Der stille Stützpunkt: Vorpositionierung, kritische Infrastrukturen und die neue Geometrie des Cyber-Konflikts

I. Von der Spionage zur Vorpositionierung

Am 7. Februar 2024 veröffentlichte die amerikanische Cybersicherheitsbehörde CISA gemeinsam mit der NSA, dem FBI und einer Koalition alliierter Behörden die Mitteilung AA24-038A.^[1] Ihre Einschätzung war von ungewöhnlicher Klarheit. Der staatliche chinesische Akteur, der unter dem Namen Volt Typhoon verfolgt wird, hatte die IT-Umgebungen mehrerer Organisationen kritischer Infrastrukturen kompromittiert — „vor allem in den Sektoren Kommunikation, Energie, Verkehr, Wasser und Abwasser" — und die unterzeichnenden Behörden waren „mit hohem Grad an Sicherheit" der Ansicht, dass diese Einbrüche darauf abzielten, eine laterale Bewegung in Richtung industrieller Steuerungssysteme zu ermöglichen, um deren Betrieb zu stören.^[1]

Die Mitteilung zog eine Unterscheidung, die es wert ist, zitiert zu werden: Die Zielauswahl und die Vorgehensweise von Volt Typhoon „stimmen nicht mit traditionellen Spionage- oder Aufklärungsoperationen überein".^[1] Der Akteur las das Netz nicht; er lernte, es zu zerstören. CISA berichtete außerdem von Hinweisen auf einen aufrechterhaltenen Zugang in bestimmten Umgebungen „seit mindestens fünf Jahren".^[1]

Zwei Merkmale machen aus dieser Kampagne einen Wandel der Natur und nicht lediglich einen weiteren Intensitätsgrad. Das erste ist die Geduld. Fünf Jahre Präsenz innerhalb eines Strom- oder Wasserversorgers gehören keiner gewöhnlichen Aufklärung an; es ist der Aufbau einer Option, einer bewusst geschmiedeten und bewahrten Kapazität für eine künftige Kontingenz. Das zweite ist die Methode. Die Signatur von Volt Typhoon ist der Rückgriff auf sogenannte „Living-off-the-Land"-Techniken: Anstatt eine maßgeschneiderte Schadsoftware einzusetzen, die ein Verteidiger abfangen könnte, operiert der Akteur mithilfe der bereits im Netz vorhandenen legitimen Administrationswerkzeuge und fügt sich in die Routineaktivitäten ein.^[1]

Die Maßeinheit hat sich verändert. Es geht nicht mehr um das entwendete Dokument, sondern um die vorplatzierte Kapazität — einen stillen Stützpunkt, der keinen Wert erzeugt, bis jemand entscheidet, ihn zu nutzen.

II. Das Telekommunikationsnetz als Ziel an sich

Während Volt Typhoon das Ausmaß der Ambitionen gegen Energie und Wasser enthüllte, zeigte die unter dem Namen Salt Typhoon verfolgte Kampagne, wie weit diese Ambitionen die Kommunikationsschicht durchdrungen hatten. Ausgehend von Meldungen, die im Jahr 2024 auftauchten, legten US-Behörden offen, dass ein Peking nahestehender Akteur in die Netze führender amerikanischer Telekommunikationsunternehmen eingedrungen war.^[2]^[3] Ende 2024 bestätigte das Weiße Haus, dass mindestens acht US-Telekommunikationsunternehmen betroffen seien und die Operation „mehrere Dutzend" Länder erfasst habe.^[3]

