Verdeckt, persistent, staatsnah
Advanced Persistent Threats zwischen IT-Sicherheit und nationaler Sicherheit
Die folgende Fassung des Papers enthält keine Fußnoten. Die vollständige Fassung können Sie über das PDF abrufen
Geschätzte Lesezeit: 12 Minuten
Julien Grönitz, Mitglied des Vorstands
Executive Summary
Deutschland steht, wie die Präsidenten der Nachrichtendienste in der 9. Öffentlichen Anhörung durch das Parlamentarische Kontrollgremium im Oktober 2025 festgehalten haben, „nicht mehr im Frieden, noch nicht im Krieg". Advanced Persistent Threats (APT) sind die dauerhafte Ausprägung dieser Schwellenlage im digitalen Raum: verdeckte, ressourcenstarke und typischerweise staatlich gesteuerte oder zumindest unterstützte Angreifer, die sich langfristig und zielgerichtet Zugang zu Netzen und Systemen verschaffen, um aufzuklären, vorzubereiten oder zu wirken.
Der Begriff bezeichnet keinen Schadcode, sondern einen Akteurstyp. Was APT von gewöhnlicher, vorwiegend finanziell motivierter Cyberkriminalität trennt, ist die Verbindung aus Dauerhaftigkeit, strategischer Zielsetzung und – als prägendem Merkmal – der verdeckten Urheberschaft zur Vermeidung tragfähiger Attribution. Dass das Verschleiern der Urheberschaft gerade der Vermeidung von Attribution dient, hat der GKND in Anlehnung an die Erkenntnislage europäischer Nachrichten- und Sicherheitsdienste bereits 2021 als Wesensmerkmal hybrider Maßnahmen herausgestellt, deren digitale Ausprägung APT sind.
Vier Staaten prägen die Akteurslandschaft mit unterscheidbaren Zielsetzungen: Russland (Spionage, Sabotagevorbereitung, Einflussnahme), China (Technologiespionage und strategische Präpositionierung in kritischer Infrastruktur), Iran (Spionage und transnationale Repression) sowie Nordkorea (Devisenbeschaffung). Wer die Bedrohung reflexhaft auf Russland reduziert, lässt einen erheblichen Teil des Bedrohungsspektrums außer Acht.
Deutschland zählt nach Einschätzung des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) zu den weltweit am stärksten betroffenen Staaten; rund ein Viertel der global beobachteten staatlich gesteuerten Gruppen richtet sich aktiv gegen deutsche Ziele. Betroffen sind Verwaltung, Parlament und Parteien, Bundeswehr, Rüstung und Forschung ebenso wie kritische Infrastrukturen und Lieferketten.
Die wiederholt gelungenen Zurechnungen – vom Bundestag 2015 über die SPD-Parteizentrale 2023 bis zu den Internetroutern 2026 – belegen, dass die nachrichtendienstliche Lagefeststellung und Lagebeurteilung im Kern funktioniert. Die eigentliche Lücke liegt nicht in der Aufklärung, sondern in Mandatierung von Gegenmaßnahmen, Befugnis und Resilienz; sie ist ein „policy failure", kein „intelligence failure".
Die daraus folgende Befähigungsdebatte – Novellierung des BND-Gesetzes, aktive Cyberabwehr, die Vorgaben des Bundesverfassungsgerichts – ist nüchtern und nach dem Grundsatz „Strong capabilities need strong oversight" zu führen, nicht als einseitige Forderung nach mehr Befugnissen. Ziel muss es sein, die Dienste zu einer zeitgerechten, eigenständigen Lagefeststellung im Cyberraum zu befähigen und sie in eine ressortübergreifend handlungsfähige, europäisch eingebettete und rechtsstaatlich kontrollierte Abwehrarchitektur einzubinden.
Das Phänomen: Begriff, Phasen und die Grenzen der Attribution
Eine Advanced Persistent Threat liegt nach der maßgeblichen Bestimmung des BSI vor, wenn ein gut ausgebildeter, typischerweise staatlich gesteuerter Angreifer über einen längeren Zeitraum sehr gezielt ein IT-Netz oder -System angreift, sich darin bewegt, Informationen sammelt und Manipulationen vornimmt; die international gebräuchliche Definition des US-amerikanischen National Institute of Standards and Technology (NIST) hebt zusätzlich die Anpassung des Angreifers an die Abwehrbemühungen des Verteidigers hervor. Drei Merkmale sind konstitutiv: hoher Ressourcenansatz und ausgeprägte Professionalität (advanced), Dauerhaftigkeit und Tarnung des Zugangs (persistent) sowie ein zielgerichtet und planvoll handelnder Akteur mit Absicht und Fähigkeit (threat).
