Von Stuxnet bis Handala – Wie der Westen Iran zur Cybergroßmacht gemacht hat

Ein Meinungsbeitrag von Michael Hollister.

Der teuerste Irrtum des Westens

Der Angriff war sorgfältig geplant, technisch auf höchstem Niveau ausgeführt und in seiner strategischen Kühnheit beispiellos. Als amerikanische und israelische Geheimdienste gemeinsam den Computerwurm Stuxnet in die Netzwerke iranischer Nuklearanlagen einschleusten, glaubten sie, eine entscheidende Schwäche ausgenutzt zu haben: Iran, so die Annahme, würde nicht in der Lage sein, zurückzuschlagen. Das Land galt als technologisch rückständig, seine Bevölkerung als unfähig, die Komplexität moderner Cyberoperationen zu meistern.

Es war ein Irrtum. Und er hat die Welt verändert.

Sechzehn Jahre nach Stuxnet löscht eine iranisch gesteuerte Hackergruppe namens Handala die Server eines amerikanischen Rüstungskonzerns, stiehlt 50 Terabyte Daten und kompromittiert das private Gmail-Konto des FBI-Direktors. Der Weg von Natanz nach Washington ist keine Geschichte des überraschenden Aufstiegs eines unbekannten Akteurs. Es ist die vorhersehbare Konsequenz eines fundamentalen Fehlers: zu glauben, dass man einer über dreitausend Jahre alten Hochkultur mit 85 Millionen Einwohnern beibringen kann, wie man Krieg führt – ohne dass sie es lernt.

Persien, nicht Hollywood

Wer das Bild verstehen will, das der Westen vom Iran hat, muss nur einen deutschen Abendnachrichten-Zuschauer fragen. Was entsteht? Wüste. Kamele. Männer mit Bärten und Kalaschnikows. Frauen hinter schwarzen Schleiern. Eine Gesellschaft, die irgendwo im Mittelalter steckengeblieben ist.

Dieses Bild ist nicht nur falsch. Es ist gefährlich falsch – weil es strategische Fehlkalkulationen produziert, die reale Konsequenzen haben.

Die Realität sieht anders aus. Die Urbanisierungsrate Irans liegt laut Weltbank bei 77,26 Prozent – damit ist Iran in etwa so stark urbanisiert wie Frankreich oder Deutschland. Teheran ist eine Megastadt mit über 15 Millionen Einwohnern im Großraum, mit chronischen Staus, einem ausgebauten U-Bahnnetz, Universitätscampus, Kaffeehäusern und einer lebhaften Kulturszene. Isfahan, die Stadt, in der fünf der ersten Stuxnet-Einstiegspunkte lokalisiert wurden, ist eine Metropole mit über zwei Millionen Einwohnern, einer der bedeutendsten Ingenieursregionen des Landes und gleichzeitig eines der faszinierendsten Zeugnisse persischer Architekturgeschichte – die Moscheen und Paläste am Naghsh-e Jahan-Platz gehören zum UNESCO-Welterbe.

Iran hat eine der höchsten Studierendenquoten der Region. Ingenieurswesen und Mathematik gelten als kulturelle Prestigefächer; der Druck, in Naturwissenschaften zu exzellieren, ist mit dem Bildungsethos ostasiatischer Gesellschaften vergleichbar. Iraner sind in führenden amerikanischen Technologieunternehmen, an westeuropäischen Forschungsinstitutionen und in internationalen Entwicklergemeinschaften präsent – oft ohne dass ihre Herkunft registriert wird, weil sie schlicht keine Aufmerksamkeit erregt. Sie sind, wie überall auf der Welt, Menschen, die für ihre Familien arbeiten, Wohlstand anstreben und sichere Zukunft wollen. Das Bild des rückständigen Wüstenbewohners ist eine westliche Projektion, keine persische Realität.

Die Sharif University of Technology in Teheran belegt Platz 375 im globalen QS-Ranking 2026 und liegt in den Fachbereichen Informatik sowie Elektro- und Elektroniktechnik unter den besten 200 Universitäten weltweit. 85 iranische Hochschulen sind im Times Higher Education Ranking 2025 vertreten. Die University of Tehran belegt in der Disziplin Petroleum Engineering Platz 22 der Welt – vor den meisten deutschen Universitäten. Iraner studieren in Cambridge, am MIT und im Silicon Valley. Sie schreiben Algorithmen, gründen Startups und entwickeln Chiparchitekturen. Wer das nicht weiß, versteht nicht, was 2010 in Natanz wirklich passiert ist – und was danach unweigerlich folgen musste.

Persien ist keine Erfindung der Gegenwart. Es ist eine der ältesten Hochkulturen der Menschheitsgeschichte – älter als das Römische Reich, älter als die meisten europäischen Nationen als politische Einheiten überhaupt existieren. Das Bewusstsein für diese Tradition ist in Iran allgegenwärtig und prägt den nationalen Charakter: Stolz auf Herkunft, Hunger nach Bildung, Widerstandsfähigkeit gegenüber externem Druck. Wer glaubt, ein solches Land durch einen Computerwurm strategisch zu brechen, hat die Grundlagen der Machtpolitik nicht verstanden.

Stuxnet 2010 – Die Lektion, die niemand geben wollte

Am 22. Juni 2009 wurde auf einem Computer der iranischen Ingenieursfirma Foolad Technic Engineering Co. in Isfahan ein Computerprogramm kompiliert. Wenige Stunden später war es auf dem ersten Zielsystem aktiv. Stuxnet hatte die Reise nach Natanz begonnen.

Was Stuxnet war, ist inzwischen gut dokumentiert. Kaspersky-Forscher und Symantec-Analysten haben den Worm jahrelang seziert. Das Ergebnis: ein Meisterwerk staatlicher Cyberoffensive, entwickelt gemeinsam von der amerikanischen NSA und der israelischen militärischen Geheimdiensteinheit 8200 unter dem Codenamen "Olympic Games" – gestartet unter Präsident George W. Bush, fortgesetzt unter Barack Obama. Das Ziel war das iranische Urananreicherungsprogramm in Natanz, dessen Zentrifugen durch präzise Manipulationen der Steuerungssoftware zum Überhitzen und zur Selbstzerstörung gebracht werden sollten – während die Kontrollbildschirme der iranischen Techniker normalen Betrieb anzeigten.

Stuxnet war technisch in jeder Hinsicht außergewöhnlich. Es nutzte vier sogenannte Zero-Day-Exploits gleichzeitig – Sicherheitslücken, die bis dahin unbekannt waren und für die es keine Patches gab. Kaspersky-Forscher Roel Schouwenberg nannte das eine "grundlegend neue Zahl": Nicht nur war es der erste bekannte staatliche Cyberangriff auf physische Infrastruktur, es war auch das erste Mal, dass jemand vier solcher Exploits in einer einzigen Operation kombinierte. Stuxnet machte vor, dass Computersoftware eine Waffe sein kann, die physische Zerstörung anrichtet – ohne dass eine einzige Bombe fällt.

