foto magnific

Der aktuelle Report on Cyberattacks against Civil Society 2026 zeigt mit ungewöhnlicher Klarheit, wie stark zivilgesellschaftliche Organisationen weltweit unter digitalem Beschuss stehen [1]. Die Daten aus dem Project‑Galileo‑Programm, das mehr als 3.400 Domains in 120 Ländern schützt, belegen eine deutliche Verschärfung der Bedrohungslage: Angriffe sind häufiger, länger, gezielter und technisch ausgereifter als in den Vorjahren. Besonders betroffen sind Medien, Menschenrechtsorganisationen, digitale‑Rechte‑Initiativen und NGOs in politisch repressiven Kontexten. Die Analyse basiert auf Milliarden von Netzwerkereignissen, die Cloudflare über ein Jahr hinweg (Februar 2025 bis Januar 2026) ausgewertet hat.

Die wichtigsten Ergebnisse aus dem Berichtszeitraum von 1. Februar 2025 bis 31. Januar 2026:

Zivilgesellschaftliche Organisationen unter dem Schutz von Project Galileo wurden in allen Regionen und Sektoren angegriffen. Insgesamt wehrte Cloudflare 38,5 Milliarden bösartige Anfragen ab – dies sind im Schnitt 105,47 Millionen Angriffe pro Tag, die sich gegen Galileo-Teilnehmer richteten (darunter im Exil arbeitende Medien und Organisationen, die sich für digitale Rechte einsetzen).
DDoS-Angriffe waren mit Abstand die häufigste Bedrohung. Sie machten 81,7 % aller schädlichen Anfragen aus, wobei Menschenrechtsorganisationen das höchste DDoS-Volumen verzeichneten.
Angreifer versuchten, Schwachstellen im Code von Websites auszunutzen, um an interne Systeme zu gelangen. Cloudflares Web Application Firewall (WAF) blockierte 7,1 Milliarden Exploit-Versuche. Journalismus-Organisationen verzeichneten mit 40,5% der Anfragen das höchste Volumen dieser Bedrohungen.
Fast jede dritte schädliche E-Mail umging Standardfilter. Von 1,2 Millionen identifizierten Schad-Mails über 73 Galileo-Teilnehmer hinweg umgingen 30,2 % drei gängige Authentifizierungsverfahren.
Cloudflare identifizierte 85 staatlich angeordnete Internet-Ausfälle – 46 % aller Störungen, die das Unternehmen in seinem globalen Netzwerk erkennen konnte. Die Einschränkungen fielen häufig mit Wahlen, Protesten und Schulprüfungen zusammen.

DDoS‑Angriffe: Dauer, Intensität und strategische Taktiken

Mit 81,7 % aller bösartigen Anfragen stellen Application‑Layer‑DDoS‑Angriffe die dominante Bedrohung dar. Während typische DDoS‑Attacken im Internet oft nach wenigen Minuten abflauen, zeigen die Angriffe gegen die Zivilgesellschaft ein gegenteiliges Muster: Sie dauern Stunden, Tage oder sogar Wochen.

Beispiele verdeutlichen die Dimensionen:

Tech4Peace (Irak) wurde acht Tage lang attackiert – insgesamt 2,6 Milliarden Requests.
Wahana Visi Indonesia erlebte einen dreitägigen Angriff mit 4,9 Milliarden Requests.
Refugee Council (UK) wurde über mehr als sieben Tage hinweg in 14 Angriffswellen attackiert.

Die Angreifer setzen zunehmend auf »Chunked Attacks«: kurze, hochintensive Wellen, unterbrochen von Pausen. Diese Taktik dient dazu,

Rate‑Limits zu umgehen,
dynamische Fingerprint‑Regeln auslaufen zu lassen,
Verteidigungsmechanismen zu analysieren und anzupassen.

Die Angriffe sind zwar meist »mittelgroß« (13.000–813.000 rps), aber durch ihre Dauer und Präzision hochwirksam. Besonders häufig betroffen sind Menschenrechtsorganisationen, bei denen mehr als 10 % des gesamten Traffics bösartig war – ein 40‑fach höherer Anteil als bei Sozialorganisationen.

Medien in Exil und Opposition: Digitale Repression als geopolitisches Werkzeug

Medienorganisationen sind mit 40,5 % aller Angriffe die am stärksten betroffene Gruppe. Besonders gefährdet sind Redaktionen im Exil, die für ihre Zielgruppen oft die einzige Quelle unabhängiger Informationen darstellen.

Beispiele:

elTOQUE (Kuba): 426,8 Mio. Requests, vermutlich im Zusammenhang mit einem Währungs‑Tracker, den die kubanische Regierung als »ökonomischen Terrorismus« bezeichnete.
The Moscow Times: 123 Mio. Requests, nachdem das Medium in Russland als »unerwünscht« eingestuft wurde.
China Digital Times: täglich zehntausende blockierte Requests; ein einzelner Sicherheitstag im November 2025 verzeichnete 21.000 verdächtige Anfragen.

Die Angriffe zielen darauf ab, Reichweite zu unterbinden, kritische Berichterstattung zu stören und digitale Öffentlichkeit zu kontrollieren. Für Exilmedien, die vollständig auf digitale Infrastruktur angewiesen sind, stellen DDoS‑Attacken eine existenzielle Bedrohung dar.

Website‑Vulnerabilities: Siebenmal höhere Angriffsraten als im Durchschnitt

Neben DDoS‑Angriffen registrierte Cloudflare 7,1 Milliarden Versuche, Web‑Schwachstellen auszunutzen – siebenmal mehr als bei anderen Kundengruppen.

