Summary
Hybride Bedrohungen bezeichnen die intentional koordinierte Verknüpfung physischer, digital-technischer, ökonomischer und kognitiver Mittel, um politische, wirtschaftliche oder militärische Zielzustände herbeizuführen, ohne die Schwelle des konventionellen Krieges zwingend zu überschreiten. Für Unternehmen in Europa – und insbesondere für den deutschen Mittelstand mit seiner hohen globalen Verflechtung – verschiebt sich damit das Risikoprofil grundlegend: Hybride Angriffe zielen nicht mehr allein auf Systeme und Daten, sondern auf Funktionen, Abhängigkeiten, Entscheidungsfähigkeit und Marktvertrauen. Die Reaktionslogik muss folglich von der reinen Technikzurüstung zu einer belastbaren System-Resilienz reifen, die Governance, Lieferketten, Integrität der Wertschöpfung und kommunikative Deutungshoheit ebenso umfasst wie klassische Schutzmaßnahmen der IT- und OT-Sicherheit.
Jüngst warnte das BSI erneut vor russischen Kampagnen, die durch Cyber-Attacken, Sabotage und Desinformationskampagnen destabilisieren und indirekten, oder sogar direkten Schaden anrichten wollen. Das Bundesamt für Verfassungsschutz, BfV, wird sich deshalb intern neu organisieren, um sich stärker in der Abwehr aufzustellen. Doch nicht nur durch Russland ist die deutsche Wirtschaft, noch vor anderen europäischen Ländern, direkt und indirekt bedroht. Der deutsche Mittelstand ist insgesamt nicht ausreichend auf Cyber-Attacken auf diesem Niveau vorbereitet, die nationalen und internationalen Lieferketten sind vulnerabel und nicht nur für organisierte Cyber-Kriminelle ein leichtes Ziel, sondern insbesondere auch für staatliche Akteure die über die letzten 20 Jahre weltweit Erfahrung sammeln konnten.
Begriff, Abgrenzung, Dringlichkeit
Der Begriff der hybriden Bedrohung ist kein Synonym für Cyberangriffe, sondern beschreibt eine Operationsweise, die digitale Mittel als einen von mehreren Wirkungsträgern integriert. Charakteristisch ist die Kopplung von Vorgehensweisen, die im Zusammenspiel eine Wirkung entfalten, die über die Summe einzelner Komponenten hinausgeht. Im Jahr 2025 ist diese Logik deshalb so drängend, weil die geopolitische Lage, der Digitalisierungsgrad von Geschäftsprozessen und die Interdependenzen in europäischen Lieferketten eine Angriffsfläche erzeugen, die sowohl skalierbar als auch schwer zuzuordnen ist. Unternehmen stehen nicht mehr am Rand internationaler Auseinandersetzungen, sondern befinden sich als Zulieferer, Betreiber, Datenhalter und Innovationsknoten inmitten eines konfliktgeprägten Umfelds, in dem ökonomischer Druck, technische Disruption und kommunikative Einflussnahme ineinandergreifen.
Charakteristika und neue Dimensionen hybrider Kriegsführung
Hybride Kampagnen sind mehrphasig, domänenübergreifend und attributiv ambivalent. Der digitale Raum ist dabei nicht isoliertes Schlachtfeld, sondern die fünfte Domäne, die physische, maritime, terrestrische und orbitale Vektoren mit hoher Geschwindigkeit verbindet. Eine zentrale Entwicklung ist die Nutzung krimineller Ökosysteme als Stellvertreter durch staatliche Akteure. Ransomware-as-a-Service, Initial-Access-Broker und bulletproof-Hosting etc. pp. schaffen Deckschichten, die Attribution verwässern und politische bzw. direkte taktische Reaktionen erschweren. Zugleich professionalisieren sich die Tactics, Techniques and Procedures (TTP), weil kriminelle Gruppen von staatlicher Auftraggeberlogik lernen und umgekehrt staatliche Akteure auf die Effizienz skalierter Crimeware zurückgreifen. Kurz gesagt: Staatliche Akteure machen sich Cyber-Kriminelle zu nutzen, zeitgleich lernen Cyber-Kriminelle von Nachrichtendiensten und kommen teilweise in Besitz derer Werkzeuge.
