus zahlreichen Einsätzen und verfügen über forensische Untersuchungskompetenz bei der Analyse  subtiler Anomalien. Gleichzeitig verstehen sie Persistenzmechanismen, die herkömmliche Sicherheitsteams oft übersehen. Aus demselben Grund gelang es dem Threat-Hunting-Team der CISA – einem Kreis erfahrener Incident Responder – die Gruppe Volt Typhoon zu entdecken, während automatisierte Sicherheitssysteme versagten.
Threat Hunting durch erfahrene Incident Responder erhöht in der aktuellen Lage die Chance, laufende APT-Angriffe zu entdecken – ob iranisch, chinesisch oder russisch.
Die zentrale Frage jeder Lagebeurteilung: «Sind wir kompromittiert?»
Incident Response beantwortet die Frage «Sind wir kompromittiert?» – forensisch, systematisch und mit Kenntnis der Taktiken, Techniken und Verfahren staatlicher Angreifer-TTPs.
IR-Teams suchen gezielt nach:
LOTL-Artefakten und anomalem Verhalten nativer Systemtools, das durch signaturbasierte Systeme nicht detektiert wird.
Dormante Backdoors und C2-Channels in Perimeter-Geräten, Edge-Systemen und OT/ICS-Umgebungen.
Persistenzmechanismen nach iranischem, chinesischem und russischem TTP-Muster (MITRE ATT&CK-basiert).
Supply-Chain-Kompromittierungen und vertrauensmissbräuchlichen Zugangspfaden über Drittanbieter.
Daten-Staging und Exfiltrations-Vorbereitung, oft wochenlang vor dem eigentlichen Angriff.
Fazit: Proaktive Aufklärung statt reaktiver Sicherheit
Die Ergebnisse dieser Analyse bestimmen die nächsten Schritte. Organisationen, die in den kommenden Wochen und Monaten unter erhöhter Cyberbedrohung stehen – und das gilt angesichts der aktuellen geopolitischen Lage für jeden kritischen Sektor in Europa –, sollten nicht darauf warten, bis Behörden oder externe Partner sie auf eine Kompromittierung hinweisen.
Was Organisationen jetzt brauchen, ist keine weitere Schicht reaktiver Sicherheitstools, sondern der proaktive Blick erfahrener Incident Responder, die Kompromittierungen gezielt aufdecken.
Threat Intelligence Report Q1/26: Die geopolitische Cyberlage Europas nach«Epic Fury» hinzugefügt von Redaktion am
Alle Beiträge von Redaktion →
