the serpent and the wolf

Von Hannah Hartmann news 7 Min. Lesezeit
the serpent and the wolf

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Partnerbehörden der Europäischen Union identifizierten im ersten Quartal 2026 eine koordinierte Kampagne gegen kritische Infrastrukturen, die intern als The Serpent and the Wolf bezeichnet wird. Die Operation richtete sich gezielt gegen Energieversorger und Logistikzentren in Mitteleuropa, wobei Angreifer versuchten, Steuerungssysteme durch schädliche Firmware-Updates zu kompromittieren. Experten des BSI in Bonn bestätigten, dass die Angriffe eine Komplexität aufweisen, die üblicherweise staatlich gelenkten Akteuren zugeschrieben wird.

Die technischen Analysen der Sicherheitsfirmen deuten darauf hin, dass die Akteure bereits seit Ende 2025 Vorbereitungen für diese Infiltration trafen. Das Hauptziel der Kampagne bestand laut einem technischen Bericht der Agentur der Europäischen Union für Cybersicherheit (ENISA) darin, langfristigen Zugang zu geschlossenen Netzwerken zu erhalten, ohne sofortige Schäden zu verursachen. Diese Strategie der Persistenz ermöglicht es den Angreifern, zu einem frei wählbaren Zeitpunkt Sabotageakte einzuleiten oder sensible Betriebsdaten auszuspähen. Entdecken Sie mehr zu einem verwandten Thema: diesen verwandten Artikel.

Ursprung und Taktiken von The Serpent and the Wolf

Die beteiligten Behörden führen die Aktivitäten auf eine Gruppierung zurück, die technische Ähnlichkeiten mit bekannten Einheiten aus dem osteuropäischen Raum aufweist. In einer offiziellen Pressemitteilung vom 20. April 2026 erläuterte das Bundesamt für Sicherheit in der Informationstechnik, dass die verwendete Schadsoftware speziell für industrielle Kontrollsysteme entwickelt wurde. Die Angreifer nutzten dabei eine Kombination aus Spear-Phishing und der Ausnutzung bisher unbekannter Sicherheitslücken in VPN-Gateways.

Besonders auffällig war die Methodik der lateralen Bewegung innerhalb der betroffenen Netzwerke. Nach dem ersten Eindringen maskierten die Akteure ihren Datenverkehr als legitime Wartungssignale, was die Entdeckung durch herkömmliche Überwachungstools über Monate hinweg verhinderte. Sicherheitsanalysten betonten, dass die Präzision der Angriffe auf eine umfangreiche Aufklärungsphase hindeutet, in der interne Dokumente der Zielunternehmen vorab ausgewertet worden sein müssen. Tagesschau hat dieses bedeutende Sachgebiet ausführlich analysiert.

Die betroffenen Unternehmen reagierten mit einer sofortigen Isolierung der infizierten Segmente und leiteten forensische Untersuchungen ein. Laut Angaben des Branchenverbands Bitkom erhöhten 14 betroffene Betreiber kritischer Infrastrukturen ihre Sicherheitsbudgets unmittelbar nach Bekanntwerden der Vorfälle. Diese Maßnahmen umfassen den Austausch von Hardware-Komponenten und die Implementierung von Zero-Trust-Architekturen, um die Angriffsfläche für ähnliche Operationen zu verringern.

Reaktion der Bundesregierung und internationale Kooperation

Bundesinnenministerin Nancy Faeser betonte in einer Stellungnahme im Deutschen Bundestag die Notwendigkeit einer verstärkten europäischen Zusammenarbeit im digitalen Raum. Die Bundesregierung plant, das IT-Sicherheitsgesetz weiter zu verschärfen, um Meldepflichten für Unternehmen zu präzisieren und die Befugnisse des BSI bei der aktiven Gefahrenabwehr zu erweitern. Faeser bezeichnete die digitale Souveränität als eine Grundvoraussetzung für die nationale Sicherheit in einer veränderten geopolitischen Lage.

Auf EU-Ebene forderte die Europäische Kommission eine schnellere Umsetzung der NIS-2-Richtlinie durch alle Mitgliedstaaten. Ein Sprecher der Kommission erklärte in Brüssel, dass die Vernetzung der nationalen Computer-Emergency-Response-Teams (CERTs) verbessert werden muss, um Warnmeldungen in Echtzeit auszutauschen. Die Vorfälle rund um The Serpent and the Wolf verdeutlichten laut Kommissionsberichten die Fragilität grenzüberschreitender Lieferketten im Energiesektor.

