Viele Führungsteams denken bei Cyberrisiken zuerst an Ransomware, Phishing und regulatorische Meldepflichten. Das ist verständlich, aber zu kurz gegriffen. Ein wachsender Teil der relevanten Bedrohungslage ist nicht allein kriminell motiviert, sondern geopolitisch geprägt: durch staatlich unterstützte Akteure, nachrichtendienstliche Ziele, strategische Vorpositionierung und die Vermischung von Cyberoperationen mit Desinformation, wirtschaftlichem Druck und klassischer Sicherheitslogik.
Nation-State-Risk ist kein Geheimdienstthema. Es ist ein Vorstandsthema.
(Mandiant M-Trends 2026)
(NCSC Annual Review 2025)
NK-IT-Workern (DOJ, Chapman-Fall)
Die ENISA analysiert in ihrem Threat Landscape 2025 über 4.800 Cybervorfälle im Zeitraum Juli 2024 bis Juni 2025 und ordnet „state-nexus actors“ aus Russland, China, Iran und Nordkorea als eigene Akteursklasse ein. Das NCSC meldete in seinem Annual Review 2025 einen Rekord von 204 nationally signifikanten Cybervorfällen zwischen September 2024 und August 2025 — ein Anstieg von 130 % gegenüber dem Vorjahr.
Was staatlich unterstützte Akteure von gewöhnlichen Angreifern unterscheidet
Der wichtigste Unterschied ist nicht die technische Raffinesse, sondern das strategische Zielbild. Kriminelle wollen meist Geld. Staatlich unterstützte Akteure wollen oft Zeit, Zugang, Informationen, Einfluss oder operative Vorbereitung.
Kriminelle Akteure
- Ziel: monetärer Ertrag
- Schnell, opportunistisch, skalierbar
- Laut — Ransomware macht sich bemerkbar
- Messbar: Incidents, Forderungen, Meldepflichten
Staatlich unterstützte Akteure
- Ziel: Zugang, Zeit, Information, Einfluss
- Geduldig, gezielt, langfristig
- Leise — Vorpositionierung bleibt unerkannt
- Schwer messbar: fehlt in klassischen KPIs
Ein gemeinsames Advisory von CISA, NSA und FBI (AA25-239A, August 2025) warnt vor einer koordinierten, anhaltenden Kampagne chinesischer staatlich unterstützter APT-Akteure, die gezielt Langzeitzugänge in kritische Infrastrukturen weltweit aufbauen — Telekommunikation, Transport, Unterkunft und militärische Netze. Bereits AA24-038A (Volt Typhoon, 2024) hatte gewarnt, dass diese Akteure sich in Netzen kritischer Infrastrukturen „pre-position“ wollen, um im Fall größerer Krisen oder Konflikte disruptive Cyberangriffe durchführen zu können. Das ist ein völlig anderes Risikomodell als klassisches Cybercrime — es geht nicht um den heutigen Vorfall, sondern um die Möglichkeit eines späteren strategischen Einsatzes.
Fünf Wege, wie Ihr Unternehmen interessant wird
Viele Unternehmen überschätzen die Schutzwirkung ihres Sektors. „Wir sind doch kein Ministerium“ ist als Sicherheitsannahme heute zu simpel. Die Antwort auf die Management-Frage „Warum trifft uns das?“ lautet oft nicht: weil Sie politisch relevant sind. Sondern: weil Sie operativ nützlich sind.
Direkter Informationsträger
Forschungsdaten, technische Spezifikationen, M&A-Informationen, Exportkontrollbezug oder Verbindungen in regulierte Sektoren. Microsoft dokumentiert im Digital Defense Report 2025, dass Deutschland zu den vier meistangegriffenen Ländern weltweit gehört. Primärmotivation laut Microsoft: zu 52 % Extortion/Ransomware, zu 4 % klassische Spionage — mit steigender Tendenz im staatlich unterstützten Segment.
Zugangspunkt in eine Lieferkette
Angreifer wählen oft nicht das Endziel direkt, sondern den schwächeren Technologie-, Service- oder Integrationspartner. Drittparteien werden beschafft, aber selten als geopolitische Eintrittspunkte modelliert. Microsoft betont im DDR 2025 ausdrücklich die Angriffe auf große Technologieanbieter und Enterprise-Supply-Chains — sowie einen Anstieg destruktiver Cloud-Kampagnen um 87 %.
