Cybersicherheit 2. März 2026

Der unsichtbare Krieg - Irans Cyber-Offensive nach dem Führungsvakuum

Die Bomben treffen Teheran, aber der Gegenschlag kommt aus Telegram-Kanälen. Ohne zentrale Kommandostruktur führen iranische Proxy-Hacker einen dezentralen Cyberkrieg gegen westliche Infrastruktur. Eine Gebets-App wird zur Waffe, Tankstellen in Jordanien fallen aus, und US-Militärzulieferer verlieren Daten. Der Informationsraum ist die fünfte Front dieses Krieges.

Was gerade passiert

Während US-israelische Kampfjets am 28. Februar 2026 die ersten Bomben auf Teheran warfen, passierte gleichzeitig etwas auf Millionen iranischer Smartphones: Die BadeSaba-Gebets-App - über 5 Millionen Downloads, von gläubigen Iranern täglich genutzt - zeigte plötzlich eine Push-Benachrichtigung: "Hilfe ist eingetroffen!" Die App war gehackt worden und rief zu einer "Volksarmee" auf, die ihre "iranischen Brüder" verteidigen solle. Am nächsten Tag folgten Anweisungen für IRGC-Soldaten zur Kapitulation und sichere Sammelpunkte für Demonstranten.

Der BadeSaba-Hack war eine israelische Psychological Operation (PsyOp) - ein digitaler Erstschlag parallel zum kinetischen. Und er setzte eine Kettenreaktion in Gang.

Innerhalb von Stunden schlug die Gegenseite zurück. Unter dem Dachkanal "Cyber Islamic Resistance" startete eine lose koordinierte Gruppe iranischer Cyber-Operateure die laut der Cyber-Intelligence-Firma Flashpoint "aggressivste Phase" der sogenannten "Great Epic"-Kampagne:

Tankstellen in Jordanien lahmgelegt
US- und israelische Militärzulieferer angegriffen - Datenzerstörung
Psychologische Operationen nach dem Vorbild des BadeSaba-Hacks - diesmal gegen westliche Ziele
Koordination via Telegram und Reddit - Screenshots angeblicher Angriffe als "Beweis"

Das Führungsvakuum und seine Folgen

Hier wird es strategisch brisant. Die US-israelischen Strikes haben nicht nur Irans militärische Führung dezimiert - IRGC-Chef, Armeechef, Verteidigungsminister, Sicherheitsratschef - sondern auch die Kommandostruktur der Cyber-Operationen zerstört.

"The Iranian leadership vacuum is likely going to lead to more unpredictable, decentralized proxy attacks."

- Kathryn Raines, ehemalige NSA-Analystin, jetzt Threat Intelligence Lead bei Flashpoint

Das klingt paradox: Man eliminiert die Führung, und die Bedrohung wird größer? Ja - und das ist kein Widerspruch, sondern eine strukturelle Eigenschaft dezentraler Netzwerke.

Irans Cyber-Ökosystem funktioniert nicht wie eine konventionelle Armee mit klarer Befehlskette. Es ist ein hybrides System aus staatlichen APT-Gruppen (Advanced Persistent Threats) und lose affiliierten Hacktivisten-Gruppen, die in Friedenszeiten unter staatlicher Kontrolle operieren - aber in einer Krise wie dieser autonom handeln können.

"It's in the hands of a 19-year-old hacker in a Telegram room with really no oversight or direction."

- Kathryn Raines, Flashpoint / Fortune, 1. März 2026

Ein Ex-CIA-Direktor bestätigt die Einschätzung:

"Aggressive and creative resistance is baked into the ethos of the Iranian security apparatus. For business leaders, they need to be prepared for this to continue on for some time."

- Brian Carbaugh, CEO Andesite, ehemaliger Direktor des CIA Special Activities Center (SAC)

Irans Cyber-Architektur - staatliche APTs und Proxy-Hacktivisten

Um die aktuelle Bedrohung zu verstehen, muss man Irans Cyber-Ökosystem kennen. Es besteht aus zwei Säulen, die beide unter der Kontrolle des Obersten Führers standen - der jetzt tot ist.