Bemerkenswert ist die bewusste Verschränkung von physischer und digitaler Wirkung. Vorpositionierungen in IT- und OT-Netzen dienen als Sprungbrett für zeitlich koordinierte Störungen an Rechenzentrumsperipherie, Energieversorgung, Kühlung oder Konnektivität. Die physische Komponente erschwert Wiederanläufe, während digitale Manipulationen Sicherheitsinterlocks, Messwerte und Steuerlogik unterminieren. Diese Konvergenz der Offensivmaßnahmen macht klassische Wiederherstellungspläne, die mit rein technischer Redundanz kalkulieren, unzureichend.
Eine zweite Dimension betrifft ökonomische Wirkung. Angriffe sind häufig darauf ausgelegt, Liquidität, Preissetzung, Lieferfähigkeit und Bonität gezielt zu beeinträchtigen, ohne notwendigerweise maximale Verfügbarkeitsschäden zu erzeugen. Manipulationen an Stammdaten, Zahlungsströmen, Dispositions- und Pricing-Engines entfalten ihre Wirkung oft zeitversetzt und werden durch parallel orchestrierte Informationsoperationen verstärkt. In dieser kognitiven Dimension zielen Desinformation, Deepfakes und orchestrierte Gerüchte auf Deutungshoheit, Entscheidungsdisziplin und die Vertrauensbasis zwischen Unternehmen, Kunden, Aufsicht und Öffentlichkeit. Somit münden gut und lange vorbereitete Angriffe auf kritische, vielleicht unscheinbare Elemente im ökonomischen System in schwer kalkulierbare Kaskadeneffekte.
Die internationale Parallelität ist eine dritte Signatur. Toolchains werden variiert, Kampagnen über Zeitzonen orchestriert, Industriesektoren simultan adressiert. Aus Unternehmenssicht entstehen so Serien scheinbar getrennter Vorfälle, die sich ohne Threat-Intelligence-Kontext kaum als zusammenhängend erkennen lassen. Wer ausschließlich auf Indikatoren kompromittierter Artefakte reagiert, verliert Muster und Vorphasen aus dem Blick und damit die Möglichkeit, Operationen in frühen Stadien zu stören. Die Chain of Attack läuft, ohne detektiert werden zu können.
Geopolitischer Hintergrund 2025
Die geopolitische Lage ist von regionalen Konflikten, neuen Koalitionsbildungen und einer Re-Nationalisierung kritischer Infrastrukturen geprägt, dafür reicht ein Blick in die täglichen Nachrichten. Parallel entwickelt sich ein alternatives Finanz-, Kommunikations- und Logistikökosystem, das Strafverfolgung und Sanktionen umgeht und damit Rückzugsräume für kriminelle und staatlich orchestrierte Operationen schafft, so z.B. die BRICS-Staaten. Nordkorea agiert als relevanter Cyberakteur mit Schwerpunkt auf Devisen- und Infrastrukturbeschaffung, während aus dem Umfeld russischer Interessenlagen DDoS- und Desinformationskampagnen mit opportunistischer Sabotage verknüpft werden. Die BRICS-Dynamik begünstigt die Fragmentierung technischer Standards und Vertrauensanker und schafft damit Ambiguitätsräume bei Zertifikaten, Identitäten und Lieferantennachweisen. In Europa reagiert die Politik mit Strategien gegen hybride Bedrohungen, maritimen Schutzinitiativen und einer engeren Verzahnung von Sicherheits-, Wirtschafts- und Industriepolitik.
Perspektiven von Staat, EU und NATO
In Deutschland definieren BMI, BSI und BMWK hybride Bedrohungen aus politischer, technischer und wirtschaftlicher Perspektive. Diese Triangulation ist sinnvoll, weil sie Governance-, Abwehr- und Resilienzlogik verzahnt. Auf EU-Ebene verbinden sich Strategien gegen Hybrid Threats mit der regulatorischen Architektur aus NIS-2, Cyber Resilience Act und sektorspezifischen Regelungen. Die NATO führt hybride Kriegführung explizit in ihrer Doktrin und konzentriert sich neben cyber-operativen Aspekten auf maritimen Schutz, insbesondere von Unterseekabeln und Energieinfrastruktur. Für Unternehmen folgt daraus, dass Sicherheitsanforderungen, Meldepflichten und Nachweislogiken zunehmend kohärent, aber auch anspruchsvoller werden. Gefordert ist der belegbare Nachweis von Resilienz, nicht bloß die Existenz technischer Kontrollen.