Kaspersky identifizierte später die fünf sogenannten "Patient Zero"-Organisationen – die Einfallstore, über die Stuxnet seinen Weg in die Zielanlage fand. Es waren keine Geheimdienste und keine Militäreinrichtungen. Es waren iranische Ingenieursfirmen in Isfahan und Teheran: Foolad Technic Engineering Co., Behpajooh Co. Elec & Comp. Engineering, die Neda Industrial Group, Control-Gostar Jahed Company und Kalaye Electric Company – das Unternehmen, das als Haupthersteller der iranischen Urananreicherungszentrifugen gilt. Der Worm wanderte über USB-Sticks durch eine Zulieferkette, die er Schritt für Schritt kartiert hatte, bis er sein Ziel erreichte. Auf dem Weg infizierte er über 200.000 Computer, zerstörte rund 1.000 Zentrifugen und verzögerte das iranische Atomprogramm schätzungsweise um ein bis zwei Jahre.

Was danach kam, hat die Architekten von Olympic Games offenbar nicht eingeplant: Iran analysierte die Waffe, die man gegen sie eingesetzt hatte. Und Iran lernte.

Das war keine mysteriöse Fähigkeit und keine außergewöhnliche Leistung. Es war die vorhersehbare Reaktion eines Staates mit ausreichend Humankapital, ausreichend politischem Willen und einem konkreten Anlass. Stuxnet hatte nicht nur Zentrifugen zerstört – es hatte Iran eine Blaupause geliefert. Der Code wurde analysiert, die Techniken wurden verstanden, die Exploits wurden dokumentiert. Kaspersky-Forscher, die den Worm jahrelang sezierten, erkannten in Shamoon – dem nächsten großen iranischen Cyberangriff – dieselbe Wiper-Logik, dieselbe Destruktionsorientierung, dieselbe operative Philosophie. Stuxnet war der beste Lehrgang, den je jemand unfreiwillig abgehalten hat.

Die staatliche Reaktion auf Stuxnet war keine Kapitulation und keine Ohnmacht. Sie war eine strategische Entscheidung: Wenn Cyberwaffen echte Waffen sind – und Stuxnet hatte das unwiderlegbar bewiesen –, dann braucht Iran eigene Cyberwaffen. Das Programm, das in den Folgejahren aufgebaut wurde, ist heute eine der am stärksten unterschätzten militärischen Kapazitäten der Welt.

Shamoon 2012 – Die Antwort kommt aus Isfahan

Am 15. August 2012 wurden die Computersysteme von Saudi Aramco, dem weltgrößten Ölproduzenten, von einem Schadprogramm befallen, das sich mit einer Geschwindigkeit durch das Netzwerk fraß, die selbst erfahrene Sicherheitsexperten in Staunen versetzte. Binnen zehn Stunden waren 35.000 Computer unbrauchbar. Die Festplatten wurden gelöscht und mit einem einzigen Bild überschrieben: einer brennenden amerikanischen Flagge.

Saudi Aramco musste den Betrieb auf Faxgeräte, Hauspost und Schreibmaschinen zurückstellen. Das Unternehmen, das zehn Prozent des weltweiten Ölangebots kontrolliert, kaufte in den Wochen danach große Teile des globalen Festplattenmarktes leer, um seine Systeme wieder aufzubauen. Der Angriff trug den Namen Shamoon.

US-Verteidigungsminister Leon Panetta bezeichnete ihn öffentlich als den "destruktivsten Cyberangriff, den der private Sektor je gesehen hat" und warnte vor einem drohenden "Cyber Pearl Harbor". Die Attribution war keine Spekulation: NSA-Dokumente, die durch Edward Snowden bekannt wurden, legen nahe, dass amerikanische Geheimdienstler den Shamoon-Angriff Iran zuschrieben und explizit festhielten, Iran habe "eine klare Fähigkeit demonstriert, in einem Angriff dieser Art zu lernen."

Dieser Satz ist der Schlüssel. Zwei Monate vor dem Aramco-Angriff, im April 2012, hatte ein bis heute nicht vollständig attribuierter Angriff mit einer Schadsoftware namens Wiper die Systeme des iranischen Ölministeriums und der National Iranian Oil Company befallen. Iran hatte aus erster Hand erfahren, wie Wiper-Malware funktioniert. Shamoon kopierte diese Technik, verfeinerte sie und richtete sie gegen Irans regionalen Rivalen. Der Lernzyklus hatte begonnen.

Was Shamoon strategisch bedeutete, war mehr als ein einzelner Angriff. Es war die Ankündigung einer Doktrin: Iran vernichtet Daten, statt sie zu stehlen. Das ist keine technische Limitierung – Geheimdienste mit ausreichenden Ressourcen können beides. Es ist eine strategische Entscheidung. Der maximale Schaden für das Ziel ist das Ziel, nicht die Geheimdienstausbeute. Diese Doktrin, vierzehn Jahre später, ist noch immer erkennbar in jedem Handala-Angriff.

Sands Casino 2014 – Wenn Worte Konsequenzen haben

Im Oktober 2013 erschien Sheldon Adelson auf einem Podium an der Yeshiva University in New York. Adelson war zu diesem Zeitpunkt der siebt-reichste Mensch der Welt, der wichtigste Einzelspender der amerikanischen Republikanischen Partei und einer der lautstärksten Unterstützer Israels. Gefragt nach dem iranischen Atomprogramm, schlug er eine Botschaft vor: Die USA sollten eine Atombombe in der iranischen Wüste detonieren – als Warnung. "Wenn du ausgelöscht werden willst, mach weiter mit deiner harten Haltung", sagte Adelson vor dem Publikum.

Zwei Wochen später antwortete Chamenei öffentlich: Amerika solle diesen Menschen "den Mund stopfen".

Vier Monate vergingen. Im Februar 2014, einem frühen Morgen, begannen in den Büros über dem Kasinoboden des Venetian in Las Vegas die Computer flachzufallen. E-Mail war weg. Telefone funktionierten nicht. Innerhalb einer Stunde hatten die Techniker die Diagnose: Las Vegas Sands Corporation, das weltgrößte Glücksspielunternehmen, stand unter einem vernichtenden Cyberangriff.

Die Angreifer waren Monate zuvor eingedrungen – über den schwächsten Punkt in der Kette, einen Entwicklungswebserver des Sands-Casinos in Bethlehem, Pennsylvania. Sie hatten sich in aller Ruhe durch das Netzwerk bewegt, Zugangsdaten gesammelt, die Architektur kartiert. Als sie zuschlugen, war es präzise: Drei Viertel aller Las-Vegas-Server wurden gelöscht. Der Gesamtschaden wurde auf mindestens 40 Millionen Dollar geschätzt. Auf den zerstörten Systemen hinterließen die Angreifer Nachrichten, gerichtet an Adelson persönlich: "Den Einsatz von Massenvernichtungswaffen zu befürworten, ist unter allen Umständen ein Verbrechen."