Das Detail, das dieser Kampagne ihr strategisches Gewicht verleiht, liegt darin, was die Eindringlinge erreicht haben. Laut US-Behörden hat Salt Typhoon Zugang zu den Systemen erlangt, über die Betreiber gesetzliche Überwachungsanordnungen im Rahmen des CALEA-Gesetzes erfüllen — also zum eigentlichen Apparat der juristischen Abhörvorgänge.^[2]^[4] Die stellvertretende nationale Sicherheitsberaterin Anne Neuberger gab an, dass Standort- und Anruf-Metadaten einer „großen Anzahl" von Personen eingesehen worden seien und dass die Kommunikation einer kleineren Gruppe — darunter Personen mit Bezug zur US-Präsidentschaftswahl 2024 — direkt erfasst worden sei.^[3]^[4] Als Reaktion darauf veröffentlichten CISA und ihre amerikanischen, australischen, kanadischen und neuseeländischen Partner im Dezember 2024 Empfehlungen zur Härtung von Kommunikationsinfrastrukturen.^[2]

Die Zahlen zum Gesamtausmaß der Kampagne sind weiter gestiegen und müssen mit der Vorsicht gehandhabt werden, die ein noch im Wandel befindliches Schadenslagebild gebietet: Im August 2025 beschrieben das FBI und seine Partner Salt Typhoon als eine Operation, die Einrichtungen in rund 80 Ländern kompromittiert hatte.^[4] Wie auch immer die endgültige Zahl ausfallen mag, die Lektion ist struktureller Natur. Das Telekommunikationsnetz ist nicht länger nur der Kanal, über den andere Ziele erreicht werden. Es ist das Ziel selbst — denn wer es beherrscht, beherrscht die gesetzlichen Überwachungssysteme, die Metadaten einer Gesellschaft und einen Schalter, den man in der Stunde der Krise umlegen kann.

METHODENKASTEN: Attributionen lesen.

Diese Analyse bevorzugt primäre behördliche Mitteilungen (CISA, NSA, FBI, ANSSI) sowie Aussagen namentlich genannter Amtsträger gegenüber sekundären Pressezusammenfassungen. Cyber-Attribution ist ein probabilistisches Urteil, keine forensische Gewissheit; wenn Behörden ein Konfidenzniveau angeben, geben wir es wieder, und wenn Zahlen im Zuge sukzessiver Offenlegungen noch revidiert werden — wie die Anzahl der von Salt Typhoon betroffenen Länder — weisen wir die Angabe als vorläufig aus. Der Leser möge „kompromittiert" und „vorpositioniert" als Einschätzungen der unterzeichnenden Behörden verstehen, gestützt auf klassifizierte Erkenntnisse, die wir nicht überprüfen können.

III. Die Tiefsee und die physische Schicht

Der Cyber-Konflikt endet nicht an der logischen Schicht. Die Ostsee ist zum Schauplatz geworden, an dem digitale Abhängigkeit auf physische Sabotage trifft. Am 25. Dezember 2024 wurden das Stromkabel Estlink 2, das Finnland mit Estland verbindet, sowie mehrere Telekommunikationskabel durchtrennt; finnische Ermittler kamen zu dem Schluss, dass der Tanker Eagle S seinen Anker über Dutzende von Kilometern Meeresgrund geschleift hatte, und ein bewaffnetes finnisches Team enterte das Schiff.^[5]^[6] Das Schiff wurde mit der „Schattenflotte" in Verbindung gebracht, die russisches Öl unter Umgehung westlicher Sanktionen transportiert.^[5]

Der Vorfall fügt sich in ein breiteres Muster von Kabelschäden ein, das europäische Regierungen dazu veranlasst hat, Unterwasserinfrastrukturen als umstrittenen Bereich zu behandeln. Am 14. Januar 2025 startete die NATO die Aktivität „Baltic Sentry" und entsandte Fregatten, Seefernaufklärer und Marinedrohnen, um den Schutz kritischer Unterwasserinfrastrukturen zu verstärken.^[7] Ob jede einzelne Kabelunterbrechung auf vorsätzliche Sabotage oder auf maritimes Versagen zurückzuführen ist, bleibt in mehreren Fällen tatsächlich umstritten — ein finnisches Gericht entschied später, dass es die Offiziere der Eagle S nicht für Taten verfolgen könne, die außerhalb der Hoheitsgewässer begangen wurden.^[6] Doch die strategische Wirkung hängt nicht von der Klärung jedes Einzelfalls ab. Die Ambiguität selbst ist die Waffe: Eine Kampagne, die sich nie sauber attribuieren lässt, erzeugt Kosten, Unruhe und die Last einer dauerhaften Patrouillentätigkeit — während sie die Möglichkeit der Leugnung wahrt.

