Nach US-israelischen Luftschlägen gegen Iran im Februar 2026 verzeichnen Cybersicherheitsexperten einen Anstieg von Hacktivisten-Angriffen, während staatlich geförderte iranische Cyberakteure auffallend inaktiv bleiben. Viele der Ansprüche von Hackergruppen sind jedoch unverified und möglicherweise übertrieben.
Die Cybersicherheitsbranche beobachtet die Bedrohungslage nach den gemeinsamen US-israelischen Luftschlägen gegen Iran mit großer Aufmerksamkeit. Sicherheitsfirmen berichten von einem Anstieg von Hacktivisten-Aktivitäten, während iranische staatlich geförderte Akteure bemerkenswert still bleiben.
Die Eskalation begann am 28. Februar 2026 mit US- und israelischen Luftangriffen auf militärische Ziele im Iran, darunter Militärbasen, Raketenfabriken, nuklearbezogene Einrichtungen und hochrangige Führungspersonen. Bei den als Operation Epic Fury (USA) und Operation Roaring Lion (Israel) bezeichneten Angriffen kamen Oberster Anführer Ayatollah Ali Khamenei und weitere hochrangige Funktionäre ums Leben.
Iran antwortete mit massivem Raketenbeschuss und Drohnenangriffen auf US-amerikanische Militärinstallationen in der Golfregion sowie direkten Angriffen auf Israel, was zu Verlusten und Schäden führte.
Die begleitenden Cyber-Operationen waren hochpräzise: Laut Medienberichten wurden iranische Staatsmedien wie die IRNA, IRGC-Kommunikations- und Befehlsnetzwerke, staatliche digitale Dienste sowie Infrastruktur in den Bereichen Energie und Luftfahrt schwerwiegend beeinträchtigt. Pro-westliche Hacker kompromittierten auch eine weit verbreitete Gebets-App, um Nachrichten auszustrahlen.
General Dan Caine, Vorsitzender der Joint Chiefs of Staff, erklärte, dass koordinierte Weltraum- und Cyber-Operationen die Kommunikations- und Sensornetzwerke des Gegners wirksam störten.
Führende Cybersicherheitsfirmen melden ihre Beobachtungen der letzten Tage:
CrowdStrike verzeichnete am 2. März keine großangelegten Kampagnen staatlich geförderter Akteure, sah aber einen Anstieg von Hacktivisten-Angriffen durch pro-iranische Gruppen, einschließlich Website-Defacements und DDoS-Attacken. Adam Meyers, Leiter der Counter Adversary Operations bei CrowdStrike, warnt: “Viele der propagierten Aktivitäten basieren auf Behauptungen statt auf Fakten. Während geopolitischer Eskalationen ist ein Anstieg opportunistischen Hacktivismus üblich.”
Palo Alto Networks beobachtete ebenfalls eine Zunahme von Hacktivisten-Angriffen, führt die fehlende Aktivität von staatlichen Hackern jedoch auf die Internetunterbrechung zurück, die zum Zeitpunkt der Berichterstattung bereits vier Tage andauerte.
Die Threat-Intelligence-Firma Flashpoint berichtet von “alarmierenden Behauptungen” über Eindringungen in Industriekontrollsysteme und Angriffe auf kritische Infrastruktur. Eine breite Koalition pro-iranischer und pro-russischer Gruppen startete OpIsrael, eine Kampagne für Datenabfluss und Infrastruktur-Attacken. Gruppen wie NoName057(16) führten massive DDoS-Angriffe gegen israelische Verteidigungsunternehmer durch, während andere Gruppen SQL-Injection-Attacken zur Datendiebstahl einsetzten.
Cisco Talos meldete am Montag, dass bisher keine signifikanten Auswirkungen erkennbar seien. “Derzeit gibt es keinen bedeutsamen Anstieg der Cyber-Aktivität von staatlich geförderten Gruppen”, so Talos.
Sophos verzeichnete am 2. März einen Anstieg von Hacktivisten-Aktivität, warnt aber, dass Behauptungen über kompromittierte kritische Infrastruktur nicht verifiziert seien.
Check Point berichtete, dass einige Regierungsakteure wie Cotton Sandstorm alte Hacktivisten-Personas reaktiviert haben. Hudson Rock, spezialisiert auf Infostealer-Malware-Intelligence, meldete, dass viele behauptete Datenpannen gefälscht sind.
Obwohl möglicherweise manche Berichte übertrieben sind, unterstreichen die Vorfälle das wachsende Risiko, das von staatlich unterstützten Akteuren ausgeht. Das britische National Cyber Security Centre warnte Organisationen, ihre Sicherheitslage zu überprüfen.
Quelle: SecurityWeek