Mehr als ein Jahr nach dem Angriff bestätigte Director of National Intelligence James Clapper vor dem Senat: Iran war der Urheber. Es war der erste große destruktive Cyberangriff auf ein amerikanisches Unternehmen – und er hatte eine eindeutige Kausalkette: öffentliche Drohung, staatliche Reaktion, persönliche Vergeltung. Eine neue Dimension iranischer Cyberdoktrin war etabliert: Wer Iran öffentlich bedroht, wird zum individuellen Ziel – unabhängig davon, ob er ein Staat, ein Unternehmen oder eine Einzelperson ist.

Der Bau der unsichtbaren Armee – Proxy-Infrastruktur 2019 bis 2023

Russland hatte das Modell erfunden. Mit Gruppen wie Fancy Bear – staatlich gesteuert, offiziell abstreitbar, mit eigenem öffentlichem Profil – hatte Moskau vorgeführt, wie man Cyberoperationen führt, ohne direkte Verantwortung übernehmen zu müssen: staatliche Ziele, eigenständige Identitäten, glaubhafte Abstreitbarkeit nach außen. Iran beobachtete. Iran lernte. Iran baute es nach – und verfeinerte es.

Das iranische Ministerium für Nachrichtenwesen und Sicherheit, bekannt unter dem persischen Kürzel MOIS, entwickelte ab etwa 2019 ein System aus Fake-Hacktivist-Personas, das in seiner operativen Konsequenz über das russische Vorbild hinausgeht. Die Grundstruktur: Eine staatliche Einheit – von Cybersicherheitsforschern unter dem Namen Void Manticore geführt und intern dem MOIS-Counter-Terrorism-Bereich zugeordnet – betreibt mehrere öffentlich sichtbare Personas gleichzeitig, jede mit eigenem Namen, eigenem Logo, eigener Kommunikationsstrategie.

Homeland Justice wurde ab Mitte 2022 für Angriffe auf albanische Regierungsinfrastruktur eingesetzt – Hintergrund war Albaniens Entscheidung, die iranische Oppositionsgruppe Mujahedeen e-Khalq (MEK) auf seinem Territorium zu beherbergen. Karma Below operierte parallel. Handala tauchte ab Ende 2023 auf und ist inzwischen die prominenteste der drei Personas. Das US-Justizministerium beschlagnahmte am 19. März 2026 vier Domains, die diesen Personas zuzuordnen waren, und dokumentierte in den Gerichtsakten das operative Playbook: destruktiver Cyberangriff, Diebstahl sensibler Daten, Veröffentlichung unter der Persona, psychologische Kriegsführung gegen Dissidenten und Journalisten – alles aus einer Hand, alles koordiniert, alles abstreitbar.

Laut Check Point Research unterstand die operative Kontrolle über Void Manticore dem MOIS-internen Counter-Terrorism-Bereich unter Aufsicht von Seyed Yahya Hosseini Panjaki. Panjaki, laut derselben Quelle, wurde in den ersten israelischen Strikes gegen Iran Anfang März 2026 getötet. Nach bisher nicht unabhängig bestätigten Angaben von Check Point Research unterstand die operative Kontrolle über Void Manticore dem MOIS-internen Counter-Terrorism-Bereich unter Aufsicht von Seyed Yahya Hosseini Panjaki – der laut derselben Quelle in den israelischen Strikes Anfang März 2026 getötet wurde.

Das Operational Playbook, das DOJ und Check Point unabhängig voneinander dokumentieren, ist standardisiert: Einbruch über gestohlene VPN-Zugangsdaten, laterale Bewegung per Remote Desktop Protocol, parallel deployte Wiper-Tools, manuelle Löschung von Backups, anschließend Veröffentlichung der gestohlenen Daten unter der jeweiligen Persona. Die Doppelwirkung ist beabsichtigt: realer technischer Schaden plus öffentlichkeitswirksame psychologische Operation. Was als Hacktivismus erscheint, ist staatliche Kriegsführung mit professioneller Tarnkappe.

2026 – Der Westen ist das Ziel

Am 28. Februar 2026 beginnen US-amerikanische und israelische Streitkräfte die Operation Epic Fury. Noch in den ersten Stunden nach den initialen Strikes fährt Iran eine mehrdimensionale Antwort hoch. Palo Alto Networks Unit 42 dokumentiert binnen Tagen ein Ökosystem von mehr als 60 aktiven Hacktivistengruppen, koordiniert über einen neu eingerichteten "Electronic Operations Room". Pro-iranische Gruppen aus dem Irak, dem Libanon, dem Jemen, aus der regionalen Diaspora – alle synchronisiert, alle aktiv.

Handala bleibt die sichtbarste Persona. Am 11. März 2026 übernimmt Handala die Verantwortung für einen destruktiven Malware-Angriff auf Stryker Corporation, einen amerikanischen Medizintechnik- und Rüstungslieferanten. 200.000 interne Systeme betroffen, 50 Terabyte Daten entwendet – wie Teil 1 dieser Serie im Detail dokumentiert. Am 27. März 2026 meldet CNN, dass das private Gmail-Konto von FBI-Direktor Kash Patel kompromittiert wurde. Beide Angriffe werden im Annual Threat Assessment 2026 des Director of National Intelligence als MOIS-Operationen bestätigt.

Die Zielauswahl ist keine Willkür. Stryker liefert medizinische Systeme an US-Streitkräfte und ist als Rüstungsunternehmen Teil des amerikanischen Militärökosystems. Patel ist als FBI-Direktor das öffentlichste Gesicht amerikanischer Strafverfolgung. Die Targets sind strategisch gewählt: maximale Sichtbarkeit, maximaler symbolischer Wert, maximaler psychologischer Druck. Das ist dieselbe Logik wie 2014 bei Adelson – skaliert auf Staatsebene.

Check Point Research beobachtet in diesem Zeitraum auch eine Verschlechterung der operativen Sicherheit von Handala: Direkte Verbindungen aus iranischen IP-Adressen, die bisher durch kommerzielle VPN-Dienste verborgen worden wären. Grund dafür ist wahrscheinlich die seit dem 28. Februar 2026 bestehende faktische Internet-Blockade in Iran – die Konnektivität des Landes sank laut NetBlocks auf zwischen einem und vier Prozent. Staatliche Cybereinheiten arbeiteten unter erheblich erschwerten Bedingungen. Die Angriffe liefen dennoch weiter.

Was das strategisch bedeutet

Wer die Geschichte von Stuxnet bis Handala linear liest, erkennt kein Chaos. Er erkennt ein Lernprogramm.

2010: Iran versteht, dass Cyberwaffen reale physische Infrastruktur zerstören können. 2012: Iran demonstriert, dass es diese Fähigkeit replizieren und gegen Dritte einsetzen kann. 2014: Iran zeigt, dass individuelle öffentliche Drohungen individuelle Konsequenzen haben. 2019 bis 2023: Iran baut eine professionelle Proxy-Infrastruktur auf, die staatliche Ziele mit abstreitbaren Identitäten verbindet. 2026: Iran setzt diese Infrastruktur gegen amerikanische Ziele ein – unter aktiver Kriegsbedingung, mit degradierter Internet-Infrastruktur, und trotzdem effektiv.