Gewöhnliche Cyberkriminalität ist meist opportunistisch, breit gestreut und auf rasche Monetarisierung gerichtet; APT-Operationen sind langfristig, zielgerichtet und auf verdeckten Verbleib angelegt. Die Grenze verschwimmt allerdings dort, wo sich Staaten krimineller oder scheinbar „hacktivistischer" Mittler bedienen, um Zurechenbarkeit zu verschleiern. Eine pauschale Vermengung von Cyberkriminalität und APT ist gleichwohl zu vermeiden; gemeint ist hier stets der staatlich gesteuerte, unterstützte oder geduldete Akteur.
Kampagnen lassen sich idealtypisch in Phasen gliedern. Von der Aufklärung über den Erstzugang und die Ausbreitung im Netz bis zur Sammlung, Exfiltration oder Wirkung. Etablierte Modelle dienen dabei nicht als Anleitung, sondern als Taxonomie der Lagefeststellung: Sie ordnen beobachtetes Angreiferverhalten und machen es vergleichbar. Operativ missbrauchbare Einzelheiten sind für das hier Erforderliche entbehrlich.
Die Zuordnung eines Angriffs zu seinem Urheber – die Attribution – ist keine binäre, sondern eine abgestufte Leistung: Sie reicht von der technischen Bündelung von Indikatoren über die Bewertung von Fähigkeiten und Motiven bis zur Benennung eines konkreten Akteurs oder Staates, jeweils mit ausgewiesenen Konfidenzgraden. Sie ist schwierig, weil Werkzeuge geteilt, Zeitstempel gefälscht und fremde Infrastrukturen missbraucht werden („false flags"). Und sie ist politisch hochrelevant, weil erst sie staatliche Reaktionen – Demarchen, Sanktionen, Bündnissolidarität – ermöglicht. Zu unterscheiden ist dabei die technisch-nachrichtendienstliche Zurechnung (Lagefeststellung) von der politischen Entscheidung zur öffentlichen Zuschreibung (Lagebeurteilung). Genau diese Differenzierung hatte der GKND bereits 2021 angelegt, als er das Wesen hybrider Maßnahmen in ihrer verdeckten Urheberschaft verortete.
Globale Akteurslandschaft: Vier Staaten, vier Zielsetzungen
Staatlich gesteuerte Cyberoperationen folgen keiner einheitlichen Logik. Wer die Bedrohung verstehen will, muss die jeweiligen Zielsetzungen der maßgeblichen Akteure identifizieren und auseinanderhalten.
Russland verfolgt nach Einschätzung der deutschen Sicherheitsbehörden eine Dualstrategie aus Cyberangriffen und Desinformation und betrachtet Sabotage zunehmend als Option neben der Spionage, wobei Kollateralschäden in Kauf genommen werden. Arbeitsteilig agieren der Militärnachrichtendienst GRU (Gruppen wie APT28 und Sandworm), der zivile Auslandsnachrichtendienst SVR (APT29) und der Inlandsdienst FSB (Turla). Das BfV spricht seit 2023 von einer neuen Qualität der Sabotagebedrohung.
China gilt den Behörden als ressourcenstärkster und ambitioniertester Akteur; sein Schwerpunkt liegt auf Wirtschafts- und Technologiespionage zur Ertüchtigung der eigenen Volkswirtschaft und Streitkräfte. Hinzu tritt ein qualitativer Wandel: die verdeckte Vorpositionierung in kritischer Infrastruktur, die nicht der Aufklärung (Cyber Network Exploitation/CNE), sondern der Vorbereitung von Wirkungsoptionen (Cyber Network Attack/CNA) für einen möglichen Konfliktfall dient. Charakteristisch ist ein Auftragnehmer- und Frontfirmenmodell des Ministeriums für Staatssicherheit, das dem Staat Abstreitbarkeit verschafft.