Das Genie der Operationen im Graubereich liegt darin, dass sie nicht bewiesen werden müssen, um zu gelingen. Der Zweifel, über ein ganzes Bündnis verteilt, ist das gelieferte Produkt.

IV. Kriminelle Kapazität, staatliche Wirkung

Die klare Trennlinie zwischen staatlicher Vorpositionierung und krimineller Erpressung hält nicht mehr stand. Der Colonial-Pipeline-Vorfall vom Mai 2021 — ein Ransomware-Angriff, den das FBI der kriminellen Gruppe DarkSide zuschrieb und der den Betreiber dazu zwang, die Kraftstoffversorgung für sechs Tage über weite Teile der amerikanischen Ostküste einzustellen — hat gezeigt, dass ein finanziell motivierter Einbruch eine nationale Sicherheitswirkung erzeugen kann, die von einer Sabotage nicht zu unterscheiden ist.^[8] Im November 2023 kompromittierte die mit dem Iran verbundene Gruppe CyberAv3ngers eine über das Internet erreichbare Unitronics-Speicherprogrammierbare Steuerung bei der Municipal Water Authority von Aliquippa (Pennsylvania); CISA dokumentierte anschließend die Ausnutzung derselben Geräte in mehreren Bundesstaaten.^[9] Die Wasserversorgung war nie bedroht, doch es war der Demonstrationswert, der zählte.

Die französische Behörde hat diese Konvergenz unmissverständlich benannt. In ihrem Panorama de la cybermenace 2025 stellt die ANSSI fest, dass Techniken, die früher staatlichen Gruppen vorbehalten waren — Ausnutzung von Zero-Day-Schwachstellen, Missbrauch legitimer Dienste, dauerhafte Vorpositionierung — inzwischen im kriminellen Ökosystem auftauchen, und dass Akteure, die traditionell mit Spionage verbunden wurden, darunter China und Nordkorea, im Jahr 2025 beim Einsatz von Ransomware zu Erzielungszwecken beobachtet worden seien.^[10] Die ANSSI stellt ferner fest, dass das Targeting kritischer Infrastrukturen in den Sektoren Telekommunikation und Energie — einschließlich Sabotageversuchs — bei diesen Akteuren weiterhin sehr beliebt sei, und beschreibt ein alarmierendes Ende des Jahres 2025, geprägt von koordinierten, destruktiv ausgerichteten Angriffen auf polnische Strominfrastrukturen.^[10] Das Institut liest diese Konvergenz als den gefährlichsten Trend der Periode: Sie bringt die analytischen Kategorien zum Einsturz, von denen Abschreckung abhängt. Wenn ein Staat einen kriminellen Proxy beauftragen kann und ein Krimineller eine Kapazität auf staatlichem Niveau einsetzen kann, wird die Frage „Wer hat das getan, und war es ein Kriegsakt?" in den entscheidenden Stunden strukturell unbeantwortbar.