Säule 1 - IRGC (Revolutionsgarden): Militärisch affiliiert, direkt dem Obersten Führer unterstellt. Betreibt das IRGC Cyber-Electronic Command (IRGC-CEC).

Säule 2 - MOIS (Geheimdienstministerium): Zivil, dem Präsidenten unterstellt. Zuständig für Spionage, Auslandsoperationen, Dissidenten-Überwachung.

Beide Säulen betreiben eigene APT-Gruppen:

APT33 (Elfin / Refined Kitten)

IRGC-affiliiert

Ziele: Luft- und Raumfahrt, Energie, Militär. Bekannt für Shamoon-Wiper-Malware (Datenzerstörung). Seit 2013 aktiv. Angriffe auf Saudi Aramco, US-Verteidigungsunternehmen.

APT35 (Charming Kitten)

IRGC-affiliiert

Ziele: Diplomaten, Journalisten, Akademiker, Dissidenten. Spear-Phishing-Spezialisten. Versuchte 2024 beide US-Präsidentschaftskampagnen zu hacken.

APT34 (OilRig)

MOIS-affiliiert

Ziele: Regierungen, Finanzsektor, Telekommunikation im Nahen Osten. Supply-Chain-Angriffe auf israelische IT-Firmen.

MuddyWater

MOIS-affiliiert

Ziele: Regierungen und kritische Infrastruktur in Nahost, Europa, Nordamerika. Nutzt legitime Remote-Admin-Tools für Persistenz.

Unter diesen staatlichen Akteuren operiert ein wachsendes Ökosystem von Hacktivisten-Gruppen: Fatimion Cyber Team, Cyber Fattah, CyberAv3ngers und dutzende weitere. Die Grenze zwischen "unabhängigem Hacktivismus" und staatlicher Operation ist in Iran bewusst verwischt - das CSIS (Center for Strategic and International Studies) beschreibt es als systematische Strategie der "plausible deniability" nach russischem Vorbild.

Das CyberAv3ngers-Muster: 2023 hackten "Hacktivisten" unter dem Namen CyberAv3ngers US-amerikanische Wasserversorgungssysteme und hinterließen die Nachricht: "Down with Israel." Sie gaben sich als ideologisch motivierte Aktivisten aus. Einen Monat später sanktionierte das US-Finanzministerium sechs IRGC-Offiziere als tatsächliche Drahtzieher. Die "Hacktivisten" waren die ganze Zeit Staatsakteure. Iran perfektioniert diese Methode seit einem Jahrzehnt.

Die Eskalation im Juni 2025 - das Dress Rehearsal

Was wir jetzt sehen, ist nicht neu. Im Zwölf-Tage-Krieg (Juni 2025) mobilisierten sich laut einer Analyse von SecurityScorecard über 178 Hacktivisten- und Proxy-Gruppen innerhalb von Stunden nach Beginn der Luftangriffe. Über 250.000 Telegram-Nachrichten wurden ausgewertet - DDoS-Angriffe, Website-Defacements, Datendiebstahl, Aufklärung gegen westliche Ziele.

Damals funktionierte die Kommandostruktur noch. Jetzt nicht mehr.

Was sich verändert hat - März 2026

Der fundamentale Unterschied zwischen Juni 2025 und jetzt:

Juni 2025: Khamenei lebt, IRGC-Führung intakt, Kommandostruktur funktioniert. Cyber-Operationen waren koordiniert, gezielt, kontrolliert.
März 2026: Khamenei tot, IRGC-Chef tot, MOIS-Führung dezimiert. Keine zentrale Befehlsgewalt. Proxy-Gruppen treffen eigene Zielentscheidungen. Koordination läuft über Telegram-Kanäle, nicht über Kommandoposten.

