Der Leiter der Nationalen Cyberbehörde Israels zieht eine ernüchternde Bilanz: Dutzende Unternehmen wurden im Zuge der Operation „Roaring Lion“ digital vernichtet. Doch der eigentliche Kampf hat gerade erst begonnen.
Als am 28. Februar 2026 die gemeinsame US-israelische Militäroffensive gegen den Iran anlief – in Israel als „Operation Roaring Lion“, in den USA als „Operation Epic Fury“ bezeichnet – war schnell klar: Dieser Krieg würde nicht nur in der Luft und auf See geführt werden. Seit dem Start der gemeinsamen Militäroffensive haben sich die Cyberangriffe auf israelische und westliche Ziele deutlich intensiviert. Was in Raketeneinschlägen und Bombendetonationen sichtbar wird, hat ein unsichtbares Spiegelbild – einen permanenten, gnadenlosen Krieg im Cyberspace.
Yossi Karadi, Leiter der Nationalen Cyberbehörde Israels (National Cyber Directorate), hat nun das bislang deutlichste Lagebild gezeichnet. Seine Aussagen sind ein seltener Einblick in das Ausmass einer digitalen Kriegsführung, die die meisten Bürger nicht sehen – und die dennoch unmittelbar in ihr Leben eingreift.
50 Organisationen: digital ausgelöscht
Die vielleicht erschreckendste Zahl, die Karadi nannte: Rund 50 israelische Unternehmen und Organisationen wurden im Rahmen jüngster feindlicher Cyberangriffe vollständig digital gelöscht. Ihre Daten, ihre Systeme, ihre digitale Infrastruktur – weg. Die Betroffenen arbeiten nun fieberhaft daran, ihre Daten aus Backups wiederherzustellen.
Dahinter stecken keine einfachen Hacker. Karadi bezifferte die Zahl der an diesen Angriffen beteiligten Offensivgruppen auf rund 20, mit insgesamt Hunderten von involvierten Hackern. Das Werkzeug, das dabei bevorzugt eingesetzt wird, ist sogenannte Wiper-Malware – bösartige Software, die darauf ausgelegt ist, Daten dauerhaft zu vernichten. Datenexfiltration und Wiper-Angriffe erinnern an frühere Angriffe iranischer Gruppen auf den israelischen Bildungs- und Technologiesektor.
Psychologische Kriegsführung im Alltag
Ein Angriff, den Karadi besonders hervorhob, illustriert die psychologische Dimension des Cyberkriegs eindrücklich: Iranische Hacker übernahmen digitale Anzeigetafeln an Bahnhöfen der Israel Railways und liessen dort Botschaften wie „Die U-Bahn ist im Moment nicht sicher“ erscheinen – kalkuliert, um Panik zu erzeugen.
Es ist kein Einzelfall. Zu den Angriffen gehörten Versuche, die israelische Regierung, Verteidigung, Stromnetze, Eisenbahnen, Telekommunikation und Rettungsdienste zu stören, häufig unter Verwendung von DDoS-Angriffen, Website-Verunstaltungen, Datenverletzungen, GPS-Spoofing und Desinformationskampagnen.
Auch ausserhalb Israels erreichten solche Operationen ihre Ziele. In der populären Smartphone-App Badesaba, welche Gläubigen im Iran die genauen Gebetszeiten anzeigt, blinken seit dem Angriffsmorgen Push-Nachrichten mit politischen Botschaften wie „Hilfe ist gekommen“ sowie Aufrufen an die Streitkräfte, die Waffen niederzulegen auf – eine Informationsoperation, die israelisch-amerikanischen Ursprungs sein dürfte und die Grenzen zwischen Cyberangriff und psychologischer Kriegsführung einmal mehr verwischt.
Kameras, Familien, Infrastruktur: Die Breite der Bedrohung
Die Cyberbehörde hat rund 50 Versuche Irans identifiziert, Kameras im ganzen Land zu übernehmen – eine gemeinsame Kampagne von Hisbollah und Iran, die Kameras an strategischen Standorten ins Visier nimmt. Karadi räumte ein, dass der Feind dabei punktuell Erfolg hatte: „Alles passiert wegen niedriger Schutzstufen und schwacher Passwörter.“
Besonders beunruhigend: Die Angreifer zielen nicht nur auf Institutionen, sondern auch auf Individuen – und deren Familien. Mitglieder der Sicherheitskräfte, der Rüstungsindustrie und des Wissenschaftssektors werden ebenso ins Visier genommen wie ihre Angehörigen. Die primären Ziele iranischer staatlicher Akteure umfassen häufig Spionage und Störung, wobei diese Gruppen Spear-Phishing-Kampagnen und die Ausnutzung bekannter Schwachstellen einsetzen.
