Staatlich gesteuerte Cyberangriffe: Das BfV warnt vor wachsender Bedrohungslage

Mit einem kürzlich veröffentlichten Bericht zum Thema „Cyberangriffe  – Gefahren, Risiken und Schutz vor staatlich gesteuerten Attacken“ zieht das Bundesamt für Verfassungsschutz (BfV) eine nüchterne Bilanz der Bedrohungslage im Cyberraum. Deutschland stehe demnach im besonderen Visier fremder Nachrichtendienste und staatlich beauftragter Hackergruppen. Ursache dafür sei die Kombination aus geopolitischer Stellung und wirtschaftlicher Stärke: Die zentrale Lage in Europa, die politische Rolle in EU und NATO sowie die Innovationskraft deutscher Unternehmen, des Mittelstands und der Forschungslandschaft weckten das Interesse ausländischer Nachrichtendienste, sowohl für politische Spionage als auch für Wirtschafts- und Wissenschaftsspionage. Besonders im Visier stehen demnach auch die kritische Infrastrukturen (KRITIS).

Drei Kategorien von Cyberakteuren

Das Amt unterscheidet im Bericht die drei üblichen Typen von Angreifern: Erstens eigenmotivierte Akteure, deren Operationen politisch, ideologisch oder religiös motiviert seien – etwa das Hackerkollektiv Anonymous, das mit Beginn des russischen Angriffskriegs gegen die Ukraine 2022 in einen selbsterklärten „Cyberkrieg gegen die russische Regierung“ eingetreten sei. Auf der Gegenseite hätten sich prorussische Hacktivistengruppen formiert, die fortlaufend westliche Ziele attackierten, darunter auch in Deutschland.

Zweitens staatliche Cyberakteure – also staatliche oder staatlich gelenkte Einrichtungen, die im Auftrag einer Regierung operierten. Neben Spionage dienten ihre Angriffe auch der Vorbereitung von Sabotageakten, insbesondere gegen KRITIS, sowie der Unterstützung von Einflussnahme- und Desinformationskampagnen im Rahmen sogenannter „Hack and Leak“- oder „Hack and Publish“-Operationen. Drittens staatlich beauftragte Akteure – Einzelpersonen, organisierte Gruppierungen oder privatwirtschaftliche Unternehmen, die im Auftrag fremder Nachrichtendienste Cyberangriffe durchführten.

Russland: Doppelstrategie aus Cyberangriff und Desinformation

Russland verfolgt im Cyber- und Informationsraum nach Darstellung des BfV eine Doppelstrategie. Cyberangriffe und Desinformationskampagnen würden kombiniert, um demokratische Systeme zu untergraben, politische Instabilität zu schaffen und das Vertrauen in Institutionen zu erschüttern. Häufig eingesetzte Methoden seien Phishing, das Ausnutzen von IT-Schwachstellen sowie Malware.

Als konkreten Fall nennt die Auswertung den Cyberangriff auf die SPD-Parteizentrale, der Anfang 2023 unter Ausnutzung einer Sicherheitslücke in Microsoft Outlook erfolgte. Im Mai 2024 habe die Bundesregierung diesen und weitere Angriffe der APT-Gruppierung APT28 zugeordnet, die auch als Fancy Bear bekannt sei und dem russischen Militärnachrichtendienst GRU zugerechnet werde.

Im Bereich Desinformation hebt das BfV das sogenannte „Doppelgänger-Netzwerk“ hervor – eine russische Kampagne, die erstmals 2022 identifiziert worden sei. Über gefälschte Websites, die seriöse Medien imitierten, würden Falschnachrichten gestreut, um westliche Regierungen und deren Politik zu diskreditieren, insbesondere im Zusammenhang mit der Reaktion auf den russischen Angriffskrieg gegen die Ukraine. Solche nachgebauten Websites seien unter anderem für Frankreich, Deutschland, die USA und Polen festgestellt worden. Die Inhalte würden anschließend von Fakeprofilen und Bots in sozialen Medien aufgegriffen und weiterverbreitet.

China: Wirtschaftsspionage und der Angriff auf das BKG

Die Volksrepublik China verfolgt mit ihren Cyberangriffen nach Analyse der Verfassungsschützer primär wirtschaftliche und technologische Ziele. Im Gegensatz zu Russland liege der Fokus auf dem Diebstahl geistigen Eigentums und strategischen Wissens, um die eigene Wirtschaft und Technologie zu stärken. Chinesische Cyberakteure griffen gezielt Unternehmen in Schlüsselindustrien an, um Produktionspläne, Patente und Geschäftsstrategien abzugreifen. Die gestohlenen Daten flössen direkt in die Förderung chinesischer Unternehmen, insbesondere staatlich geführter Konzerne.

