Serie Cybersicherheit: Fremde Geheimdienste lieben arglose Unternehmen

Welche Arten von Cyberangriffen beobachtet der Landesverfassungsschutz aktuell am häufigsten gegen Unternehmen in Baden-Württemberg?

Aus Sicht des Verfassungsschutzes sind dies vor allem staatlich gesteuerte oder nachrichtendienstlich motivierte Cyberangriffe. Typisch sind Spear-Phishing-Angriffe, also gezielt auf einzelne Personen oder Abteilungen zugeschnittene Kontaktaufnahmen, sowie das Ausnutzen bekannter Schwachstellen in exponierten Systemen zur dauerhaften Zugriffssicherung. Wir beobachten insbesondere Angriffe, die auf Spionage, Sabotage oder langfristige Ausforschung zielen – darunter DDoS-Angriffe und das Ausnutzen von Schwachstellen in Software und VPN-Zugängen. Gerade in Baden-Württemberg sehen wir zudem verstärkt Social-Engineering-Angriffe, bei denen Mitarbeitende durch geschickte Manipulation dazu gebracht werden, sensible Informationen preiszugeben oder Überweisungen zu tätigen. Im Trend sind auch Supply-Chain-Angriffe, bei denen nicht das Zielunternehmen direkt, sondern ein Zulieferer oder IT-Dienstleister kompromittiert wird, um Zugang zum eigentlichen Ziel zu erlangen. Oft beginnt ein Angriff mit Phishing, führt über einen Remote-Access-Trojaner zur lateralen Ausbreitung und endet mit Datenexfiltration – die Grenzen zwischen Angriffsarten verschwimmen zunehmend.

Welche Branchen in der Region Stuttgart sind nach Ihrer Erfahrung besonders attraktiv für ausländische Nachrichtendienste oder staatlich gesteuerte Hackergruppen?

Die Region Stuttgart ist aufgrund ihrer industriellen Dichte ein besonders lohnendes Ziel. Ganz oben stehen der Automobilsektor mit seiner Zulieferkette sowie Maschinenbau und Automatisierungstechnik – Branchen, in denen hiesige Unternehmen weltweit führend sind. Konstruktionspläne, Fertigungsverfahren und Patente sind das Ziel – gerade chinesische Nachrichtendienste spionieren diese Technologien gezielt aus. Darüber hinaus beobachten wir ein hohes Interesse an der Luft- und Raumfahrtindustrie sowie an der Sicherheits- und Verteidigungsindustrie in der Region. Aber auch Forschungseinrichtungen und Hochschulen, etwa in den Bereichen Künstliche Intelligenz, Materialwissenschaften und Biotechnologie, werden systematisch ausgespäht. Weniger offensichtlich, aber zunehmend relevant sind IT-Dienstleister und Beratungsunternehmen, die als Multiplikatoren Zugang zu vielen Kunden haben. Auch die Energiewirtschaft und Kritische Infrastrukturen sind Ziel – hier allerdings stärker mit Sabotage- als mit Spionagemotivation, insbesondere von russischer Seite.

Wie unterscheiden sich nachrichtendienstlich motivierte Angriffe von rein kriminellen Cyberattacken?

Zentrale Unterschiede liegen in Zielsetzung, Ressourcen und Vorgehensweise. Kriminelle Cyberangreifer sind ökonomisch motiviert – sie wollen in möglichst kurzer Zeit monetären Gewinn erzielen, etwa durch Ransomware-Erpressung oder den Verkauf gestohlener Daten im Darknet. Sie agieren opportunistisch und greifen bevorzugt schlecht geschützte Ziele an. Nachrichtendienstlich gesteuerte Angreifer verfolgen dagegen strategische Ziele: Wirtschaftsspionage, politische Aufklärung, Sabotage oder die Vorbereitung künftiger Operationen. Sie haben in der Regel deutlich mehr Zeit und Ressourcen. APT-Gruppen bleiben oft monatelang oder sogar jahrelang unentdeckt in einem Netzwerk. Sie investieren erheblichen Aufwand in die Aufklärung ihrer Ziele, nutzen maßgeschneiderte Schadsoftware und Zero-Day-Schwachstellen, die auf dem freien Markt nicht verfügbar sind.

Ein krimineller Angreifer will, dass sein Angriff bemerkt wird – schließlich soll das Opfer für die Entschlüsselung zahlen. Ein nachrichtendienstlicher Akteur will das Gegenteil: maximale Unsichtbarkeit. Allerdings verschwimmen die Grenzen: Staatlich angeheuerte Akteure können nach Auftragsausführung das Unternehmen zusätzlich via Ransomware verschlüsseln – und verwischen damit zugleich ihre Spuren. Staatliche Akteure nutzen kriminelle Infrastruktur, und manche staatlich gesteuerten Gruppen, insbesondere aus Nordkorea, finanzieren sich durch klassische Cyberkriminalität wie Kryptowährungsdiebstahl.