Jeder dieser Schritte ist eine direkte Reaktion auf eine westliche Handlung oder Provokation. Das macht den Befund analytisch sauber: Es geht nicht darum, Iran zu verteidigen oder zu dämonisieren. Es geht darum, eine Kausalstruktur zu beschreiben, die vorliegt, egal ob man sie bequem findet oder nicht. Der Westen hat Iran Cyberkrieg beigebracht. Nicht absichtlich. Aber systematisch. Stuxnet war der erste Lehrgang. Shamoon war die erste Prüfung. Sands Casino war der Abschluss des Grundkurses. Handala ist das Zertifikat.

Der strukturelle blinde Fleck dahinter ist bekannt, aber selten benannt: Cyberangriffe produzieren keine Explosionen. Sie erscheinen in Lageberichten als Vorfälle, in Jahresberichten als Risikopositionen, in Pressemitteilungen als "Sicherheitsverletzungen". Strategische Niederlagen werden in dieser Sprache unsichtbar. Dabei ist genau das passiert: Eine Mittelmacht, der man mit einer hochentwickelten Waffe zu Leibe rückte, hat diese Waffe auseinandergenommen, verstanden und zurückgeschossen – mit wachsender Präzision und wachsendem Ehrgeiz.

Physik, keine Strafe

Es wäre bequem, Handala als Anomalie zu betrachten – als überraschenden Ausbruch eines Akteurs, der eigentlich nicht auf diesem Niveau operieren sollte. Bequem, aber falsch.

Iran ist keine überraschende Cybergroßmacht. Iran ist eine erwartbare Cybergroßmacht. Eine Gesellschaft mit über dreitausend Jahren Hochkultur, mit Millionen hochausgebildeter Ingenieure, mit einer staatlichen Entschlossenheit, strategische Nachteile durch asymmetrische Mittel auszugleichen – und mit sechzehn Jahren konkreter Erfahrung in der modernen Cyberkriegsführung, beginnend mit dem besten Lehrgang, den je jemand angeboten hat: Stuxnet.

Wer Stuxnet baut, bekommt Handala. Das ist keine Strafe. Das ist Physik.

Die Frage, die sich stellt, ist nicht, ob Iran Cyberoperationen ausführen kann – das ist beantwortet. Die Frage ist, was der nächste Lehrgang sein wird. Und ob der Westen diesmal versteht, was er gerade unterrichtet.

Jede Eskalation produziert Kapazitäten. Jeder Angriff lehrt den Angegriffenen. Wer glaubt, militärische Überlegenheit im kinetischen Bereich schütze vor asymmetrischer Gegenwehr im digitalen, hat aus der Geschichte seit 2010 nichts gelernt. Iran hat in sechzehn Jahren bewiesen, dass Ressourcenknappheit, internationale Isolation und militärisches Ungleichgewicht kein Hindernis für effektive Cyberoperationen sind – sie sind der Antrieb dafür. Mittelmächte, die auf dem konventionellen Schlachtfeld nicht gewinnen können, suchen Felder, auf denen sie es können. Das Cyberfeld ist eines davon. Iran hat es früher als die meisten anderen verstanden. Die Quittung dafür heißt Handala.

+++

Anmerkungen und Quellen

Michael Hollisterwar sechs Jahre Bundeswehrsoldat (SFOR, KFOR) und blickt hinter die Kulissen militärischer Strategien. Nach 14 Jahren im IT-Security-Bereich analysiert er primärquellenbasiert europäische Militarisierung, westliche Interventionspolitik und geopolitische Machtverschiebungen. Ein Schwerpunkt seiner Arbeit liegt auf dem asiatischen Raum, insbesondere Südostasien, wo er strategische Abhängigkeiten, Einflusszonen und Sicherheitsarchitekturen untersucht. Hollister verbindet operative Innensicht mit kompromissloser Systemkritik – jenseits des Meinungsjournalismus. Seine Arbeiten erscheinen zweisprachig auf www.michael-hollister.com , bei Substack unter https://michaelhollister.substack.com sowie in kritischen Medien im deutsch- und englischsprachigen Raum.

+++

1. Kaspersky Resource Center: What is Stuxnet? https://www.kaspersky.com/resource-center/definitions/what-is-stuxnet
2. IEEE Spectrum: The Real Story of Stuxnet (David Kushner, Februar 2013) https://spectrum.ieee.org/the-real-story-of-stuxnet
3. Kaspersky Securelist: Stuxnet Zero Victims (GReAT, November 2014) https://securelist.com/stuxnet-zero-victims/67483/
4. CCDCOE (NATO Cooperative Cyber Defence Centre): Stuxnet Facts Report https://ccdcoe.org/uploads/2018/10/Falco2012_StuxnetFactsReport.pdf
5. CFR Cyber Operations: Compromise of Saudi Aramco and RasGas https://www.cfr.org/cyber-operations/compromise-of-saudi-aramco-and-rasgas
6. CCDCOE Cyber Law Wiki: Shamoon (2012) https://cyberlaw.ccdcoe.org/wiki/Shamoon_(2012)
7. Kaspersky Securelist: From Shamoon to StoneDrill (März 2017) https://securelist.com/from-shamoon-to-stonedrill/77725/
8. Phys.org: Iran hinter Shamoon - Panetta-Statement Oktober 2012 https://phys.org/news/2012-10-iran-cyberattack-saudi-ex-official.html
9. Bloomberg Businessweek: Iranian Hackers Hit Sheldon Adelson's Sands Casino (Dezember 2014) https://www.bloomberg.com/news/articles/2014-12-11/iranian-hackers-hit-sheldon-adelsons-sands-casino-in-las-vegas
10. Bloomberg: Iran Behind Cyber-Attack on Adelson's Sands Corp., Clapper Says (Februar 2015) https://www.bloomberg.com/news/articles/2015-02-26/iran-behind-cyber-attack-on-adelson-s-sands-corp-clapper-says
11. U.S. Department of Justice: Justice Department Disrupts Iranian Cyber Enabled Psychological Operations (19. März 2026) https://www.justice.gov/opa/pr/justice-department-disrupts-iranian-cyber-enabled-psychological-operations
12. Check Point Research: Handala Hack - Unveiling Group's Modus Operandi (12. März 2026) https://research.checkpoint.com/2026/handala-hack-unveiling-groups-modus-operandi/
13. Palo Alto Networks Unit 42: Threat Brief - March 2026 Escalation of Cyber Risk Related to Iran (26. März 2026) https://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/
14. CNN: Pro-Iran Hackers Claim Wiper Attack on Medical Device Maker Stryker (11. März 2026) https://www.cnn.com/2026/03/11/politics/pro-iran-hackers-cyberattack-medical-device-maker
15. CNN: Iran-Linked Hackers Compromised FBI Director Patel's Gmail (27. März 2026) https://www.cnn.com/2026/03/27/politics/iran-linked-hackers-fbi-director-patel
16. Office of the Director of National Intelligence: Annual Threat Assessment 2026 https://www.dni.gov/files/ODNI/documents/assessments/ATA-2026-Unclassified-Report.pdf
17. Statista / Weltbank: Iran - Urbanisierungsrate 2023 https://www.statista.com/statistics/455841/urbanization-in-iran/
18. QS World University Rankings 2026 / Tehran Times: Nine Iranian Universities in QS WUR 2026 https://www.tehrantimes.com/news/514894/Nine-Iranian-universities-in-QS-WUR-2026-ranking

+++

Wir danken dem Autor für das Recht zur Veröffentlichung dieses Beitrags.