Auch deutsche Hochschulen und Forschungseinrichtungen gehörten zu den zentralen Zielen. Chinas Cyberakteure infiltrierten Netzwerke, um Zugang zu Forschungsprojekten in Bereichen wie Künstliche Intelligenz, Biotechnologie und Materialwissenschaften zu erhalten. Langfristig zielten die Operationen darauf ab, sich technologische, militärische und politische Vorteile auf dem Weg zu einer dominierenden Weltmachtstellung zu verschaffen.

Als konkreten Vorfall führt das Amt den 2021 verübten Cyberangriff auf das Bundesamt für Kartographie und Geodäsie (BKG) an, den die Bundesregierung am 31. Juli 2024 öffentlich staatlichen chinesischen Akteuren zuordnete. Die Netzwerke des BKG seien zu Spionagezwecken infiltriert worden. Die Angreifer hätten dabei Endgeräte von Privatpersonen und Unternehmen kompromittiert und als Verschleierungsnetzwerk genutzt. Das BKG ist als Dienstleister für topografische Daten unter anderem für die Bundeswehr, Sicherheitsbehörden und KRITIS-Unternehmen relevant – was den Angriff besonders brisant macht.

Iran und Nordkorea: Dissidentenüberwachung und Kryptodiebstahl

Die Islamische Republik Iran setzt Cyberangriffe nach Erkenntnissen des BfV strategisch ein, um regionalpolitische Ziele zu erreichen, Gegner zu destabilisieren und vor allem Oppositionelle auszuspähen und einzuschüchtern. Als konkretes Beispiel nennt die Behörde Ausspähversuche der Gruppierung Charming Kitten, die sich gegen iranische Personen und Organisationen in Deutschland gerichtet hätten – darunter Oppositionelle, Dissidentenorganisationen, Exil-Iraner, Juristen, Journalisten und Menschenrechtsaktivisten. Die Angreifer hätten auf aufwendiges Social Engineering gesetzt, das mit großer Ausdauer bis zur erfolgreichen Infektion der Kommunikationssysteme durchgeführt worden sei.

Nordkorea wiederum nutze Cyberangriffe primär zur finanziellen Bereicherung des Regimes und zur Umgehung internationaler Sanktionen. Nordkoreanische Akteure seien bekannt für Bankraub durch Hacking, Ransomware-Kampagnen und Angriffe auf Kryptowährungsplattformen. Der Diebstahl von Kryptowährung habe sich zu einem wichtigen Pfeiler der Staatsfinanzierung entwickelt – das erbeutete Geld fließe unter anderem in das Raketenprogramm der Staats- und Militärführung. Im Februar 2025 wurde die Kryptobörse Bybit kompromittiert und Kryptowährung im Wert von über 1,4 Milliarden US-Dollar erbeutet. Es handelt sich dem BfV zufolge um den bisher größten Kryptowährungsdiebstahl weltweit, der auf nordkoreanische Cyberakteure zurückgehe. Neben diesen vier Hauptakteuren erwähnt die Broschüre weitere Staaten mit offensiven Cyberfähigkeiten, darunter Indien und Pakistan.

Attribution als zentrale Herausforderung der Cyberabwehr

Die Autoren der Auswertung widmen sich zudem der Frage, wie das BfV Cyberangriffe ihren Urhebern zuordnet und warum dies so schwierig ist. Cyberakteure setzten gezielt Verschleierungstechniken ein: gefälschte IP-Adressen, Proxy-Server, öffentlich zugängliche Malware und sogenannte „False Flag“-Operationen, bei denen die eigenen Handlungen bewusst einem Drittstaat oder einer anderen Organisation zugeschrieben würden, um die tatsächliche Urheberschaft zu verbergen.

Für eine belastbare Attribution kombiniere die Behörde technische Analysen – etwa die Untersuchung von Schadsoftware und Netzwerkverkehren – mit der Auswertung strategischer Indikatoren wie mögliche Motive und geopolitische Kontexte, der Sichtung offener Quellen und eigenen operativen Maßnahmen. Ergänzt werde dies durch internationale Zusammenarbeit. Die Zuordnung bleibe jedoch ein „Balanceakt“, der sorgfältige Analysen und transparente Kommunikation erfordere. Nur mit einem klaren Bild über die Urheber könnten gezielte Gegenmaßnahmen ergriffen, Verantwortliche zur Rechenschaft gezogen und politische Entscheidungen auf belastbare Fakten gestützt werden.

Der komplette Bericht der Verfassungsschützer steht als PDF zur Verügung.