Die Skepsis der Sicherheitsfachleute ist berechtigt. Austin Warnick, Direktor des National Security Intelligence Teams bei Flashpoint, fasst das Dilemma prägnant zusammen: “Historische Daten und aktuelle Geheimdienstanalysen zeigen, dass ein militärischer Waffenstillstand selten einer digitalen Pause gleichkommt.” Stattdessen bleiben Cyberoperationen auf gleichem Niveau oder intensivieren sich sogar als asymmetrisches Druckmittel.
Iran’s prominenteste Hacker-Gruppe Handala bestätigte zwar am 8. April, dass sie ihre Cyberaktivitäten gegen die USA “gemäß Anordnung der höchsten Führung” ausgesetzt hat. Doch das Unternehmen qualifizierte dieses Versprechen selbst ein: “Der Cyberkrieg begann nicht mit dem militärischen Konflikt und wird nicht mit einem Waffenstillstand enden.” Handala ist bekannt für die Ransomware-ähnliche Attacke gegen Stryker und die Kompromittierung des persönlichen E-Mail-Kontos von FBI-Direktor Kash Patel – bisherige Höhepunkte dieser digitalen Auseinandersetzung.
Die historischen Parallelen sind bemerkenswert. Nach dem 7. Oktober und dem Gaza-Konflikt einigte man sich im November 2023 auf einen Waffenstillstand. Die iranisch-nahe Gruppe Cyber Toufan kündigte daraufhin an, ihre Operationen zu unterbrechen – dokumentierte aber zwischen November und Dezember 2023 über 100 israelische Opfer auf ihrer Leak-Site. Ein klares Indiz dafür, dass verbale Zusicherungen nicht der Realität entsprechen.
Weltweit zeigt sich das gleiche Muster: 2021 nutzten Hamas-nahe Akteure eine Israel-Waffenstillstand zur Intensivierung von Phishing-Kampagnen. Im Ukraine-Konflikt führte der Schwarzmeer-Waffenstillstand nicht zu weniger, sondern zu massiveren Cyberangriffen – teilweise gegen die gleiche Infrastruktur, die der Waffenstillstand schützen sollte.
Markus Mueller, Field CISO bei Nozomi Networks, weist auf ein noch älteres Muster hin: “Die größten Cyberangriffe in der Ukraine fanden statt, als die Kampfhandlungen ruhten – direkt nach der Krim-Annexion, bevor Russland seine zweite Offensive startete.”
Aktuell bestätigen niedrigschwellige Attacken diese Prognose: Die 313 Team beanspruchte eine Attacke auf ein australisches Authentifizierungsportal, die Conquerors Electronic Army führte DDoS-Angriffe gegen israelische Ziele und die US-Plattform Upwork durch.
Müller erwartet, dass sich Umfang und Reichweite der Cyberaktivitäten verschieben werden: “Die meisten Aktivitäten waren bislang regionalisiert. Basierend auf anderen Konflikten rechnen wir mit mehr Aktivität in Nordamerika und Europa – überall dort, wo Länder als Unterstützer des Konflikts wahrgenommen werden.”
Eine historische Ausnahme bestätigt die Regel: Während der Verhandlungen zum Iran-Atomabkommen 2015 stoppten iranische Cyberangriffe fast vollständig. Doch nach Verhandlungsende nahmen die Aktivitäten wieder zu – erst recht, nachdem Donald Trump das Abkommen aufkündigte.