Iranische Gruppen verbinden Spionage gegen Regierungen, Wissenschaft und Medien mit transnationaler Repression – der digitalen Verfolgung von Oppositionellen – sowie mit Operationen zur Umgehung von Sanktionen. Nordkorea schließlich nutzt Cyberoperationen vorrangig zur Devisenbeschaffung, etwa durch den Diebstahl von Kryptowährungen, sowie zur Beschaffung von Rüstungstechnologie; in der europäischen Lage rangiert der nordkoreanische Aktivitätszusammenhang inzwischen vor dem iranischen.
Vier Operationen: Wie sich Zielsetzung in Wirkung übersetzt
Vier Beispiele zeigen, wie sich diese Zielsetzungen in konkrete Operationen übersetzen.
Die dem GRU zugeordnete Gruppe APT28 steht für klassische Spionage gegen demokratische Institutionen. Auf sie gehen nach übereinstimmender Zurechnung deutscher und verbündeter Behörden der Angriff auf den Deutschen Bundestag 2015, die Kompromittierung der SPD-Parteizentrale sowie von Unternehmen aus Logistik, Rüstung und Luft- und Raumfahrt 2022/23 und zuletzt eine 2026 von BfV, BND und FBI öffentlich gemachte Kampagne gegen verwundbare Internetrouter zurück. Die Bundesregierung wertete den Angriff auf die SPD als „schwerwiegenden Eingriff in demokratische Strukturen" und stimmte ihre Reaktion eng mit EU und NATO ab.
Das chinesische Begriffspaar „Volt Typhoon" und „Salt Typhoon" markiert die analytisch entscheidende Unterscheidung zwischen CNE und CNA. Während „Salt Typhoon" mit der jahrelangen Durchdringung von Telekommunikationsnetzen klassische Spionage betreibt – der nachrichtendienstliche Wert ist hier bereits realisiert –, hat sich „Volt Typhoon" nach gemeinsamer Bewertung amerikanischer Behörden mit hoher Zuversicht in Netzen kritischer Infrastruktur vorpositioniert, um im Krisen- oder Konfliktfall störend wirken zu können. Diese Verschiebung von der Aufklärung zur Wirkungsvorbereitung ist der Kern der neuen Bedrohung.
Die ebenfalls dem GRU zugeordnete Gruppe Sandworm steht für die Eskalation vom Informations- zum Wirkungsangriff: von den Stromausfällen in der Ukraine über den global wirkenden Schadcode „NotPetya" 2017 bis zu Angriffen auf industrielle Steuerungstechnik. Wie verwundbar auch unbeteiligte Dritte sind, zeigte der Angriff auf das Satellitennetz KA-SAT zu Beginn des russischen Überfalls auf die Ukraine im Februar 2022, der in Deutschland den Fernzugriff auf rund 5.800 Windkraftanlagen ausfallen ließ.
Dass die Bedrohung der deutschen Verteidigungsbasis nicht allein russisch ist, belegt der 2024 bekannt gewordene Angriff der nordkoreanisch verorteten Gruppe Kimsuky auf den Rüstungshersteller Diehl Defence; die Gruppe Lazarus wiederum steht für staatlich organisierten Diebstahl im großen Stil. Die Zuordnungen der jüngsten Vorfälle beruhen teils auf Analysen privater Anbieter und sind mit entsprechendem Wahrscheinlichkeitsvorbehalt zu lesen; herstellerseitige Benennungen ersetzen keine behördliche Feststellung.
Betroffenheit Deutschlands und Europas: Vom Parlament bis zur kritischen Infrastruktur
Die öffentliche Verwaltung ist nach der europäischen Lage der am häufigsten betroffene Sektor; Angriffe auf Parlament, Parteien und Wahlen zielen auf den Kern demokratischer Willensbildung. Als bedeutender Unterstützer der Ukraine und als Standort von Schlüsseltechnologien ist Deutschland zugleich ein vorrangiges Ziel von Aufklärung und Technologieabfluss. Über Rüstungsunternehmen ebenso wie über Hochschulen und Forschungskooperationen.
