06/24/2026 | Press release | Archived content
Datum 24.06.2026
Es gilt das gesprochene Wort.
Sehr geehrter Herr Prof. Dr. Dörr,
meine sehr geehrten Damen und Herren,
die Krise von Hormus begann im Jahre 1507, als sechs Karavellen des portugiesischen Flottenkommandanten Afonso de Albuquerque die enge Passage abriegelten. Das Nadelöhr für
Nur wer sich eine aufwendige cartaz erwarb - eine Durchfahrtlizenz - durfte passieren. 500 Jahren bevor die iranischen Revolutionsgarden den strategischen Wert der Meerenge voll ausspielen, lief bereits die erste Phase der Globalisierung - und mit Ihr die Geburt der Geopolitik.
Kurz zuvor hatte sich durch die Entdeckung Amerikas eine gänzlich Neue Welt erschlossen - und die Erde wurde buchstäblich erfahrbar zur Kugel. Dadurch wurde der Raum zugleich ungeahnt erweitert - und unabweisbar endlich; zwei paradoxe Faktoren, die neue Großmächte gebaren.
Mehr denn je wurde das Meer der favorisierte Raum. Denn er war lange regellos - und Produkt brutaler Konkurrenz. Hier wurden
Crime-as-a-service und Schläge in der sub-staatlichen Grauzone waren schon im 16. und 17.Jahrhundert ein Erfolgsmodell.
Namen wie
stehen für eine Epoche, die als "Goldenes Zeitalter der Piraterie" bekannt wurde. Die Bedingungen waren schlichtweg ideal.
Es gab
Kaperfahrer erfreuten sich vieler staatlicher Aufträge in einem "Krieg mit anderen Mitteln".
Dies ist heute nicht anders. Es wird erneut
erpresst und reiche Beute gemacht.
Erneut werden Einflusszonen gesucht und gesichert.
Erneut werden mehrstufige Angriffskampagnen gefahren und unter falscher Flagge abgetarnt.
Allerdings heißen die Freibeuter und Kaperfahrer nicht mehr Blackbeard oder Drake, sondern
Und ihr Operationsgebiet ist der Cyberraum, denn längst kennen unsere Land- und Seekarten keine weißen Flecken mehr. Die großen Entdecker und Glücksritter verschieben nun im Informationsraum die Grenzen und konkurrieren um seine Erträge.
Erneut begünstigt eine schwache Regelungs- und Sanktionstiefe die Austragung von Konflikten und Kampagnen.
Entsprechend früh wirkte der Cyberraum auch als zuverlässiger Seismograph für geopolitische Spannungen. Lange vor hybriden Kampagnen oder dem russischen Angriffskrieg gegen die Ukraine warnten wir vor den gefährlichen revanchistischen Motiven autoritärer Regime, die sich als Herausforderer in einem Systemwettkampf verstehen. Bedrohungs-Akteure können
Denken Sie etwa gerne beim Beispiel der Kaperbriefe an die Kooperation des chinesischen Cybersecurity-Unternehmens
i-Soon mit der chinesischen Regierung und ihren Geheimdiensten. Wir haben darüber in einer ausführlichen Auswertung unterrichtet. Der Fall belegt musterhaft die Industrialisierung von Cyberspionage durch privatwirtschaftlich organisierte Unternehmen, die im staatlichen Auftrag agieren.
De facto finden Cyberkriminelle und äußerst professionell agierende Tätergruppen sichere Häfen in einschlägigen Staaten, die sie vor Strafverfolgung abschirmen, solange sich die strategischen Interessen überschneiden.
Meine Damen und Herren,
vor einem Jahr habe ich Sie an dieser Stelle in größerer Detailtiefe über Russlands üppige geheimdienstliche Toolbox unterrichtet. Heute möchte ich den Rahmen größer ziehen und den Scheinwerfer auf diejenigen herausragenden Cyber-Akteure richten, die gegen Deutschland und seine Sicherheitsinteressen wirken.
Und als Hauptgegner im Bereich der Cyberabwehr betrachten wir nach wie vor Russland, China, Nordkorea und Iran.
Russlands Invasion der Ukraine hat nachhaltig auf unsere Spionage- und Cyberabwehr eingewirkt. Mit Blick auf den Krieg selbst möchte ich festhalten, dass dieser Konflikt in unserem Kontext zunächst überraschte.
Entgegen der Annahme, dass kommende Kriege in hohem Maße das Gesicht des Cyberwar tragen werden, begegnen uns auf den Schlachtfeldern der Ukraine ein sehr viel differenzierteres Bild. Elektronische Kriegsführung und extrem rasche Innovationszyklen in der Drohnentechnologie verlaufen parallel zu archaischen kinetischen militärischen Operationen.
Zu Beginn verfolgten die russischen Cyberangriffsoperationen einen taktisch destruktiven Ansatz. Die Angriffe - etwa gegen Ministerien und Banken - sollten den russischen Einmarsch unterstützen.