V. Die kognitive Front

Die zweite Front ist informationeller Natur. Der Europäische Auswärtige Dienst (EAD) hat in seinen aufeinanderfolgenden Berichten über ausländische Informationsmanipulation und Einmischung (FIMI) eine industrialisierte Infrastruktur der Manipulation dokumentiert. Seine Arbeit hat Hunderte von FIMI-Vorfällen und Zehntausende von Kanälen analysiert, den Großteil der Aktivitäten Russland und zunehmend China zugeschrieben und persistente verdeckte Netzwerke wie Doppelgänger kartiert — ein Netzwerk, das das Erscheinungsbild legitimer europäischer Medien reproduziert, um feindselige Inhalte zu legitimieren.^[11]^[12] Der EAD stellt fest, dass die FIMI-Vorfälle des Jahres 2024 rund 90 Länder erfassten und Hunderte von Organisationen zum Ziel hatten.^[11]

Die Verbindung zu den Infrastrukturen ist keineswegs beiläufig. Das Vertrauen einer Gesellschaft in die Sicherheit ihres Stromnetzes, in die Trinkbarkeit ihres Wassers, in die Tatsache, dass ein Ausfall ein Unfall und kein Angriff ist — das selbst ist ein Ziel. Vorpositionierung in physischen Systemen und Manipulation des Informationsumfelds sind die zwei Hälften derselben Strategie: Die erste schafft die Kapazität, Störungen zuzufügen, die zweite gestaltet, wie eine Bevölkerung diese interpretieren wird, wenn sie eintritt — oder wie sehr sie sie fürchten wird.

VI. Die europäischen und schweizerischen Rahmenbedingungen

Die regulatorische Antwort war substanziell, aber uneinheitlich. Die NIS2-Richtlinie der Europäischen Union, die seit Januar 2023 in Kraft ist, hat verbindliche Cybersicherheitspflichten auf achtzehn kritische Sektoren ausgeweitet und eine Umsetzungsfrist bis zum 17. Oktober 2024 festgelegt.^[13] Die Umsetzung blieb hinter dem Anspruch zurück: Nur eine Handvoll Mitgliedstaaten hat die Frist eingehalten, und Ende November 2024 leitete die Europäische Kommission Vertragsverletzungsverfahren gegen dreiundzwanzig von ihnen ein.^[13] Eine Richtlinie, die auf dem Papier, aber nicht im nationalen Recht existiert, schützt niemanden.

Ein Rahmen, der auf „Erkennen und Melden" ausgelegt ist, ist einem Gegner schlecht gewachsen, dessen Ziel es ist, präsent, geduldig und unbemerkt zu sein.

Die Einschätzung des Instituts lautet, dass die vorherrschende Architektur — aufgebaut um Vorfallsmeldung, Verletzungsbenachrichtigung und Datenschutz — weiterhin am Paradigma des Diebstahls ausgerichtet ist. Die Vorpositionierung kehrt diese Voraussetzungen um: Der Erfolg des Gegners liegt gerade darin, dass es keinen Vorfall zu melden gibt. Die Verteidigung gegen einen stillen Stützpunkt erfordert die kontinuierliche Bedrohungsverfolgung innerhalb industrieller Netze, die Fähigkeit, wesentliche Dienste während eines Cyber-Angriffs aufrechtzuerhalten — und nicht erst danach wiederherzustellen — sowie die Akzeptanz dieser unbequemen Wahrheit: Die gefährlichsten Einbrüche erzeugen keinen einzigen Alarm. Für die Schweiz, deren Vernetzung mit den europäischen Energie- und Telekommunikationsmärkten tiefgreifend ist und deren Neutralität keine Ausnahme von der Physik der Abhängigkeit bietet, ist die Konsequenz unmittelbar: Resilienz misst sich nicht an der Geschwindigkeit der Offenlegung einer Verletzung, sondern an der Dauer, während der ein wesentlicher Dienst trotz Kompromittierung weiter funktionieren kann.

VII. Schlussfolgerung: Geduld verteidigen

Der Cyber-Wettbewerb dieses Jahrzehnts dreht sich nicht in erster Linie um Diebstahl, und ihn so zu behandeln ist ein Kategorienfehler mit operativen Folgen. Die entscheidenden Gesten sind der stille Stützpunkt, der jahrelang bei einem Dienstleistungsunternehmen aufrechterhalten wird, der Zugang zum Netzrückgrat, der einen Telekommunikationsanbieter zum Instrument macht, der mehrdeutige Anker auf einem verdunkelten Meeresgrund und der fabrizierte Zweifel, der die Fähigkeit einer Gesellschaft untergräbt, Unfall von Angriff zu unterscheiden. Jeder dieser Akte ist darauf angelegt, erst in dem Moment zur Wirkung zu reifen, den der Gegner wählt.

