Warum staatlich gesteuerte Cyberangriffe auf kritische Infrastruktur zunehmen und welche Konsequenzen das für Unternehmen im DACH-Raum hat?
Cyberangriffe haben sich in den vergangenen Jahren grundlegend verändert. Neben finanziell motivierten Tätern treten staatlich unterstützte Gruppen immer stärker in den Vordergrund. Ihr Ziel ist selten der schnelle Gewinn. Stattdessen geht es um Spionage, den Aufbau langfristiger Zugänge zu kritischen Systemen oder die Vorbereitung möglicher Sabotage. Betroffen sind längst nicht mehr nur Regierungen oder militärische Einrichtungen. Auch Unternehmen geraten zunehmend in den Fokus – insbesondere dann, wenn sie Teil kritischer Infrastrukturen oder strategisch wichtiger Lieferketten sind.
Diese Entwicklung ist kein theoretisches Szenario. Internationale Konflikte werden heute längst auch im Cyberraum ausgetragen. Energieversorgung, Gesundheitswesen, Telekommunikation, Industrie und Logistik zählen dabei zu den bevorzugten Zielen. Ein erfolgreicher Angriff kann weit über den Ausfall eines einzelnen Unternehmens hinausreichen und erhebliche wirtschaftliche oder gesellschaftliche Folgen haben.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt die IT-Sicherheitslage in Deutschland weiterhin als angespannt. Gleichzeitig wächst die digitale Angriffsfläche kontinuierlich. Im Berichtszeitraum von Juli 2024 bis Juni 2025 wurden durchschnittlich 119 neue Schwachstellen pro Tag bekannt. Das sind rund 24 % mehr als im Vorjahr.
Für Unternehmen im DACH-Raum stellt sich deshalb nicht mehr die Frage, ob sie grundsätzlich von staatlich unterstützten Cyberoperationen betroffen sein können. Entscheidend ist vielmehr, wie gut sie Angriffe erkennen, eindämmen und ihre Geschäftsprozesse auch im Ernstfall aufrechterhalten können.
Das Wichtigste auf einen Blick
Staatlich unterstützte Cyberangriffe richten sich zunehmend gegen kritische Infrastrukturen und Unternehmen mit strategischer Bedeutung.
Auch Unternehmen außerhalb der klassischen KRITIS-Regulierung geraten in den Fokus, wenn sie Teil wichtiger Lieferketten sind.
Moderne Angreifer setzen auf langfristige, unauffällige Kampagnen statt auf schnelle und laute Angriffe.
Klassische Perimetersicherheit reicht heute häufig nicht mehr aus. Transparenz, Angriffserkennung und strukturierte Reaktionsprozesse werden zum entscheidenden Wettbewerbsfaktor.
Cyberresilienz entwickelt sich damit von einer technischen Aufgabe zu einer unternehmerischen Verantwortung.
Warum staatlich gesteuerte Cyberangriffe zunehmen
Der Cyberraum ist heute fester Bestandteil geopolitischer Auseinandersetzungen. Staaten nutzen digitale Operationen, um Informationen zu gewinnen, Einfluss auszuüben oder sich strategische Vorteile zu verschaffen. Im Vergleich zu klassischen militärischen Maßnahmen sind Cyberangriffe kostengünstig, flexibel einsetzbar und lassen sich häufig nur schwer eindeutig einem Urheber zuordnen.
Hinzu kommt ein weiterer Faktor: Moderne Gesellschaften sind heute stärker digitalisiert als je zuvor. Stromversorgung, Kommunikation, Gesundheitswesen, Industrie und Logistik hängen von IT-Systemen ab, die permanent miteinander vernetzt sind. Wer sich Zugang zu diesen Systemen verschafft, gewinnt nicht nur Informationen, sondern unter Umständen auch Einfluss auf kritische Prozesse.
Staatlich unterstützte Gruppen unterscheiden sich dabei deutlich von klassischen Cyberkriminellen. Während Ransomware-Gruppen möglichst schnell Geld verdienen wollen, verfolgen sogenannte Advanced Persistent Threats (APTs) meist langfristige Ziele. Sie bleiben über Wochen oder Monate unentdeckt im Netzwerk, analysieren Abläufe, sammeln Informationen und schaffen Voraussetzungen für spätere Operationen.
Dass diese Bedrohung zunimmt, beobachten Sicherheitsbehörden weltweit. Das BSI verweist im aktuellen Lagebericht ausdrücklich auf die steigende Aktivität von APT-Gruppen im Zusammenhang mit geopolitischen Konflikten. Auch ENISA bewertet staatlich unterstützte Akteure weiterhin als eine der größten Bedrohungen für kritische Infrastrukturen in Europa.
Warum kritische Infrastruktur und ihre Lieferketten im Fokus stehen
Wer den größtmöglichen Einfluss erzielen möchte, sucht sich Ziele mit möglichst großer Wirkung. Genau deshalb stehen kritische Infrastrukturen seit Jahren im Mittelpunkt staatlicher Cyberoperationen. Ein erfolgreicher Angriff auf Energieversorgung, Telekommunikation oder Gesundheitswesen betrifft nicht nur das angegriffene Unternehmen, sondern kann ganze Regionen oder Wirtschaftsbereiche beeinträchtigen.