Das Ergebnis ist eine Hydra-Situation: Man hat den Kopf abgeschlagen, aber die Tentakel schlagen wild um sich. Flashpoint warnt, die nächsten 48 Stunden seien eine Phase "extremer Volatilität", in der "Hacktivisten und Proxies die Eskalationsführung übernehmen, um das Vakuum zu füllen, das Teherans zentrales Kommando hinterlassen hat."

Das Zielspektrum

Iranische Cyber-Akteure - ob staatlich oder Proxy - haben in den letzten Jahren ein breites Zielspektrum bewiesen:

Kritische Infrastruktur: Wasserversorgung (USA, 2023), Tankstellen (Jordanien, März 2026), Stromnetze
Militärzulieferer: Datenzerstörung bei US- und israelischen Verteidigungsunternehmen (März 2026)
Finanzsektor: DDoS auf Banken (Operation Ababil, 2012-2013)
Energiesektor: Saudi Aramco Shamoon-Angriff (2012) - 35.000 Computer gelöscht
Psychologische Operationen: BadeSaba-Gegenschlag, Social-Media-Manipulation
NGOs und Dissidenten: RedKitten-Kampagne (Januar 2026) - Menschenrechtsorganisationen mit Macro-Dokumenten angegriffen

Brian Carbaugh (Ex-CIA) formuliert die Logik: Je stärker die konventionellen militärischen Fähigkeiten Irans degradiert werden, desto attraktiver werden Cyberangriffe - low-cost, schwer zuordenbar, und fähig, überproportionalen psychologischen und operativen Schaden anzurichten.

Die BadeSaba-Lektion - und warum Unternehmen nicht vorbereitet sind

Der BadeSaba-Hack illustriert eine Angriffsform, auf die laut Flashpoint die meisten Unternehmen nicht vorbereitet sind: nihilistische psychologische Operationen, die nicht auf Datendiebstahl oder Erpressung abzielen, sondern auf die mentale Destabilisierung der Zielgruppe.

Eine kompromittierte App, die Millionen Menschen im Moment eines Bombenangriffs eine Push-Nachricht schickt - das ist keine Ransomware. Das ist eine Waffe, die Vertrauen zerstört. Und genau diese Methode können iranische Proxy-Gruppen jetzt umgekehrt gegen westliche Ziele einsetzen.

Raines (Flashpoint): "Companies aren't really prepared for what I'll call nihilistic psychological operations that are really meant to target the mental state and trust of their workforce."

Der Claude-Ausfall - Zufall oder Signal?

Am 2. März 2026, gegen 12:30 MEZ, fiel die KI-Plattform Claude von Anthropic weltweit aus. Bloomberg, BleepingComputer und Downdetector meldeten tausende betroffene Nutzer. Anthropic bestätigte den Ausfall, nannte aber keine Ursache.

Ist das relevant? Möglicherweise. Zwei Szenarien:

Szenario 1 - Lastspitze: Millionen Nutzer weltweit analysieren den Iran-Krieg mit KI-Tools. Die Nachfrage explodiert. Infrastruktur kippt. Harmlos, erklärbar, wahrscheinlich.

Szenario 2 - Cyberangriff: Ein DDoS auf US-AI-Infrastruktur wäre exakt das Profil einer dezentralen Proxy-Attacke: niedrige Kosten, hohe Sichtbarkeit, schwer zuordenbar. Anthropic sitzt in San Francisco. Die "Cyber Islamic Resistance" hat kein zentrales Kommando mehr, das solche Ziele genehmigen oder ablehnen würde.

sipol.at-Einordnung: Wir haben keinen Beweis für Szenario 2. Es wäre unverantwortlich zu behaupten, der Claude-Ausfall sei ein iranischer Cyberangriff. Aber es wäre ebenso fahrlässig, die Möglichkeit auszuschließen - in einer Phase, in der Flashpoint und Ex-NSA-Analysten explizit vor "extremer Volatilität" und "unvorhersehbaren dezentralen Proxy-Angriffen" warnen. Die Wahrheit ist: Solange Anthropic keine Ursache nennt, bleibt es offen. Und genau diese Ambiguität - die Unfähigkeit, Angriff von Zufall zu unterscheiden - ist Teil der Wirkung.

