Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die europäische Polizeibehörde Europol haben eine signifikante Zunahme koordinierter Aktivitäten einer neuen Akteursgruppe festgestellt, die in Fachkreisen als The Rise Of The Raven bezeichnet wird. Seit Beginn des ersten Quartals 2026 registrierten Sicherheitsanalysten verstärkte Angriffe auf kritische Infrastrukturen in Deutschland, Frankreich und den Benelux-Staaten. Die Angreifer nutzen nach Angaben der Behörden eine bisher unbekannte Methode zur Umgehung von Multi-Faktor-Authentifizierungen, um in geschützte Netzwerke von Energieversorgern einzudringen.
BSI-Präsidentin Claudia Plattner bestätigte in einem Pressegespräch, dass die Komplexität der Vorfälle ein hohes Maß an staatlicher Unterstützung oder extrem professioneller Organisation nahelegt. Die technischen Parameter der Angriffe deuten darauf hin, dass die Gruppierung gezielt Schwachstellen in älterer Steuerungssoftware ausnutzt, die in vielen kommunalen Stadtwerken weiterhin im Einsatz ist. Aktuelle Daten des BSI belegen, dass die Anzahl der versuchten Grenzverletzungen in digitalen Kontrollsystemen im Vergleich zum Vorjahr um 22 Prozent gestiegen ist.
Technischer Hintergrund und operative Merkmale von The Rise Of The Raven
Die operative Vorgehensweise der Gruppe zeichnet sich durch eine lange Beobachtungsphase aus, bevor der eigentliche Zugriff erfolgt. IT-Forensiker der Firma CrowdStrike dokumentierten in einem technischen Bericht, dass die Schadsoftware oft monatlich inaktiv in den Systemen verbleibt, um Kommunikationsmuster zu erlernen. Diese Strategie erschwert die Entdeckung durch automatisierte Erkennungssysteme erheblich, da sich der Datenverkehr der Angreifer kaum vom regulären Betrieb unterscheidet.
Ein wesentliches Merkmal der Kampagne ist die Verwendung von verschlüsselten Tunneln, die über legitime Cloud-Dienste geleitet werden. Analysten stellten fest, dass die Befehlsserver der Angreifer IP-Adressen nutzen, die weltweit verteilt sind, um eine geografische Zuordnung zu erschweren. Dieser Ansatz ermöglicht es den Akteuren, administrative Rechte zu erlangen, ohne die üblichen Alarmsignale in den Sicherheitszentralen der Unternehmen auszulösen.
Evolution der Angriffsmethoden
In der frühen Phase der Entwicklung beobachteten Experten vor allem Phishing-Kampagnen, die auf die mittlere Managementebene abzielten. Mittlerweile hat sich der Fokus laut einem Bericht der European Union Agency for Cybersecurity (ENISA) auf die direkte Manipulation von Hardware-Komponenten verschoben. Die Angreifer versuchen nun vermehrt, Firmware-Updates von industriellen Steuerungsmodulen zu fälschen, was eine langfristige Kontrolle über physische Prozesse ermöglichen könnte.
Die Software-Architektur der eingesetzten Werkzeuge zeigt Ähnlichkeiten mit früherer Schadsoftware wie Stuxnet oder BlackEnergy, ist jedoch deutlich modularer aufgebaut. Sicherheitsforscher identifizierten spezifische Module, die nur für den Einsatz in Stromnetzen entwickelt wurden, während andere Segmente für die Spionage in Forschungseinrichtungen vorgesehen sind. Diese Spezialisierung deutet auf eine gezielte Ressourcenallokation innerhalb der Organisation hin.
Wirtschaftliche Auswirkungen auf den europäischen Energiesektor
Die wirtschaftlichen Schäden durch die jüngsten Aktivitäten lassen sich derzeit nur schwer exakt beziffern, doch der Branchenverband Bitkom schätzt die Kosten für Prävention und Bereinigung bereits auf einen dreistelligen Millionenbetrag. Viele Energieversorgungsunternehmen sahen sich gezwungen, ihre IT-Budgets für das laufende Geschäftsjahr außerplanmäßig zu erhöhen. Neben den direkten Kosten für Sicherheitsdienstleister belasten vor allem die notwendigen Betriebsunterbrechungen für Systemprüfungen die Bilanzen der betroffenen Firmen.
