Die iranische Cyberbedrohung unterscheidet sich grundlegend von dem, was viele Sicherheitsexperten erwartet hatten. Tim Haugh, ehemaliger Direktor der NSA, und Kevin Mandia, ein renommierter Cybersecurity-Experte und Gründer eines neuen KI-Sicherheitsunternehmens, stellten auf dem Asness Summit on Modern Conflict and Emerging Threats in Nashville klar: Iranische Hacker folgen einer bewährten kriminellen Logik – nicht einer militärischen Strategie mit fortgeschrittenen Technologien.
“Iran und seine Cyberfähigkeiten sind eher mit einem kriminellen Akteur vergleichbar”, sagte Haugh. “Sie führen zielgerichtete Opportunistenschläge durch und versuchen dann, diese durch Informationsoperationen größer wirken zu lassen.” Diese Taktik kombiniert klassisches Hacking mit modernem Informationskrieg: Erst Zugang verschaffen, dann die Narrative prägen.
Das prominenteste Beispiel ist der Angriff auf den Medizingerätehersteller Stryker. Tausende medizinische Geräte wurden außer Betrieb gesetzt – eine Attacke, die international Schlagzeilen machte. Doch der Mechanismus war erschreckend simpel: Angreifer nutzten Social Engineering, um jemanden zu manipulieren, dann verwendeten sie legitime Anmeldedaten, um auf Systeme zuzugreifen, in die sie Einblick hatten. “Sie löschten einfach Dinge, zu denen sie die Berechtigung hatten”, erklärte Haugh. Keine Zero-Day-Exploits, keine custom Malware – nur grundlegende Zugriffskontrolle ausgenutzt.
Mandia warnte eindringlich vor dieser unterschätzten Bedrohung: “Sie kauften gültige Anmeldedaten im Dark Web.” Für Chief Information Security Officers (CISOs) bedeutet das eine klare Handlungsanweisung: Multi-Faktor-Authentifizierung überall einführen, Brute-Force-Schutz implementieren, API-Sicherheit überprüfen. “Das ist ‚Low and Slow’ – wie Cyberkriminalität, nicht wie Cyberwarfare.”
Ein weiterer psychologischer Faktor: Angreifer melden öffentlich Ziele, in die sie bereits eingedrungen sind, um den Eindruck von Geschwindigkeit und Präzision zu erwecken. Im Kontext eines Konflikts wird diese Wahrnehmung zusätzlich verstärkt. “Der Cyberspace ist eine schlechte Nachbarschaft”, sagte Mandia mit Bezug auf die Band Spinal Tap: “und die drehen jetzt einfach die Lautstärke auf 11, weil es einen Krieg gibt.”
Für die Zukunft erwartet Haugh eine Fokussierung auf spezifische Organisationen mit Verbindungen zu Israel oder den USA, kombiniert mit Desinformationskampagnen. Hochsophistizierte Web-App-Angriffe sind weniger wahrscheinlich als einfache Credential-Exploits. “Hacker hacken jeden Tag, acht bis zehn Stunden”, fasste Mandia zusammen – eine Realität, die Organisationen weltweit betrifft.