InfoGuard Threat Intelligence Report Q2/26: Europas Cyberrisiko, Salt Typhoon & Irans Rückkehr

Die geopolitische Cyberlage hat im zweiten Quartal gegenüber dem Bericht zum ersten Quartal 2026 deutlich an Schärfe gewonnen. Iran, Salt Typhoon, destruktive OT-Angriffe und autonome KI-Systeme machen deutlich: Europas Cyberrisiko entsteht nicht nur durch neue Angriffe, sondern durch immer schwerer sichtbare Abhängigkeiten, Exponierungen und Detektionslücken. Eine Analyse der wichtigsten Verschiebungen zeigt, wo und inwiefern sich die Lage seit Q1/26 verändert hat.

Seit Q1/2026 verschiebt sich Europas Cyberrisiko

Die Übersicht zeigt die Veränderungen auf einen Blick. Anschliessend ordnen wir die fünf Entwicklungen ein und leiten konkrete Takeaways für die Cyberabwehr ab.

1. Iran nach Epic Fury: Vom Hacktivismus zu APT-Operationen1.1  Weshalb ist Irans digitale Rückkehr ein Cyberrisiko für Europa?

Iran ist seit dem 17. April 2026 nach 47 Tagen digitaler Isolation wieder schrittweise vernetzt – und damit können auch hochspezialisierte APT-Einheiten wieder koordinierter agieren. Im Q1-Report haben wir den 28. Februar 2026 als Zäsur beschrieben: Operation Epic Fury löste sofort eine mehrstufige iranische Cyber-Vergeltungswelle aus, koordiniert durch den neu gegründeten Electronic Operations Room mit über 60 aktiven Gruppen. Was die Situation damals vorübergehend technisch entschärfte: Israel und die USA führten gleichzeitig die grösste Cyberoperation gegen Iran durch, die je dokumentiert wurde. Sie reduzierten damit Irans Internetkonnektivität auf 1-4 %. Auch Akteure hochspezialisierter APT-Einheiten waren damit de facto vom Rest der Welt abgeschnitten.

Das hat sich geändert. Was im Q1 noch als chaotischer, dezentraler Hacktivismus sichtbar wurde, droht nun in koordinierte Cyberoperationen überzugehen. Die Reconnection Irans ist deshalb kein Entwarnungssignal. Sie markiert weit mehr den Beginn der gefährlicheren Phase.

1.2 Warum zielen iranische Akteure auf Rockwell Automation?

Iranisch-affiliierte Gruppen verschieben ihren Fokus von Unitronics-PLCs auf Rockwell Automation FactoryTalk – und damit auf eine grössere Angriffsfläche in Industrie, Energieversorgung und Wasserinfrastruktur. Ende März 2026 identifizierte Unit 42 einen neuen Angriffscluster (CL-STA-1128 / CyberAv3ngers), der diese Zielverschiebung sichtbar macht. Bisher hatten die Gruppen primär Unitronics-PLCs angegriffen – israelische Fabrikate, die vergleichsweise begrenzt eingesetzt werden. Nun rückt mit Rockwell Automation FactoryTalk eine OT-Plattform in den Fokus, die deutlich weiter verbreitet ist.

Aus europäischer Sicht ist das relevant: Denn Rockwell-Systeme sind in der Industrieautomation weltweit flächendeckend im Einsatz – in Produktionsanlagen, Energieversorgung und Wasserinfrastruktur, auch in der DACH-Region. Die Angreifer wählen damit eine Angriffsoberfläche, die grösser und potenziell weniger gehärtet ist als die bisher fokussierten Unitronics-Systeme.

Für Unternehmen mit Rockwell-Umgebungen ist das keine abstrakte Warnung. CyberAv3ngers hat bewiesen, dass sie OT-Systeme nicht nur kompromittieren, sondern auch aktiv manipulieren. In früheren Kampagnen wurden Konfigurationen verändert und Prozesse gestört, ohne dass Wiper oder Ransomware notwendig waren.

1.3 RedKitten: Der neue technisch hochentwickelte Akteur

Parallel zu CyberAv3ngers ist ein neu identifizierter iranischer Akteur aufgetaucht, der sich technisch deutlich von den bisherigen Gruppen unterscheidet: RedKitten. Die Gruppe nutzt eine Angriffsmethodik, die explizit darauf ausgelegt ist, unter dem Radar normaler Sicherheitstools zu bleiben.

