Die Cyberfähigkeiten Israels und Irans haben sich über zwei Jahrzehnte in einer Art stillen Rüstungswettlauf entwickelt. Beide Staaten betrachten den digitalen Raum längst nicht mehr nur als Nebenbühne militärischer oder politischer Auseinandersetzungen, sondern als eigenständiges Operationsfeld mit unmittelbarem Einfluss auf nationale Sicherheit, wirtschaftliche Stabilität und geopolitische Handlungsfreiheit. Dabei spiegelt der Cyberkonflikt zentrale Merkmale ihrer Rivalität wider: hohe wechselseitige Bedrohungswahrnehmung, asymmetrische Taktiken und eine bewusste Nutzung von Ambiguität und Deniability.
Hinweis: In meiner fachlichen Publikation „Cyberwar, Hackbacks und Desinformation – Juristische und technische Implikationen unklarer Begriffe“, erschienen bei Juris im AnwZert ITR 3/2025, gehe ich aus juristischer Sicht den Fragen rund um Cyberwar auf den Grund. Der Beitrag wurde zuletzt im März 2026 aktualisiert.
Israel: hochintegrierte Cyberarchitektur mit globalem Anspruch
Israel hat seit den 2000er Jahren eine institutionell eng verzahnte Cyberinfrastruktur aufgebaut. Schlüsselfiguren wie die militärische Unit 8200 und das Israel National Cyber Directorate bilden das Rückgrat einer Architektur, die sowohl offensive als auch defensive Fähigkeiten koordiniert. Technologisch stützt sich Israel auf eine enge Verzahnung von Sicherheitsapparat und zivilem Technologiesektor. Die Innovationskraft der „Start-Up-Nation“ wird gezielt in militärische Anwendungen überführt, wodurch Israel eine beachtliche Bandbreite an Werkzeugen für digitale Aufklärung, Präventivschläge und Abwehrmaßnahmen unterhält.
Historisch sticht besonders der Stuxnet-Angriff hervor, der den iranischen Nuklearkomplex kompromittierte und als Wendepunkt für Cyberwaffen gilt. Seither finden wiederholt offensive Operationen statt, deren Urheberschaft in Expertenkreisen Israel zugeschrieben wird, ohne dass dies je offiziell bestätigt wird. Zugleich legt Israel großen Wert auf den Schutz kritischer Infrastrukturen: Angriffe auf Wasser- oder Energiesysteme konnten in mehreren Fällen frühzeitig erkannt und eingedämmt werden. Die stetige Weiterentwicklung digitaler Resilienz gilt als politisches und wirtschaftliches Schutzversprechen an die eigene Bevölkerung.
Lage 2026: Stand Anfang 2026 haben sich die Linien iranischer Cyberaktivität weiter geschärft. Nach dem gemeinsamen Militärschlag von USA und Israel gegen Ziele in Iran und der massiven Störung iranischer Kommunikations‑ und Regierungsnetze beobachten Analysten zwei Ebenen: Einerseits wurden zentrale iranische Cyber‑ und Führungskapazitäten durch Operationen wie „Epic Fury“ bzw. „Roaring Lion“ und begleitende Angriffe auf Infrastruktur, Satellitenübertragungen und Internet‑Konnektivität deutlich geschwächt. Berichte sprechen von zeitweiser Netzverfügbarkeit von nur wenigen Prozent und einem weitgehenden digitalen Blackout, der die Koordination staatlicher Cyberoperationen aus Iran heraus erschwert. Andererseits ist in der Folge ein deutlicher Anstieg von Aktivitäten staatsnaher und pro‑iranischer Hacktivistengruppen außerhalb Irans zu beobachten – von Website‑Defacements über DDoS‑Angriffe bis hin zu Hack‑and‑Leak‑Kampagnen gegen kritische Infrastrukturen in Israel, Jordanien und den Golfstaaten.
Iran: evolutionäre Anpassung im Zeichen asymmetrischer Kriegsführung
Im Gegensatz zu Israel ist Irans Cyberapparat deutlich heterogener gewachsen. Die formative Erfahrung für Teheran war neben innerer Dissidenz vor allem die konfrontative Erfahrung mit Stuxnet. Seither wurde die Cyberstrategie Teil einer breiter angelegten asymmetrischen Doktrin, die auf den Einsatz von Proxy-Gruppen, verdeckter Einflussnahme und schwer nachweisbarer Sabotage setzt.