Ein Sprecher des Bundesministeriums für Wirtschaft und Klimaschutz betonte, dass die Sicherheit der Energieversorgung oberste Priorität habe und bisher keine flächendeckenden Ausfälle verzeichnet wurden. Dennoch fordern Industrievertreter eine stärkere staatliche Unterstützung bei der Absicherung von Lieferketten. Das Risiko besteht laut Branchenexperten darin, dass kleine und mittlere Zulieferer die hohen Sicherheitsanforderungen finanziell und personell kaum bewältigen können.
Belastung für kleine und mittlere Unternehmen
Kleinere Stadtwerke verfügen oft nicht über eigene Abteilungen für IT-Sicherheit und sind auf externe Dienstleister angewiesen. Die gestiegene Nachfrage nach Experten hat zu einem Engpass auf dem Arbeitsmarkt geführt, was die Reaktionszeiten bei Vorfällen verlängert. Viele Unternehmen müssen nun zwischen notwendigen Investitionen in die Dekarbonisierung und der dringend erforderlichen Härtung ihrer digitalen Infrastruktur abwägen.
Versicherungsgesellschaften reagieren bereits auf die veränderte Gefahrenlage durch Preisanpassungen bei Cyber-Policen. In einigen Fällen verlangen Versicherer den Nachweis spezifischer Abwehrmechanismen gegen die neuen Bedrohungen, bevor ein Vertrag verlängert wird. Diese Entwicklung führt zu einer weiteren finanziellen Belastung für Unternehmen, die ohnehin mit hohen Energiekosten konfrontiert sind.
Kritik an der staatlichen Koordinierung und rechtliche Hürden
Trotz der erkennbaren Gefahr gibt es Kritik an der Zusammenarbeit zwischen den verschiedenen nationalen Sicherheitsbehörden in Europa. Experten bemängeln, dass Informationen über neue Angriffsmuster oft zu langsam geteilt werden, was den Angreifern einen Zeitvorteil verschafft. Die rechtlichen Rahmenbedingungen für den grenzüberschreitenden Datenaustausch erweisen sich in der Praxis häufig als zu bürokratisch und zeitintensiv.
Der Datenschutzbefragte der Bundesregierung wies darauf hin, dass der Austausch von Telemetriedaten aus privaten Netzwerken mit staatlichen Stellen strengen gesetzlichen Auflagen unterliegt. Diese Regelungen dienen dem Schutz der Privatsphäre, schränken aber die Geschwindigkeit der Bedrohungsanalyse ein. Ein Dilemma entsteht, wenn Sicherheitsinteressen und Datenschutzrechte unmittelbar miteinander konkurrieren.
Internationale Zusammenarbeit und diplomatische Spannungen
Die Attribution von Cyberangriffen bleibt eine der schwierigsten Aufgaben für Nachrichtendienste und Ermittlungsbehörden. Während einige Indizien in Richtung bestimmter staatlicher Akteure deuten, fehlen bisher eindeutige Beweise für eine offizielle Anklage. Das Auswärtige Amt in Berlin erklärte, dass man die Situation genau verfolge und bei Vorliegen valider Beweise diplomatische Konsequenzen prüfen werde.
Internationale Abkommen zur Begrenzung von Cyber-Operationen gegen zivile Infrastrukturen existieren zwar, werden jedoch oft missachtet oder unterschiedlich interpretiert. Die Vereinten Nationen bemühen sich seit Jahren um verbindliche Normen im Cyberspace, doch der Fortschritt verläuft schleppend. In der Zwischenzeit nutzen Gruppen wie The Rise Of The Raven die Grauzonen des internationalen Rechts für ihre Zwecke aus.