Karadis Einschätzung trifft dabei ins Mark: „Die Frage ist nicht, ob sie Informationen sammeln, sondern wann diese Informationen zu einem operativen Zweck werden.“
Irans Cyberarsenal: hochgerüstet und heterogen
Iran hat bereits APT42 und APT33 mobilisiert, zwei Gruppen mit Verbindungen zum Korps der Islamischen Revolutionsgarden (IRGC) und zum Geheimdienst MOIS, bekannt als MuddyWater. Diese Gruppen agieren seit Jahren im digitalen Untergrund, haben ihre Methoden verfeinert und operieren heute mit erschreckender Effizienz.
Iranische Gruppen operieren bevorzugt über die Ausnutzung von VPN-Gateways und Firewalls, ASPX-Webshells auf exponierten Servern sowie KI-gestützte Spear-Phishing-Kampagnen mit hohem Personalisierungsgrad. Neu und besonders gefährlich: Die Ransomware-Operation „Sicarii“ setzt Malware ein, die nach der Verschlüsselung die eigenen Entschlüsselungsschlüssel löscht – eine Zahlung von Lösegeld würde die betroffenen Daten also nicht retten.
Dass der Iran trotz der militärischen Schläge handlungsfähig bleibt, ist kaum zu bezweifeln. Einerseits wurde eine schnelle Aktivierung dutzender hacktivistischer Gruppen beobachtet, andererseits zeigen klassische, aus dem Iran gesteuerte State-Actor-Gruppen bislang eine gewisse Zurückhaltung – nicht zuletzt, weil physische Schläge und Einschränkungen der Internet-Konnektivität die Koordination erschweren.
Ein Krieg ohne Waffenstillstand
Karadis wohl eindringlichste Warnung betrifft die Zukunft. Selbst wenn der kinetische Krieg endet, wird es im Cyberspace keinen Waffenstillstand geben. „Am Tag nach Inkrafttreten der Operation ‚Rising Lion‘ hat sich die Zahl der Cyberangriffe auf Israel verdoppelt.“ Der Digitale Raum ist kein Nebenkriegsschauplatz mehr – er ist eine permanente Front.
Die europäische Cyber-Bedrohungslage befindet sich auf einem historischen Höchststand. Staatlich gesteuerte Angriffe sind laut CrowdStrike um 150 Prozent gestiegen, während die Grenzen zwischen Cyberkriminalität, Hacktivismus und Staatsakteuren zunehmend verschwimmen.
Laut israelischen Informationen sind europäische Länder – insbesondere im Energie- und Telekommunikationssektor – von den Auswirkungen des Cyberkriegs zwischen Israel und dem Iran betroffen. Berichten zufolge entfielen im Jahr 2024 rund 78 Prozent aller Cyberangriffe weltweit auf den Nahen Osten und Europa.
Auch der Westen gerät zunehmend ins Fadenkreuz: Ein Cyberangriff, der mutmasslich mit iranisch-nahen Hackern in Verbindung steht, störte den Betrieb von Stryker, einem grossen US-amerikanischen Medizintechnikunternehmen, indem das globale Microsoft-Netzwerk des Unternehmens lahmgelegt wurde.
Fazit
„Ich schlafe nachts nicht“, sagt Yossi Karadi. Es ist kein Aufschrei der Ohnmacht – es ist das Eingeständnis eines Mannes, der täglich die Dimension einer Bedrohung ermisst, die für die Öffentlichkeit weitgehend unsichtbar bleibt. Der Cyberkrieg zwischen Iran und Israel ist keine technische Spielerei von Hackern. Er greift in Bahnhöfe, Wasseranlagen, Familiennetzwerke und Unternehmensserver ein. Er löscht nicht nur Daten – er testet die Widerstandsfähigkeit ganzer Gesellschaften.
Die Lehre aus Karadis Bericht ist unbequem, aber klar: In einer Welt, in der schwache Passwörter und mangelhafte Schutzstandards reichen, um strategische Infrastruktur zu gefährden, ist Cybersicherheit keine IT-Aufgabe mehr. Sie ist eine Frage der nationalen – und europäischen – Resilienz.
Kategorien:Nahost
1. Juni – Internationaler Farhud-Tag 
Mitglieder der «Höhle der Löwen»-Zelle festgenommen 
20.000 zusätzliche Arbeitsgenehmigungen für Palästinenser 
Syrien setzt Flüge von und nach Damaskus aus 
JNS - ISRASWISS 
Hinterlasse einen Kommentar