Die Geduld zu verteidigen erfordert eine symmetrische Geduld und eine Offenheit, die die meisten Institutionen noch vermeiden. Das ehrliche Maß für Sicherheit ist nicht mehr die Schnelligkeit der Erkennung, sondern die Robustheit des Betriebs unter der Annahme einer Kompromittierung. Das ist ein unbequemer Maßstab, denn er räumt ein, dass der stille Stützpunkt vielleicht bereits vorhanden ist. Es ist auch der einzige, der der Bedrohung gerecht wird, so wie die Fakten sie heute beschreiben.

Quellen

[1] "PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure," Advisory AA24-038A, CISA / NSA / FBI, 7 February 2024. https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
[2] "Salt Typhoon Hacks of Telecommunications Companies and Federal Response Implications," Congressional Research Service (In Focus IF12798), 2024–2025. https://www.congress.gov/crs-product/IF12798
[3] "At least 8 US telcos, dozens of countries impacted by Salt Typhoon breaches, White House says," The Record (Recorded Future News), December 2024. https://therecord.media/eight-telcos-breached-salt-typhoon-nsc
[4] "Salt Typhoon," Wikipedia (citing U.S. official statements, FBI/NSA reporting; consulted June 2026). https://en.wikipedia.org/wiki/Salt_Typhoon
[5] "Authorities investigate possible Russian 'hybrid warfare' after oil tanker cuts undersea cables," CBS News, 2025. https://www.cbsnews.com/news/eagle-s-baltic-cut-cable-investigation-russia-ties-60-minutes/
[6] "Miles-long anchor drag mark found on Baltic seabed after suspicious cable damage, Finnish investigators say," CNN, 30 December 2024. https://www.cnn.com/2024/12/30/europe/baltic-sea-cable-anchor-drag-russia-intl-latam
[7] "NATO launches 'Baltic Sentry' to increase critical infrastructure security," NATO, 14 January 2025. https://www.nato.int/en/news-and-events/articles/news/2025/01/14/nato-launches-baltic-sentry-to-increase-critical-infrastructure-security
[8] "Colonial Pipeline ransomware attack," Wikipedia (citing FBI attribution and DOJ recovery announcement; consulted June 2026). https://en.wikipedia.org/wiki/Colonial_Pipeline_ransomware_attack
[9] "Pennsylvania water facility hit by Iran-linked hackers," CyberScoop, November 2023. https://cyberscoop.com/pennsylvania-water-facility-hack-iran/
[10] "Panorama de la cybermenace 2025," ANSSI (CERT-FR), 2026. https://cyber.gouv.fr/actualites/panorama-de-la-cybermenace-2025/
[11] "2024 Report on EEAS Activities to Counter Foreign Information Manipulation and Interference (FIMI)," European External Action Service, 2024. https://www.eeas.europa.eu/eeas/2024-report-eeas-activities-counter-foreign-information-manipulation-and-interference-fimi_en
[12] "3rd EEAS Report on Foreign Information Manipulation and Interference Threats," European External Action Service, March 2025. https://www.eeas.europa.eu/eeas/3rd-eeas-report-foreign-information-manipulation-and-interference-threats-0_en
[13] "NIS2 Directive: securing network and information systems," European Commission, Shaping Europe's digital future, 2024. https://digital-strategy.ec.europa.eu/en/policies/nis2-directive

Diese Analyse zitieren

Benalla A. (2026). « Der stille Stützpunkt: Vorpositionierung, kritische Infrastrukturen und die neue Geometrie des Cyber-Konflikts ». Analyse IV·NOTE·005, Institut Vidocq.