Iran-Krieg löst 245% Anstieg des Cyber-Datenverkehrs aus

Seit dem 28. Februar 2026 – dem Tag, an dem die Vereinigten Staaten und Israel den Iran angriffen – hat Akamai Technologies einen Anstieg des bösartigen Internetverkehrs auf Unternehmen und Institutionen in Nordamerika, Europa und Teilen des asiatisch-pazifischen Raums um 245 Prozent verzeichnet. Diese Zahl, die aus den globalen Edge-Netzwerk-Überwachungsdaten von Akamai stammt, ist in erster Linie keine Iran-Geschichte. Es ist eine Russland-und-China-Geschichte, was sie erheblich komplizierter macht.

Von den Quell-IPs hinter dem Anstieg entfallen laut Akamai-Analyse vom März 2026 35 Prozent auf Russland und 28 Prozent auf China. Der Iran trägt 14 Prozent bei. Forscher bei Akamai und der Unit-42-Gruppe von Palo Alto Networks haben sorgfältig darauf hingewiesen, dass die geografische Herkunft einer Quell-IP nicht der Nationalität des Angreifers entspricht – sowohl Russland als auch China beherbergen große Underground-Cyberkriminalitätsmärkte, die Angriffsinfrastruktur unabhängig von der Herkunft an Kunden verkaufen. Was die Daten zeigen, ist, dass kriminelle und staatsnahe Bedrohungsakteure die durch eine große geopolitische Krise entstandene Ablenkung systematisch ausnutzen, um opportunistische und gezielte Angriffe zu intensivieren.

Das Ausmaß auf Unternehmensebene ist bemerkenswert. Eine kritische Zahlungsabwicklungsplattform im asiatisch-pazifischen Raum blockierte laut Akamai-Bericht im März 2026 an einem einzigen Tag mehr als 11 Millionen bösartige Datenpakete russischer Herkunft. Ein großer europäischer Zahlungsabwickler blockierte innerhalb von 90 Tagen fast 978 Millionen Pakete von russischen IPs. Dabei handelt es sich nicht um aufsehenerregende Einbrüche von Nationalstaaten in Rüstungsunternehmen, sondern um anhaltende, volumetrische Angriffe auf Finanzinfrastruktur, die den täglichen Handel abwickelt.

“Das Ausmaß auf Unternehmensebene ist bemerkenswert.”

Das Unit-42-Team von Palo Alto Networks veröffentlichte am 26. März 2026 ein Bedrohungsbriefing, das ein spezifisches Eskalationsmuster nach jeder wichtigen Entwicklung im Iran-Konflikt dokumentiert. Innerhalb von 48 Stunden nach den Angriffen vom 28. Februar beobachtete Unit 42 einen koordinierten Anstieg der Aufklärungsaktivitäten gegen kritische Infrastruktursektoren in den USA und Europa, darunter Energie, Logistik und Finanzdienstleistungen. „Die Korrelation zwischen geopolitischen Ereignissen und dem Tempo der Bedrohungsakteure ist direkter und schneller als noch vor drei Jahren", schrieben Unit-42-Forscher im Bedrohungsbriefing vom 26. März. „Incident-Responder müssen große militärische Ereignisse als Auslöser für erhöhte Cyber-Bedrohungen behandeln."

Der Global Cybersecurity Outlook 2026 des Weltwirtschaftsforums, der im März veröffentlicht wurde, ergab, dass 91 Prozent der befragten größten Organisationen ihre Cybersicherheitsstrategien bereits als Reaktion auf geopolitische Volatilität geändert hatten. Das ist ein bemerkenswerter Anteil und deutet darauf hin, dass Vorstände und Führungsetagen die Cyber-Dimensionen des Iran-Konflikts auf eine Weise ernst nehmen, die bei früheren Nahost-Krisen nicht der Fall war.

In der ermutigenden Schlagzeile steckt jedoch ein Vorbehalt. Geänderte Strategien bedeuten keine verbesserte Sicherheit. Derselbe WEF-Bericht stellte fest, dass kleinere Zulieferer in globalen Fertigungs- und Dienstleistungsketten für das Bedrohungsumfeld nach wie vor deutlich unterversorgt sind und dass die verbesserten Abwehrmechanismen größerer Organisationen Angreifer effektiv auf mittelständische Unternehmen und KMU als Ziele verlagern. Der Cybersicherheitsperimeter eines großen Unternehmens erstreckt sich heute so weit wie sein schwächster Lieferant – ein Problem, das weder ein einzelnes Firmware-Update noch eine Richtlinienentscheidung auf Vorstandsebene lösen kann.

Für Unternehmen und Einzelpersonen, die dem aktuellen Bedrohungsumfeld ausgesetzt sind, haben sowohl Unit 42 als auch ASIS International praktische Abhilfeempfehlungen veröffentlicht. Die einheitlichen Empfehlungen umfassen das sofortige Patchen internetfähiger Systeme statt im Quartalszyklus, die Aktivierung von Multi-Faktor-Authentifizierung für alle Fernzugriffsdienste sowie die Überprüfung der Zugriffskontrollen für Cloud-Speicher-Buckets, die möglicherweise noch vor der Veränderung des Bedrohungsumfelds konfiguriert wurden. The Register berichtete am 16. März 2026 über den 245-prozentigen Anstieg und stellte fest, dass auf kriminellen Marktplätzen KYC-Gesichtsverifikations-Bypass-Tools aufgetaucht sind, die speziell darauf ausgelegt sind, die verminderte Aufmerksamkeit auszunutzen, die die Sicherheitsteams von Finanzinstituten der Betrugserkennung widmen, während sie mit der erhöhten DDoS-Bedrohungslast umgehen.

Die 245-Prozent-Zahl wird wahrscheinlich weiter steigen, bevor sie zurückgeht. Der Iran-Konflikt hat kein vereinbartes Enddatum, der am 16. April angekündigte Libanon-Waffenstillstand gilt nur für kinetische Operationen, und kein diplomatischer Rahmen schränkt derzeit die digitalen Aktivitäten der Akteure ein, die den Moment ausnutzen. Der nächste zu beobachtende Wendepunkt ist der Ablauf der US-Ausnahmeregelung für russische Ölsanktionen Mitte Mai – ein Datum, das, wenn es von frischem wirtschaftlichem Druck auf Moskau begleitet wird, eine weitere Welle von Vergeltungsmaßnahmen gegen dieselbe Infrastruktur auslösen könnte, die seit Ende Februar Angriffe absorbiert.