Lieferketten als systemischer Verwundbarkeitstreiber
Lieferketten sind das bevorzugte Angriffsfeld hybrider Operationen, weil sie Privilegien, Vertrauen und implizite Abhängigkeiten bündeln. Besonders betroffen ist der deutsche Mittelstand. Viele Unternehmen sind als „Hidden Champions“ in Nischen weltweit führend. Sie halten Zeichnungen, Prozesswissen und Steuerungskomponenten, die in Energiesysteme, Medizintechnik, Automotive, Chemie oder Telekommunikation hineinwirken. Nicht selten sind es kleine Softwareanbieter oder Dienstleister, die über Fernwartungszugänge, Schlüsselmaterial oder Build-Pipelines operieren und damit faktisch Systemfunktionen tragen.
Für diese Kategorie hat sich der Begriff des „Schattenlieferanten“ bewährt. Schattenlieferanten sind nicht formell als „Kritische Infrastruktur“ klassifiziert, erbringen aber de-facto systemrelevante Leistungen. Ihr Risiko entsteht aus einer doppelten Asymmetrie: Sie sind weniger reguliert und geprüft als formelle KRITIS-Betreiber, verfügen aber über erhebliche Zugriffsprivilegien, etwa auf OT-Gateways, Signaturdienste oder sensible Datenräume. Für Angreifer sind sie Hebelpunkte, weil ein kompromittierter Schattenlieferant entweder unmittelbare Wirkung im Zielsystem entfaltet oder als Sprungbrett in höherwertige Netze dient. Die klassische Third-Party-Bewertung, die sich auf Fragebögen, Zertifikate und Periodizität stützt, bleibt hier blass. Gefragt ist eine topologische, graph-basierte Sicht auf Abhängigkeiten, Zentralität und Single-Points-of-Failure sowie eine vertragliche Herunterbrechung regulatorischer Pflichten in die Kette hinein.
Szenarien und Fallmechanik
Hybride Szenarien folgen keinem linearen Drehbuch, sondern variieren bekannte Bausteine. In Europa zeigen sich wiederkehrende Muster: Sabotage an maritimer oder Land-Infrastruktur wird zeitlich mit cyber-operativen Störungen synchronisiert, um Wiederherstellung zu verlangsamen und Kosten zu erhöhen. Wahl- und Krisenjahre erzeugen günstige Resonanzräume für Desinformation, die technische Vorfälle kommunikativ überhöhen und Behörden binden. Lieferkettenangriffe beginnen häufig mit dem Ausnutzen einer zentralen Softwarekomponente, eines cloud-basierten Management-Dienstes oder der Kompromittierung von Build-Prozessen. In der finalen Phase stehen nicht selten Integritätsangriffe, die Backups, Messwerte oder Logikbausteine unbemerkt verfälschen, um die Sanierungsfähigkeit zu unterminieren. Unternehmen, die ausschließlich auf Verfügbarkeit fokussierte Notfallpläne bereithalten, laufen Gefahr, funktionsfähig, aber epistemisch blind wieder anzufahren, weil Daten- und Modellintegrität nicht hinreichend geprüft wurde.
Auswirkungen auf Unternehmen: Von Systemschutz zu Funktionsschutz
Die betriebswirtschaftliche Wirkung hybrider Angriffe materialisiert sich an vier Stellen:
Erstens wird die Produktions- und Dienstleistungskontinuität als Kernfunktion angegriffen; entscheidend ist, in welchem Zeit- und Qualitätsprofil die Leistung unter Degradation aufrechterhalten werden kann.
Zweitens wird die Integrität jener Daten und Modelle adressiert, die Dispositions-, Preis- und Abrechnungslogik tragen; kleine Manipulationen entfalten kumulativ große ökonomische Effekte.
Drittens wird Liquidität, Bonität und Kapitalmarktwahrnehmung beeinflusst; die ökonomische Schadenshöhe speist sich hierbei aus Verzögerungen, Vertragsstrafen, Covenants und Reputationsverlusten.
Viertens wird die kommunikative Deutungshoheit unterminiert; Unternehmen verlieren Zeit und Glaubwürdigkeit, wenn sie ohne gesicherte Faktenlage handeln oder zu spät konsistente Informationen bereitstellen. Governance-seitig steigt das Haftungsrisiko, weil Aufsicht und Geschäftsleitung nachweisbar angemessene Organisation, wirksame Kontrollen und belastbare Nachweise schulden.
