3. Merkliste
  4. Suche
Politik

Russische hybride Angriffe: Deutsche Firmen im Fokus

Spionage, Sabotage, Low-level-Agenten:Hybride russische Angriffe: Deutsche Firmen im Fokus

Julia Klaus

von Julia Klaus

|

Cyberangriffe auf Energieversorger, Antennen neben Rüstungskonzernen - Unternehmen berichten von hybriden Angriffen mit Russlandverdacht. Wie viel wirklich passiert, ist unklar.

Symbolbild: Ein Mann tippt auf der beleuchteten Tastatur eines Laptops. Auf dem Bildschirm ist ein Hackerprogramm geöffnet.

Cyberangriffe auf Energieversorger, Ausspähversuche gegen Rüstungskonzerne - Unternehmen berichten von hybriden Angriffen und verdächtigen Russland. Wie viel wirklich passiert, ist unklar.

25.11.2025 | 9:30 min

Es ist ein früher Sonntagmorgen im Juni 2022, als ein Mitarbeiter des IT-Dienstleisters "Count + Care" geistesgegenwärtig einen Stein nimmt und damit eine Glastür einwirft. Hacker waren ins Firmensystem eingedrungen und kontrollierten bereits die Schließanlage. Der Mitarbeiter verschaffte sich Zugang zu einem Büro, zog dem infizierten Rechner den Stecker und unterbrach so den Angriff. Sofort kam die Frage auf: Was konnten die Hacker anrichten?

Betroffen war damals auch der Energieversorger Entega, der Kunde und Hauptaktionär der "Count + Care" ist. Beide Firmen sitzen im hessischen Darmstadt. Die Entega betreibt Wind- und Solarparks, Gaskraftwerke und Umspannwerke, kurzum: Energieinfrastruktur für rund eine Million Kundinnen und Kunden. Doch die kritische Infrastruktur sei gut geschützt gewesen, so Entega-Chefin Marie-Luise Wolff gegenüber ZDF frontal:

Wir wussten sehr schnell, dass die nicht betroffen ist. Gott sei Dank. Da sind sie nicht reingekommen.

Marie-Luise Wolff, Vorstandsvorsitzende Entega

Hacker wollten hohes Lösegeld

Hinter dem Angriff steckt die russischsprachige Hackergruppe AlphV, auch "BlackCat" genannt. "Hochkriminell, hochprofessionell, das konnte man ja alles dann nachlesen, und entweder vom russischen Staat geduldet oder incentiviert oder bezahlt - das haben wir nicht herausgefunden", so Wolff.

Nach dem Angriff forderten die Hacker 15 Millionen Euro Lösegeld. Die Beteiligten entschieden, nicht zu zahlen, auch weil sie die Daten wiederherstellen konnten. Zwar landeten Datensätze später im Darknet, doch die Kunden hätten verständnisvoll reagiert, so Entega-Chefin Wolff.

Ein Laptop zeigt eine Virus-Warnung.

Cyberkriminalität in Deutschland ist auf einem hohen Stand, wie ein Lagebericht des Bundeskriminalamts zeigt. Grund dafür seien auch Hackerattacken aus Russland.

03.06.2025 | 0:25 min

Hybride Bedrohung: Cyberangriffe, Spionage, Sabotage

Was dem Energieversorger passierte, passt zur Bedrohungslage seit Beginn des Ukraine-Kriegs. Der BND warnt, Deutschland sei für Russland "Zielfläche Nummer eins in Europa". Die Hacker von "Blackcat" gelten zwar als Cyberkriminelle, aber keine direkten Staatshacker.

Doch in Putins Russland verschwimmen diese Grenzen, weiß die Präsidentin des für Cybersicherheit zuständigen Bundesamts, Claudia Plattner: "Wir sehen schon seit vielen Jahren eine zunehmende, unheilige Allianz zwischen kriminellen Gruppen und dem russischen Staat an dieser Stelle."

Wir müssen davon ausgehen, dass viel dort mindestens toleriert, teilweise aber tatsächlich auch vom Staat sogar gewollt oder gar gesteuert ist.

Claudia Plattner, Präsidentin Bundesamt für Sicherheit in der Informationstechnik

Cyberattacken, Spionage, Sabotage, Diebstahl - der deutschen Wirtschaft entsteht dadurch laut einer Bitkom-Studie ein Schaden von zuletzt 289 Milliarden Euro im Jahr. Die Angreifer kamen demnach meist aus China und Russland, der Anteil ausländischer Geheimdienste wachse.

Low-level-Agenten bei der Arbeit erwischt?

Sabotage steht oft am Ende, doch Angriffe müssen vorbereitet, Ziele ausgespäht werden. Russland setzt mittlerweile low-level-Agenten ein, die für wenig Geld einfache Aufträge erfüllen. Deutsche Sicherheitsbehörden warnen in einer eigenen Kampagne davor, "kein Wegwerfagent" zu werden.

Putin ist auf einem Bild mit Bahngleisen eingefügt.. Ein Fadenkreuz rahmt das Bild ein.

Drei Ukrainer wurden festgenommen, die offenbar für den Kreml Anschläge auf Gütertransporte verüben sollten. Wie Putin Wegwerfagenten einsetzt, analysiert ZDFheute live.

