Der Ukraine-Krieg hat deutlich gemacht, was Sicherheitsexperten seit Jahren beobachten: Moderne Konflikte beschränken sich nicht auf klassische militärische Auseinandersetzungen. Sie werden „hybrid“ geführt – durch ein Zusammenspiel aus politischen, wirtschaftlichen, gesellschaftlichen und technologischen Maßnahmen. Das Heimtückische daran: Hybride Angriffe tarnen sich geschickt. Statt als eindeutiger Angriff erkennbar zu sein, erscheinen sie wie eine Verkettung unglücklicher Umstände: ein IT-Ausfall hier, ein Lieferproblem dort, ein Shitstorm, ein Datenleck, plötzlich widersprüchliche Informationen, interne Schuldzuweisungen. Diese Unklarheit ist gewollt.
Für die Wirtschaft hat das zwei Seiten. Einerseits: Hybride Angreifer suchen nicht unbedingt das größte Ziel, sondern das verwundbarste. Andererseits: Weil viele Angriffe auf typische Schwachstellen abzielen, lassen sich mit soliden Grundlagen bereits erhebliche Schutzeffekte erzielen.
Drei zentrale Erkenntnisse aus dem BSI-Lagebericht 2025 verdienen besondere Beachtung: Erstens bleibt die Bedrohungslage angespannt – Entwarnung gibt es nicht. Zweitens liegt der wirksamste Hebel im Schutz der Angriffsflächen: restriktive Zugangskontrolle, zeitnahe Updates, Reduzierung öffentlich erreichbarer Systeme. Drittens zeigt sich ein klarer Trend zu vielen kleineren, technisch wenig anspruchsvollen Angriffen – besonders KMU sind davon betroffen. Für die strategische Bewertung reichen diese Punkte. Alles Weitere ist Umsetzungssache.
Was „hybrid“ konkret bedeutet – und warum die Geschäftsführung gefordert ist
Hybride Kriegsführung bezeichnet weniger eine bestimmte Methode als vielmehr eine Strategie. Sie kombiniert verschiedene Werkzeuge so, dass das Ziel ständig in der Defensive bleibt. Ein verbreiteter Irrtum in Unternehmen: Sicherheit sei ausschließlich Aufgabe der IT. Zwar bildet die IT einen wesentlichen Teil der Angriffsfläche, aber der eigentliche Schaden trifft das Geschäft: Lieferfähigkeit, Produktionsabläufe, Verhandlungspositionen, Reputation, rechtliche Compliance, Vertrauen.
Hybride Angreifer erreichen ihre Ziele selten durch einen spektakulären Hack, sondern durch aufeinanderfolgende kleinere Effekte. Ein kompromittierter Account genügt, um interne Kommunikation glaubhaft zu missbrauchen. Ein Datenleck ermöglicht gezielten Betrug und Erpressung. Ein kurzer Ausfall führt zu verpassten Terminen und Vertragsstrafen. Eine geschickt platzierte Falschinformation verzögert oder sabotiert Entscheidungen.
Im Zentrum steht damit Resilienz: die Fähigkeit, Angriffe zu verhindern, frühzeitig zu erkennen, Schäden einzugrenzen und rasch wieder handlungsfähig zu werden. Dass das BSI seinen Bericht entlang von Angriffsflächen und Resilienz strukturiert, ergibt daher Sinn.
Die Taktiken hybrider Kriegsführung: Mehr als nur Cyber – aber ohne Cyber kaum vorstellbar
Einfluss und Desinformation: Wenn Wahrnehmung das Ziel ist
Einflussoperationen manipulieren die Wahrnehmung. In Staaten richten sie sich gegen Bevölkerung und Politik, in Unternehmen gegen Mitarbeiter, Kunden, Partner und mitunter auch die Geschäftsführung. Der Anfang kann harmlos wirken – gefälschte E-Mails, manipulierte Screenshots – doch die Wirkung ist verheerend, wenn interne Abstimmungen kippen oder externe Partner das Vertrauen verlieren.
Entscheidend: Viele dieser Angriffe sind technisch simpel. Sie nutzen Zeitdruck, vermeintliche Autorität und Routineabläufe aus. Deshalb gehören Kommunikationswege und Freigabeprozesse zur Sicherheitsarchitektur – auch wenn sie auf den ersten Blick nichts mit IT-Security zu tun haben.
Wirtschaftlicher Druck: Lieferkette, Dienstleister, Abhängigkeiten
Hybride Angreifer schätzen die Lieferkette, weil sie Hebelwirkung bietet. Ein kompromittierter Dienstleisterzugang öffnet Türen zu mehreren Kunden. Eine manipulierte Softwarekomponente betrifft zahlreiche Installationen. Ein Angriff auf einen Logistik- oder IT-Provider kann ganze Branchen gleichzeitig lahmlegen. Für die Geschäftsführung stellt dies die klassische Einkaufslogik („günstig, schnell, verfügbar“) grundsätzlich infrage.