Die Kernmechanik: Die Angreifenden nutzen präparierte Dokumente, um die SloppyMIO-Backdoor auszuführen. Diese liest per Steganografie Konfigurationsdaten aus Bilddateien auf legitimen Code-Repositories aus. Payloads werden über Cloud-Storage nachgeladen. Die gesamte Kommunikation läuft ausschliesslich über Messaging-Platform-APIs – eine sogenannte Dead-Drop-Resolver-Architektur, die bösartigen Traffic in gewöhnlichem Cloud-Rauschen versteckt.

Das Ergebnis: Traditionelle signaturbasierte Erkennung und netzwerkbasierte Anomalie-Detection greifen nicht, weil der Traffic wie normales SaaS-Nutzungsverhalten wirkt. Nach der öffentlichen Exposition Ende 2025 tauschte RedKitten seine Infrastruktur rasch aus und weitete das Targeting auf über 20 Länder aus – inklusive Westeuropa.

1.4 Europa im Fokus koordinierter Cyberangriffe

Ein für Europa besonders relevantes Muster des laufenden Konflikts: Pro-iranische und pro-russische Hacktivisten-Gruppen koordinieren ihre Cyberoperationen opportunistisch. SOCRadar hat für den ersten Kriegsmonat (28. Februar bis 31. März 2026) 1.357 dokumentierte Incidents in über 25 Ländern und 15 Sektoren erfasst. Zypern wurde mit 68 Incidents zum zweitgrössten europäischen Ziel – nicht zufällig, sondern weil es US-Militärinfrastruktur beherbergt und geographisch exponiert ist. Rumänien folgt mit 58 Incidents.

NoName057(16) nutzt die Iran-Operationen für sogenannte Double-Benefit-Hits: dieselbe DDoS-Welle trifft gleichzeitig iranische Gegner und NATO-Mitglieder im Kontext des Ukraine-Kriegs. Für betroffene europäische Organisationen ist die Attribution dabei oft unklar – und das ist gewollt.

Einschätzung Q2/2026

Wir befinden uns jetzt in der Phase, vor der Analysten seit Februar 2026 gewarnt haben: koordinierte APT-Operationen, keine Ablenkungsmanöver. Organisationen in den Sektoren Energie, Industrie, Telekommunikation und öffentliche Verwaltung sollten ihre Exponierung gegenüber Rockwell-Systemen, VPN-Gateways und exponierten OT-Umgebungen neu bewerten. Die Reconnection Irans ist kein Entwarnungssignal – sie markiert das Ende der Aufwärmphase.

2. China: Salt Typhoon erreicht Nordeuropa

In unserem Q1-Report haben wir Chinas Strategie als Pre-Positioning für einen möglichen Taiwan-Konflikt beschrieben: eine stille, jahrelange Kompromittierung kritischer Infrastruktur, ohne Alarm zu schlagen. Q2/2026 bringt die europäische Bestätigung dessen, was viele bereits ahnten.

2.1 Norwegen: Die erste skandinavische Bestätigung

Im Februar 2026 veröffentlichte Norwegen seinen jährlichen Bedrohungsbericht. PST-Direktorin Beate Gangås bestätigte darin explizit: Salt Typhoon hat Netzwerkgeräte in norwegischen Organisationen kompromittiert – die erste offizielle skandinavische Bestätigung, dass die lange als US-Problem wahrgenommene Kampagne Nordeuropa erreicht hat.

Die Formulierung der PST war bemerkenswert direkt: Norwegen stehe vor seiner schwersten Sicherheitslage seit dem Zweiten Weltkrieg. Norwegens Sicherheitsbehörden beschreiben China, Russland und Iran nicht als abstrakte Bedrohungen, sondern als aktiv operierende Geheimdienste auf norwegischem Boden.

2.2 Die strategische Neubewertung durch ODNI 2026

Das US Office of the Director of National Intelligence stuft chinesische Cyberoperationen im Annual Threat Assessment 2026 neu ein: Volt Typhoon und Salt Typhoon gelten nicht mehr primär als Spionagekampagnen, sondern als Pre-Positioning in kritischer Infrastruktur – mit dem Ziel, Sabotage für potenzielle Konflikte vorzubereiten.

