Die Ankündigungen klingen dramatisch: Massive Datenlecks bei Energieunternehmen, lahm gelegte Regierungssysteme, koordinierte Cyberoffensiven. Doch Cybersicherheitsanalysten warnen vor einer grundsätzlichen Diskrepanz zwischen dem, was iranische Hacktivist-Gruppen behaupten, und dem, was sie tatsächlich erreichen.
Ein Paradebeispiel ist die Gruppe “Nasir Security”, die sich im März 2025 in den Konflikt einmischte. Sie prangerte an, drei große Ölkonzerne geknackt zu haben: die VAE-Firma Dubai Petroleum, das omanische Unternehmen CC Energy und Al Safi aus Saudi-Arabien. Dies hätte bedeutet, dass iranische Cyberakteure parallel zu Luftangriffen auch Ausfallsicherheitsgewinne in der digitalen Sphäre hätten. Doch die Realität ist eine andere.
Wie Shawn Loveland vom Sicherheitsunternehmen Resecurity erklärte, hat Nasir Security bewusst übertrieben. Die Gruppe attackierte nicht die Konzerne selbst, sondern deren Lieferkettenpartner – Auftragnehmer aus den Bereichen Engineering, Sicherheit und Konstruktion. Diese sind einfacher zu hacken und speichern oft Engineering-Dokumente und interne Dateien. Dies ist typisches “low-hanging fruit” für Geschäftsmails-Kompromittierung und Account-Übernahmen. Die gestohlenen Dokumente nutzte die Gruppe dann, um die Legitimität ihrer Durchbruchklaims zu unterstreichen.
Im Fall von Dubai Petroleum behauptete Nasir Security, über 413 Gigabyte exfiltriert zu haben. Tatsächlich stammten die gezeigten Dateien von Drittanbietern und waren nur ein paar interne Reports und Karten. Die Strategie ist psychologisch: Sie schafft Verunsicherung und Verwirrung und zwingt Organisationen zu aufwendigen Reaktionen.
Andere Gruppen wie “313 Team” nutzten ähnliche Taktiken. Sie behaupteten, Regierungssysteme in Bahrain und Kuwait lahmgelegt zu haben. Recherchen deuten jedoch darauf hin, dass die tatsächlichen Auswirkungen minimal waren oder die Angriffe anderen Gruppen zuzuordnen sind.
Die Fachleute sind sich uneinig über die tatsächliche Bedrohung. Einige wie Matt Hull vom NCC Group betonen, dass Iran eine “Electronic Operations Room” zur Koordination von Cyberoperationen aufgebaut hat und dass auch minimale Angriffe zusammen eine massive Belastung für Abwehrkräfte bedeuten. Andere wie Loveland argumentieren, dass es sich primär um Desinformation handelt.
Für deutsche Unternehmen und Behörden ist das Wichtigste: Die Bedrohungen sind real, aber ihre Konsequenzen oft übertrieben. Sorgfältige Cyber-Hygiene und kritische Bewertung von öffentlichen Angaben zum Sicherheitsstatus bleiben essentiell.