Störung und Sabotage: Angriffe auf Verfügbarkeit und Integrität
Störung bedeutet nicht zwingend Totalausfall. In hybriden Szenarien genügt häufig „gezielte Reibung“. Wenn Ticketsysteme ausfallen, die Telefonie gestört ist, Remote-Zugänge nicht funktionieren oder die E-Mail-Kommunikation überlastet ist, entstehen Verzögerungen, Fehler und Eskalationen. Sabotage geht weiter: Sie zielt auf verfälschte Daten, falsche Prozessparameter, manipulierte Einstellungen oder beschädigte Backups. Besonders gefährlich, weil solche Angriffe oft erst spät entdeckt werden – und Entscheidungen dann bereits auf falschen Grundlagen beruhen.
Warum Cyberangriffe das bevorzugte Werkzeug hybrider Akteure sind
Cyber ist attraktiv, weil es skaliert. Angriffe lassen sich automatisieren, wiederholen und anpassen. Zudem bleibt die Täterschaft oft im Dunkeln oder zumindest schwer nachweisbar. Deshalb passt Cyber perfekt zu hybriden Operationen, die mit Unklarheit arbeiten.
Typisch ist nicht der Einzelangriff, sondern eine Kette: Informationsbeschaffung, Initialzugang, Ausbreitung im Netzwerk, Zugriff auf Daten und Systeme, dauerhafte Absicherung der Präsenz und schließlich Druckaufbau durch Verschlüsselung, Veröffentlichung oder gezielte Störungen. Wer nur auf den sichtbaren „Knall“ am Ende achtet, verpasst die Phase, in der Angreifer noch gestoppt werden könnten.
Die Professionalisierung verschärft die Lage. Der BSI-Lagebericht beschreibt Cybercrime-as-a-Service und speziell Ransomware-as-a-Service als weiterhin weit verbreitet, mit Datenverschlüsselung und Datenexfiltration samt anschließender Erpressung. KMU gehören zu den Hauptbetroffenen. Genau dieses Muster nutzen hybride Akteure für Druckaufbau und Destabilisierung – selbst wenn die ursprüngliche Motivation rein finanziell ist.
Cyber-physisch: Wenn digitale Angriffe reale Prozesse treffen
Sobald IT und OT (Operational Technology) verschmelzen, wird Cyber automatisch physisch relevant. OT umfasst Steuerungs- und Automatisierungssysteme – die Technik, die Maschinen, Anlagen, Gebäude und Prozesse steuert. Angriffe hier erfordern keine spektakulären Abschaltungen. Oft genügt subtile Manipulation: Parameter, Zeitverhalten, Sensorwerte, Rezepturen. Der Schaden manifestiert sich als Qualitäts-, Sicherheits- oder Verfügbarkeitsproblem – häufig erst, wenn es teuer wird.
Ein zweiter cyber-physischer Hebel sind IoT-Geräte. Sie hängen meist dauerhaft im Netz, werden selten ordentlich gewartet und sind schwer zu überwachen. Der BSI-Lagebericht nennt BadBox als größtes in Deutschland aktives Botnetz, bei dem Geräte bereits während der Produktion infiziert wurden – etwa 30.000 Fälle. Für Unternehmen zählt weniger die genaue Zahl als die Konsequenz: „Günstig eingekauft“ kann „teuer betrieben“ bedeuten, wenn Geräte zu unsichtbaren Einfallstoren werden.
Was bedeutet das für Geschäftsführung, IT und Security – ganz konkret?
Hybride Angriffe zielen auf Wirkung, nicht auf technische Raffinesse. Für die Geschäftsführung entscheidet sich die Frage, welche Geschäftsprozesse bei Störung oder Manipulation kritisch sind. Für IT-Verantwortliche geht es darum, welche Angriffsflächen nach außen exponiert sind und wie schnell sie kontrolliert werden können. Für Sicherheitsverantwortliche zählt, ob Prävention, Erkennung und Reaktion zusammenpassen – und ob die Organisation in Stresssituationen funktioniert.
Die wichtigste Denkverschiebung ist simpel: Es geht weniger darum, ob ein Angriff verhindert wird. Entscheidend ist, ob ein Angriff Ihr Unternehmen in einen Zustand versetzt, in dem Entscheidungen falsch werden, Abläufe chaotisch werden und sich Schäden potenzieren. Genau dort liegt die Stärke hybrider Kriegsführung.
Grundlagen zum Schutz: die wichtigsten Hebel, ohne Maßnahmen-Feuerwerk
Wer hybride Bedrohungen ernst nimmt, braucht keine hunderte Einzelmaßnahmen, sondern wenige, konsequent umgesetzte Grundlagen. Entscheidend: Diese Grundlagen müssen als fortlaufender Betriebsprozess mit klaren Verantwortlichkeiten verstanden werden, nicht als IT-Projekt.