Der Kriegsverlauf zeigte jedoch, dass die oftmals aufwändigen Ansätze nicht den gewünschten Effekt erzielten. Die Ziele langfristig geplanter Cyber-Sabotageaktivitäten können in vielen Fällen durch den Einsatz konventioneller Waffen kostengünstiger und zuverlässiger erreicht werden.
Der große Cyberkrieg blieb insofern aus.
Nach Kriegsende wird sich zeigen, in welchem Umfang Russland seine Cyberaktivitäten auf Europa und die NATO verlagern wird und inwieweit es die Erfahrungen aus dem Angriffskrieg als Blaupause nutzen kann.
Im Bereich des Cyber- und Informationsraumes dienen russische Angriffe gegen Deutschland in erster Linie der Informationsbeschaffung. Im Kontext des Krieges gilt sie vor allem
Im Zuge der Verbreitung von Multi-Faktor-Authentifizierung nutzen russische Akteure aufwendiges Social Engineering, um Organisationen zu infiltrieren. Bei sogenanntem Device Code Phishing erfolgt oftmals eine Kontaktaufnahme per E-Mail oder Messenger wie Signal mit anschließender Einladung zu einer Videokonferenz.
So versuchte etwa die Gruppierung APT 29 im vergangenen Jahr Denkfabriken und andere NGO´s anzugreifen.
APT 28 wiederum ist dem militärischen Nachrichtendienst GRU zuzuordnen. Infolge einer langandauernden Kompromittierung war es APT 28 gelungen, interne Daten einer deutschen politischen Stiftung zu erlangen. Die gewonnenen Informationen setzte die Gruppierung auch für eine großflächige Phishing-Kampagne gegen die Bundesverwaltung ein.
Am 12. Dezember 2025 hat die Bundesregierung den Cyberangriff auf die Deutsche Flugsicherung im August 2024 offiziell APT 28 zugeschrieben. Zugleich bestellte das Auswärtige Amt den russischen Botschafter ein. Das BfV hat mit seinen Erkenntnissen maßgeblich zu den Vorarbeiten für dieses Vorgehen beigetragen.
Immer wieder kommt es zu hacktivistisch motivierten Cyberattacken, die sich gegen eine breite Zielfläche staatlicher und privater Stellen richten, darunter wieder Unternehmen in KRITIS Sektoren. Während dieser Hacktivismus anfänglich durch relativ simple DDoS-Techniken geprägt war, sind die Methoden inzwischen technisch anspruchsvoller.
Generell lässt sich bilanzieren, dass Russland Cyberangriffe als geopolitisches Werkzeug strategisch einsetzt.
Sein klarer Referenzrahmen ist der Angriffskrieg in der Ukraine sowie der Systemkonflikt mit westlichen Demokratien. Dieser Kontext bestimmt seine Motivlage - und seine Methoden.
Es zählt der konkrete Erfolg - und mitunter ein durchaus gewollter show-of-force -Effekt.
Demgegenüber agiert die Volksrepublik China weiterhin im Rahmen der Systemrivalität. Ihre Cyberangriffe verfolgen primär Zwecke der Spionage. Es soll strategisches Wissen angehäuft und dem erklärten Streben nach wirtschaftlicher und technologischer Suprematie zugeführt werden. Die Angriffe sind entsprechend aufwendig abgetarnt und erfolgen oft über
Technisch äußerst komplexe Kampagnen richteten sich vor allem gegen IT-Dienstleister aus Schlüsselbranchen wie der Satellitenkommunikation oder der Luft- und Raumfahrt.
Begünstigt durch das chinesische "Schwachstellengesetz" setzen chinesische Akteure seit einigen Jahren intensiv auf Exploit-basierte Cyberangriffe. Gemeinsam mit internationalen Partnern sowie dem BSI und dem BND veröffentlichten wir im August eine Sicherheitswarnung zu Salt Typhoon. Der Ende 2024 bekannt gewordene Cyberakteur ist in der Lage, technisch versierte Angriffe über einen längeren Zeitraum zu verüben.
Salt Typhoon ging primär gegen Ziele im Bereich der Telekommunikation vor. Bisher konnten einzelne Angriffsversuche des Akteurs in Deutschland festgestellt werden, welche jedoch nicht zu tiefgehenden Infektionen der Zielnetzwerke führten.
Nordkorea nutzt den Cyberraum vorrangig in der Motivation der Systemstabilisierung; das heißt konkret: zur finanziellen Bereicherung des Regimes, Devisenbeschaffung, Wirtschaftsspionage oder zur Umgehung internationaler Sanktionen.
Der Diebstahl von Kryptowährungen hat sich zu einem Pfeiler der Staatsfinanzierung Nordkoreas entwickelt.
Das Geld fließt unter anderem in Raketenprogramme und die eigenen Nachrichtendienste.
Zudem setzt Nordkorea gezielt getarnte IT-Fachkräfte ein, die ihre Dienstleistungen Unternehmen anbieten. Auch deutsche Firmen beschäftigten bereits nordkoreanische IT-Worker. Die mitunter tiefen Einblicke und Zugänge in die IT-Systeme sind allemal Grund zur Sorge.