Resilienz als strategisches Leitprinzip
Resilienz ist mehr als die Summe technischer Kontrollen; sie ist die Fähigkeit, Funktionen unter Degradation aufrechtzuerhalten, Integrität nachzuweisen, Lagebilder zu verdichten und Entscheidungen trotz Ambiguität zu treffen. In der EU ist dies regulatorisch verankert. NIS-2 verlangt von wesentlichen und wichtigen Einrichtungen – zu denen zahlreiche Mittelständler nun zählen – ein Risikomanagement, das Prävention, Detektion, Reaktion und Wiederherstellung kohärent adressiert und nachweispflichtig dokumentiert. DORA erweitert im Finanzsektor den Blick auf digitale operationelle Resilienz, einschließlich Threat-led Penetration Testing und Drittparteiensteuerung. Das KRITIS-Dachgesetz setzt beim Schutz interdependenter Infrastrukturen an und wird die Verzahnung von Betreiber- und Lieferkettenpflichten vertiefen.
Für die Unternehmenspraxis folgt daraus ein Satz von Architektur- und Führungsprinzipien, die nicht als Checkliste, sondern als konsistentes Design zu verstehen sind. Zero-Trust-Architekturen beenden implizite Vertrauensannahmen und verlagern Schutzentscheidungen an die Grenze einzelner Identitäten, Geräte und Workloads. Privilegierte Zugriffe werden als Hochrisikoprozesse geführt, zeitlich begrenzt, aufgezeichnet und in separaten Vertrauensdomänen vollzogen. Daten- und Modellintegrität erhalten den gleichen Rang wie Verfügbarkeit: Unveränderliche Backups, reproduzierbare Builds, signierte Artefakte und Golden-Image-Verfahren werden verbindlich, ebenso wie Integritäts-Wiederanlauftests, die Hash-Vergleiche, Telemetrie-Plausibilisierung und Out-of-Band-Verifikation enthalten. IT und OT werden nicht nivelliert, sondern in ihrer Unterschiedlichkeit gestaltet; Segmentierung reicht bis in Zellen und Linien, Engineering-Workstations und OT-Gateways werden als Kronjuwelen behandelt, und Wiederanläufe sind ausdrücklich für Degradationszustände ausgelegt, einschließlich analoger Entscheidungs- und Kommunikationspfade.
Das Vorfallmanagement integriert juristische, kommunikative und fachliche Dimensionen bereits in der Vorbereitungsphase. Melde- und Offenlegungspflichten werden entlang von Attribution, Datenkategorien und Drittlandbezug vorstrukturiert. Kommunikations- und Investor-Relation-Prozesse arbeiten mit vorgeprüften Narrativen, die im Ereignisfall auf belastbaren Artefakten beruhen. Threat-Intelligence verlässt die ausschließliche IOC-Jagd und wechselt zu TTP-basierter Früherkennung, die Kampagnenlogik, Branchenmuster und Zeitsignaturen ernst nimmt. Entscheidend ist, dass diese Bausteine nicht punktuell, sondern als kohärente Resilienzarchitektur wirken und in Kennzahlen überführt werden, die Führung adressieren kann.
Lieferkettensteuerung und „Schattenlieferanten“
Eine resiliente Lieferkette beginnt mit Sichtbarkeit. Unternehmen benötigen ein Abhängigkeitsbild, das nicht nur Vertragspartner, sondern späterale Beziehungen, Transitprivilegien, Remote-Zugänge und Build-Pipelines abbildet. Graph-basierte Analysen helfen, Zentralität, Brückenrollen und Single-Points-of-Failure zu erkennen. In einem zweiten Schritt werden regulatorische Pflichten – namentlich jene aus NIS-2 und sektorspezifischen Regelwerken – vertraglich und technisch in die Kette hinein operationalisiert. Das umfasst Mindestkontrollen, Audit- und Testrechte, Nachweisformate bis hin zu Threat-led-Tests entlang kritischer Use-Cases. Für Schattenlieferanten gelten erhöhte Maßstäbe, weil ihre Wirkung nicht aus Umsatz, sondern aus Privilegien resultiert. Wo Single-Vendor-Abhängigkeiten unvermeidlich sind, werden Substitutions- und Interimsbetriebspläne geschaffen, die den Weiterbetrieb unter abgesenkter Funktionalität und streng gefassten Zugriffsrechten erlauben.