Angriffsflächenmanagement: Der erste Schritt ist Sichtbarkeit
Der wirksamste Hebel ist die Kontrolle dessen, was von außen erreichbar ist. Das BSI betont restriktives Zugangsmanagement, zeitnahe Updates und Minimierung öffentlich erreichbarer Systeme. Praktisch bedeutet das: Sie müssen wissen, welche externen Dienste existieren, wem sie gehören, wofür sie benötigt werden und wie sie abgesichert und aktualisiert werden. Was „vergessen“ wurde, ist für Angreifer kein Versehen, sondern eine Einladung.
Identitäten und Zugänge: Wer sich anmelden kann, hat Macht
Bei sehr vielen Vorfällen ist Identität der Schlüssel. Passwörter, Sessions, Tokens und Rechte sind das, was Angreifer wirklich brauchen, um „wie ein normaler Benutzer“ zu agieren. Wenn externe Zugänge, Administrationszugänge und kritische SaaS-Zugänge nicht konsequent geschützt sind, werden technische Schutzmaßnahmen regelmäßig umgangen. Das ist Alltagspraxis: Ein einziger schwacher Zugang genügt, um den Rest „legal“ zu nutzen.
Patch- und Schwachstellenmanagement: Zeit ist der Gegner
Wenn Angreifer verstärkt auf einfache, schnell nutzbare Schwachstellen setzen, ist Geschwindigkeit entscheidend. Ein Patchprozess muss nicht perfekt sein, aber funktionieren: klare Priorisierung, klare Fristen, klare Verantwortliche, dokumentierte Ausnahmen. Besonders kritisch sind Systeme am Netzwerkrand – Perimeter und Remote-Zugänge – weil dort die Eintrittswahrscheinlichkeit am höchsten ist.
Segmentierung und Absicherung kritischer Zonen: Damit aus einem Einbruch kein Totalschaden wird
Hybride Angriffe profitieren von Ausbreitungsmöglichkeiten. Segmentierung ist die Ausbreitungsbremse. Sie verhindert, dass ein kompromittierter Client automatisch auf Server, Backups, Management-Netze oder OT zugreifen kann. Das ist selten spektakulär, aber hochwirksam. Je klarer Ihre Zonen getrennt sind, desto eher bleibt ein Vorfall beherrschbar.
Backups, Wiederanlauf und Notbetrieb: Resilienz wird im Ernstfall bezahlt
Ransomware und Sabotage treffen Unternehmen dort, wo es am meisten schmerzt: in der Verfügbarkeit. Der BSI-Lagebericht zeigt, dass Ransomware-Angriffe oft mit Datenleaks einhergehen. Damit ist klar: Sie brauchen nicht nur Backups, sondern Wiederanlauf-Fähigkeit. Wer den Restore nicht getestet hat, hat keinen Plan, sondern bestenfalls Hoffnung. Und wer den Notbetrieb nicht durchdacht hat, wird im Incident Entscheidungen im Blindflug treffen.
Erkennung und Reaktion: Der Unterschied zwischen „Vorfall“ und „Krise“ ist Vorbereitung
Weil nicht jeder Angriff verhindert werden kann, müssen Sie früh erkennen und schnell reagieren können. Das beginnt mit brauchbarem Logging und endet bei geübten Abläufen. Ein Incident-Response-Plan, der nie geprobt wurde, ist in der Krise oft nutzlos. Hybride Szenarien sind besonders stressig, weil gleichzeitig Kommunikation, Technik und Geschäftsprozesse betroffen sein können. Wer dann nicht vorbereitet ist, verliert Zeit – und Zeit ist im Incident die teuerste Ressource.
OT und IoT: Cyber-physische Risiken bewusst managen
Wenn OT beteiligt ist, müssen IT und Produktion gemeinsam denken. Fernwartung, Übergänge zwischen IT und OT, Asset-Transparenz und kontrollierte Änderungen sind zentral. Bei IoT gilt dasselbe: Wenn Geräte in großen Stückzahlen kompromittiert werden können, ohne dass Besitzer es bemerken – wie der BSI-Bericht im Kontext BadBox beschreibt – dann ist „unmanaged“ keine Option.
Hybride Realität akzeptieren – und mit den Basics gewinnen
Hybride Kriegsführung wirkt bedrohlich, weil sie nicht sauber in Zuständigkeiten passt. Deshalb muss die Antwort ebenfalls hybrid sein: Governance, Technik, Prozesse, Kommunikation und Übung gehören zusammen. Die zentrale Erkenntnis aus der aktuellen Lage lautet nicht, dass „alles schlimmer wird“, sondern dass Angreifer systematisch nach den einfachsten Wegen suchen. Wer die einfachen Wege schließt, gewinnt Zeit, reduziert Risiken und bleibt handlungsfähig – auch dann, wenn beim nächsten Angriff nicht „ob“, sondern nur „wann“ die Frage ist.
Link zum BSI-Lagebericht: https://medien.bsi.bund.de/lagebericht/de/