14.05.2025 | 16:12 min

Johannes Strümpfel, Präsident des Verbandes für Sicherheit in der Wirtschaft, hat für ZDF frontal bei Unternehmen nachgefragt - und berichtet von Fällen, bei denen er low-level-Agenten vermutet:

  • Auf einem Besucherparkplatz in der Nähe eines Rüstungsunternehmens sei dem Werkschutz ein Camper mit russischem Kennzeichen aufgefallen, der auffällige Solarzellen und Antennen auf dem Dach gehabt habe, so Strümpfel. Die Insassen hätten schlecht Deutsch gesprochen und seien dann schnell weggefahren.
  • Am Hauptsitz eines Technologiekonzerns hätten zwei Personen Fotos von der Abfahrt zur Tiefgarage und den Innenhöfen gemacht, wo Kameras hängen, also auch deren Positionen erkennbar sind, so Strümpfel. Vom Werkschutz angesprochen, hätten sie sich als Ukrainer ausgegeben. Angeblich seien sie von einem anderen Ukrainer in der Ukraine gebeten worden, die Fotos zu machen.

Strümpfel vermutet, "dass deutsche Unternehmen das Ziel von systematischer Aufklärung sind, dass man möglicherweise sogar kartiert, dass man sagt: Wo sind denn lohnenswerte Angriffsziele?"

Der Westen scheint vom hybriden Vorgehen Russlands noch immer überrascht, dabei hatte der Generalstabschef und Putin-Vertraute Waleri Gerassimow die Methoden schon 2013 in einem Zeitungsbeitrag beschrieben. Nichtmilitärische Mittel seien zur Erreichung politischer Ziele wichtiger geworden, schrieb er ein Jahr vor der Annexion der Krim. Die Konfliktmethoden hätten sich hin zum Einsatz "politischer, wirtschaftlicher, informationeller, humanitärer und anderer nichtmilitärischer Maßnahmen verlagert". Es liest sich wie ein Vorausblick auf Russlands späteres Vorgehen.

Getränkedose in Militärgerät: "Höchstwahrscheinlich Sabotage"

Besonders im Fokus stehen Rüstungskonzerne. Auf der Korvette "Emden" hatten Unbekannte Metallspäne in den Antrieb gekippt. ZDF frontal kommt bei Recherchen mit einer Quelle in Kontakt, die von einem ähnlichen Vorfall berichtet:

"Bei einem Militärgerät, das sich im Bau befand, wurde eine zerknüllte Getränkedose in einem Rohr gefunden. Wäre das nicht aufgefallen, wäre das Gerät stark beschädigt worden. Höchstwahrscheinlich war das Sabotage. Ein Täter wurde nicht ermittelt."

23.09.2025, Mecklenburg-Vorpommern, Rostock: Eine Drohne der Firma exabotix schwebt bei einem Praxistest für das Projekt mit dem Namen ADELE (Automatisierter Drohnen-Einsatz aus der Leitstelle) über dem künstlichen Rauch bei einem simulierten Waldbrand in der Rostocker Heide.

Drohnen über Flughäfen, Kliniken und Kasernen - die Fluggeräte legen Flughäfen lahm und richten Chaos an. Kanzler Merz vermutet Russland hinter vielen von ihnen. Wie kann man sie abwehren?

14.10.2025 | 10:19 min

Kann der neue Nationale Sicherheitsrat eine Lösung sein?

Öffentlich bekannt sind vergleichsweise wenige Fälle, deshalb lassen sich Muster nur schwer ableiten.

Wir brauchen unbedingt ein Lagebild zu hybriden Bedrohungen.

Kerstin Petretto, Bundesverband der Industrie

Aus einem regelmäßigen Lagebild könnten Unternehmen ihre Schlüsse ziehen und sich besser schützen.

Hoffnungen ruhen auch auf dem Nationalen Sicherheitsrat, dem neuen Gremium im Kanzleramt. Statt föderalem Klein-Klein könnte er langfristige Strategien gegen hybride Bedrohungen entwickeln. Doch das Gremium befindet sich noch im Aufbau und ist personell dünn aufgestellt.

Entega: Goldene Plakette für "Mikes Schlüssel"

Eine weitere Baustelle ist das Kritis-Dachgesetz, das eine EU-Richtlinie von 2022 umsetzen soll. Doch die Frist ist verstrichen, schon die Ampel-Koalition hatte daran gearbeitet. Das Gesetz soll Betreiber kritischer Infrastrukturen verpflichten, sich besser zu schützen und Angriffe zu melden. Auch aus Eigenschutz mache das Sinn, so Petretto vom BDI: "Das Kritis-Gesetz ist überfällig."

Für den angegriffenen Energieversorger Entega bleibt ein schwacher Trost: Die Hackergruppe Blackcat wurde zerschlagen. Der Stein, der damals Schlimmeres verhinderte, ruht nun in einer Vitrine. Eine goldene Plakette erinnert an den Mitarbeiter: "Mikes Schlüssel. Danke an alle, die an der Wiederherstellung der Systeme beteiligt waren."

Thema
Ukraine- Krieg

Mehr zum Thema

  1. Ein Serverschrank mit blinkenden Lampen und Kabeln steht im Landeskriminalamt Niedersachsen.

    Nationale Cybersicherheit:Wie Infrastruktur besser geschützt werden soll

    von Alexander Eschment
    mit Video
  2. Das Installationsschiff "Ile de Brehat" verlegt das Sea-Lion-Unterseekabels (C-Lion) im Garnisonsgebiet Santahamina.

    Schutz von Datenkabeln:Kritische Infrastruktur: Wie verwundbar sind wir?

    von Kevin Schubert
  3. Armin Papperger,
    FAQ

    Rheinmetall-Chef im Fadenkreuz:Was zum Papperger-Anschlagsplan bekannt ist

    von Nils Metzger
  4. Polen, Mika: Spezialkräfte und Polizei sind am Ort eines beschädigten Gleisabschnitts auf der Strecke Deblin-Warschau in der Nähe des Bahnhofs des Ortes Mika im Einsatz.

    Russland unter Verdacht:Sabotage: Warum trifft es immer wieder Polen?

    mit Video