Diese Neubewertung ist für Europa relevant, weil sie die Stossrichtung klarstellt: China baut keine Nachrichtendienstlichen Fähigkeiten auf, es baut Schalter ein. Schalter, die in einer geopolitischen Krise – Taiwan, Handelskrieg, militärische Eskalation – aktiviert werden können. Die europäische Infrastruktur ist dabei nicht Ziel, sondern Hebel: Wer Europa destabilisieren kann, schwächt westliche Unterstützung für Taiwan.

2.3 LOTL in Nordeuropa: Warum Salt Typhoon so schwer zu finden ist

Salt Typhoon und Volt Typhoon teilen eine Methodik, die sie für traditionelle Sicherheitsarchitekturen nahezu unsichtbar macht: Living-off-the-Land. Keine Malware, nur native Systemtools. Keine Command-and-Control-Server mit auffälligen Domains, nur kompromittierte SOHO-Router als Relay-Infrastruktur. In mehreren dokumentierten Fällen blieben die Gruppen bis zu fünf Jahre unentdeckt.

Für Organisationen in Skandinavien, den Niederlanden, Deutschland und Österreich bedeutet das: Die Frage ist nicht mehr nur, ob chinesische Akteure bereits in europäischen Netzwerken präsent sind, sondern ob diese Präsenz bekannt ist. Die Wahrscheinlichkeit dafür ist, basierend auf den verfügbaren Daten, erheblich.

Einschätzung Q2/2026

Die norwegische Bestätigung ist kein Einzelfall. Sie ist die erste öffentlich bestätigte Spitze eines europäischen Eisbergs. Telekommunikations-, Energie- und Verteidigungsunternehmen in Europa sollten davon ausgehen, dass Netzwerkgeräte an der Perimeter – Firewalls, VPN-Concentrators, Switches – primäre Angriffsflächen sind. Diese Geräte sind systematisch unzureichend überwacht und haben typischerweise keine EDR-Abdeckung.

3. Russland: «Below Threshold» als permanente Kriegsführung

Russlands Cyberstrategie gegen Europa ist keine Reaktion auf aktuelle Ereignisse. Sie ist eine dauerhaft angelegte Zermürbungskampagne mit klar definiertem Ziel: maximalen Schaden verursachen, ohne die Article-5-Schwelle der NATO zu überschreiten und eine kollektive militärische Reaktion auszulösen. Q2/2026 macht dieses Kalkül an einem konkreten Fall sichtbar.

3.1 Polen Dezember 2025: Der erste bestätigte destruktive OT-Angriff in der EU

Im Dezember 2025 – einem Monat mit unterdurchschnittlicher Gesamtzahl an Sicherheitsvorfällen – wurde Polen Ziel einer der schwerwiegendsten Cyberoperationen gegen EU-Infrastruktur. Russisch-affiliierte Angreifer kompromittierten Kontrollsysteme im Energiesektor. Kritische Steuerungssysteme wurden gestört, und Industrieausrüstung wurde dauerhaft beschädigt – physisch, nicht «nur» digital. Reparatur statt Wiederherstellung.

Doch entscheidend ist, was nicht passierte: Kein weitreichender Blackout, keine Todesopfer, kein Anlass für eine Article-5-Konsultation. Das Ereignis bleibt genau unterhalb der Eskalationsschwelle, kostet aber polnische Energieversorger Millionen, destabilisiert Vertrauen in kritische Systeme und sendet eine unmissverständliche Botschaft an NATO-Mitglieder, die die Ukraine unterstützen.

Der Atlantic Council dokumentiert in einem Report vom April 2026 über 150 Sabotage-, Cyber- und Influence-Incidents in Europa seit 2022 – mit zunehmender Frequenz und zunehmender Destruktivität. Das Muster ist konsistent: testen, eskalieren, einfrieren, wiederholen.

3.2 Das Vakuum der US-Cyber-Abschreckung

Wenn US-Cyber-Abschreckung nachlässt, steigt für Europa der Druck, eigene Cyberkapazitäten strategischer zu denken. CEPA stellt in einem Bericht vom März 2026 einen Zusammenhang fest: Wo Intelligence-Sharing eingeschränkt wird, koordinierte Reaktionen ausbleiben und Operationen ohne NATO-Vorabinformation erfolgen, sinken die Kosten für russische hybride Angriffe.