+++

Bild: KI-generiertes Bild: Illustration eines Cyberangriffs
Bildquelle: Shutterstock AI Generator / shutterstock

Handala group claims to have collected '19,000 confidential images and videos from the most secret meetings'; footage reveals previously undisclosed meetings

The post Iran-linked hackers leak photos of ex-IDF chief Halevi’s work and family life appeared first on The Times of Israel.

Der Cyberkrieg trifft Stryker, Lockheed Martin und den FBI-Direktor persönlich

Ein Meinungsbeitrag von Michael Hollister.

Am 27. März 2026 veröffentlichte eine iranische Hackergruppe Fotos des Direktors des Federal Bureau of Investigation der Vereinigten Staaten. Kash Patel, Chef der mächtigsten Strafverfolgungsbehörde der Welt, zuständig für die innere Sicherheit einer Supermacht – abgelichtet mit Zigarre, neben einem Oldtimer mit kubanischen Nummernschildern, Selfie mit einer großen Flasche Rum. Dazu 300 E-Mails aus seinem persönlichen Gmail-Account. Reisedaten, Steuerunterlagen, Familienkorrespondenz, Wohnungsverträge aus einem Jahrzehnt.

Das FBI bestätigte den Hack ohne Umschweife. "Die betroffenen Informationen sind historischer Natur und enthalten keine Regierungsinformationen", teilte die Behörde mit. Technisch korrekt. Analytisch verheerend.

Dies ist nicht die Geschichte eines ausgeklügelten Staatshacks, der mit den Mitteln einer Supermacht kaum zu verhindern gewesen wäre. Es ist die Geschichte von systematischem digitalem Versagen auf höchster Ebene – und was das über den tatsächlichen Zustand amerikanischer Cybersicherheit aussagt. Denn der Stryker-Angriff, der Lockheed-Martin-Leak und der Gmail-Hack des FBI-Direktors folgen derselben Logik: eine iranische Geheimdienstoperation, die nicht wegen ihrer technischen Überlegenheit erfolgreich war, sondern wegen der erschreckenden Nachlässigkeit ihrer Ziele.

Das Kamel – um im Klischee zu bleiben – hackt zurück. Und es findet offene Türen.

11. März 2026, 4 Uhr GMT: Stryker schläft

Es beginnt in der Nacht vom 10. auf den 11. März 2026, kurz nach 4 Uhr morgens Weltzeit. In den Rechenzentren der Stryker Corporation – Michigan, Portage, Hauptsitz eines der weltgrößten Medizingerätehersteller – beginnen Tausende von Geräten sich zu verhalten, als wären sie nie benutzt worden. Laptops. Telefone. Server. Workstations. Alle gleichzeitig. Alle auf Werkseinstellungen zurückgesetzt.

Stryker beliefert 150 Millionen Patienten weltweit. 56.000 Mitarbeiter, Niederlassungen in 79 Ländern, Produkte, die buchstäblich Leben retten: Defibrillatoren, Operationsinstrumente, orthopädische Implantate, Notfallausrüstung. Das Unternehmen liefert auch ans US-Militär. Und in dieser Nacht kann keiner seiner Mitarbeiter seinen Rechner hochfahren.

Was technisch passiert ist, lässt sich rekonstruieren. Die Angreifer hatten zu diesem Zeitpunkt bereits seit Monaten Zugang zum Netzwerk – nicht durch einen spektakulären Zero-Day-Exploit, sondern durch gestohlene Administrator-Credentials. Was sie dann einsetzten, war kein geheimes Staatstool. Es war Microsoft Intune – ein legitimes, handelsübliches IT-Management-System, das Unternehmen zur Verwaltung ihrer Geräteflotte nutzen. Wer die Intune-Konsole kontrolliert, kontrolliert jeden Endpoint im Netzwerk. Wer jeden Endpoint kontrolliert, kann jeden Endpoint löschen.

Und das taten sie. Ferngesteuert, koordiniert, gründlich.

Strykers Lifenet-System fiel aus – das elektronische EKG-Übertragungssystem, das Rettungskräfte nutzen um Herzpatienten-Daten vorab an Notaufnahmen zu übermitteln. Marylands Institute for Emergency Medical Services verschickte umgehend Warnmeldungen an alle Krankenhäuser des Bundesstaates: Lifenet "nicht funktionsfähig in den meisten Teilen des Staates." Rettungskräfte sollten auf Radiokommunikation umsteigen. Operationen wurden verschoben. Das Unternehmen meldete den Angriff bei der US-Börsenaufsicht SEC als wesentlichen Vorfall – Betriebsunterbrechungen in Auftragsverarbeitung, Produktion und Logistik.

Die Hackergruppe die sich zu dem Angriff bekannte, meldete sich kurz darauf über Telegram und X. "Unsere große Cyberoperation wurde mit vollständigem Erfolg durchgeführt", hieß es in der Erklärung von Handala Hack Team. Sie behaupteten: mehr als 200.000 Systeme gelöscht, 50 Terabyte kritischer Daten abgezogen, Stryker in 79 Ländern lahmgelegt. Als Begründung nannten sie einen US-Raketenangriff auf eine Grundschule in Minab, Iran – nach Angaben iranischer Staatsmedien mit mindestens 168 getöteten Kindern. Das Pentagon erklärte den Vorfall zu untersuchen.

Stryker gab an, bis zum 26. März den Betrieb weitgehend wiederhergestellt zu haben. Kein Ransomware, keine Malware im klassischen Sinne – aber das ist die falsche Frage. Wiper-Angriffe brauchen keine Ransomware. Ihr Ziel ist nicht Geld. Ihr Ziel ist Zerstörung.

Handala: Kein Teenager im Keller

Wer oder was ist Handala?

Der Name stammt von Handala, dem Cartoon-Kind des palästinensischen Künstlers Naji al-Ali – ein Symbol für palästinensische Identität und Widerstand seit 1969, erkennbar an seinem Rücken der dem Betrachter zugewandt ist. Die Gruppe trat erstmals im Dezember 2023 auf, Wochen nach dem Hamas-Angriff auf Israel vom 7. Oktober. Sie präsentierte sich zunächst als Unterstützer der Hamas, dann als breitere pro-palästinensische Bewegung. Auf Telegram und X verbreiteten sie Propaganda, Drohungen, gestohlene Daten.

Das ist das Bild das sie nach außen projizieren. Das Bild, das das US-Justizministerium gerichtlich dokumentiert hat, sieht anders aus.