Was das für Europa und Österreich bedeutet

Europa ist nicht vorbereitet. Der Blackout-Artikel, den sipol.at bereits publiziert hat, beschreibt Österreichs strukturelle Verwundbarkeit bei kritischer Infrastruktur. Die Cyber-Dimension verschärft das Problem massiv:

Keine zentrale Cyber-Verteidigungsstruktur: Österreichs Bundesheer hat ein Cyber-Kommando, aber die zivile kritische Infrastruktur (Strom, Wasser, Telekom) liegt großteils in privater Hand mit heterogenen Sicherheitsstandards.
Supply-Chain-Verwundbarkeit: Österreichische Unternehmen in der Verteidigungsindustrie (Steyr, GDELS) sind potentielle Ziele, wenn iranische Proxies Militärzulieferer angreifen.
Dezentrale Bedrohung ist schwerer abzuwehren: Gegen eine koordinierte staatliche APT-Kampagne kann man sich vorbereiten. Gegen hunderte autonome Hacktivisten-Zellen, die über Telegram eigene Ziele wählen, ist konventionelle Cyber-Abwehr unzureichend.

Die Lektion des Tages: Im modernen Krieg gibt es keine Zuschauer. Auch neutrale Staaten mit keiner direkten Beteiligung am Iran-Konflikt können Kollateralschäden im Informationsraum erleiden - durch Supply-Chain-Angriffe, DDoS auf gemeinsam genutzte Cloud-Infrastruktur, oder den Ausfall von Diensten, von denen ihre Wirtschaft abhängt.

Der Informationsraum als fünfte Front

Dieser Krieg wird auf fünf Fronten gleichzeitig geführt:

Iran - US-israelische Luftangriffe auf militärische und politische Ziele
Libanon - Israelische Offensive gegen Hisbollah
Golfregion - Iranische Vergeltungsschläge auf US-Basen und Golfstaaten
See - Hormus-Straße und Rotes Meer, Huthi-Angriffe
Informationsraum - Cyberangriffe, PsyOps, Propaganda, Desinformation

Die fünfte Front ist die unsichtbarste - und möglicherweise die nachhaltigste. Bomben zerstören Gebäude. Cyberangriffe zerstören Vertrauen - in Infrastruktur, in Information, in die Fähigkeit, Wahrheit von Lüge zu unterscheiden. Und das genau in dem Moment, in dem Millionen Menschen verzweifelt nach verlässlicher Information suchen.

Irans Propagandamaschine - die wir in unserer Dromologie-Analyse als "Seed-Multiply-Harvest"-Muster beschrieben haben - operiert auf derselben Front. Gefälschte Opferzahlen, erfundene Krankenhausangriffe, behauptete Versenkungen von Flugzeugträgern - alles Operationen im Informationsraum, die durch Cyber-Kapazitäten multipliziert werden.

Der unsichtbare Krieg hat gerade erst begonnen.

Quellen

Fortune / Flashpoint - Cyber Retaliation from Iran - "19-Year-Old Hacker in a Telegram Room" (1. März 2026)
Reuters - Hackers Hit Iranian Apps, Websites After US-Israeli Strikes (1. März 2026)
CSIS - Beyond Hacktivism: Iran's Coordinated Cyber Threat Landscape
SecurityScorecard - IRGC and Hacker Collectives of the 12-Day War
Ynet News - Cyber Front Opens After US-Israeli Strikes (1. März 2026)
Bloomberg - Anthropic's Claude Goes Down for Thousands (2. März 2026)
BleepingComputer - Anthropic Confirms Claude Worldwide Outage (2. März 2026)
CISA - IRGC-Affiliated Cyber Actors Exploit PLCs (Advisory AA23-335A)
US Treasury - Sanctions on IRGC-CEC Officials
Google Threat Intelligence - APT33 Insights
Brandefense - APT33: Iran's Longstanding Cyber-Espionage Arm