Ich beschäftige mich mit Blick auf meine Tätigkeit im Bereich Cybercrime & Cybersecurity aus eigenem Interesse auch mit den Themen Internationales Hacking, Cyberwar & Desinformation. Dazu lese ich seit Jahren mit viel Zeitaufwand frei verfügbare Forschungsarbeiten und Dossiers, etwa vom ETH Zürich, BfVS, BND & sonstigen Ministerien – aber auch von CIA, EU-Parlament & NATO. Auf keinen Fall bin ich ein Experte, die Beiträge speziell im Rahmen „Internationales Hacking“ und „Cyberwar“ hier auf der Webseite sind schlicht Ausfluss beschriebener Arbeitsweise.
Iran verfügt über mehrere Akteure, die sich teils unter staatlicher Kontrolle, teils als semi-autonome Hackergruppierungen positionieren. Bekannte Beispiele sind die Iranian Cyber Army oder Gruppen wie „Cyber Fattah Team“ und „Anonymous Iran“. Diese führen Angriffe aus, die von Website-Defacements bis hin zu gezielten Attacken auf Infrastrukturen oder Datenlecks reichen. Im Vergleich zu Israel sind Irans offensive Mittel oft technisch weniger komplex, entfalten aber durch Masse und psychologische Wirkung politische Relevanz. Neben Sabotage fokussiert Iran stark auf Desinformationskampagnen und Informationsoperationen zur Meinungsbeeinflussung.
Gemeinsame Trends, unterschiedliche Stärken
Beide Staaten nutzen den Cyberraum, um ihre strategischen Interessen durchzusetzen, ohne notwendigerweise physische Eskalationsstufen zu überschreiten. In Konfliktphasen zeigt sich jedoch ein bemerkenswertes Muster: Während auf der Ebene von Drohnenangriffen, Raketenbeschuss oder Luftschlägen schnell Eskalation sichtbar wird, spielen Cyberangriffe oft eine taktische, weniger öffentlich wahrnehmbare Rolle. Der Grund liegt teils in der hohen Abwehrfähigkeit beider Seiten, teils in der Kalkulation, dass große Störungen an kritischen Infrastrukturen schwer kontrollierbare Folgereaktionen nach sich ziehen könnten.
Bekannt gewordene Angriffe wie der Versuch Irans, israelische Wasserwerke zu manipulieren, oder Israels wiederholte digitale Sabotage iranischer Nuklearanlagen, zeigen das Potenzial für weitreichende Schäden. Doch die Wirksamkeit größerer, breitflächiger Cyberoffensiven scheint derzeit durch hochentwickelte Verteidigungsmechanismen und politische Erwägungen eingehegt zu sein.
Staatliche Hacker im Überblick
Wir beschäftigen uns mit Cyberrisks – dazu gehört auch das Thema Cyberwar, wozu zahlreiche Informationen auf unserer Seite finden. Insbesondere bieten wir eine Artikelserie zum staatlichen Hacking: Zu den bedeutsamsten internationalen Akteuren gehören vor allem staatliche Akteure aus Russland, China und Iran. Diese Länder setzen verschiedene Taktiken ein, um ihre geopolitischen Interessen zu fördern und die Stabilität der europäischen Demokratien zu untergraben. Die Aktivitäten in diesem Bereich zumindest im Grundsatz zu verstehen ist eine wichtige Grundlage um Zugang zur Cyberspionage oder auch der Notwendigkeit von Cyber-Diplomatie zu erhalten!
Neben den im Folgenden benannten Hauptakteuren gibt es auch andere Länder und nichtstaatliche Akteure, die versuchen, Wahlen in Europa zu beeinflussen. Dazu gehören beispielsweise Gruppen, die im Auftrag von Regierungen oder aus eigenem Interesse handeln, um bestimmte politische Agenden voranzutreiben. Diese Akteure nutzen eine Vielzahl von Methoden, darunter Cyberangriffe, Desinformation, wirtschaftlichen Druck und diplomatische Manöver, um ihre Ziele zu erreichen. Die Europäische Union und ihre Mitgliedstaaten stehen vor der Herausforderung, diese Bedrohungen zu erkennen und abzuwehren, um die Integrität ihrer demokratischen Prozesse zu schützen. Losgelöst zu dieser Thematik gibt es inzwischen bei uns auch einen Beitrag zu den Cyberfähigkeiten Israels.
