Illustration Absmeier foto freepik

Horizon3.ai, ein Anbieter im Bereich Offensive Security, hat eine Analyse zur aktuellen Entwicklung iranischer Cyberbedrohungen veröffentlicht und konkrete Maßnahmen vorgestellt, mit denen Unternehmen ihre Cyberresilienz stärken können. Vor dem Hintergrund zunehmender geopolitischer Spannungen sollen die Handlungsempfehlungen Sicherheitsverantwortlichen helfen, Risiken durch staatlich gesteuerte Angriffe frühzeitig zu erkennen und gezielt zu adressieren.

Jüngste Militärschläge der USA und Israels auf iranische Infrastruktur, darunter Banken und Öl-Anlagen, haben Iran zu Ankündigungen von Vergeltungsmaßnahmen gegen vergleichbare westliche Ziele veranlasst. Zwar gilt die iranische Militärführung derzeit als geschwächt, dürfte sich jedoch in dezentraleren Strukturen neu formieren. Sicherheitsexperten gehen daher von einer Verlagerung hin zu einer Art »Cyber-Guerilla-Taktik« aus. Im Fokus könnten dabei insbesondere Angriffe auf die US-amerikanische Defense Industrial Base (DIB) stehen, aber auch Störungen kritischer Infrastrukturen in Bereichen wie Finanzwesen, Telekommunikation, öffentlicher Versorgung und Industrieproduktion. Ebenso wahrscheinlich sind gezielte Attacken auf die Öl- und Gasinfrastruktur, um Märkte zu verunsichern und Preise zu beeinflussen.

Erste Hinweise auf diese Entwicklung zeigen sich bereits in Angriffen auf AWS-Rechenzentren in den Vereinigten Arabischen Emiraten und Bahrain sowie auf Stryker Medical und Krankenhausstrukturen im Vereinigten Königreich. Beobachtet wurden unter anderem der Einsatz destruktiver Datenwiper (zum Beispiel Stryker-Varianten), unautorisierte Zugriffe auf CCTV-Systeme wie Hikvision-Kameras zur Unterstützung physischer Zielauswahl sowie gezielte Desinformationskampagnen in sozialen Medien.

In den kommenden Wochen erwarten Sicherheitsexperten eine weitere Eskalation, unter anderem in Form von:

Störungen von Produktions-, Fertigungs- und Reparaturkapazitäten innerhalb der DIB
Angriffen auf Öl- und Gasinfrastruktur, ähnlich dem Colonial-Pipeline-Vorfall
Eingriffen in Finanzsysteme mit dem Ziel, wirtschaftliche Abläufe zu unterbrechen und Marktvolatilität auszulösen
Angriffen auf Cloud-Anbieter zur Unterbrechung digitaler Dienste
Störungen im Gesundheitswesen mit potenziellen Risiken für Patienten
Beeinträchtigungen staatlicher, kommunaler und Bildungseinrichtungen zur Einschränkung öffentlicher Dienstleistungen

Zur Abwehr dieser Bedrohungen empfiehlt Horizon3.ai insbesondere die Absicherung initialer Angriffsflächen. Dazu zählen VPN-Zugänge und Edge-Geräte mit bekannten, aktiv ausgenutzten Schwachstellen (CISA Known Exploited Vulnerabilities, KEVs), etwa bei Fortinet, Ivanti oder Citrix NetScaler, ebenso wie Active-Directory-Umgebungen mit kompromittierten Zugangsdaten sowie Remote-Management-Tools (RMMs) mit bekannten Schwachstellen.

Zu den wichtigsten kurzfristig umsetzbaren Maßnahmen gehören:

Identifikation und schnelle Behebung von Angriffsflächen, die durch bekannte iranische Taktiken, Techniken und Verfahren (TTPs) ausgenutzt werden können
Einsatz von Täuschsystemen (Decoys) im Netzwerk, insbesondere in Active Directory, zur Verbesserung der Angriffserkennung und Beschleunigung der Reaktionszeiten
Überprüfung und Stärkung zentraler SOC-Kontrollen wie Endpoint Detection and Response (EDR) und Security Information and Event Management (SIEM)
Regelmäßiges Durchspielen von Incident-Response-, Eindämmungs- und Bereinigungsprozessen
Identifikation und Schutz kritischer Daten sowie konsequentes Testen von Backup- und Recovery-Verfahren

»Aktuell kommt es darauf an, dass wir als Sicherheitsverantwortliche zusammenarbeiten, Sicherheitslücken schließen und Vertrauen in unsere Schutzmechanismen aufbauen. Entscheidend ist, Abläufe so zu trainieren, dass im Ernstfall jeder Handgriff sitzt«, erklärt Snehal Antani, CEO und Co-Founder von Horizon3.ai.

Im Zuge der aktuellen Lage hat Horizon3.ai zudem seine Research-Kapazitäten erweitert, um bekannte iranische Angriffsverfahren (TTPs) umfassend in der Plattform NodeZero abzubilden. Gleichzeitig wurde die Funktion »Iranian Threat Actor Intelligence« temporär für alle NodeZero-Kunden aktiviert. Damit können Sicherheitsteams gezielt die Schwachstellen identifizieren, die mit hoher Wahrscheinlichkeit von iranischen Akteuren ausgenutzt werden.

»Die Situation ist hochdynamisch und verändert sich täglich. Wir können nicht kontrollieren, was Angreifer tun, aber wir können unsere eigene Vorbereitung und Verteidigungsfähigkeit steuern«, so Antani weiter.

Unternehmen sollten mit hoher Priorität handeln und die genannten Maßnahmen konsequent in ihre Cyberresilienz-Strategie integrieren.

3444 Artikel zu „Cyberangriffe „

News | Favoriten der Redaktion | IT-Security | Services

Wo Cyberangriffe ihr Ende finden: Ein Blick in die Arbeitsweise eines Managed Security Operations Centers

19. März 2026

Cyberangriffe auf Unternehmen sind trauriger Alltag. Dabei nutzen die Angreifergruppen auch die kleinste Lücke aus, um die IT-Systeme zu infiltrieren. Ein Managed Security Operations Center (Managed SOC) ermöglicht das Entdecken und Stoppen von Attacken bereits in der Frühphase. Dabei ist ein Analystenteam eines Dienstleisters rund um die Uhr aktiv. Im zweiten Teil des Interviews spricht…