Cyber Warfare 2026: Wenn Staaten digital aufrüsten

2 Min. Lesezeit

Staatlich gesteuerte Cyberangriffe sind keine Zukunftsmusik mehr – sie sind Alltag. Von Russlands Sandworm bis zu Chinas Volt Typhoon: Die Bedrohungslage für europäische Unternehmen hat sich 2025/2026 massiv verschärft. Was Cyber Warfare von klassischer Cyberkriminalität unterscheidet und wie sich Unternehmen schützen können.

Das Wichtigste in Kürze

Cyberangriffe auf kritische Infrastrukturen in Europa stiegen laut ENISA um 38 Prozent gegenüber dem Vorjahr
Staatliche Akteure wie Sandworm (Russland) und Volt Typhoon (China) operieren mit Budgets, die denen mittelständischer Unternehmen entsprechen
Deutsche KRITIS-Betreiber, Verteidigungszulieferer und Forschungseinrichtungen stehen besonders im Fokus
Klassische IT-Sicherheitsstrategien reichen gegen staatliche Angreifer nicht aus – Assume Breach und Threat Intelligence werden Pflicht

Die neue Dimension des Krieges

2025 markierte einen Wendepunkt: Cyberangriffe auf kritische Infrastrukturen in Europa stiegen laut ENISA um 38 Prozent gegenüber dem Vorjahr. Die Angreifer sind keine Einzeltäter – sie sind staatlich finanzierte Gruppen mit Budgets, die denen mittelständischer Unternehmen entsprechen.

Russlands Sandworm-Gruppe, offiziell als Unit 74455 des GRU bekannt, hat seit Beginn des Ukraine-Konflikts wiederholt europäische Energieversorger und Telekommunikationsanbieter ins Visier genommen. Parallel dazu hat Chinas Volt Typhoon-Kampagne gezeigt, dass selbst westliche Militärinfrastrukturen verwundbar sind.

Was Cyber Warfare von klassischer Cyberkriminalität unterscheidet

Der entscheidende Unterschied liegt in der Motivation und den Ressourcen. Während Ransomware-Gruppen finanziell motiviert sind, verfolgen staatliche Akteure strategische Ziele:

Sabotage: Zerstörung oder Manipulation kritischer Systeme (Energie, Wasser, Gesundheit)
Spionage: Langfristiges Eindringen in Netzwerke zur Informationsgewinnung – oft über Jahre unentdeckt
Vorbereitung: Platzierung von Backdoors für den Ernstfall, sogenannte Prepositioning-Operationen
Destabilisierung: Kombination aus Cyberangriffen und Desinformationskampagnen

Die Bedrohungslage für deutsche Unternehmen

Deutsche Unternehmen stehen besonders im Fokus. Das BSI stuft die Bedrohungslage seit 2024 als besorgniserregend hoch ein. Besonders betroffen:

KRITIS-Betreiber – Energieversorger, Wasserwerke und Krankenhäuser sind primäre Ziele. Der Angriff auf die Stadtwerke einer mittleren deutschen Stadt im Januar 2026 zeigte: Die Angreifer hatten sich bereits Monate zuvor Zugang verschafft und warteten auf den richtigen Moment.

Zulieferer der Verteidigungsindustrie – Supply-Chain-Angriffe über kleinere Zulieferer sind die bevorzugte Methode, um an größere Ziele heranzukommen. Ein Mittelständler mit 200 Mitarbeitern kann zum Einfallstor für Angriffe auf die Bundeswehr oder NATO-Partner werden.

Forschungseinrichtungen – Universitäten und Fraunhofer-Institute berichten von systematischen Angriffsversuchen auf ihre Forschungsdatenbanken, insbesondere in den Bereichen KI, Quantencomputing und Materialwissenschaften.

Fakt: Das BSI verzeichnete 2025 über 15.000 gemeldete Sicherheitsvorfälle bei KRITIS-Betreibern – ein Anstieg von 42 Prozent gegenüber 2024.

Fakt: Die durchschnittliche Verweildauer staatlicher Akteure in kompromittierten Netzwerken beträgt 287 Tage – fast zehn Monate unentdeckt.

Was Unternehmen jetzt tun müssen

Die klassische IT-Sicherheitsstrategie reicht gegen staatliche Angreifer nicht aus. Empfehlungen:

Threat Intelligence nutzen: BSI-Warnmeldungen, CERT-Bund und branchenspezifische ISACs aktiv einbinden
Assume Breach: Davon ausgehen, dass Angreifer bereits im Netzwerk sind. Detection und Response priorisieren
OT-Security separat betrachten: Industrielle Steuerungssysteme (ICS/SCADA) brauchen eigene Schutzkonzepte
Notfallpläne für Cyber-Kriegsszenarien: Was passiert, wenn Internet und Cloud gleichzeitig ausfallen?
NIS2 als Baseline: Die EU-Richtlinie definiert das Minimum – für KRITIS-Betreiber braucht es mehr

Fazit

Cyber Warfare ist kein Szenario für Militärstrategen – es betrifft jedes Unternehmen mit digitaler Infrastruktur. Die Frage ist nicht ob, sondern wann man ins Visier gerät. Wer jetzt nicht in Resilienz investiert, riskiert mehr als Datenverlust: Er riskiert die Handlungsfähigkeit seines Unternehmens.

Key Facts

KRITIS-Angriffe: Cyberangriffe auf kritische Infrastrukturen in Europa stiegen um 38 Prozent.

BSI-Meldungen: Das BSI verzeichnete 2024/2025 über 250.000 neue Malware-Varianten täglich.

Häufige Fragen

Was unterscheidet Cyber Warfare von normaler Cyberkriminalität?

Klassische Cyberkriminalität ist finanziell motiviert – Ransomware, Betrug, Datendiebstahl zum Verkauf. Cyber Warfare verfolgt strategische Ziele: Sabotage kritischer Infrastrukturen, Spionage, politische Destabilisierung. Staatliche Akteure verfügen über deutlich mehr Ressourcen, Geduld und Expertise als kriminelle Gruppen.

Sind auch kleine und mittlere Unternehmen von Cyber Warfare betroffen?

Ja, insbesondere als Einfallstor. Supply-Chain-Angriffe nutzen gezielt kleinere Zulieferer, um über deren Netzwerkverbindungen an größere Ziele zu gelangen. Ein Mittelständler in der Lieferkette eines KRITIS-Betreibers oder Verteidigungsunternehmens ist ein attraktives Ziel.

Welche Maßnahmen haben oberste Priorität?

Assume Breach als Grundhaltung, aktive Threat Intelligence (BSI, CERT-Bund, branchenspezifische ISACs), Netzwerksegmentierung und getestete Notfallpläne. Die NIS2-Anforderungen bilden eine gute Baseline, reichen für besonders exponierte Unternehmen aber nicht aus.