Die Logik ist simpel: Wenn die Kosten sinken, steigt die Aktivität. Aus Sicht europäischer Sicherheitsarchitekten ist das ein Wendepunkt. Europa kann nicht mehr davon ausgehen, dass US-Cyber-Kapazitäten als verlängerte Abschreckung wirken. Das ist keine Katastrophe – es ist eine strategische Realität, die Europas eigene Kapazitäten in den Vordergrund rückt.

Einschätzung Q2/2026

Russlands Below-Threshold-Modell ist keine Übergangsphase. Es ist die neue Normalität. Energieversorger, Infrastrukturbetreiber und staatliche Stellen müssen damit rechnen, dass OT-Systeme nicht mehr nur als Spionageziele gelten. Sie gelten zunehmend als Ansatzpunkte für physische Sabotage. Der Dezember-Angriff auf Polen ist ein «Proof of Concept», kein Einzelfall.

4. Warum Angreifer keinen Co-Piloten brauchen4.1  KI-Angriffe und Asymmetrie – ein Flugzeugvergleich

Ein modernes Verkehrsflugzeug kann heute vollständig autonom fliegen. Autopilot, automatische Landung, Kollisionswarnung – technisch gesehen, wäre kein menschlicher Pilot nötig. Trotzdem sitzt in jedem kommerziellen Flugzeug mindestens ein ausgebildeter Mensch im Cockpit. Der Grund ist simpel: Bei 300 Passagieren an Bord sind die Konsequenzen eines Fehlers katastrophal und irreversibel. Das System kann 9.999 Flüge perfekt durchführen, beim 10.000sten muss ein Mensch eingreifen können.

Cyber Defence funktioniert nach exakt demselben Prinzip: Ein unbemerkter Angriff, ein ungeblockter Payload oder ein False Negative auf einem produktiven System kann reichen. Die Verteidigung muss immer gewinnen. Deshalb ist Human-in-the-Loop zwingend: erfahrene Analysten, die Kontext einordnen, Anomalien bewerten und Entscheidungen verantworten.

Für den Angreifer gilt exakt das Gegenteil. Wenn ein autonomer Angriff scheitert, kostet das nichts. Keine menschlichen Stunden, kein Operator, der Konsequenzen trägt. Einfach den nächsten starten – schneller, billiger, mit angepasster Methodik. Die Asymmetrie ist fundamental: Die Verteidigung muss immer, ein Angriff muss nur einmal gewinnen. KI macht den Angriff beliebig skalierbar und wiederholbar: Was scheitert, wird angepasst und erneut gestartet. Für die Verteidigung bleibt die Fehlertoleranz gering. Sie muss automatisieren, aber menschliches Urteilsvermögen in der Beurteilungsschleife behalten.

4.2 Vom KI-Tool zur autonomen Cyberattacke

KI in Cyberangriffen ist nicht neu. Seit Jahren wird KI für Spear-Phishing-Personalisierung, automatisierte Vulnerability-Scans und Malware-Varianten genutzt. Was sich in Q2/2026 verändert hat, ist die Qualität: von KI als Werkzeug zu KI als autonomem Akteur.

Armis-Threat-Intelligence-Chef, Michael Freeman, hat es konkret formuliert: Bis Mitte 2026 wird mindestens ein globales Unternehmen durch ein vollständig autonomes agentic AI-System kompromittiert – mit Reinforcement Learning und Multi-Agent-Koordination für den kompletten Angriffs-Lifecycle ohne menschliche Aufsicht. Reconnaissance, Exploitation, Laterale Bewegung, Datenexfiltration – alles automatisiert, alles ohne menschliches Eingreifen. Das WEF Global Cybersecurity Outlook 2026 zeigt: 87 % der befragten Sicherheitsverantwortlichen weltweit nennen KI-Schwachstellen als die am schnellsten wachsende Bedrohung.

