Mellen argumentiert, dass Staaten im Krieg nicht zwangsläufig zuerst Regierung oder Militär angreifen. Der Privatsektor sei oft das leichtere Ziel, während Unternehmen kaum eine Möglichkeit hätten, zurückzuschlagen. Viele Firmen, die sich selbst nicht als Kriegsziel betrachten, seien es in der Praxis dennoch, sagte sie auf der Veranstaltung im vergangenen Monat.
Ein Maßstab dafür, wer aus Sicht des humanitären Völkerrechts als militärisches Ziel gelten kann, findet sich laut Horowitz in den Genfer Konventionen von 1977. Dort werden Objekte als militärische Ziele beschrieben, wenn sie „aufgrund ihrer Beschaffenheit, ihres Standorts, ihrer Zweckbestimmung oder ihrer Verwendung wirksam zu militärischen Handlungen beitragen und deren vollständige oder teilweise Zerstörung, Einnahme oder Neutralisierung unter den zu diesem Zeitpunkt herrschenden Umständen einen eindeutigen militärischen Vorteil bietet“.
Für Mellen ist ein Teil der Ableitung daraus eindeutig: „Wenn man einen Vertrag mit dem Militär hat, ist man ein Ziel.“ Die Gegenseite wolle Lieferketten zum US-Militär unterbrechen oder ihm zumindest auf irgendeine Weise schaden. Doch selbst Organisationen ohne direkte Verbindung zu Militär oder Staat könnten für einen passenden Nationalstaat als militärisches Ziel erscheinen.
Als Beispiel nennt der Bericht Stryker. Das Unternehmen liefert medizinische Ausrüstung und Patientensysteme an verschiedene Teilstreitkräfte der USA und wurde von Handala attackiert, einer iranischen hacktivistischen Gruppe mit Verbindungen zum Ministerium für Nachrichtenwesen und Sicherheit des Landes, dem MOIS. Horowitz verweist in diesem Zusammenhang darauf, dass bewaffnete Konflikte heute nicht mehr getrennt von ziviler Infrastruktur stattfinden. Wie Brücken oder Eisenbahnen gleichzeitig militärischen und zivilen Zwecken dienen können, gelte das auch für digitale Infrastruktur. Damit geraten neutrale Organisationen und ihre Kunden mit in die Schusslinie.
Horowitz warnt zudem vor der Abhängigkeit von digitalen Dienstleistern. Wenn etwa ein kommunaler Energieversorger ein Cloud-System nutzt, das zugleich Unterstützung für einen vorgeschobenen Militärstützpunkt leistet, stelle sich die Frage, ob Anbieter und Kommune ihre eigene Exponierung überhaupt richtig einschätzen. Laut Bericht haben Militärs bereits gezeigt, dass sie digitale Dienstleister angreifen — sogar mit kinetischen Schlägen — mit Folgen für nachgelagerte Kunden.
Neben der direkten Schwächung gegnerischer Streitkräfte führen laut Mellen und Horowitz weitere Interessen dazu, dass mehr Organisationen als plausible Ziele erscheinen. Angriffe auf Firmen politisch exponierter Personen können propagandistischen Wert haben. Attacken auf Lieferkettenanbieter wie M.E.Doc oder auf beliebige andere Unternehmen können Unruhe in der Wirtschaft eines Gegners stiften und politischen Druck aus der Bevölkerung erzeugen.
Als zusätzlichen Risikofaktor hebt der Bericht die im März 2026 veröffentlichte Direktive „Cyber Strategy for America“ der Trump-Regierung hervor. Gleich zu Beginn heißt es dort, die USA würden über die bloße Verteidigung amerikanischer Organisationen hinaus „das gesamte Spektrum defensiver und offensiver Cyberoperationen der US-Regierung einsetzen“. Ohne die grundsätzliche Frage von Gegenangriffen zu bewerten, meint Mellen, dies werde die Herangehensweise anderer Länder an ihre Cyberoperationen verändern. Staaten könnten stärker austesten, wie weit Angriffe auf den Privatsektor getrieben werden können, bevor sie als Eskalation gelten.
Beide Experten raten Organisationen deshalb, geopolitische Verschiebungen und deren mögliche Folgen fortlaufend zu bewerten. Dazu gehöre auch, Erkenntnisse praktisch umzusetzen: durch Investitionen in Cybersicherheit und physische Sicherheit oder durch kleinere Maßnahmen, die eine Organisation für staatliche Angreifer weniger attraktiv machen. Horowitz empfiehlt Dienstleistern, zivile und öffentliche Angebote voneinander zu trennen und Rechenzentren nicht in der Nähe militärischer Standorte zu platzieren. Mellen rät Unternehmen außerdem, genau zu prüfen, mit welchen Kunden sie sich öffentlich in Verbindung bringen. Schon der Verzicht darauf, das US-Militär auf der eigenen Website als Referenz zu nennen, könne die Sichtbarkeit als Ziel verringern. Für kleine und mittlere Unternehmen sei nicht jede Vorsichtsmaßnahme realistisch, sie könnten ihre Sicherheitslage aber mit Unterstützung spezialisierter Anbieter verbessern und so mehr Transparenz über dieses Risiko gewinnen.