Die drei häufigsten Angriffstypen:

HTTP‑Anomalien (44 %) – massenhafte, manipulierte Requests, die WAF‑Regeln umgehen sollen.
SQL‑Injection (16 %) – Angriffe auf Datenbanken, oft mit dem Ziel, Identitäten oder interne Informationen zu stehlen.
Automatisierte Vulnerability‑Scanner (15 %) – systematische Suche nach ungepatchten Systemen.

Die meisten Angriffe stammen von Bots, die in hoher Frequenz und Präzision scannen. Besonders gefährlich sind kombinierte Angriffe, bei denen DDoS‑Wellen als Ablenkung dienen, während parallel Schwachstellen ausgenutzt werden. Ein globaler Umweltverband erlebte im Umfeld einer Klimakonferenz sowohl einen DDoS‑Angriff mit 6,97 Milliarden Requests als auch 3,34 Millionen Schwachstellen‑Scans.

Phishing: 10 % aller E‑Mails sind potenziell bösartig

Von 29 Millionen analysierten E‑Mails enthielten 2,8 Millionen potenzielles Phishing‑Material. Die Angriffe werden zunehmend personalisiert und technisch ausgefeilt.

Die häufigsten Muster:

Deceptive Links (19,5 %)
Identity Deception (16,8 %) – Angreifer imitieren reale Personen
Brand Impersonation (13,4 %) – u. a. Apple, DocuSign, Datadog, AmEx, Intuit

Besonders alarmierend: 30,2 % der hochgefährlichen E‑Mails umgingen Standard‑Authentifizierungsverfahren wie SPF, DKIM oder DMARC und wurden erst durch KI‑gestützte Erkennungssysteme identifiziert.

Ein Beispiel für hochgradig personalisierte Angriffe liefert die World Uyghur Congress: Angreifer nutzten ein trojanisiertes Uyghur‑Texteditor‑Tool, um gezielt Malware zu platzieren – ein Angriff, der weniger auf Technik als auf kulturelle und soziale Kontextkenntnis setzte.

Internet‑Shutdowns: Politische Steuerung digitaler Räume

Cloudflare identifizierte 183 Internet‑Störungen, davon 85 mit hoher Wahrscheinlichkeit staatlich veranlasst. Shutdowns traten vor allem auf während:

Wahlen
Protesten
Prüfungsphasen
politischer Instabilität

Beispiele:

Uganda (Januar 2026): 95 % Traffic‑Rückgang innerhalb von 30 Minuten; geschätzter wirtschaftlicher Schaden: 16 Mio. USD.
Iran (Januar 2026): nahezu vollständige Abschaltung über mehrere Wochen; massiver Einfluss auf Dokumentation staatlicher Gewalt.

Shutdowns wirken wie ein digitaler Ausnahmezustand: Sie unterbrechen Informationsflüsse, verhindern Monitoring, blockieren humanitäre Arbeit und isolieren ganze Bevölkerungsgruppen.

Warum die Zivilgesellschaft besonders gefährdet ist

Der Report zeigt klar: NGOs, Medien und Menschenrechtsorganisationen werden nicht nur wegen technischer Schwächen angegriffen, sondern wegen ihrer gesellschaftlichen Rolle.

Die Angriffe häufen sich in Momenten maximaler Wirkung:

Veröffentlichung kritischer Recherchen
politische Ereignisse
virale Inhalte
Advocacy‑Kampagnen

Zudem verschärfen strukturelle Faktoren die Lage:

schrumpfende zivilgesellschaftliche Räume
sinkende staatliche Fördermittel
steigende Nachfrage nach Dienstleistungen
unzureichende Cyberbudgets (nur ein Drittel der NGOs hält sie für ausreichend)

Rolle von KI: Verstärker und Verteidiger zugleich

Der Report betont die doppelte Rolle von KI:

Angreifer nutzen LLMs für personalisierte Phishing‑Kampagnen, automatisierte Textgenerierung und Social Engineering.
Verteidiger profitieren von KI‑gestützter Anomalieerkennung, automatisierten WAF‑Regeln und Post‑Quantum‑Kryptografie.

Die zentrale Herausforderung: Zugang zu modernen KI‑Sicherheitswerkzeugen darf nicht zu einem Privileg großer Unternehmen werden.

Empfehlungen des Reports

Cloudflare formuliert drei strategische Leitlinien:

Universeller Zugang zu Cybersecurity – Sicherheit als Grundvoraussetzung digitaler Teilhabe.
Transparenz über Angriffe und Shutdowns – Daten teilen, Forschung fördern, Muster sichtbar machen.
Niedrigschwelliger Zugang zu KI‑gestützten Sicherheitsdiensten – moderne Schutzmechanismen als Standard, nicht als Premiumprodukt.

Text erstellt mit KI-Hilfe

[1] https://cf-assets.www.cloudflare.com/dzlvafdwdttg/5YmIHaAURvy8ZKjJ1CcQo6/1335a737054c44915ace715348e62697/BDES-9187_Cyberattacks_against_civil_society_Project_Galileo_Anniversary_Report.pdf

3626 Artikel zu „Cyberangriffe „

News | Business Process Management | Infrastruktur | IT-Security | Strategien | Tipps

Schläft Europa bei Cyberangriffen auf Wasserversorger?

14. Juni 2026

Wenn man an Cyberkrieg denkt, kommen einem Wasserversorgungsunternehmen nur selten als Ziel in den Sinn. In den letzten Jahren jedoch, und insbesondere im Zusammenhang mit den Kriegen in der Ukraine und im Iran, gehörten sie zu den am stärksten in den Fokus geratenen Sektoren der kritischen Infrastruktur. Management Summary Wasserversorger geraten zunehmend ins Fadenkreuz…