Technische Hürden bei der Attribuierung

Die eindeutige Identifizierung der Hintermänner bleibt eine der größten Herausforderungen für die Ermittler. Zwar weisen die Spuren in eine spezifische geografische Region, doch die Nutzung von Proxy-Servern und verschlüsselten Kommunikationskanälen erschwert den rechtssicheren Nachweis. Experten für Völkerrecht diskutieren derzeit darüber, ab welcher Schwelle Cyberoperationen als bewaffnete Angriffe im Sinne der UN-Charta gewertet werden können.

Einige IT-Sicherheitsexperten mahnen zur Vorsicht bei einer vorschnellen politischen Zuweisung der Schuld. Dr. Matthias Schulze von der Stiftung Wissenschaft und Politik (SWP) wies in einer Analyse darauf hin, dass sogenannte False-Flag-Operationen dazu dienen können, falsche Fährten zu legen. Diese Taktik wird genutzt, um diplomatische Spannungen zwischen Drittstaaten zu provozieren oder von den tatsächlichen Urhebern abzulenken.

Wirtschaftliche Auswirkungen und Sicherheitskosten

Die Kosten für die Bereinigung der betroffenen Systeme und die entgangenen Arbeitsstunden belaufen sich laut einer Schätzung des Instituts der deutschen Wirtschaft (IW) auf einen dreistelligen Millionenbetrag. Neben den direkten Kosten entstehen langfristige Ausgaben für Versicherungsprämien gegen Cyberrisiken, die im vergangenen Jahr bereits um durchschnittlich 15 Prozent gestiegen sind. Kleine und mittelständische Unternehmen stehen vor der Herausforderung, diese zusätzlichen finanziellen Lasten zu tragen, ohne ihre Wettbewerbsfähigkeit zu gefährden.

Versicherungsunternehmen verlangen zunehmend detaillierte Nachweise über die getroffenen Sicherheitsvorkehrungen, bevor sie Deckungszusagen erteilen. In vielen Fällen sind standardisierte Zertifizierungen wie die ISO 27001 nicht mehr ausreichend, um die komplexen Anforderungen der Versicherer zu erfüllen. Dies führt zu einem erhöhten Bedarf an spezialisierten Beratungsdienstleistungen und internen Sicherheitsteams, die auf dem Arbeitsmarkt derzeit schwer zu finden sind.

👉 Siehe auch: was ist heute in tübingen passiert

Mangel an Fachkräften in der Cybersicherheit

Der Fachkräftemangel verschärft die Sicherheitslage in Deutschland zusätzlich. Nach Daten der Agentur der Europäischen Union für Cybersicherheit fehlen europaweit Hunderttausende Experten für die Abwehr digitaler Angriffe. Bildungseinrichtungen und Universitäten versuchen, mit neuen Studiengängen und Zertifizierungsprogrammen gegenzusteuern, doch die Ausbildung hochspezialisierter Analysten benötigt mehrere Jahre Zeit.

Unternehmen konkurrieren weltweit um die besten Talente, wobei private Sicherheitsfirmen oft höhere Gehälter zahlen können als staatliche Behörden oder mittelständische Betriebe. Diese Diskrepanz führt dazu, dass staatliche Institutionen Schwierigkeiten haben, ihre Stellenpläne im Bereich der Cyberabwehr vollständig zu besetzen. Die Bundeswehr hat als Reaktion darauf ein eigenes Kommando Cyber- und Informationsraum gestärkt, um IT-Spezialisten gezielter anzusprechen und auszubilden.

Kritik an der Transparenz der Behörden

Bürgerrechtsorganisationen und einige Oppositionspolitiker kritisieren die Informationspolitik der Sicherheitsbehörden im Zusammenhang mit den jüngsten Vorfällen. Sie werfen dem BSI vor, Informationen über Sicherheitslücken zu lange zurückzuhalten, anstatt die Öffentlichkeit umgehend zu warnen. Diese Kritik stützt sich auf die Sorge, dass staatliche Stellen Schwachstellen für eigene Nachrichtenzwecke nutzen könnten, anstatt deren Schließung zu forcieren.

Ein Sprecher des Chaos Computer Clubs (CCC) forderte in einem Interview eine radikale Kehrtwende hin zu mehr Transparenz und der Förderung von Open-Source-Software in kritischen Bereichen. Nur durch die Offenlegung von Quellcodes könne sichergestellt werden, dass keine versteckten Hintertüren in der Infrastruktur existieren. Die Debatte über die Sicherheit von proprietärer Software gegenüber quelloffenen Lösungen wird durch die aktuellen Ereignisse erneut befeuert.