Energie, Telekommunikation und ihre digitalen Lieferketten sind strategische Ziele. Hier verbinden sich zwei Logiken: die Vorpositionierung für den Wirkungsfall und das vorsorgliche Abschöpfen von Daten, die – Stichwort „harvest now, decrypt later" – erst künftig ausgewertet werden können und sollen. Der GKND hat bereits 2022, mit Blick auf chinesische Direktinvestitionen, vor dem Aufbau „operativ nutzbarer Infrastruktur für den Bedarfsfall" gewarnt und dafür die „Risikogesamtrechnung" als Bewertungsmaßstab vorgeschlagen. Eben diese Akkumulationslogik ist auch der angemessene Rahmen für ein APT-Lagebild: Nicht der Einzelvorfall, sondern seine Häufung und Potenzierung ist zu bewerten. Verbandszahlen zu wirtschaftlichen Gesamtschäden taugen dabei zur Größenordnung, nicht als Beleg.
Deutsche und multilaterale Abwehrarchitektur: Zuständigkeiten und Lücken
Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes wird das BSI Aufsichts- und zentrale Meldebehörde für künftig rund 29.500 Einrichtungen und übernimmt die Rolle des zentralen Informationssicherheitsbeauftragten des Bundes. Resilienz, Härtung, Patch-Disziplin sowie das Meldewesen bleiben die erste Verteidigungslinie.
Das BfV versteht sich als Abwehrdienst mit dem Dreiklang aus Detektion, Disruption und Prävention; BND und MAD ergänzen die Aufklärung im Ausland und im militärischen Bereich. Die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) ist als technische Befähigungsbehörde zu verstehen und verfügt ausdrücklich nicht über eigene Eingriffsbefugnisse. Das Nationale Cyber-Abwehrzentrum bleibt ein Kooperationsgremium ohne eigenes Mandat, ein seit Jahren bekanntes Strukturdefizit. Der 2024 als vierte Teilstreitkraft aufgestellte Cyber- und Informationsraum der Bundeswehr (CIR) wirkt nur im Rahmen mandatierter Einsätze, nicht zur Inlandsgefahrenabwehr. Im CIR ist ausgewiesene technische Expertise gebündelt; die Grenze seiner Wirksamkeit ist daher keine des Könnens, sondern des Mandats.
Wirksamkeit entsteht im Verbund: über die Lagearbeit der EU, hier insbesondere über die EU-CERTs und ENISA, das zunehmend getaktete Zusammenspiel von koordinierter Attribution und Sanktionen sowie gemeinsame Warnhinweise mit Partnerdiensten. Damit dieser Verbund trägt, kommt es auf einen handlungsfähigen nationalen Knoten an: Die fragmentierten Zuständigkeiten in eine ressortübergreifend mandatierte, an die Regierungsspitze angebundene Lage- und Abwehrstruktur zu überführen, bleibt die offene zentrale Reformaufgabe.
Rechtslage, Debatte und Schlussfolgerungen: Befähigung und Mandatierung im Cyberraum
Das Trennungsgebot zwischen Polizei und Nachrichtendiensten ist nicht ausdrücklich im Grundgesetz verankert, aber als verfassungsrechtlich bewehrtes Strukturprinzip anerkannt. Das Bundesverfassungsgericht hat 2020 die strategische Auslandsaufklärung des BND einer „Behörde ohne eigene operative Befugnisse" vorbehalten und zugleich das „überragende öffentliche Interesse an einer wirksamen Auslandsaufklärung" betont. 2024 hat es die strategische Überwachung zur Abwehr von Cybergefahren in Teilen beanstandet und eine Nachbesserung, einschließlich einer Stärkung der parlamentsnahen Kontrolle, mit Fortgeltung längstens bis Ende 2026 aufgegeben.
Der 2026 vorgelegte Entwurf zur Stärkung der Cybersicherheit weist die Befugnisse zur aktiven Cyberabwehr dem Bundeskriminalamt und der Bundespolizei zu, nicht den Nachrichtendiensten. Diese Verortung wahrt das Trennungsgebot, erfasst die grenzüberschreitende, gegen staatliche Akteure gerichtete Dimension von APT-Operationen jedoch nur unzureichend. Gerade sie ist der genuine Aufgabenbereich der Auslandsaufklärung. Aus den Diensten kommt seit Jahren der Hinweis, dass die technische Fähigkeit besteht, allein die Ermächtigung fehlt: Schon 2019 hielt BND-Präsident Bruno Kahl fest, der Dienst stünde bereit: „wenn wir es dürften, wir könnten es". Der frühere BND-Präsident Gerhard Schindler nannte die Lage zuletzt „unterirdisch" und forderte „dringend die Möglichkeit, IT-Angriffe aus dem Ausland aktiv durch entsprechende IT-Gegenangriffe zu bekämpfen". Auch international wird argumentiert, dass rein defensive Abschottung in einem offensiv geprägten Umfeld nicht genügt und ein aktives, vorgelagertes Operieren erforderlich ist. Der Koalitionsvertrag 2025 greift dies auf und will die Fähigkeiten zur aktiven Cyberabwehr „im Rahmen des verfassungsrechtlich Zulässigen" ausbauen.
