Beobachtung
Seit bereits einer Woche stehen die Islamische Republik Iran, Israel und die USA in einer militärischen Auseinandersetzung. Was
bedeutet dies für die Cybersicherheitslage in Baden-Württemberg?
In diesem Kontext warnen unterschiedliche IT-Sicherheitsunternehmen vor einer potentiellen Intensivierung iranischer
Cyber-Aktivitäten. Das iranische Regime integriert Cyber-Operationen seit langem strategisch in seine kinetische
Kriegführung.
Zum aktuellen Zeitpunkt stehen die iranischen Streitkräfte aufgrund anhaltender amerikanischer und israelischer Luftoperationen unter
starkem Druck. Nach Angaben der Israelischen
Streitkräfte (IDF) wurde unter anderem das für die Cyberkriegsführung zuständige Hautquartier der Iranischen
Revolutionsgarden bei einem Luftschlag erheblich beschädigt. Aufgrund der Intensität der aktuellen (kinetischen) Kampfhandlungen
gehen IT-Sicherheitsunternehmen
und Beratungsinstitutionen kurzfristig von einer verminderten Operationsfähigkeit von Cyber-Akteuren innerhalb des Iran aus. Auf
der anderen Seite steigt die Bedrohung durch iranische Proxys und pro-iranische „Hacktivisten“ im Rahmen der jüngsten
Kampfhandlungen. Aktuell sind bis zu 60 Akteure und Gruppierungen aktiv, die
diesem Spektrum zugeordnet werden können.
IT-Sicherheitsunternehmen stellten zu
Beginn der Kampfhandlungen bereits intensivierte Aufklärungsaktivitäten (z.B. Schwachstellenscans) vermeintlich pro-iranischer
Cyberakteure fest, die als vorbereitende Maßnahmen für Cyberangriffe genutzt werden können. Zudem meldeten IT-Sicherheitsunternehmen
bereits in der ersten Woche des Krieges begrenzte iranische Cyberangriffe gegen Ziele, hauptsächlich in Israel und den USA.
Auch in Baden-Württemberg könnten unter anderem Einrichtungen mit Bezug zu Israel oder den USA in den Fokus iranischer
Cyberakteure gelangen. Aktuell liegen allerdings keine konkreten Gefährdungserkenntnisse mit dem Bezug Baden-Württemberg
vor.
Empfehlungen
Vor dem Hintergrund der volatilen Lageentwicklung im Iran und der generell erhöhten Cyberbedrohungslage wird eine
verstärkte Wachsamkeit besonders für Organisationen im Rüstungssektor und im Bereich KRITS empfohlen. Die Cyberabwehr des
Landesamts für Verfassungsschutz empfiehlt die Priorisierung und Umsetzung folgender präventiver
Maßnahmen:
- Identitäts- und Zugriffsschutz: Konsequente Durchsetzung von Multi-Faktor-Authentisierung (MFA) sowie verstärkte Überwachung von VPNs, Cloud-Plattformen und privilegierten Benutzerkonten auf Anomalien.
- Härtung der Infrastruktur: Umgehende Installation von Sicherheits-Updates für internetexponierte Dienste (insb. HMI/SPS-Komponenten im OT-Bereich). Reduzierung der Angriffsfläche durch Deaktivierung nicht kritischer externer Schnittstellen.
- Notfallplanung: Überprüfung und praktische Erprobung von Incident-Response-Plänen, insbesondere für Szenarien wie Ransomware, Datenlöschung (Wiper) oder DDoS-Angriffe.
- Interne Kommunikation: Festlegung klarer Eskalationswege und Kontaktpunkte für Sicherheitsvorfälle sowie Sensibilisierung der Belegschaft für Phishing-Versuche.
- Engmaschiges Monitoring der aktuellen Cyberbedrohungslage (z.B. Cyberbedrohungslage Iran: Anomali, SOCRadar)