Mit jedem großen geopolitischen Ereignis steigt erfahrungsgemäß die schädliche Cyberaktivität, und Forscher wie Berichterstatter verfolgen diese Welle. Der Iran-Krieg ist ein solcher Fall. Laut Bitdefender legte die Rate schädlicher E-Mails an Golfstaaten seit dem 28. Februar um durchschnittlich 130 Prozent zu, blieb erhöht und erreichte in der Spitze nahezu das Vierfache des Vorkriegswerts. Der Anstieg ist also belegt — eine entsprechende Wirkung jedoch nicht.

Als Beispiel dient die Gruppe “Nasir Security”, die trotz häufiger Identitätswechsel als Iran-nah gilt; zuletzt verbündete sie sich mit der Hisbollah sowie mit der alawitischen Bevölkerungsgruppe in Syrien. Nach ihrem Verschwinden im Oktober 2025 trat sie am 10. März wieder in Erscheinung. In den folgenden zwei Wochen behauptete sie, drei Öl- und Gasunternehmen kompromittiert zu haben: das Unternehmen Dubai Petroleum aus den Vereinigten Arabischen Emiraten, CC Energy aus dem Oman sowie Al Safi, einen kleineren Tankstellenbetreiber aus Saudi-Arabien.

Tatsächlich seien diese Behauptungen stark übertrieben, erklärt Shawn Loveland, COO von Resecurity. Die Gruppe greife in Wirklichkeit Zulieferer aus den Bereichen Ingenieurwesen, Sicherheit und Bau an. Die digitalen Identitätsdaten solcher Vertragspartner seien ein einfaches Ziel für Business E-Mail Compromise (BEC) und Kontoübernahme (ATO); die dort gespeicherten technischen Unterlagen würden anschließend genutzt, um einen vermeintlichen Einbruch beim Energiekonzern selbst zu behaupten.

Im Fall von Dubai Petroleum habe Nasir Security zwar gelogen, mehr als 413 GB erbeutet zu haben, laut Resecurity aber tatsächlich einige echte interne Berichte, Karten und Pläne von einem Vertragspartner gestohlen. Diese Dokumente dienten vor allem dazu, die angebliche Datenpanne auf der eigenen Website glaubwürdig erscheinen zu lassen. Solche Taktiken zielten darauf, mit echten Dokumenten Dritter und der aufwendigen Aufklärung Unsicherheit zu stiften und irreführende Narrative zu verbreiten, so Loveland.

Nicht alle Gruppen hinterlassen überprüfbare Spuren. Behauptungen über Denial-of-Service-Angriffe oder “Defacements” lassen sich schwer widerlegen oder weit auslegen. Pascal Geenens, Vice President für Cyber Threat Intelligence bei Radware, weist darauf hin, dass “Defacement” von einer vollständigen Kompromittierung bis zum bloßen Posten eines Bildes in einem Kommentarbereich reichen kann; ähnlich verhalte es sich mit Behauptungen über kompromittierte Systeme.

Ein Beispiel ist das “313 Team”, das DoS-Ausfälle bei Regierungs- und Militärdiensten in Bahrain und Kuwait für sich reklamierte. Laut öffentlichen Berichten kam es nur zu geringfügigen Störungen, die teils anderen Gruppen zugeschrieben wurden; Dark Reading kann die Vorfälle nicht unabhängig bestätigen.

“Bei Hacktivismus ist die Behauptung selbst Teil des Angriffs”, sagt Justin Moore von Palo Alto Networks’ Unit 42. Die Erzählung allgegenwärtiger Aktivität halte die Bedrohung im Nachrichtenkreislauf; für Organisationen liege die Herausforderung im “reputatorischen Nebel des Krieges”, den die Gruppen mit ihren Telegram-Posts gezielt erzeugten.

Gruppen, die als staatliche Stellvertreter gelten, hätten laut Geenens mehr Gewicht als anonyme Kanäle. Als Beispiel für konkrete, bedeutsame Aktivität im März nennt er Handala — eine Operation unter falscher Flagge des iranischen Geheimdienstministeriums MOIS.

Über die Gefährlichkeit herrscht Uneinigkeit. Matt Hull von der NCC Group sieht eine Verschiebung hin zu zerstörerischen Operationen, etwa Angriffe auf kritische Infrastruktur und den Einsatz von Wipern, und misst dem mutmaßlichen “Electronic Operations Room” des Iran zur Koordinierung der Stellvertretergruppen große Bedeutung bei: Selbst kleine Einzelangriffe bänden in Summe Verteidigungsressourcen und dienten als Deckung für ausgefeiltere staatliche Akteure. Loveland hält diese Deutung für zu wohlwollend: Keine der Iran-nahen oder staatlich gesteuerten Gruppen erziele eine nennenswerte Wirkung auf den Konflikt; Iran und seine Stellvertreter inszenierten solche Kampagnen vor allem, um den Eindruck von Cyberangriffen zu erzeugen.