Präventionsstrategien und technologische Gegenmaßnahmen
Unternehmen investieren verstärkt in sogenannte Zero-Trust-Architekturen, um die Ausbreitung von Schadcode innerhalb ihrer Netzwerke zu verhindern. Bei diesem Ansatz wird jeder Nutzer und jedes Gerät kontinuierlich überprüft, unabhängig davon, ob sie sich innerhalb des Firmennetzwerks befinden. Erste Auswertungen zeigen, dass Firmen mit einer konsequenten Umsetzung dieser Strategie deutlich resilienter gegen die aktuellen Angriffe sind.
Zusätzlich gewinnen künstliche Intelligenz und maschinelles Lernen bei der Verteidigung an Bedeutung. Systeme, die in Echtzeit Abweichungen vom Normalverhalten erkennen, können Angriffe im Frühstadium blockieren. Die Herausforderung besteht darin, diese Systeme so zu konfigurieren, dass sie keine Fehlalarme produzieren, die den regulären Betrieb stören könnten.
Schulung und Sensibilisierung der Mitarbeiter
Menschliches Fehlverhalten bleibt trotz technischer Fortschritte ein Haupteintrittstor für Cyber-Akteure. Viele Unternehmen haben daher verpflichtende Schulungsprogramme eingeführt, um das Bewusstsein für die Methoden des Social Engineering zu schärfen. Simulationen von Phishing-Angriffen gehören mittlerweile zum Standardrepertoire der betrieblichen Ausbildung in sicherheitskritischen Bereichen.
Ein Bericht des Fraunhofer-Instituts für Sichere Informationstechnologie hebt hervor, dass technische Schutzmaßnahmen allein nicht ausreichen. Eine gelebte Sicherheitskultur in den Betrieben sei ebenso wichtig wie die Implementierung moderner Firewalls. Mitarbeiter müssen verstehen, dass ihre Handlungen im digitalen Raum direkte Auswirkungen auf die Sicherheit des gesamten Unternehmens und der Gesellschaft haben können.
Zukünftige Entwicklungen und geopolitische Einordnung
Die Intensität der Aktivitäten lässt vermuten, dass die Phase der verdeckten Operationen in eine Phase der aktiven Sabotagevorbereitung übergehen könnte. Sicherheitsbehörden warnen davor, dass die gesammelten Informationen im Falle geopolitischer Spannungen genutzt werden könnten, um die Energieversorgung gezielt zu stören. Die Entwicklung stellt somit nicht nur ein technisches Problem dar, sondern ist integraler Bestandteil moderner hybrider Kriegsführung.
Beobachter der Szene erwarten für die kommenden Monate eine Ausweitung der Angriffe auf den Finanzsektor und den Transportbereich. Die logische Konsequenz der bisherigen Muster ist die Suche nach weiteren Schwachstellen in vernetzten Systemen der öffentlichen Daseinsvorsorge. Die deutsche Bundesregierung plant im Rahmen der Nationalen Sicherheitsstrategie, die Befugnisse des BSI weiter zu stärken, um schneller auf solche komplexen Bedrohungslagen reagieren zu können.
Die europäische Kooperation im Rahmen des European Cyber Shield soll zudem intensiviert werden, um eine schnellere Reaktion auf Vorfälle zu ermöglichen. Ein zentraler Punkt der zukünftigen Arbeit wird die Identifizierung der Hintermänner und deren Finanzierungsquellen sein. Es bleibt abzuwarten, ob die verstärkten Verteidigungsanstrengungen ausreichen, um die professionell agierenden Angreifer dauerhaft abzuwehren. Die kommende Sitzung des EU-Ministerrates im Juni 2026 wird sich schwerpunktmäßig mit der Harmonisierung der nationalen Cybersicherheitsgesetze befassen.
In den kommenden Wochen werden die nationalen Behörden weitere technische Richtlinien veröffentlichen, die Unternehmen bei der Absicherung ihrer Systeme unterstützen sollen. Experten rechnen damit, dass die Debatte über eine aktive Cyberabwehr, die sogenannte Hackbacks beinhaltet, durch die aktuelle Lage neu entfacht wird. Die Klärung der völkerrechtlichen Rahmenbedingungen für solche Maßnahmen steht jedoch noch aus und wird voraussichtlich Gegenstand langwieriger Verhandlungen auf internationaler Ebene bleiben.
