Hybride Bedrohungen treffen den blinden Fleck moderner Sicherheitspolitik

Im Februar 2022 wird das Satellitennetz KA-SAT durch einen Cyberangriff gestört. In Deutschland sind dadurch zeitweise tausende Windkraftanlagen nicht mehr aus der Ferne erreichbar i. Am 8. Oktober 2022 fällt in Norddeutschland zeitweise der Zugfunk der Deutschen Bahn aus, nachdem Glasfaserkabel in Berlin und Herne durchtrennt worden sind i. Im Oktober 2023 wird der kommunale IT-Dienstleister Südwestfalen-IT angegriffen, woraufhin in Dutzenden Städten Verwaltungsdienste nur noch eingeschränkt funktionieren i. Im November 2024 werden in der Ostsee zwei Unterseekabel zwischen Finnland, Deutschland, Schweden und Litauen beschädigt i. Für sich genommen wirken solche Vorfälle wie technische Störungen, einfache Sabotageakte oder einzelne Sicherheitsereignisse. Zusammen betrachtet zeigen sie jedoch ein Muster, das darauf abzielt, kritische Infrastruktur zu verwunden, und damit auch die demokratische Handlungsfähigkeit einer Gesellschaft.

Genau darin liegt die Logik hybrider Angriffe. Sie verbinden digitale, physische und psychologische Mittel. Nicht jeder Vorfall ist automatisch Teil einer zentral gesteuerten Strategie, doch die wiederholte Häufung solcher Ereignisse zwingt irgendwann zu der Frage: Wann endet eine normale Störungslage, und wann beginnt strategische Destabilisierung?

Der entscheidende Punkt ist die Wirkung solcher Angriffe. Sie sollen Unsicherheit erzeugen, Vertrauen beschädigen und politische Reaktionen in einem demokratischen System erschweren. In der Summe entsteht aus einzelnen Störungen ein strategisch gewolltes Problem: Die Gesellschaft verliert den Überblick darüber, ob sie es mit Zufällen, Kriminalität oder einer koordinierten Strategie zu tun hat.

Besonders gefährdet ist hierbei vor allem kritische Infrastruktur. Dazu zählen Stromversorgung, Telekommunikation, Verkehr, Gesundheitswesen, Wasser, Verwaltung und Logistik. Störungen in diesen Bereichen haben eine hohe Hebelwirkung und treffen den Alltag vieler Menschen. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) warnt ausdrücklich, dass kritische Infrastrukturen in Deutschland durch verdeckte Cyberangriffe, Spionage, Sabotage und Desinformationskampagnen bedroht werden i.

Während diese Aktivitäten mittlerweile explizit als Teil breiterer und langfristiger Kampagnen erkannt werden, bleibt die öffentliche Wahrnehmung oft fragmentiert. Medien berichten primär über einzelne Vorfälle: ein Cyberangriff hier, ein Sabotageakt dort. Das ist journalistisch verständlich, weil Nachrichten an konkrete Ereignisse gebunden sind. Strategisch ist es aber ungenügend, wenn planmäßige destruktive Muster hinter Einzelmeldungen verschwinden. Hier entsteht eine gefährliche Informationslücke, da die Angreifer langfristig denken und hybride Maßnahmen selten auf den einen großen Schlag ausgelegt sind. Häufig geht es um Ermüdung und Verunsicherung der Bevölkerung, um ein Klima des Misstrauen gegenüber den eigenen Behörden, Medien und demokratischen Institutionen zu schaffen.

Hier kommt die psychologische Ebene von hybriden Angriffen in Form von Desinformation ins Spiel. Gezielte Desinformation kann Menschen davon überzeugen, dass es keine zuverlässigen Informationsquellen mehr gäbe. Demokratische Institutionen werden als handlungsunfähig dargestellt, während die politische Opposition zum Feind erklärt wird. Microsoft zufolge nutzten staatliche Akteure 2025 zunehmend KI, um ihre Cyber- und Einflussoperationen zu professionalisieren und Kampagnen effizienter zu skalieren i.

