Slowiks zentrale These lautet, dass „Unauffälligkeit“ kein Schutz ist. Wer über digital erreichbare Systeme und eine aus dem Internet sichtbare Schwachstelle verfügt, kann ins Blickfeld mehrerer Bedrohungsakteure geraten. Iran-nahe Gruppen träten dabei häufig unter dem Etikett des Hacktivismus auf, suchten aber in der Praxis vor allem nach leicht angreifbaren Zielen. Statt aufwendig ausgewählte Opfer zu verfolgen, durchkämmten sie erreichbare Systeme und nutzten einfache Gelegenheiten.

Dazu gehörten nach Slowiks Darstellung etwa offen erreichbare speicherprogrammierbare Steuerungen oder ungepatchte VPN-Systeme. Viele Unternehmen unterschätzten, wie viel ihrer Infrastruktur extern zugänglich sei und wie wenig nötig sei, um diese Angriffsfläche auszunutzen. Beim Angriff auf Stryker sei der Zugang vermutlich durch Zugangsdaten ermöglicht worden, die über verbreitete Schadsoftware gestohlen und über illegale Kanäle zum Verkauf angeboten wurden. Gerade dieser Aspekt unterstreiche den opportunistischen Charakter solcher Operationen.

Laut Slowik werden Iran-bezogene Cyberoperationen in der öffentlichen Wahrnehmung oft entweder als bevorstehende Katastrophe oder als belanglose Vorfälle wie eine Dienstblockade oder eine verunstaltete Website behandelt. Beides greife zu kurz. Auch ein vermeintlich wenig ausgefeilter Angriff könne Schwachstellen sichtbar machen, die in den Händen anderer Akteure deutlich schwerere Folgen hätten.

Das zeige sich besonders bei Vorfällen mit Bezug zu Operational Technology. Angreifer gelangten typischerweise über alte Exploits oder Standardzugangsdaten auf extern exponierten Systemen in Netzwerke. Zwar begrenzten Sicherheitsmechanismen für physische Abläufe und technische Randbedingungen oft, was sich dort konkret anrichten lasse. Dennoch veröffentlichten Angreifer anschließend etwa kontextlose Bildschirmfotos von Geräten auf Telegram und stellten dies als Angriff auf Infrastruktur dar. Für Slowik ist der entscheidende Punkt weniger die unmittelbare Wirkung als die Tatsache, dass die Schwachstellen real und für weitere Akteure nutzbar bleiben.

Als Gegenmaßnahmen nennt die Analyse mehrere Prioritäten. Zuerst müsse klar sein, welche Systeme aus dem Internet tatsächlich erreichbar sind, denn interne Bestandslisten spiegelten diese Sicht oft nicht korrekt wider. Vergessene Fernzugänge und nicht verwaltete Geräte seien besonders häufige Einstiegspunkte. Ebenso wichtig sei die Authentifizierung: Standardkennwörter sowie schwache oder fehlende Multifaktor-Authentifizierung gehörten zu den wiederkehrenden Faktoren in solchen Vorfällen. Für extern erreichbare Systeme sollte laut Slowik mindestens phishing-resistente Multifaktor-Authentifizierung gelten; zudem müssten Systeme ohne MFA identifiziert und Standardzugänge bei OT- oder Fernzugriffslösungen als offenes Einfallstor behandelt werden.

Auch beim Patch-Management sieht Slowik kein Problem hochkomplexer 0-Day-Techniken, sondern vor allem liegen gebliebener Schwachstellen. Als Beispiel verweist er auf CVE-2021-22681, eine fünf Jahre alte Lücke, die bei jüngsten Iran-bezogenen Angriffen in den USA wahrscheinlich als Waffe eingesetzt wurde. Vorrang sollten daher Patches und Härtungsmaßnahmen für extern erreichbare Systeme haben, bevor kritische interne Systeme folgen. Bei OT und verwandten Technologien sollten Wartungsfenster genutzt werden, um Updates nach Möglichkeit einzuspielen.

Hinzu kommen Bedrohungsaufklärung und kontinuierliche Überwachung. Wer verstehen wolle, welche Ziele in einem Sektor angegriffen werden und wie Gruppen ihre Aktionen bekannt machen, müsse die von ihnen genutzten Kanäle wie Telegram und Leak-Seiten beobachten, statt allein auf offizielle Warnhinweise zu warten. Laut Slowik sind solche Aktivitäten bei Veröffentlichung staatlicher Warnungen oft schon seit Wochen im Gang. Parallel müssten Sicherheitsteams auffällige Vorgänge auf extern erreichbaren Systemen rasch erkennen können, etwa ungewöhnliche Anmeldungen, unmögliche Reiseszenarien oder Brute-Force-Versuche. Denn zwischen Erstzugriff und öffentlichem Bekennerschreiben auf Telegram könnten nur wenige Stunden liegen.