Handala ist nach Einschätzung westlicher Behörden und Cybersicherheitsunternehmen eine Front für das iranische Ministerium für Nachrichtenwesen und Sicherheit – das MOIS, das Geheimdienstministerium der Islamischen Republik. Das FBI bezeichnet Handala als "fiktive Identität", die vom MOIS genutzt wird um die eigene Rolle in "Einflussoperationen und psychologischen Desinformationskampagnen" zu verschleiern. Check Point Research verfolgt dieselbe Gruppe unter dem Namen "Void Manticore" – und dokumentiert enge Verbindungen zu weiteren iranischen Cyber-Personas: Homeland Justice, Karma Below, Banished Kitten, auch bekannt als Storm-0842 und Dune.

Das Muster ist dasselbe, das Russland mit Gruppen wie Fancy Bear oder Sandworm etabliert hat: staatliche Ziele, private Gruppenidentität, plausible Deniability. Iran hat dieses Modell übernommen und verfeinert.

Technisch gesehen ist Handala kein Hochleistungsakteur. Check Point schreibt in seiner aktuellen Analyse, die Gruppe verlasse sich "primär auf manuelle, hands-on Operationen, handelsübliche Wiper und öffentlich verfügbare Lösch- und Verschlüsselungstools." Keine Zero-Days, keine nationalen Exploits. Dafür: Geduld. Vorpositionierung. Monatelanger Zugang zu Netzwerken bevor der eigentliche Angriff ausgelöst wird. "Initial access is believed to have been established well before the destructive phase", schreibt Check Point über den Stryker-Angriff.

Das ist keine technische Schwäche. Es ist eine strategische Stärke. Wer früh drin ist und wartet, kann den optimalen Moment wählen.

Handala hat diese Taktik vor dem Stryker-Angriff bereits ausgiebig erprobt. An israelischen Zielen zunächst: Wiper-Angriffe gegen mindestens 60 israelische Unternehmen, gestohlene Daten des israelischen Gesundheitsdienstleisters Clalit Health Services mit 10.000 Patientenakten, Drohungen gegen israelische Geheimdienstoffiziere inklusive Veröffentlichung ihrer Privatadressen auf einer Plattform die Kopfgelder für deren "Liquidierung" auslobt. In Zusammenarbeit mit dem mexikanischen Jalisco New Generation Cartel (CJNG), wie das FBI-Affidavit im DOJ-Gerichtsdokument vom 19. März 2026 dokumentiert.

Seit dem Beginn von Operation Epic Fury am 28. Februar 2026 hat sich das Zielspektrum auf US-amerikanische Ziele ausgeweitet. Stryker war der erste große Treffer. Und dann kam Kash Patel.

Am 26. März 2026, eine Woche nach dem Stryker-Angriff und Stunden nach der DOJ-Domain-Beschlagnahme, folgte der nächste Schlag: Handala veröffentlichte persönliche Daten von 28 Lockheed-Martin-Ingenieuren, die in Israel an Rüstungsprojekten arbeiteten – darunter Reisepässe, Ausweisnummern, Heimadressen und Stationierungsorte. Nach Angaben der Gruppe waren die Betroffenen in die Wartung von F-35- und F-22-Kampfjets sowie des THAAD-Raketenabwehrsystems eingebunden. Cybersicherheitsforscher von Cybernews bewerteten die Dokumente als authentisch; die Namen auf den Passseiten stimmten mit LinkedIn-Profilen aktiver Mitarbeiter überein.

Handala behauptete zudem, bereits telefonisch Kontakt zu mehreren der Ingenieure aufgenommen zu haben – mit Informationen über ihre Kinder, Wochenendgewohnheiten und die Wohnorte ihrer Familien in den USA. Das Unternehmen erklärte, von den Berichten Kenntnis zu haben und auf die Integrität seiner Sicherheitssysteme zu vertrauen. Die Echtheit der geleakten Daten bestätigte Lockheed Martin offiziell nicht. Das ist keine Zufälligkeit im Timing: Die Veröffentlichung erfolgte exakt in dem Moment, in dem die DOJ-Beschlagnahme internationale Schlagzeilen machte – ein bewusstes Signal, dass die Infrastruktur weggenommen werden kann, die Operationsfähigkeit aber nicht.

Gmail, Rum und grobe Fahrlässigkeit

Ich habe vierzehn Jahre in der IT-Sicherheit gearbeitet. Als ISO-27001/3- und BSI-Grundschutz-Auditor, als IT-Security-Berater, als jemand, der Unternehmensführungen erklärt hat, warum digitale Fahrlässigkeit persönlich teuer werden kann. Es gibt einen Satz, den ich in dieser Zeit immer wieder gesagt habe: "Security muss nicht teuer sein. Aber sie braucht Aufmerksamkeit. Und Aufmerksamkeit kostet Zeit."

Der Fall Kash Patel ist ein Lehrbuchbeispiel für das, wogegen ich damals argumentiert habe – multipliziert mit dem Faktor FBI-Direktor.

Am 27. März 2026, fünf Tage nach dem Stryker-Angriff, veröffentlichte Handala den Hack von Patels persönlichem Gmail-Account. 300 Emails, persönliche Fotos, Reisedaten aus einem Jahrzehnt. Die Fotos zeigen Patel in privaten Momenten: rauchend neben klassischen Autos mit kubanischen Nummernschildern, Selfie vor dem Spiegel mit einer großen Flasche Rum. Emails von 2010 bis 2022 – Steuerformulare, Wohnungsverträge, Familienkorrespondenz, Reisebuchungen, eine 2014er E-Mail in der er von seiner DOJ-Adresse an seinen damaligen FBI-Account und seine private Gmail weiterleitete.

Reuters, CNN und NBC bestätigten die Authentizität der Dokumente unabhängig voneinander. Das FBI bestätigte den Angriff. "Die Informationen sind historischer Natur und enthalten keine Regierungsinformationen", teilte die Behörde mit.

Aber hier liegt das eigentliche Problem – und es ist keines das man mit dem Verweis auf "historische Informationen" wegdefinieren kann.

Ende 2024, Wochen bevor Patel als FBI-Direktor bestätigt wurde, wurde er offiziell informiert: Iranische Hacker haben seinen persönlichen Account kompromittiert. Es war Teil einer breiteren Kampagne gegen Trump-Übergangsbeamte – neben Patel waren auch der spätere stellvertretende Generalstaatsanwalt Todd Blanche und Donald Trump Jr. betroffen. Die Information stammte vom FBI selbst. Patel wusste es. Er wurde gewarnt.

Er hat trotzdem nichts geändert.

Was bedeutet das technisch? Handala nutzte für den Patel-Hack nach Einschätzung von Experten keine sophistizierten Werkzeuge. Alex Orleans, Head of Threat Intelligence bei Sublime Security, beschreibt es gegenüber NBC News präzise: "Looks like something they had sitting around." Die Gruppe habe wahrscheinlich auf Usernamen und Passwörter aus alten, nicht verwandten Datenlecks zugegriffen – öffentlich verfügbar in Dark-Web-Datenbanken. Das ist keine Geheimdienstoperation der höchsten Stufe. Das ist Passwort-Recycling. Das ist das Ausnutzen von Credentials die jemand seit Jahren nicht rotiert hat.