Nation-State-Akteure sind hier nicht Nachzügler, sondern Treiber: Berichte aus der Threat-Intelligence-Community zeigen, dass staatlich gesteuerte Gruppen bereits 90 % ihrer Intrusion-Kampagnen automatisieren. Chinesische Akteure haben laut Anthropic-Bericht (November 2025) vollständig automatisierte Angriffsketten gegen Technologieunternehmen und Regierungsstellen eingesetzt. Iran arbeitet nachweislich an AI-gestützten Spear-Phishing-Systemen.

4.3 RaaS goes Autonomous: Wenn Ransomware nicht verhandelt, sondern vernichtet

Auch in der kriminellen Ransomware-Szene zeigt sich das Muster. Q1/2026 brachte eine Rekonsolidierung des Marktes: Qilin, LockBit und The Gentlemen expandieren. Qilin hat inhouse Legal Services eingeführt, um Druck auf Opfer zu erhöhen. Die Global Group lancierte AI-Chatbots für Verhandlungen – autonome Systeme, die Lösegeldforderungen anpassen, Fristen setzen und kommunizieren, ohne menschliche Intervention.

Die Sicarii-Gruppe geht noch weiter: Ihre Ransomware löscht die eigenen Entschlüsselungsschlüssel nach der Verschlüsselung – eine Waffe, die nicht auf Erpressung abzielt, sondern auf permanente Zerstörung. Eine Zahlung ist sinnlos. Wiederherstellung ist unmöglich. Das ist der Übergang von Ransomware als Geschäftsmodell zu Ransomware als Sabotagewaffe.

4.4 KI-Asymmetrie: Cyberabwehr erfordert Human-in-the-Loop

Die KI-Asymmetrie stellt Sicherheitsarchitekturen vor ein strukturelles Problem: Je mehr Automatisierung auf der Angreiferseite, desto höher ist der Druck, auf der Verteidigerseite ebenfalls zu automatisieren – aber die Fehlertoleranz bleibt asymmetrisch. Automatisierte Defense-Systeme können false positives produzieren, die den Betrieb stören, oder false negatives, die Angriffe durchlassen. Jede Fehlentscheidung in der Abwehr birgt Konsequenzen. Für Angreifende hingegen bedeutet ein Fehlversuch nur Trainingsmaterial für den nächsten Angriff.

Das führt zu einer Konsequenz, die kontraintuitiv erscheint, aber operativ richtig ist: Je autonomer Angriffe werden, desto wichtiger wird der menschliche Threat Hunter. Nicht als Reaktion auf Alarme, sondern als proaktiver Jäger in Umgebungen, in denen automatisierte Systeme systematisch umgangen werden.

Einschätzung Q2/2026

Autonome KI-Angriffe sind kein Zukunftsszenario mehr. Sie sind operativ. Die Verteidigung muss diese Asymmetrie akzeptieren: Automatisierung auf der Verteidigerseite ist notwendig, aber nicht ausreichend. Das Co-Piloten-Modell gilt weiterhin – technische Systeme fliegen das Flugzeug, aber ein erfahrener Mensch muss eingreifen können, wenn es darauf ankommt. 

In die Welt der Cybersecurity übersetzt, heisst dieses Co-Piloten-Modell: Threat Hunting. Gemeint ist eine vertiefte Analyse der Exponierungsrisiken durch erfahrene Incident Responder, die sichtbar macht, was automatisierte Systeme oft übersehen – Spuren, Anomalien und Angriffsmuster, die erst im Kontext der aktuellen Bedrohungslage erkennbar werden.

Proaktives Threat Hunting

5. Der unbequeme Verbündete: Die USA aus europäischer Sicht

Vorbemerkung zum Ton dieses Kapitels: Was folgt, ist keine Kritik an den USA als Land oder Verbündeten. Es ist die nüchterne Anwendung einer Grundregel internationaler Politik, die seit dem Westfälischen Frieden 1648 gilt: Jeder Staat handelt primär im eigenen Interesse. Das ist weder überraschend noch verwerflich – es ist die Realität jedes souveränen Akteurs, inklusive der europäischen Staaten selbst. Die Frage ist nur, ob Europa das als gegeben akzeptiert und entsprechend handelt.