Befürworter einer restriktiveren Informationspolitik argumentieren hingegen, dass eine zu frühe Veröffentlichung von Details die laufenden Ermittlungen gefährden könnte. Zudem könnten Angreifer aus den Warnmeldungen lernen und ihre Methoden schneller anpassen, als die Verteidigung reagieren kann. Das Spannungsfeld zwischen dem Schutz laufender Operationen und dem Informationsbedürfnis der Allgemeinheit bleibt ein zentraler Punkt der sicherheitspolitischen Diskussion in Berlin.

Langfristige Strategien zur Resilienz

Um die Widerstandsfähigkeit der Gesellschaft zu erhöhen, setzen Experten auf eine Kombination aus technischer Aufrüstung und menschlicher Sensibilisierung. Schulungsprogramme für Mitarbeiter in sensiblen Positionen gelten als wichtiger Baustein, da der Faktor Mensch oft das schwächste Glied in der Sicherheitskette bleibt. Simulationen von Cyberangriffen, sogenannte Red-Teaming-Übungen, werden immer häufiger auch in zivilen Unternehmen durchgeführt, um die Reaktionsfähigkeit der IT-Abteilungen unter Stress zu testen.

Die Forschung an quantensicheren Verschlüsselungsverfahren stellt einen weiteren Schwerpunkt der zukünftigen Sicherheitsarchitektur dar. Da herkömmliche kryptografische Methoden durch die Entwicklung von Quantencomputern bedroht sind, investiert das Bundesministerium für Bildung und Forschung massiv in Projekte zur Post-Quanten-Kryptografie. Das Ziel ist es, die Kommunikation kritischer Infrastrukturen langfristig vor Entschlüsselung durch hochleistungsfähige Rechensysteme zu schützen.

Internationale Abkommen zur Cyber-Rüstungskontrolle werden in diplomatischen Kreisen als langfristige Lösung diskutiert, gelten jedoch aufgrund der aktuellen weltpolitischen Spannungen als schwer umsetzbar. Ähnlich wie bei konventionellen Waffen müssten hierfür klare Regeln für den Einsatz digitaler Kampfmittel definiert und Mechanismen zur Verifizierung geschaffen werden. Bisher fehlen jedoch verbindliche Standards, die über unverbindliche Empfehlungen der Vereinten Nationen hinausgehen.

Im kommenden Monat wird der Innenausschuss des Bundestages eine Expertenanhörung zu den Konsequenzen der Operation durchführen. Die Abgeordneten erwarten detaillierte Berichte über den aktuellen Stand der Bereinigungsarbeiten und die Wirksamkeit der bisher getroffenen Schutzmaßnahmen. Parallel dazu bereitet die ENISA einen umfassenden Lagebericht vor, der als Grundlage für künftige regulatorische Anpassungen auf europäischer Ebene dienen soll. Die weitere Entwicklung der Bedrohungslage wird maßgeblich davon abhängen, wie schnell die angekündigten gesetzlichen Änderungen in die Praxis umgesetzt werden können. Auch die Frage nach einer möglichen Vergeltung im digitalen Raum durch betroffene Staaten bleibt ein Thema, das in Fachkreisen intensiv und kontrovers diskutiert wird.

HH

Hannah Hartmann

Mit faktenbasierter Arbeitsweise liefert Hannah Hartmann Beiträge, die Leserinnen und Lesern Orientierung im Nachrichtengeschehen geben.

Ähnliche Artikel

Warum politische Brandmauern in Deutschland ins Wanken geraten und was jetzt passieren muss

Warum politische Brandmauern in Deutschland ins Wanken geraten und was jetzt passieren muss
Hansestadt Verabschiedet Integriertes Stadtentwicklungskonzept Zur Bewältigung Des Demografischen Wandels

Hansestadt Verabschiedet Integriertes Stadtentwicklungskonzept Zur Bewältigung Des Demografischen Wandels
Roland Koch Diskutiert Wirtschaftliche Folgen Der Aktuellen Haushaltskrise Auf Einem Wirtschaftskongress In Frankfurt

Roland Koch Diskutiert Wirtschaftliche Folgen Der Aktuellen Haushaltskrise Auf Einem Wirtschaftskongress In Frankfurt
Das Echo aus dem Kanzleramt und die Vermessung der neuen Berliner Republik

Das Echo aus dem Kanzleramt und die Vermessung der neuen Berliner Republik