Insgesamt bleibt Nordkorea einer der aktivsten staatlichen Cyberakteure mit hoher Gefährdungsrelevanz. Zusätzliche Brisanz erhalten diese Aktivitäten durch die immer enger werdende militärische und politische Zusammenarbeit mit Russland.
Iran operiert im Cyberraum maßgeblich zum Zwecke der Repression und eigenen Machtabsicherung. Die Attacken erfolgen vorwiegend als Spear-Phishing-Angriffe, die sich durch aufwendiges Social Engineering auszeichnen.
Zudem setzen seine Dienste zielgerichtet Schadsoftware ein, um die IT-Systeme ihrer Opfer auszuspähen. Um die Finanzströme zu verschleiern, wird die hierfür genutzte ausländische IT-Infrastruktur verstärkt durch Kryptowährungen finanziert.
Korrelierend mit den Entwicklungen im Nahen und Mittleren Osten stellen wir zudem eine erhöhte Gefährdungslage durch iranische Cyberspionage fest. Diese richtet sich vor allem gegen Angehörige von Thinktanks, NGOs und der Politik, die aus iranischer Sicht der Unterstützung Oppositioneller zugerechnet werden.
Das BfV konnte zuvor bereits Ausspähversuche der Cybergruppierung Charming Kitten identifizieren, die sich gegen iranische Personen und Organisationen in Deutschland richteten. Die Betroffenen wurden informiert und zu erhöhten Schutzmaßnahmen angeleitet.
Meine sehr geehrten Damen und Herren,
selbst eine äußerst unvollständige Auswahl an Beispielen belegt bereits das hohe Gefährdungslevel der aktuellen Lage. Klar ist: Der Cyberraum ist nicht nur Seismograph, sondern zentrales Gefechtsfeld geopolitischer Rivalität.
Und dennoch ist er auch nur ein Baustein im großen Ringen um die Gestaltungsmacht der Zukunft.
Gestalten - das ist ein Reizwort, dass wir zwingend beherzigen müssen! Denn es reicht nicht, die Lage allein zu benennen - wir müssen sie gestalten, um sie auch zu bewältigen!
Oder, - um im anfänglichen Bild zu bleiben: Es ist zwar gut, mit einem starken Fernrohr am Horizont die Piratenflagge früh zu erkennen, aber um der Seeräuberei Herr zu werden, muss ich das feindliche Schiff auch erfolgreich geentert kriegen!
Als deutscher Abwehrdienst arbeiten wir tagtäglich an der aktiven Fortgestaltung unserer operativen Fähigkeiten. Denn nur operativ und aktiv können wir Angriffe gemeinsam mit nationalen und internationalen Partnern unterbrechen und unterbinden.
Denn ob wir wollen oder nicht:
Dazu sind die asymmetrischen Effekte für die Aggressoren einfach zu verführerisch. Der Angreifer muss nur einmal-, der Verteidiger hingegen jederzeit erfolgreich sein!
Und wir haben dabei noch gar nicht über die Chancen und Risiken Künstlicher Intelligenz gesprochen - wobei ich sicher bin, dass dieser Schicksalsfrage auf der hiesigen Bühne des HPI noch viel Raum geschenkt werden wird.
Klar ist jedoch auch hier: Reaktiv wird nicht mehr funktionieren!
Cybersicherheit reagierte bislang meist auf gefundene Schwachstellen und erfahrene Schadensereignisse. Doch wenn die KI vollends entfesselt wird, reichen keine reaktiven Maßnahmen mehr.
Nur eine proaktive Gestaltung unserer digitalen Souveränität, nur active defense kann uns gemeinsam in die Resilienz führen, die wahre Souveränität auch in der Zukunft erhält und ermöglicht.
Deshalb setzen wir in unserer Arbeit und unseren Allianzen auf Kommunikation und Kooperation.
Cybersecurity ist bekanntlich ein Teamsport.
Mit der Eröffnung des Gemeinsamen Zentrum zur Abwehr Hybrider Bedrohungen (GAZ HYBRID) haben wir diesen Ansatz vor einer Woche erneut unterstrichen.
Dabei betrachten wir auch den privaten Sektor als unverzichtbaren Partner, denn seine Protagonisten sind häufig als Betreiber auch die erste Verteidigungslinie von Kritischen Infrastrukturen. Diese stehen mehr denn je im Fadenkreuz möglicher russischer Sabotageakte - seien sie nun analog oder virtuell.
Deutschland darf sich jedoch nicht an das hybride Agieren unserer Gegner gewöhnen. Es sind illegitime Angriffe, die wir mit aller Kraft und kühlem Kopf abwehren müssen.
Viele kluge Köpfe sind hier und heute für dieses Ziel versammelt.
Lassen sie uns gemeinsam handeln - und Sicherheit gewinnen.
Denn wer Sicherheit genießt, kann souverän gestalten.
Und wer gestaltet, bleibt auch im Digitalzeitalter frei!
Vielen Dank.