5.1 CYBERCOM 2.0 und die Normalisierung offensiver Cyberoperationen

Im Januar 2026 wurde vor dem US-Senatsausschuss für Streitkräfte die bisher grösste Transformation des US Cyber Command präsentiert: CYBERCOM 2.0. Die zuständige Assistant Secretary of War for Cyber Policy beschrieb es als «die bedeutendste Transformation des USCYBERCOM seit seiner Gründung vor über 15 Jahren» – eine fundamentale Neuaufstellung, die offensive Dauerpräsenz in gegnerischen Netzwerken als Routineinstrument etabliert.

Im März 2026 folgte Trumps neue Nationale Cyberstrategie: explizit aggressiver als alle Vorgänger, mit dem Ziel, Bedrohungen «vor» dem Erreichen amerikanischer Netzwerke zu begegnen. Das Konzept des «Persistent Engagement» – kontinuierliche offensive Operationen in gegnerischer Infrastruktur – wird zur offiziellen Doktrin.

Was bedeutet das für Europa? Zwei Dimensionen: Zum einen stärkt eine leistungsfähigere US-Cyberkapazität die kollektive Abschreckung gegen Russland, China und Iran – davon profitiert Europa indirekt. Zum anderen normalisiert die USA offensive Cyberoperationen als legitimes Staatsmittel auf einer neuen Ebene. Europa wird sich fragen müssen, wie es mit diesem Präzedenzfall umgeht – und ob die gleiche Doktrin, die gegen Moskau vertretbar erscheint, auch das Vertrauen in US-Technologieinfrastruktur beeinflusst.

5.2 CLOUD Act: Das strukturelle Souveränitätsproblem

Das vielleicht konkreteste Risiko für die europäische Cybersicherheit geht nicht von einem Angriff aus, sondern von einem Gesetz. Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) erlaubt US-Behörden, von US-amerikanischen Unternehmen Zugang zu Daten zu verlangen – unabhängig davon, wo diese Daten physisch gespeichert sind.

Im Juni 2025 wurde Microsoft France in einer Anhörung vor dem französischen Senat direkt gefragt: Können Sie garantieren, dass europäische Kundendaten nie von US-Behörden angefordert werden? Die Antwort war eindeutig und unter Eid: Nein. Diese Garantie kann nicht gegeben werden. Nicht weil Microsoft das nicht will, sondern weil Microsoft eine US-amerikanische Gesellschaft ist und US-Recht für US-Gesellschaften überall auf der Welt gilt.

Das betrifft nicht nur Microsoft. AWS kann dieselbe Garantie nicht geben. Google auch nicht. Jeder US-Hyperscaler, jede US-basierte Sicherheitslösung, jedes US-EDR – sie alle unterliegen demselben rechtlichen Rahmen. Ein europäisches Rechenzentrum ändert die Geografie der Daten, aber nicht die Jurisdiktion über das Unternehmen.

Für die Cybersecurity-Architektur europäischer Organisationen hat das konkrete Implikationen: Wer US-basierte Sicherheitstools einsetzt – und das ist die grosse Mehrheit – hat potenziell einen dritten Akteur im Netzwerk. Nicht zwangsläufig böswillig, aber ausserhalb europäischer Kontrolle und europäischen Rechts. In einer Zeit, in der sich die Interessen der USA und Europas in Handelsfragen, Geopolitik und Verteidigung zunehmend auseinanderbewegen, ist das eine strategische Variable, die ins Kalkül gehört.

5.3 Drei Incidents – ein Muster

Drei öffentlich dokumentierte Incidents der letzten 15 Monate illustrieren das Muster:

• Signal-Leak (März 2025): US-Verteidigungsminister Pete Hegseth besprach Militärpläne über eine nicht klassifizierte kommerzielle App und teilte sie versehentlich mit einem Journalisten. Intern bezeichnete er Europa als «Freeloaders». Europäische Verbündete erfuhren von den Militäraktionen aus der Presse statt über sichere Kanäle.
• Grönland (August 2025): Dänischer Rundfunk DR berichtete, gestützt auf Geheimdienstquellen, dass mindestens drei Trump-nahe Personen verdeckte Einflussoperationen auf dänischem Territorium (Grönland) durchführten. Dänemarks Aussenminister bestellte den US-Botschafter ein. Dänemarks Premierminister formulierte öffentlich: «You cannot spy against an ally.»
• Operation «Epic Fury» (Februar 2026): Die USA und Israel starteten eine Militäroperation gegen Iran, die zur Tötung des Obersten Führers führte und die gesamte Golfregion destabilisierte – ohne vorherige Information an NATO-Verbündete. Der Atlantic Council schreibt explizit: «Trump apparently caught NATO, Gulf, and Asian allies off guard, reportedly providing no advance warning.» Das ist keine Kommunikationspanne. Das ist eine strategische Entscheidung.