Cynthia Kaiser, bis Mai 2025 stellvertretende Direktorin der FBI Cyber Division, heute Senior VP bei Halcyon, bringt es auf den Punkt:

"You've seen Handala do this a lot – it's a mixture of lies and real attacks, making it hard to parse out what's exactly happening." Und weiter: "But if the ultimate aim is showing you can retaliate – either for an internal Iranian audience or for those whose activity you're trying to dissuade – going public is important."

(„Man hat schon oft gesehen, dass Handala so vorgeht – es ist eine Mischung aus Lügen und echten Angriffen, was es schwer macht, genau zu durchschauen, was eigentlich vor sich geht. (...) Aber wenn das eigentliche Ziel darin besteht zu zeigen, dass man zurückschlagen kann – sei es für ein iranisches Publikum im eigenen Land oder für diejenigen, die man von ihren Aktivitäten abbringen will –, dann ist es wichtig, an die Öffentlichkeit zu gehen.“)

Das ist der Kern. Dieser Angriff war keine Geheimoperation. Er war Kommunikation. Eine Botschaft an die amerikanische Öffentlichkeit, an die iranische, an alle Länder die zusehen: Der Direktor des FBI benutzt Gmail. Sein Passwort stammte aus einem alten Datenleck. Wir hatten es seit Monaten. Wir haben gewartet, bis es am meisten weh tut.

Als IT-Security-Auditor weiß ich: Grobe Fahrlässigkeit ist keine Frage des Budgets. Es geht nicht darum, ob man sich teure Sicherheitslösungen leisten kann. Es geht um Grundprinzipien, die keine Investition brauchen: Starke, einzigartige Passwörter. Zwei-Faktor-Authentifizierung. Keine dienstliche Korrespondenz über private Accounts. Credentials nach bekannter Kompromittierung sofort rotieren.

Kash Patel, der Mann der für die Cybersicherheit der mächtigsten Nation der Welt verantwortlich ist, hat keines dieser Grundprinzipien befolgt. Nachdem er explizit gewarnt worden war. Das ist nicht Pech. Das ist Fahrlässigkeit. Und in jeder deutschen GmbH würde das die persönliche Haftung des Geschäftsführers auslösen.

Die Reaktion und ihre strukturellen Grenzen

Das US-Justizministerium reagierte entschlossen. Vier Domains von Handala wurden beschlagnahmt – handala-hack.to, handala-redwanted.to sowie zwei weitere MOIS-Front-Domains. 10 Millionen Dollar Belohnung für Informationen über die Betreiber. FBI-Direktor Patel persönlich:

"Wir haben vier ihrer operativen Säulen niedergelegt und sind noch nicht fertig."

Handala baute die Infrastruktur innerhalb von Stunden wieder auf.

Das ist kein Versagen amerikanischer Strafverfolgung – es ist ein strukturelles Problem. Domains lassen sich in Minuten registrieren. Bulletproof-Hosting-Dienste in Ländern ohne Kooperationsabkommen sind günstig und effizient. Das US-Finanzministerium hat einige dieser Dienste sanktioniert, aber nicht schnell genug, nicht vollständig genug. Iran betreibt dieses Modell seit Jahren – und es funktioniert.

Handala antwortete auf die Domain-Beschlagnahme mit einer Erklärung auf Telegram:

"Die Beschlagnahme unserer Domains, Propagandabombardements, Morddrohungen und selbst der drohende Schatten von Luftangriffen sind nichts anderes als die neuesten verzweifelten Versuche, die Stimme von Handala zum Schweigen zu bringen." Und: "Die Geschichte hat gezeigt, dass weder Kugeln noch Bomben noch Attentate jemals den Willen der Völker stoppen konnten."

Wenige Stunden später: Hack von Kash Patels Gmail.

Das erklärt auch das Timing. Handala hatte die Patel-Emails bereits seit Monaten. Sie hätten sie früher veröffentlichen können. Sie warteten auf den richtigen Moment – den Moment maximaler psychologischer Wirkung. Den Moment, nach dem die FBI-Beschlagnahmung internationale Schlagzeilen gemacht hatte. Dann antworteten sie nicht mit einem weiteren Angriff auf Infrastruktur, sondern mit einem Foto des FBI-Direktors mit Rumflasche. Das ist Informationsoperationsdesign.

Palo Alto Networks Unit 42 berichtet in seiner aktuellen Lageanalyse von 60 aktiven pro-iranischen Hackergruppen seit Beginn von Operation Epic Fury – darunter Handala, DieNet, Cotton Sandstorm und dutzende weitere. Ein koordiniertes digitales Ökosystem, das Angriffe auf Flughäfen in Bahrain und Saudi-Arabien, Banken in Jordanien, Rüstungsunternehmen und Gesundheitsdienstleister weltweit dokumentiert hat.

Das Muster ist klar: Iran nutzt Cyber nicht als Ersatz für kinetische Kriegführung, sondern als paralleles Instrument. Günstiger, schwerer zuzuordnen, international weniger eskalierend – aber real in seinen Konsequenzen. "Cyber will keep going because it's under the radar in many cases", sagt David Carmiel, CEO der israelischen Cybersicherheitsfirma Kela. "The target universe for Iranian groups just became bigger."

Was das Kamel uns lehrt

Ich komme zurück zum Klischee. Das Bild des iranischen Hackers auf dem Kamel, irgendwo im Beduinenzelt – es ist lächerlich. Aber es ist nicht nur ein Klischee über Iran. Es ist ein Klischee über den Westen.

Wir unterschätzen systematisch, was wir nicht sehen können. Explosionen sehen wir. Bilder von zerstörten Gebäuden sehen wir. Den Moment, wenn 200.000 Stryker-Geräte auf Werkseinstellungen zurückgesetzt werden, sehen wir nicht – bis die EKG-Übertragung in Maryland ausfällt und Krankenhäuser auf Radiokommunikation umschalten müssen.

Iran hat nach Stuxnet – dem US-israelischen Sabotage-Angriff auf seine Uran-Zentrifugen im Jahr 2010 – eine fundamentale strategische Entscheidung getroffen: Wenn der Feind Cyberkrieg als Waffe einsetzt, entwickeln wir Cyberwaffen. Seitdem hat das Land systematisch investiert. Nicht in Hochleistungs-Exploits für alle Situationen, sondern in Ausdauer, Positionierung und psychologische Wirkung. Shamoon 2012 – 35.000 Computer von Saudi Aramco gelöscht, der weltweit größte Ölkonzern für Wochen lahmgelegt. Sands Casino 2014 – gelöscht, weil dem Besitzer Sheldon Adelson eine Aussage über Iran missfiel. Das sind keine Einzelfälle. Das ist Doktrin.

Und die Doktrin funktioniert – nicht weil iranische Hacker technisch unschlagbar wären, sondern weil ihre Ziele erschreckend schlecht vorbereitet sind. Stryker hat Handala monatelang in seinem Netzwerk nicht bemerkt. Der FBI-Direktor hat nach einer bestätigten Kompromittierung sein Passwort nicht geändert. Lockheed Martin-Mitarbeiter im Nahen Osten haben persönliche Daten in erreichbaren Systemen.

Das sind keine unabwendbaren Katastrophen. Das sind Grundversagen.