Wo genau liegen die Aufgaben des Landesverfassungsschutzes im Bereich Wirtschaftsschutz und Cybersicherheit – und wo liegen die Grenzen Ihrer Zuständigkeit?

Das Landesamt für Verfassungsschutz ist zuständig für die Abwehr von Spionage und Sabotage durch fremde Nachrichtendienste und staatlich gesteuerte Akteure. Unser Arbeitsbereich Wirtschaftsschutz sensibilisiert Unternehmen durch Vorträge, Beratungen und Einzelfallanalysen und informiert über Angriffsmuster, Risikostaaten und Schutzmaßnahmen. Unser Arbeitsbereich Cyberabwehr analysiert nachrichtendienstlich gesteuerte Angriffe und warnt betroffene Unternehmen. Besonders engagieren wir uns für die Sensibilisierung kleiner und mittlerer Unternehmen. Wichtig ist die Abgrenzung: Die strafrechtliche Verfolgung liegt beim LKA (Zentrale Ansprechstelle Cybercrime), die technische Cybersicherheit der Landesverwaltung bei der Cybersicherheitsagentur Baden-Württemberg. Wir ersetzen keinen IT-Dienstleister und keine Incident-Response-Firma. Unsere Stärke liegt in der nachrichtendienstlichen Einordnung – wir können Angriffe in einen geopolitischen Kontext setzen, den andere Stellen nicht liefern können.

Welche staatlichen oder staatsnahen Akteure greifen Unternehmen in Baden-Württemberg derzeit besonders häufig an?

Besonders aktiv sind die Nachrichtendienste Chinas und Russlands. Laut Bitkom-Studie 2025 verzeichneten jeweils 46 Prozent der betroffenen Unternehmen Angriffe aus diesen Ländern. China verfolgt primär wirtschaftliche Ziele: APT-Gruppen (die Abkürzung steht für Advanced Persistant Threat, die Redaktion) wie APT15 und APT31 greifen Schlüsselindustrien an, um Produktionspläne, Patente und Geschäftsstrategien zu erlangen. Russland verfolgt eine Doppelstrategie aus Cyberspionage und Destabilisierung – hochaktiv sind APT28 und APT29, die den russischen Auslandsgeheimdiensten GRU und SWR zugerechnet werden. Hinzu kommen pro-russische Hacktivisten wie NoName057(16), die durch DDoS-Angriffe politisch motivierte Störungen verursachen. Iran ist insbesondere im akademischen Bereich aktiv – die Gruppe Silent Librarian greift seit Jahren gezielt Hochschulen und Forschungsinstitute auch in Baden-Württemberg an. Nordkorea wiederum nutzt Cyberangriffe vorrangig zur Devisenbeschaffung, etwa durch den Diebstahl von Kryptowährungen.

Wie gehen diese Akteure typischerweise vor? Welche Muster oder Taktiken sehen Sie immer wieder?

Die Angriffsketten staatlich gesteuerter Akteure folgen der sogenannten Kill Chain: Zunächst folgt eine gründliche Aufklärungsphase über soziale Netzwerke, Websites oder öffentliche Ausschreibungen. Dann erfolgt der initiale Zugang, meist über Spear-Phishing-E-Mails, die präzise auf die Zielperson zugeschnitten sind, oder über das Ausnutzen von Schwachstellen in öffentlich erreichbaren Systemen wie VPN-Gateways oder E-Mail-Servern. Nach dem erfolgreichen Eindringen setzen die Angreifer Backdoors oder Remote-Access-Trojaner ein, um dauerhaften Zugriff sicherzustellen. Es folgen Rechteausweitung bis hin zu Administratorrechten und laterale Bewegung durchs Netzwerk. Schließlich werden die Zieldaten exfiltriert. Das Perfide ist ihre Geduld: Anders als kriminelle Angreifer nehmen sie sich Wochen oder Monate Zeit.

Welche Fehler beobachten Sie in kleineren und mittleren Unternehmen besonders häufig?