Diese drei Incidents sind keine Ausreisser. Sie sind das Muster einer Administration, die «Amerika First» konsequent umsetzt – rational aus US-Perspektive, herausfordernd aus europäischer. Was sie gemeinsam haben: Europa war in keinem dieser Fälle eine gleichwertige strategische Variable in der US-Kalkulation.

5.4 Europas Cybersicherheit verlangt digitale Souveränität

Die Antwort auf diese Analyse ist weder Feindbildkonstruktion noch naiver Vertrauensverlust, sie ist strategische Mündigkeit. Europa sollte von der US-Allianz profitieren, wo sie Vorteile bietet – und gleichzeitig aufhören, US-Interessen mit europäischen Interessen gleichzusetzen.

Konkret bedeutet das für die Cybersicherheit: Europäische digitale Souveränität ist keine Anti-Amerika-Politik. Es ist die logische Konsequenz aus der Erkenntnis, dass Abhängigkeit von fremder Infrastruktur, ob chinesisch, russisch oder amerikanisch, ein Sicherheitsrisiko darstellt. Die EU hat mit dem Cloud Sovereignty Framework (Oktober 2025), dem Cyber Resilience Act und EuroStack erste Schritte in diese Richtung gemacht. Es ist nicht genug – aber es ist die richtige Richtung.

Einschätzung Q2/2026

Jeder Staat handelt im eigenen Interesse. Das ist keine Kritik. Es ist die Grundregel, nach der jede Sicherheitsstrategie gebaut sein sollte. Für europäische Organisationen bedeutet das praktisch: US-Technologie dort einsetzen, wo sie die beste Lösung ist – aber mit dem Wissen um den rechtlichen Rahmen (CLOUD Act, FISA) und mit Architekturentscheidungen, die kritische Daten und Systemzugänge unter europäischer Kontrolle halten.

6. Die Detektionslücke bleibt – das Expositionsdefizit wächst

Die Kernerkenntnis aus unserem Q1-Report hat sich deutlich verschärft: 57 % aller Kompromittierungen werden nicht durch eigene Sicherheitssysteme entdeckt, sondern durch externe Hinweise. Die mediane Verweildauer eines Angreifers in europäischen Netzwerken liegt bei 22 Tagen (EMEA-Median, Mandiant M-Trends 2025).

Im Q2/2026 verschärft sich vor allem die Detektionsfrage: LOTL-Angriffe (Living-off-the-Land) waren bereits für signaturbasierte Systeme unsichtbar. Autonome KI-Angriffe ohne festes Timing, ohne menschliches Verhaltensmuster und ohne statische Infrastruktur stellen auch verhaltensbasierte Anomalie-Detection vor neue Herausforderungen. RedKittens Dead-Drop-Resolver-Architektur, die vollständig über legitime Cloud-APIs kommuniziert, zeigt, wohin die Entwicklung geht: Angriffs-Traffic, der von normalem SaaS-Traffic nicht mehr zu unterscheiden ist.

Zur Detektionslücke tritt die Risikoexposition in den Vordergrund: Exponierte Systeme, übersehene Abhängigkeiten, falsch priorisierte Schwachstellen und unzureichend überwachte Zugänge schaffen Bedingungen, in denen Angriffe leichter vorbereitet und verborgen werden können.

Genau dieses Muster bestätigt sich in der Incident-Response-Praxis: Staatliche Angreifer fallen selten durch Alarme auf, sondern durch externe Hinweise, Zufallsfunde oder ältere Zugangspfade, die erst bei einem anderen Vorfall sichtbar werden.

6.1 Proaktives Threat Hunting: Suchen, bevor ein Alarm entsteht

Proaktives Threat Hunting durch erfahrene Incident Responder ist in der aktuellen Bedrohungslage – Iran Phase 2, China in Nordeuropa, Russland destruktiv in Polen, autonome KI-Angriffe operativ – keine optionale Ergänzung zur bestehenden Sicherheitsarchitektur. Es setzt genau dort an, wo automatisierte Systeme an Grenzen stossen: bei Spuren, Hypothesen und Angriffsmustern, für die es noch keinen Alarm gibt.

