Nachdem die **Cybersecurity and Infrastructure Security Agency (CISA)** eine Warnung über mit dem Iran verbundene Cyberakteure herausgegeben hatte, die darauf abzielten, Störungen in den USA zu verursachen, sind Bedenken hinsichtlich Angriffen auf kritische Infrastrukturen gestiegen. Beamte und Cybersicherheitsexperten deuten jedoch auf eine andere, subtilere Bedrohung hin: opportunistische Intrusionen, die darauf ausgelegt sind, größer zu erscheinen, als sie sind. ## Die Natur der Bedrohung Auf dem Asness Summit on Modern Conflict and Emerging Threats in Nashville hoben der ehemalige **NSA**-Direktor **Tim Haugh** und **Kevin Mandia**, Gründer eines neuen KI-Cybersicherheitsunternehmens, hervor, dass iranische Cyberoperationen oft grundlegende Sicherheitslücken ausnutzen und die Ergebnisse verstärken, anstatt neuartige Fähigkeiten einzusetzen. "Ich würde wahrscheinlich eine Analogie ziehen, dass Iran und die Cyberfähigkeiten des Iran näher an einem kriminellen Akteur sind", sagte Haugh. "Sie werden gezielte Gelegenheitsangriffe [durchführen] und dann versuchen, diese mit einer Informationsoperation zu verknüpfen, um sie groß zu machen." Dieser Ansatz konzentriert sich darauf, zuerst Zugang zu erlangen und dann später die Erzählung zu gestalten, was ein wiederkehrendes Muster ist. ## Der Stryker-Vorfall: Eine Fallstudie Der jüngste Vorfall mit dem Medizintechnikunternehmen **Stryker** ist ein Beispiel dafür. Hacker haben Berichten zufolge Tausende von Geräten deaktiviert. Laut Haugh und Mandia stützte sich diese Operation jedoch nicht auf hochentwickelte Malware oder unbekannte Schwachstellen. Stattdessen begann sie mit Social Engineering. "Sie haben jemanden durch Social Engineering manipuliert und legitime Anmeldedaten verwendet, um im Grunde eine Auswirkung zu erzielen", erklärte Haugh. Sie nutzten eine "legitime Fähigkeit, die mit diesem Zugang verbunden war, um einfach Dinge zu löschen, für deren Löschung sie die Erlaubnis hatten." Obwohl als destruktiver Cyberangriff beschrieben, verdeutlichte der Vorfall ein häufigeres Problem: Angreifer nutzen gültige Anmeldedaten, um von innen Schaden anzurichten. ## Verteidigungsstrategien: Fokus auf Grundlagen Mandia betonte, dass Organisationen dieses Angriffsmuster erwarten sollten, anstatt hochgradig maßgeschneiderte Exploits. "Sie haben gültige Anmeldedaten im Darknet gekauft", sagte er. "Wenn ich also jetzt ein CISO bin, suche ich nach einem Dienst, der… versucht, sich in jede Login-Seite, jede API einzuloggen… [und] sicherstelle, dass ich überall MFA habe. So werden sie eindringen. Es ist langsam und schleichend", fügte er hinzu. "Ich würde argumentieren, dass das wie ein kriminelles Element ist." Angreifer beanspruchen oft öffentlich ein Ziel, das sie bereits kompromittiert haben, um den Anschein von Geschwindigkeit und Präzision zu erwecken, insbesondere in Konfliktsituationen. Mandia zog eine Parallele: "Die Cyberdomäne ist eine schlechte Nachbarschaft, und um 'Spinal Tap' zu zitieren, sie drehen jetzt einfach die Lautstärke auf 11 auf, weil es einen Krieg gibt und alle Handschuhe ausgezogen werden." ## Wahrscheinliche Ziele und Zukunftsaussichten Anstatt groß angelegter Angriffe auf kritische Infrastrukturen wird der Iran wahrscheinlich gezielt Organisationen mit Verbindungen zu Israel oder den USA angreifen und Intrusionen mit Informationskampagnen kombinieren. "Ich bezweifle, dass Sie benutzerdefinierte Webanwendungsangriffe sehen werden", sagte Mandia. "Ich denke, es wird ums Einloggen gehen. Das tue ich wirklich. Es wird ein Identitätssicherheitsproblem sein." Selbst bei nachlassenden Spannungen wird sich diese Basislinie wahrscheinlich nicht ändern. "Meine Meinung ist, Hacker hacken, Ende der Geschichte", sagte Mandia. "Sie tauchen jeden Tag auf. Sie tun es acht bis zehn Stunden lang." Für Verteidiger ist die wichtigste Erkenntnis klar: Die nächste Phase des Cyberkonflikts könnte weniger von neuen Werkzeugen und Taktiken abhängen und mehr vom Schließen der grundlegenden Sicherheitslücken, die Angreifer seit langem ausnutzen.