Deshalb reichen meist auch reine Faktenchecks nicht aus. Während ein einfacher Faktencheck lediglich eine konkrete Behauptung korrigiert, arbeitet hybride Einflussnahme oft mit Stimmungen, Wiederholungen und vor allem Misstrauen. Man muss schließlich nicht jeden überzeugen: Es reicht, genug Menschen zu verunsichern, damit die Grundlage für eine gemeinsame Wirklichkeit zerfällt. Eine demokratische Gesellschaft kann Konflikte aushalten. Sie wird aber geschwächt, wenn sie sich nicht mehr darauf einigen kann, was überhaupt real ist.

Dabei muss andererseits vermieden werden, automatisch jeden Vorfall als Teil einer großen Angriffsstrategie zu verbuchen. Nicht jede IT-Störung ist Sabotage und nicht jede Falschinformation ist staatlich gesteuert. Wer alles sofort als hybride Kriegsführung bezeichnet, verliert Glaubwürdigkeit. Der bessere Ansatz ist vielmehr, einzelne Ereignisse ernst zu nehmen, kritisch zu analysieren und einzuordnen.

Gleichzeitig darf wiederum Vorsicht nicht mit Blindheit verwechselt werden. Seit dem russischen Angriffskrieg gegen die Ukraine haben deutsche Behörden eine deutliche Zunahme hybrider Bedrohungen gegen Deutschland und Europa wahrgenommen i. Vor allem Russland, China, Nordkorea und Iran gelten laut BBK als Staaten, von denen primär Cyberangriffe, Spionage und Abhörmaßnahmen gegen kritische Infrastrukturen ausgehen i. Bei Russland kommt nach Einschätzung der Behörde zusätzlich die Gefahr von Sabotage und groß angelegter Desinformation hinzu.

Auch auf europäischer Ebene wird inzwischen stärker darauf reagiert. Die EU hat mit der Critical Entities‘ Resilience (CER) Richtlinie und der NIS2-Richtlinie neue Vorgaben für den Schutz kritischer Einrichtungen und eine verbesserte Cybersicherheit geschaffen i. Dieser Resilienzansatz legt den Fokus stärker auf Abhängigkeiten zwischen verschiedenen Teilen der Gesellschaft, damit Kaskadeneffekte erkannt und Schäden besser antizipiert werden können i. Die CER-Richtlinie verpflichtet Mitgliedstaaten ebenfalls dazu, Risiken für wesentliche Dienste zu bewerten und kritische Einrichtungen zu identifizieren. Und kritische Einrichtungen wie Energieversorger, Krankenhäuser, Kommunikation oder Transport betreffen den Alltag aller Bürgerinnen und Bürger.

Seriöse Analysen dürfen nicht so tun, als sei jede Verbindung zu mutmaßlichen hybriden Kriegstaktiken bewiesen. Sie müssen unterscheiden zwischen bestätigten Fakten, plausiblen Zusammenhängen und offenen Fragen. Differenzierung ist kein Luxus, sondern notwendiger Bestandteil für Sicherheit und Glaubwürdigkeit. Eine zentrale Gefahr liegt also nicht nur im hybriden Angriff selbst, sondern auch in der falschen Reaktion darauf. Wer nur punktuell reagiert, bleibt in der Strategie des Angreifers gefangen. Die Falle ist reaktives Handeln, statt proaktiver und strategischer Aufstellung.

Hybride Angriffe müssen systemisch erklärt werden, weil sie auf Systeme zielen. Die Aufgabe von Öffentlichkeit, Journalismus und konkreten Behörden darf sich nicht mehr nur in vereinzelten Meldungen und separaten Reaktionen erschöpfen. Notwendig ist ein kontinuierlicher Blick auf die Verbindungslinien zwischen digitalem Angriff, physischer Verwundbarkeit und psychologischer Wirkung. Erst dann wird sichtbar, ob eine Gesellschaft nur mit punktuellen Störungen lebt oder ob sie bereits Teil eines strategischen Druckraums infolge hybrider Kriegsführung geworden ist. Für strategische Orientierung und langfristige Handlungsfähigkeit ist es wichtig, dass wiederkehrende Muster nicht in Einzelmeldungen verschwinden. Genau darin liegt der Wert: nicht lauter zu warnen, sondern genauer hinzusehen.