Russland
Russland ist bekannt für seine umfangreichen Desinformationskampagnen und Cyberangriffe, die darauf abzielen, das Vertrauen in demokratische Prozesse zu schwächen. Zu den bekanntesten Beispielen gehört die Beeinflussung der US-Wahlen 2016 sowie die Versuche, die Brexit-Abstimmung zu beeinflussen. Russische Akteure nutzen häufig Social-Media-Plattformen, um falsche Informationen zu verbreiten und gesellschaftliche Spaltungen zu vertiefen.
China
China setzt zunehmend auf Cyberangriffe und Desinformationskampagnen, um seinen Einfluss in Europa auszubauen. Chinesische Hackergruppen sind dafür bekannt, Wirtschaftsspionage zu betreiben und sensible Informationen zu stehlen, die dann genutzt werden können, um politische Entscheidungen zu beeinflussen. Zudem versucht China, durch die Verbreitung von pro-chinesischen Narrativen in den Medien die öffentliche Meinung in Europa zu manipulieren.
Iran
Iranische Akteure nutzen ebenfalls Desinformationskampagnen und Cyberangriffe, um ihre geopolitischen Ziele zu verfolgen. Diese Kampagnen zielen oft darauf ab, die Politik der USA und ihrer Verbündeten in Europa zu destabilisieren. Iranische Hackergruppen greifen dabei auf ähnliche Techniken zurück wie ihre russischen und chinesischen Gegenstücke.
Nordkorea
Nordkorea ist ein weiterer internationaler Akteur, der versucht, durch Cyberaktivitäten Einfluss auf Wahlen und politische Prozesse weltweit zu nehmen, einschließlich in Europa. Während Nordkorea im Vergleich zu Russland, China und Iran weniger im Fokus steht, gibt es dennoch bedeutende Aktivitäten, die von nordkoreanischen Akteuren ausgehen. Nordkorea nutzt auch Desinformation, um seine geopolitischen Ziele zu fördern und politische Unruhen zu schüren. Während es weniger dokumentierte Fälle von direkter Wahlbeeinflussung durch Nordkorea gibt, nutzt das Regime dennoch Cyberoperationen, um politischen Druck auszuüben und seine Interessen zu wahren, etwa durch Veröffentlichung von kompromittierenden Informationen über politische Kandidaten oder die Verbreitung von Propaganda.
Technisches Repertoire
Aktuelle Threat‑Intelligence‑Berichte zeichnen iranische Gruppen noch deutlicher als Identitäts‑ und Kampagnenakteure, die ihre Schlagkraft aus Disziplin, Wiederverwendbarkeit und Skalierung ziehen. Statt auf seltene Zero‑Day‑Exploits zu setzen, dominieren Passwort‑Spraying, gut orchestrierte Phishing‑Kampagnen, das Ausnutzen fehlerhaft konfigurierter Cloud‑Dienste und die hijacking‑artige Nutzung legitimer Verwaltungszugänge. Sicherheitsforscher fassen eine Reihe staatlich gesteuerter Gruppen inzwischen unter der Sammelbezeichnung „Serpens“ zusammen und beschreiben ein Spektrum, das von reiner Informationsbeschaffung (etwa bei politischen Entscheidungsträgern und kritischer Infrastruktur) bis zu destruktiven Wiper‑Angriffen reicht, die gezielt eingesetzt werden, um politische Botschaften zu verstärken. Parallel dazu ist eine deutliche Zunahme pro‑iranischer Hacktivistenkollektive zu beobachten – etwa der Cyber Islamic Resistance oder Handala – die mit vergleichsweise einfachen Mitteln Zahlungsinfrastrukturen, Regierungswebsites und Überwachungskameras angreifen und so die politische Botschaft staatlicher Operationen in den digitalen Raum verlängern.