Der Unterschied zu automatisierten Systemen liegt im Ansatz: Threat Hunter starten nicht mit einem Alarm. Sie starten mit einer Hypothese – basierend auf aktueller Threat Intelligence, dem Profil der Organisation und dem Wissen, wie staatliche Angreifer in vergleichbaren Umgebungen operieren. Sie suchen nicht nach bekannten Mustern. Sie suchen nach dem, was sichtbar sein müsste, wenn die aktuelle Bedrohungslage bereits in der eigenen Umgebung angekommen ist.

CISAs eigenes Threat-Hunting-Team hat gezeigt, was das bedeutet: Es hat Volt Typhoon in US-Infrastruktur gefunden – in Umgebungen, in denen alle anderen automatisierten Systeme versagt hatten. Nicht weil das Team bessere Tools hatte. Sondern weil erfahrene Incident Responder wissen, wo man sucht.

6.2 Compromise Assessment: Kompromittierung und Exponierung erkennen

Für Organisationen, die noch kein regelmässiges Threat Hunting betreiben, kann ein Compromise Assessment eine sinnvolle Standortbestimmung sein: eine forensische Überprüfung, ob bereits Hinweise auf eine Kompromittierung vorliegen – methodisch, mit aktuellem Wissen über die Taktiken der relevanten Bedrohungsakteure.

Als Momentaufnahme reicht das jedoch nur begrenzt. Wer die aktuelle Bedrohungslage ernst nimmt, betrachtet Kompromittierung und Exponierung gemeinsam: Gibt es Anzeichen für laufende oder frühere Angriffe? Und welche Angriffsflächen erhöhen das Risiko, dass daraus der nächste Vorfall entsteht?

Angesichts der Lage im Q2/2026 – Iran Phase 2 online, China in Nordeuropa bestätigt, Russland destruktiv aktiv, autonome KI-Angriffe operativ – geht es nicht um Aktionismus, sondern um belastbare Entscheidungsgrundlagen. Je später Organisationen Klarheit über Kompromittierung und Risikoexposition gewinnen, desto stärker hängen sie von externen Hinweisen, Zufallsfunden oder dem nächsten Vorfall ab.

Fazit: Cyberresilienz braucht Detektion und Risikoklarheit

Q2/2026 ist kein Fortsetzungsartikel. Es ist eine Zuspitzung. Iran ist nach 47 Tagen wieder online und wechselt von Hacktivismus zu koordinierten APT-Operationen mit neuen OT-Zielen. China hat Skandinavien erreicht. Russland hat in Polen erstmals Industrieanlagen dauerhaft zerstört, ohne eine NATO-Reaktion zu provozieren. Autonome KI-Angriffe sind operativ. Und der Blick auf die eigene Allianz zeigt: Strategische Eigenständigkeit ist keine Isolation – es ist die notwendige Konsequenz aus der Erkenntnis, dass kein Verbündeter die eigenen Interessen über die eigenen stellt.

Für Organisationen folgt daraus: Proaktives Threat Hunting und die kontinuierliche Bewertung der Risikoexposition gehören zusammen. So entsteht kein Versprechen absoluter Sicherheit, sondern ein belastbarer Umgang mit einer Angriffsfläche, die sich laufend verändert.

Ob bereits Spuren einer Kompromittierung bestehen und welche Angriffsflächen das reale Risiko erhöhen, lässt sich nur beantworten, wenn Threat Hunting und Managed Risk Exposure zusammengedacht werden. Die Erkenntnisse aus Threat Hunting, Incident Response und Threat Intelligence der letzten Monate liefern dafür eine fachliche Grundlage.

Am Anfang einer Caberrisikoanalyse steht eine nüchterne Standortbestimmung: Was ist kompromittiert, was ist exponiert – und was muss zuerst reduziert werden? Nutzen Sie das Whitepaper «InfoGuard Threat Intelligence Insights 2025» als Realitätscheck: Erfahren Sie, welche Angriffsmuster jetzt besonders relevant sind und welche Schritte für Ihre Organisation jetzt Priorität haben.