Die Grundlast an Cyberbedrohungen hat sich klar erhöht, sagt CypherLeak-Chef Mohamed Amine Belarbi. „Der Konflikt hat einen echten Mobilisierungseffekt ausgelöst — Hacktivisten, opportunistische Cyberkriminelle und iran-nahe Akteure haben jetzt einen politischen Auslöser und eine Zielliste", erklärt er. Man sehe mehr Angriffe, aber auch mehr von jenen Angriffen, die zuvor unterhalb der Wahrnehmungsschwelle geblieben seien.
Der Konflikt hat den Nutzen von Cyberoperationen weiter vergrößert. Sowohl Iran als auch Israel — und vermutlich auch die USA — haben kompromittierte IP-Kameras genutzt, um Erkenntnisse über ihre Gegner zu gewinnen und die Wirkung von Bombardierungen und Raketenangriffen einzuschätzen. Angriffe auf kritische Infrastruktur und Industriesysteme erhöhen weiterhin den Einsatz, auch wenn Verteidiger viele Systeme gehärtet haben, was die Folgen solcher Angriffe verringert.
Ob der Anstieg den militärischen Konflikt überdauert, ist offen, sagt Austin Warnick, Leiter des Teams für nationale Sicherheitsaufklärung beim Threat-Intelligence-Anbieter Flashpoint. Üblicherweise folge auf ein größeres geopolitisches Ereignis im Nahen Osten ein Anstieg der Angriffe, der mit nachlassenden Spannungen wieder abebbe. Angesichts der aktuellen Lage sei es jedoch möglich, dass das Grundniveau selbst nach einem vollständigen Ende des Konflikts höher liege als zuvor — als eine Art „neue Normalität".
In ihrer Analyse der Cyber-Bereitschaft der VAE fand CypherLeak kaum Belege für erfolgreiche zerstörerische Angriffe auf kritische Infrastruktur. Allerdings richten Angreifer ihren Fokus laut Belarbi verstärkt auf zentrale Wirtschaftsbereiche wie Finanzen, Telekommunikation, Luftfahrt, Strafverfolgung und energienahe Infrastruktur. Ein wirklich schädlicher Angriff sähe nicht wie eine Website-Verunstaltung aus, sagt er, sondern wie eine Störung von Identitäts- und Zugangssystemen, der Zahlungsabwicklung, der Hafenlogistik, des Flugbetriebs, des Telekom-Routings oder cloud-abhängiger Behördendienste.
Mehrere Länder der Region — vor allem die VAE und Saudi-Arabien — sind deutlich besser darin geworden, Bedrohungen zu erkennen und zu blockieren. Diese verbesserte Sichtbarkeit dürfte sowohl die Zahl der entdeckten Angriffe nach oben treiben als auch deren Wirkung verringern.
Die Angriffe könnten zudem einer Druckkampagne ähneln, mit der die Golfstaaten zu einem für Iran günstigeren Verhandlungsergebnis bewegt werden sollen, sagt Alexis Rapin, Cyber-Bedrohungsanalyst beim Sicherheitsunternehmen ESET. Indem Teheran den Golfstaaten Schwierigkeiten bereite, hoffe es letztlich, dass diese ihre amerikanischen Verbündeten zu einem Abkommen drängten, das eher Irans Wünschen entspreche.
Während Verteidiger zunehmend KI zur Sichtung von Erkennungen einsetzen, bleibt laut ESET menschliche Arbeit für weite Teile der Erkennung und Behebung nötig. Auch Angreifer greifen auf KI zurück, was oft jedoch „schlecht gemachte und ausgeführte Angriffe" zur Folge habe, sagt Adam Burgher, Senior Threat Intelligence Analyst bei ESET. KI senke die Kosten von Cyberoperationen und verschaffe Angreifern derzeit vor allem einen Skalierungs-, aber keinen Qualifikationsvorteil, ergänzt Belarbi: Sie mache mittelmäßige Angreifer schneller, nicht zu Spitzenakteuren. Das eigentliche Risiko für die Golfstaaten sei die schiere Menge — überzeugenderes Phishing, mehr automatisiertes Abtasten und mehr falsche Behauptungen über Datenlecks.
Die schwerwiegendste Bedrohung besteht laut Burgher schon länger: Iran ist für den Einsatz von Wiper-Malware zur Störung des Betriebs bekannt. Bedrohungsakteure in der Golfregion gingen aggressiv dabei vor, Schwachstellen aufzuspüren und auszunutzen — etwa eine ungepatchte Anwendung auf einem Webserver. Ein solides Patch-Management sei daher von entscheidender Bedeutung für die Verteidigung.