Eben dieser Rahmen ist entscheidend: Eine auch auf die Unterbindung gegnerischer Infrastruktur gerichtete Rolle der Dienste berührt das Trennungsgebot und die Vorgaben des Bundesverfassungsgerichts und dürfte eine ausdrückliche, gegebenenfalls grundgesetzlich verankerte Grundlage erfordern. Sie ist daher nicht gegen, sondern nur mit belastbarer parlamentarischer und gerichtlicher Kontrolle zu haben — Strong capabilities need strong oversight.
Vor diesem Hintergrund lassen sich vier Folgerungen ziehen, die über das Bekannte hinausweisen.
Erstens verschiebt das Phänomen APT die Cyberbedrohung kategorial von der IT-Sicherheit zur nationalen Sicherheit. Die Vorpositionierung von CNA-Vektoren in kritischer Infrastruktur ist kein bloßes Betreiberproblem, sondern elementarer Gegenstand nachrichtendienstlicher Aufklärung zur frühzeitigen Identifizierung und Eliminierung bereits im Vorfeld eines möglichen Konflikts und mithin „Lagefeststellung und Lagebeurteilung" im eigentlichen Sinne. Wer sie wie gewöhnliche Spionage behandelt, verkennt ihren Charakter als vorgelagerte, potentiell letale Wirkungsoption.
Zweitens belegt das wiederkehrende Muster gelungener Zurechnung, dass die deutsche Aufklärung und Attribution funktionieren. Die häufigsten Einfallstore – ungepatchte Schwachstellen, veraltete Geräte – verweisen auf Versäumnisse in Härtung und Mandatierung, nicht der Aufklärung: ein „policy failure", kein „intelligence failure".
Drittens ist Attribution selbst eine genuin nachrichtendienstliche Leistung mit unmittelbarer sicherheitspolitischer Relevanz. Sie ist Voraussetzung jeder technischen und politisch-operativen Reaktion und Bedingung der Einbringungsfähigkeit in koordinierte Verfahren der Verbündeten; ihre Belastbarkeit entscheidet über ihre Wirkung, denn schlecht belegte Zuschreibung bleibt ein folgenloses Signal. Damit untermauert gerade die APT-Lage das vom Bundesverfassungsgericht anerkannte „überragende öffentliche Interesse an einer wirksamen Auslandsaufklärung".
Viertens sind Befähigung und Kontrolle kein Gegensatz, sondern ein Bedingungsverhältnis. „Strong capabilities need strong oversight" läuft leer, solange keine zeitgemäßen Fähigkeiten zur Verfügung stehen; umgekehrt legitimiert erst eine belastbare parlamentarische, administrative und rechtliche Kontrolle die erweiterten Befugnisse, die die Lage erfordert.
Ziel muss es daher sein, die Dienste umfassend zu einer zeitgerechten, eigenständigen Lagefeststellung im Cyberraum zu befähigen und sie in eine ressortübergreifend handlungsfähige, europäisch eingebettete und rechtsstaatlich kontrollierte Abwehrarchitektur mit klaren Zuständigkeiten, dynamischen Abläufen und ausgeprägter Resilienz einzubinden. Die Versäumnisse von heute, so mahnt der GKND seit der „Zeitenwende", werden bereits morgen nicht mehr zu kompensieren sein und zu gefährlichen Lücken in Gefahrenabwehr und Vorbeugung in den zentralen Bereichen von gesellschaftlicher wie gesamtstaatlicher Daseinsvorsorge und Zukunftsfähigkeit führen. Die aktuell vorbereiteten gesetzlichen Reformvorhaben für BND und BfV werden an diesen Erfordernissen zu messen sein.