Der häufigste und folgenschwerste Fehler ist, die eigene Attraktivität als Ziel zu unterschätzen. Viele KMU glauben, für Angreifer zu klein zu sein – doch gerade innovative Mittelständler mit Spezialwissen und Nischentechnologien sind für nachrichtendienstliche Akteure hochinteressant, und für kriminelle Angreifer sind sie attraktiv, weil die Schutzmaßnahmen oft geringer sind als bei Großkonzernen. Ein weiterer Fehler betrifft das Patch-Management: Kritische Sicherheitsupdates werden nicht oder viel zu spät eingespielt. Bekannte Schwachstellen bleiben wochenlang offen – ein Einfallstor, das professionelle Angreifer sofort ausnutzen. Außerdem fehlt es häufig an einer sauberen Netzwerksegmentierung. Wenn ein Angreifer einmal im Netz ist, hat er oft Zugriff auf alles – Produktion, Verwaltung, Entwicklung.

Extrem wichtig ist aber auch die Mitarbeitersensibilisierung: Technik allein schützt nicht, wenn Mitarbeitende auf Phishing-Mails hereinfallen oder Passwörter mehrfach verwenden. Des Weiteren unterschätzen viele Unternehmen die Bedeutung funktionierender, getesteter Backups. Ein Backup, das nie auf Wiederherstellbarkeit geprüft wurde, ist im Ernstfall wertlos. Und schließlich sollte man unbedingt einen Notfallplan aufstellen: Wer wird bei einem Vorfall informiert? Welche Systeme werden zuerst isoliert? Wer trifft Entscheidungen? Ohne diese Vorbereitung kostet jeder Vorfall unnötig Zeit, Geld und Nerven.

Wie verändert künstliche Intelligenz die Taktiken staatlich gesteuerter Angreifer?

Künstliche Intelligenz ist ein Gamechanger – sowohl für Angreifer als auch für Verteidiger. Die gravierendste Veränderung sehen wir im Bereich Phishing und Social Engineering: KI ermöglicht es, hochpersonalisierte Phishing-Mails in fehlerfreiem Deutsch zu generieren – mit Bezug auf aktuelle Projekte, mit korrekter Anrede und plausiblem Kontext. Die Zeiten, in denen man Phishing-Mails an schlechter Grammatik erkennen konnte, sind endgültig vorbei.

Deepfakes sind ein wachsendes Bedrohungsfeld: Gefälschte Audio- oder Videoanrufe, in denen Angreifer als Führungskräfte auftreten, nehmen deutlich zu. Darüber hinaus nutzen staatlich gesteuerte Gruppen KI zur Entwicklung adaptiver Malware, die ihr Verhalten an die erkannte Sicherheitsumgebung anpasst. KI wird auch zur automatisierten Schwachstellenerkennung eingesetzt – Angreifer können damit in kürzester Zeit große Angriffsflächen systematisch nach Einfallstoren absuchen. Für Unternehmen bedeutet das: Die Schulung der Mitarbeitenden muss diese neuen Realitäten abbilden, und die technische Abwehr muss ebenfalls KI-gestützt arbeiten, um mit der Geschwindigkeit der Angriffe Schritt zu halten.

Wenn Sie einem Unternehmer aus der Region Stuttgart drei konkrete Maßnahmen empfehlen müssten – welche wären das?

Erstens: Investieren Sie in Ihre Mitarbeitenden. Die beste Firewall der Welt hilft nichts, wenn ein Mitarbeiter auf einen präparierten Link klickt. Regelmäßige, praxisnahe Schulungen zu Phishing, Social Engineering und dem sicheren Umgang mit Zugangsdaten sind die wirksamste Einzelmaßnahme, die ein Unternehmen ergreifen kann. Das gilt ausdrücklich auch für die Geschäftsführung – gerade dort setzen Angreifer an, weil die Rechte am weitreichendsten sind.

Zweitens: Schaffen Sie technische Grundhygiene. Dazu gehören konsequentes Patch-Management – also das zeitnahe Einspielen von Sicherheitsupdates –, eine saubere Netzwerksegmentierung, Multifaktor-Authentifizierung für alle externen Zugänge und kritischen Systeme, und vor allem regelmäßig getestete Offline-Backups. Das BSI und Bitkom empfehlen mindestens 20 Prozent des IT-Budgets für Sicherheit – aktuell investiert die Mehrheit der Unternehmen immer noch weniger.

Drittens: Bereiten Sie sich auf den Ernstfall vor. Entwickeln Sie einen Notfallplan, der klar regelt, wer was tut, und testen Sie ihn regelmäßig. Suchen Sie den Kontakt zu Sicherheitsbehörden – im Vorfeld, nicht erst im Krisenfall: Die Cyberabwehr des LfV steht für vertrauliche Gespräche bereit, das LKA (Zentrale Ansprechstelle Cybercrime) hilft bei konkreten Vorfällen, und die Cybersicherheitsagentur BW bietet niedrigschwellige Beratung. Alle Kontakte sind vertraulich und kostenfrei.