Ausblick
Im Moment wirkt der Cyberraum präsent, aber nicht dominierend, was ich für ein deutliches Signal halte: Beide Seiten sehen digitale Operationen derzeit vor allem als Ergänzung zur klassischen Gewalt, nicht als deren Ersatz. Wer militärisch massiv unter Druck steht, setzt seine knappen, über Jahre aufgebauten Zugänge nicht leichtfertig in einem Moment ein, in dem die Gegenseite zugleich maximal wachsam ist. Insofern ist die aktuelle relative Zurückhaltung für mich weniger ein Zeichen von Schwäche als ein Hinweis darauf, dass Cyberfähigkeiten in der strategischen Reserve bleiben und selektiv eingesetzt werden, etwa zur Aufklärung, zur Störung gegnerischer Wahrnehmung oder zum punktuellen Setzen politischer Signale.
Auf mittlere Sicht sehe ich Israel und Iran als zwei sehr unterschiedliche Cybermächte, die sich dennoch wechselseitig stabilisieren. Israel ist technisch, organisatorisch und operativ in vielen Bereichen den üblichen Benchmark‑Staaten des Westens ebenbürtig, in einigen Segmenten überlegen. Für Teheran bleibt gerade diese Professionalität der Maßstab, an dem eigene Fähigkeiten gemessen werden – und ein ständiger Anreiz, Lücken im israelischen und westlichen Verteidigungsgefüge zu suchen, die sich mit vergleichsweise einfachen Mitteln ausnutzen lassen. Die Asymmetrie, mit der Iran vorgeht, ist dabei kein Mangel, sondern Teil des Konzepts: Statt auf eine homogene, hierarchische Cyberstruktur zu setzen, wird das Bild bewusst durch Staatsakteure, Geheimdienst‑Offensivteams, Söldnerstrukturen und ideologisch motivierte Hacktivisten verwischt.
Für Unternehmen und staatliche Stellen im Westen ist diese Gemengelage unbequemer als ein klarer „Staatsgegner“. Je stärker sich Aktivitäten auf lose angebundene Gruppen verlagern, desto schwieriger wird es, Signale richtig zu deuten: Ist ein Angriff Teil einer staatlich orchestrierten Kampagne oder opportunistische Trittbrettfahrerei? In der Praxis spielt diese Unterscheidung zwar für den unmittelbaren Schaden nur eine begrenzte Rolle, für die politische und strafrechtliche Einordnung aber sehr wohl. Ich gehe davon aus, dass wir in den kommenden Jahren häufiger hybride Szenarien sehen werden, in denen staatliche Stellen bewusst mit halbautonomen Kollektiven arbeiten – mit allen Folgewirkungen für Attribution, Abschreckung und mögliche Gegenmaßnahmen.
Vor diesem Hintergrund wirkt das Gepoltere vom „entscheidenden Cyberangriff“, der einen Konflikt im Alleingang dreht, auf mich zunehmend realitätsfern. Viel wahrscheinlicher ist eine schleichende Normalisierung: Cyberoperationen werden weiter in den Alltag geopolitischer Auseinandersetzungen einsickern, ohne spektakuläre „Kill Switches“, dafür mit stetigen Störungen, Datenabflüssen und punktuellen Sabotagen. Die spannende – und offene – Frage ist, ob Verteidigungsseite und Regulierung diesen Trend so einhegen können, dass er zwar unbequem bleibt, aber berechenbar; oder ob wir irgendwann doch einen Moment erleben, in dem mehrere bislang stille Zugänge gleichzeitig ausgenutzt werden und ein Konflikt dadurch eine unerwartete Wendung nimmt.
Ich persönlich halte es für verantwortungsvoller, in der Kommunikation nüchtern zu bleiben. Es braucht weder den Mythos der allmächtigen Cyberwaffe noch die Beschwichtigung, digitale Angriffe seien nur „Begleitmusik“. Wer sich ernsthaft mit der Lage auseinandersetzt, kommt eher zu einem pragmatischen Bild: Cyberoperationen sind heute ein dauerhaftes Instrument staatlicher Machtprojektion. Sie entscheiden Konflikte selten allein, verschieben aber die Kosten, Risiken und Zeitachsen – und gerade deshalb werden sie uns in der sicherheitspolitischen Praxis noch lange beschäftigen.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- KI-Agenten als Innentäter: Wie OpenClaw & Co. zum Haftungs- & Sicherheitsrisiko werden - 14. März 2026
- Retrograde Telegram-Überwachung als Quellen-TKÜ - 13. März 2026
- Cyber Resilience Act als Ende der analogen Fabrik - 11. März 2026