Plattform zur Vorpositionierung
Das CISA-Advisory zu PRC-Akteuren warnt eben nicht nur vor Datendiebstahl, sondern vor dem Aufbau persistenter Zugänge in kritischen Umgebungen für einen späteren Stör- oder Zerstörungseffekt. Das NCSC ordnet im Annual Review 2025 auch Chinas Flax-Typhoon-Botnetz mit über 260.000 kompromittierten Geräten weltweit in diese Kategorie ein. Für Executives in Versorgung, Logistik, Produktion, Telekommunikation oder Gesundheitswesen ist das ein anderes Risikoszenario als „nur“ Vertraulichkeitsverlust. Es geht um Verfügbarkeit im Krisenfall.
Hebel für Einfluss und Vertrauensschaden
ENISA zählt Informationsmanipulation und Interferenz 2025 ausdrücklich zu den zentralen Bedrohungstypen. Mehr als 80 % der beobachteten Social-Engineering-Aktivitäten weltweit sind laut ENISA bereits Anfang 2025 KI-gestützt. Das ist für Unternehmen relevant, weil Reputationsrisiken, synthetische Inhalte, gestohlene interne Informationen oder koordinierte Kampagnen längst nicht mehr nur politische Institutionen treffen.
Wirtschaftliche oder technische Einnahmequelle
Das zeigt das Beispiel Nordkorea besonders deutlich. Der Chapman-Fall (US-Justizministerium, 2025) allein umfasste 300+ US-Unternehmen — darunter Fortune-500-Firmen aus Automobilbau, Luft- und Raumfahrt sowie Silicon-Valley-Technologie. 68 gestohlene US-Identitäten, 17 Mio. US-Dollar illegale Einnahmen, Helfer in den USA, China, Vereinigten Arabischen Emiraten und Taiwan. Geopolitische Cyberrisiken kommen nicht nur als Malware, sondern auch als scheinbar legitime Arbeitskraft ins Unternehmen.
Warum viele Executive-Teams das Risiko systematisch unterschätzen
Der häufigste Grund ist, dass Sicherheitsprogramme auf die sichtbarsten Bedrohungen optimiert werden — nicht auf die strategisch relevantesten. Ransomware ist laut, teuer und messbar. Staatlich unterstützte Aktivität ist oft leiser, langsamer und zunächst schwerer mit unmittelbarem Business Impact zu verbinden. Genau das macht sie für Vorstände gefährlich.
Der Mandiant M-Trends 2026 Report zeigt die Dynamik drastisch: Das Zeitfenster, in dem ein Angreifer nach Erstkompromittierung den Zugang an einen anderen Akteur „weiterreicht“, ist von über acht Stunden im Jahr 2022 auf 22 Sekunden im Jahr 2025 gefallen. Parallel stieg die mediane Dwell Time auf 14 Tage. In genau dieser Zeitspanne entstehen Vorpositionen, die später strategisch genutzt werden können.
Dazu kommt ein zweiter Denkfehler: Viele Unternehmen trennen Cyber, Geopolitik, Krisenmanagement, Third-Party-Risk und Corporate Security organisatorisch voneinander. In der Realität laufen diese Ebenen zusammen. Ein geopolitisch motivierter Angriff kann gleichzeitig technische Störung, Kommunikationskrise, regulatorisches Thema, Lieferkettenproblem und CEO-Thema sein — mit Entscheidungsdruck, der die ersten zwei Stunden dominiert.
Sieben Fragen, die Executives stellen sollten
Die richtige Frage lautet nicht mehr „Wie viele Angriffe sehen wir?“, sondern: „Welche geopolitisch motivierten Szenarien würden unser Geschäftsmodell, unsere Lieferfähigkeit oder unsere Krisenfähigkeit am stärksten treffen?“
1) Geopolitisches Threat Model für das eigene Unternehmen
Nicht allgemein, sondern konkret: Welche Staaten oder staatlich unterstützten Cluster hätten ein realistisches Interesse an unseren Daten, Services, Regionen, Lieferketten oder Partnern? Und welches ihrer Ziele — Spionage, Vorpositionierung, Einfluss — würde unser Risikobild am stärksten verändern?
2) Crown-Jewel-Map mit geopolitischem Bezug
Welche Systeme, Daten und Drittparteien wären für Espionage, Vorpositionierung oder Einflussoperationen besonders attraktiv? Die Standard-Crown-Jewel-Logik denkt in „finanziellem Verlust“ — die geopolitische Variante denkt zusätzlich in „strategischem Hebelpotenzial“.