Gleichzeitig verändert sich die Auswahl der Ziele. Angreifer greifen immer häufiger nicht den eigentlichen KRITIS-Betreiber an, sondern dessen Umfeld. Softwarehersteller, IT-Dienstleister, Logistikunternehmen oder industrielle Zulieferer verfügen oft über privilegierte Zugänge oder sensible Informationen und bieten damit einen einfacheren Einstieg.
Internationale Kampagnen wie Volt Typhoon oder Salt Typhoon haben gezeigt, dass staatliche Akteure langfristig Zugang zu kritischen Kommunikations- und Versorgungsstrukturen aufbauen, anstatt sofort Schaden anzurichten. Ziel ist häufig nicht die unmittelbare Sabotage, sondern die Möglichkeit, im Krisenfall schnell handeln zu können.
Für Unternehmen im DACH-Raum bedeutet das: Die eigene Relevanz bemisst sich nicht mehr ausschließlich an der Unternehmensgröße. Wer Teil einer kritischen Lieferkette ist oder zentrale Dienstleistungen für andere Unternehmen erbringt, kann ebenfalls zum Angriffsziel werden.
Was Unternehmen jetzt anders machen müssen
Viele Sicherheitsstrategien basieren noch immer auf der Annahme, Angriffe an der Unternehmensgrenze stoppen zu können. Die Realität sieht anders aus. Angreifer nutzen kompromittierte Identitäten, gestohlene Zugangsdaten, Cloud-Dienste oder legitime Systemwerkzeuge, um sich innerhalb eines Netzwerks zu bewegen. Sie vermeiden auffällige Schadsoftware und orientieren sich am normalen Verhalten von Administratoren.
Deshalb reicht klassische Prävention allein nicht mehr aus. Unternehmen müssen davon ausgehen, dass Angreifer trotz vorhandener Schutzmaßnahmen in einzelne Systeme eindringen können. Entscheidend ist dann, wie schnell ungewöhnliche Aktivitäten erkannt und eingedämmt werden.
Dazu gehören insbesondere:
ein kontinuierliches Monitoring der gesamten IT- und Cloud-Umgebung,
ein professionelles Schwachstellenmanagement,
Multi-Faktor-Authentifizierung und ein konsequentes Identity-Management,
Netzwerksegmentierung – insbesondere zwischen IT- und OT-Umgebungen,
regelmäßig getestete Incident-Response- und Notfallpläne,
aktuelle Threat Intelligence, um neue Angriffsmuster frühzeitig zu erkennen.
Technologie allein reicht dabei nicht aus. Prozesse, Verantwortlichkeiten und regelmäßige Übungen entscheiden im Ernstfall oft darüber, ob ein Sicherheitsvorfall beherrschbar bleibt oder zu einer unternehmensweiten Krise eskaliert.
Cyberresilienz beginnt lange vor dem Ernstfall
Die meisten staatlich unterstützten Angriffe werden nicht innerhalb weniger Minuten entdeckt. Vielmehr versuchen Angreifer, möglichst unauffällig im Netzwerk zu bleiben und ihre Aktivitäten über einen längeren Zeitraum zu verschleiern. Je früher ungewöhnliche Muster erkannt werden, desto geringer sind in der Regel die Auswirkungen.
Deshalb gewinnt die Fähigkeit zur Angriffserkennung zunehmend an Bedeutung. Moderne Security Operations Center (SOC) kombinieren Logdaten, Threat Intelligence und Verhaltensanalysen, um verdächtige Aktivitäten frühzeitig sichtbar zu machen. Ergänzt durch einen klar definierten Incident-Response-Prozess können Unternehmen nicht nur schneller reagieren, sondern auch fundierte Entscheidungen treffen, wenn jede Minute zählt.
Cyberresilienz bedeutet dabei nicht, jeden Angriff verhindern zu können. Sie beschreibt die Fähigkeit eines Unternehmens, Angriffe frühzeitig zu erkennen, wirksam einzudämmen und den Geschäftsbetrieb trotz eines Sicherheitsvorfalls aufrechtzuerhalten.
Fazit
Staatlich gesteuerte Cyberangriffe sind längst kein Randthema mehr. Sie gehören zur aktuellen Bedrohungslage und richten sich zunehmend gegen Unternehmen, deren Ausfall wirtschaftliche oder gesellschaftliche Folgen hätte. Kritische Infrastrukturen bleiben dabei zentrale Ziele, doch auch deren Lieferanten, Dienstleister und Technologiepartner geraten immer stärker in den Fokus.
Für Unternehmen im DACH-Raum bedeutet das vor allem eines: Cybersecurity darf nicht ausschließlich als technische Disziplin verstanden werden. Wer seine Risiken nachhaltig reduzieren möchte, benötigt Transparenz über die eigene Angriffsfläche, aktuelle Informationen über neue Bedrohungen und die Fähigkeit, im Ernstfall schnell und strukturiert zu reagieren.
Technologien wie SIEM, SOAR oder Threat Intelligence sind dabei wichtige Bausteine. Entscheidend ist jedoch, dass sie in eine ganzheitliche Sicherheitsstrategie eingebettet sind. Denn nicht die Anzahl eingesetzter Sicherheitslösungen entscheidet über die Widerstandsfähigkeit eines Unternehmens, sondern die Fähigkeit, Angriffe rechtzeitig zu erkennen und wirksam zu beherrschen.

Annika Gamerad
Event & Marketing Specialist
Published on 06.07.2026