Wesentlich ist die Steuerung privilegierter Fernzugriffe. Just-in-Time-Freigaben, Session-Recording, Sprungserver in separaten Zonen und kryptographisch gebundene Identitäten reduzieren das Risiko lateral beweglicher Angreifer. Zugleich sind Lieferanten verpflichtet, Software- und Hardware-Stücklisten bereitzustellen und relevante Schwachstellen transparent zu machen; VEX-Formate und signierte Advisories schaffen die Grundlage, Integritäts- und Patchentscheidungen risikogerecht und nachvollziehbar zu treffen.
Methodische Verankerung: Von Risiko zu Resilienz
Die analytische Tiefe steigt, wenn Unternehmen Risiko nicht qualitativ beschreiben, sondern ökonomisch bewerten. OpenFAIR bietet einen geeigneten Rahmen, um Verlustereignisse, Häufigkeiten und Auswirkungsbandbreiten zu modellieren und Investitionen in Resilienz nach Grenznutzen zu priorisieren. In Verbindung mit MITRE ATT&CK lassen sich aus TTP-Profilen konkrete Erkennungshypothesen ableiten, die in Detection-Engineering und Übungen überführt werden. Supply-Chain-Risiken werden nicht über Fragebögen, sondern über Evidenz bewertet: Telemetrie, Integritätsbelege, funktionsbezogene Probetests und dokumentierte Wiederanläufe. Erfolgsrelevant sind schließlich Metriken, die Führung versteht und verantwortet.
- Time-to-Isolation beschreibt die Fähigkeit, kompromittierte Domänen schnell zu entkoppeln;
- Time-to-Function misst, wann priorisierte Kernfunktionen unter Degradation wieder bereitstehen;
- Time-to-Veracity quantifiziert, wie schnell eine belastbare Faktenlage vorliegt, die juristisch, technisch und kommunikativ getragen werden kann.
Diese Metriken schaffen Verbindlichkeit und erlauben es, Resilienz als Führungsaufgabe zu steuern.
Implementierungspfad und Organisationswirkung
Der Weg zur hybriden Resilienz beginnt mit einer Bestandsaufnahme, die Funktionen, Abhängigkeiten und Integritätsbedarfe in den Mittelpunkt stellt. Darauf folgt ein architektonischer Entwurf, der Identitäts-, Netzwerk-, Daten- und OT-Domänen klar trennt und Vertrauen nicht voraussetzt, sondern verifiziert. Parallel werden Lieferketten topologisch modelliert und Schattenlieferanten identifiziert, regulatorische Pflichten werden verbindlich operationalisiert. Übungsprogramme, die IT-, OT-, Finance- und Kommunikations-Domänen gemeinsam adressieren, erzeugen Routine im Umgang mit physisch-digitalen Doppelereignissen und Informationskrisen. Entscheidend ist die Governance-Verankerung: Resilienz gehört in Vorstands- und Aufsichtsgremien, weil es um Fortbestand, Haftung und Marktvertrauen geht. Die Kulturfrage ist nicht nachrangig, sondern zentral. Resiliente Organisationen pflegen eine Fehler- und Evidenzkultur, die Ambiguität aushält, Hypothesen prüft und Entscheidungen dokumentiert, ohne in Untätigkeit zu verfallen.
Fazit und Ausblick
Hybride Bedrohungen sind 2025 das dominierende Sicherheitsparadigma für Staat, Wirtschaft und Gesellschaft. Sie verschieben die Perspektive von punktueller Technikverteidigung zu einem Systemdenken, das Funktionen schützt, Integrität beweist und Entscheidungsfähigkeit sichert. Unternehmen, die diesen Schritt vollziehen, stärken nicht nur ihre Sicherheitslage, sondern schaffen einen belastbaren Wettbewerbsvorteil. Resilienz ist in diesem Verständnis kein Compliance-Artefakt, sondern eine strategische Fähigkeit. Die Zahl der erfolgreichen, desaströsen und vernichtenden Angriffe wird zwangweise steigen. Unternehmen, die auf Szenarien dieser Art vorbereitet sind, überstehen diese, anstatt nur zu überleben.
INVASE unterstützt Organisationen dabei, diese Fähigkeit aufzubauen: Durch methodisch saubere Risikoökonomie, architektonische Gestaltung von Zero-Trust- und Integritäts-Domänen, evidenzbasierte Lieferkettensteuerung und ein Vorfallmanagement, das Technik, Recht und Kommunikation kohärent verbindet. Wer die hybride Logik ernst nimmt, denkt Sicherheit als unternehmerische Kernkompetenz – und handelt entsprechend.
Sie wünschen nähere Informationen oder benötigen eine unverbindliche Beratung?
Sprechen Sie uns gerne an.