3) Szenarien statt nur Metriken
Konkret: Verlust von R&D-Daten, Beeinträchtigung von Produktion, Kompromittierung von Executive-Kommunikation, Manipulation von Lieferantenstammdaten, Ausfall eines strategischen Providers. Solche Szenarien gehören in regelmäßige Tabletop-Übungen — nicht nur klassisches Ransomware-Spiel.
4) Supply-Chain-Bild mit Konzentrations- und Technologierisiken
Wer sind die wenigen Dienstleister, Cloud- oder Telco-Abhängigkeiten, deren Störung oder Kompromittierung für uns existenziell wäre? Welche Anbieter verbinden uns indirekt mit geopolitisch heiklen Regionen, Hardware- oder Softwareketten?
5) Schutz für Führungskräfte und Schlüsselfunktionen
Executive-Accounts, Assistenzen, Treasury, Travel-Routinen und persönliche Geräte dürfen nicht aus dem Schutzkonzept herausfallen. Gerade bei staatlich unterstützten Kampagnen sind diese Rollen hochpriorisierte Ziele — mit Phishing-resistenter MFA, engem Monitoring und dedizierten Travel-Profilen.
6) Krisenreaktion, die über IT hinausgeht
Bei staatlich unterstützten Angriffen reichen „Containment und Restore“ oft nicht. Es geht auch um Kommunikation, Rechtslage, Behördenkontakt (BSI, LKA/BKA, ggf. BfV), geopolitische Einordnung und koordinierte Reaktion mit Partnern und Kunden.
7) Frühwarnung über das eigene Netz hinaus
Ein Teil des Risikos entsteht in Zulieferern, Cloud-Ökosystemen, politischen Lagen und branchenspezifischen Kampagnen. Wer nur auf interne Telemetrie schaut, erkennt geopolitische Verschiebungen zu spät. Externe Threat-Intelligence, Branchenverbände und offizielle Advisories von BSI, CISA, NCSC und ENISA gehören in den Lagebericht.
Ein Operating Model: Kontext · Konzentration · Konsequenz
Ein gutes Executive-Modell für geopolitische Cyberrisiken braucht keine Geheimdienstromantik, sondern drei nüchterne Eigenschaften:
Kontext
Die Security-Funktion liefert nicht nur IOC-Listen, sondern erklärt, wie politische Spannungen, Sanktionen, regionale Konflikte oder sektorbezogene Kampagnen das Risikobild verändern.
Konsequenz: quartalsweises Geopol-Threat-Briefing für den Vorstand.
Konzentration
Das Unternehmen weiß, welche wenigen Assets, Partner und Geschäftsprozesse strategisch kritisch sind. Nicht alles ist gleich wichtig — staatlich unterstützte Akteure suchen den Hebel, nicht die Masse.
Konsequenz: Crown-Jewel-Liste mit Top-20, jährlich vom Vorstand bestätigt.
Konsequenz
Aus dieser Erkenntnis folgen echte Entscheidungen: strengere Identity-Kontrollen, härtere Segmentierung, höhere Dienstleister-Anforderungen, engere Krisenübungen und eine aktivere Rolle von Vorstand und Aufsichtsorgan in der Priorisierung.
Konsequenz: Governance-verankerte 90-Tage-Agenda, nicht nur Security-Plan.
Fazit
Die geopolitische Dimension von Cyberrisiken ist keine abstrakte Großmachtdebatte, sondern ein sehr konkreter Managementfaktor. Staatlich unterstützte Akteure suchen nicht nur Daten, sondern Vorteile: strategische Zugänge, operative Hebel, politische Wirkung, ökonomische Finanzierung und im Extremfall Störfähigkeit in kritischen Momenten.
Offizielle Warnungen der CISA zu PRC-Akteuren, die Offenlegungen russischer Sabotage- und Espionage-Aktivitäten durch das NCSC, die Daten von Microsoft und Mandiant sowie die aktuellen DOJ-Anklagen gegen nordkoreanische IT-Worker-Schemata zeigen alle in dieselbe Richtung: Unternehmen sind längst Teil des geopolitischen Angriffsraums geworden.
Cyber ist heute Lieferkettenrisiko, Reputationsrisiko,
Krisenführungsrisiko und geopolitisches Exponierungsrisiko in einem.
Wer das früh in Governance, Szenarioplanung und Sicherheitsarchitektur übersetzt, ist nicht nur besser geschützt. Er ist strategisch realistischer aufgestellt.