Ich habe Unternehmen viele Jahre lang erklärt dass Cybersicherheit kein Budget-Problem ist, sondern ein Führungsproblem. Wenn der Chef sagt "Security ist wichtig" und dann seine Gmail-Adresse für sensible Korrespondenz benutzt, weiß jeder Mitarbeiter, was das wirklich bedeutet. Wenn der FBI-Direktor – der Mann der für die Cybersicherheit der Nation zuständig ist – nach einer bestätigten iranischen Kompromittierung keine Konsequenzen zieht, ist das kein persönliches Versagen. Es ist ein kulturelles Signal. Und es sendet dieses Signal nach innen und nach außen.

Handala hat das verstanden. Deshalb veröffentlichten sie nicht zuerst die 50 Terabyte Stryker-Daten, die ohnehin kaum jemand lesen würde. Sie veröffentlichten das Foto vom FBI-Direktor mit Rumflasche. Weil das jeder versteht.

Schlussfolgerung: Die offene Tür

Der ODNI Annual Threat Assessment 2026 stuft Handala explizit als Instrument iranischer Geheimdienstoperationen ein – ein Indiz für den Stellenwert den US-Geheimdienste diesem Angriff beimessen. Keine Atomrakete. Kein Drohnenangriff. Ein gestohlenes Administrator-Passwort, ein legitimes IT-Management-Tool, und monatelange Geduld.

Der Hack des FBI-Direktors – kein ausgeklügelter Staatshack. Ein altes, kompromittiertes Gmail-Passwort, das seit Jahren in Dark-Web-Datenbanken verfügbar war. Bekannt. Gemeldet. Ignoriert.

Das Kamel hackt zurück. Nicht weil das Kamel so gefährlich ist. Sondern weil die Tür offen stand.

Und solange Führungsverantwortliche – ob in Unternehmen oder im Staatsapparat – Cybersicherheit als technisches Problem behandeln das andere lösen sollen, statt als Führungsaufgabe die bei ihnen beginnt, werden weitere Türen offen stehen. Die nächste Hackergruppe muss nur hindurchgehen.

Teil 2 dieser Serie erscheint in Kürze: Irans Cyber-Doktrin - von Stuxnet bis Handala, wie eine Mittelmacht zur ernstzunehmenden Cyberbedrohung wurde.

+++

Anmerkungen und Quellen

Michael Hollister war sechs Jahre Bundeswehrsoldat (SFOR, KFOR) und blickt hinter die Kulissen militärischer Strategien. Nach 14 Jahren im IT-Security-Bereich analysiert er primärquellenbasiert europäische Militarisierung, westliche Interventionspolitik und geopolitische Machtverschiebungen. Ein Schwerpunkt seiner Arbeit liegt auf dem asiatischen Raum, insbesondere Südostasien, wo er strategische Abhängigkeiten, Einflusszonen und Sicherheitsarchitekturen untersucht. Hollister verbindet operative Innensicht mit kompromissloser Systemkritik – jenseits des Meinungsjournalismus. Seine Arbeiten erscheinen zweisprachig auf www.michael-hollister.com , bei Substack unter https://michaelhollister.substack.com sowie in kritischen Medien im deutsch- und englischsprachigen Raum.

1. CNN: Pro-Iran hackers claim cyberattack on major US medical device makerSean Lyngaas, 11. März 2026 https://www.cnn.com/2026/03/11/politics/pro-iran-hackers-cyberattack-medical-device-maker
2. NBC News: Iran appears to have conducted a significant cyberattack against a U.S. companyKevin Collier, 11. März 2026 https://www.nbcnews.com/world/iran/iran-appears-conducted-significant-cyberattack-us-company-first-war-st-rcna263084
3. U.S. Department of Justice: Justice Department Disrupts Iranian Cyber-Enabled Psychological OperationsOffice of Public Affairs - Primärquelle: DOJ-Pressemitteilung mit Gerichtsdokumenten https://www.justice.gov/opa/pr/justice-department-disrupts-iranian-cyber-enabled-psychological-operations
4. Check Point Research: Handala Hack - Unveiling Group's Modus OperandiTechnische Tiefenanalyse der Gruppe, TTP-Dokumentation https://research.checkpoint.com/2026/handala-hack-unveiling-groups-modus-operandi/
5. Palo Alto Networks Unit 42: Threat Brief - March 2026 Escalation of Cyber Risk Related to IranLageanalyse mit 60 aktiven pro-iranischen Gruppen, aktualisiert 26. März 2026 https://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/
6. CNN: Iran-linked hackers have breached FBI Director Kash Patel's personal emails27. März 2026 - Bestätigung durch CNN und unabhängige Cybersecurity-Experten https://www.cnn.com/2026/03/27/politics/iran-linked-hackers-fbi-director-patel
7. Al Jazeera: FBI director Kash Patel's emails, photos hacked by Iran-linked group27. März 2026 https://www.aljazeera.com/news/2026/3/27/fbi-director-kash-patels-emails-photos-hacked-by-iran-linked-group
8. PBS NewsHour: Pro-Iranian group claims credit for hacking into FBI Director Patel's personal account27. März 2026 - mit offiziellem FBI-Statement https://www.pbs.org/newshour/nation/pro-iranian-group-claims-credit-for-hacking-into-fbi-director-patels-personal-account
9. NBC News: Iranian hackers publish emails allegedly stolen from Kash Patel27. März 2026 - mit Experteneinschätzung Alex Orleans (Sublime Security) https://www.nbcnews.com/tech/security/iranian-hackers-publish-emails-allegedly-stolen-kash-patel-rcna265490
10. The National: Iran-linked Handala hacker group responds with defiance after US seizure of websites20. März 2026 - DOJ-Bestätigung, Patel-Reaktion, Handala-Statement https://www.thenationalnews.com/future/technology/2026/03/20/iran-hackers-handala-fbi-doj-seizure/
11. HIPAA Journal: Iran Linked Hacking Group Wipes Data of U.S. Medical Device ManufacturerStryker-Update 15. und 26. März 2026 - Koordination mit FBI, CISA, DHS, HHS https://www.hipaajournal.com/stryker-cyberattack-iran/
12. Annual Threat Assessment of the U.S. Intelligence Community 2026ODNI, 18. März 2026 - offizielle Erwähnung des Handala-Angriffs auf Seite 16-17 https://www.dni.gov/files/ODNI/documents/assessments/ATA-2026-Unclassified-Report.pdf
13. Cybernews: Handala group doxxes Lockheed Martin staff in Israel, 27. März 2026 - https://cybernews.com/security/lockheed-martin-israel-breach-handala/
14. Cybersecurity Dive: Iran actors' claims raise questions about larger cyber threat to US, allies, 01. April 2026 - https://www.cybersecuritydive.com/news/iran-actors-claims-cyber-threat-us-allies/816228/

+++

Wir danken dem Autor für das Recht zur Veröffentlichung dieses Beitrags.

+++

Bild: FBI-Direktor Kash Patel (Mitte) steht neben US-Präsident Donald Trump (rechts) und US-Verteidigungsminister Pete Hegseth (links)

Bildquelle: Joey Sussman / shutterstock