Datenspionage gegen deutsche Technologie: Staatliche APT-Gruppen vs. kriminelle Akteure

Das Bundesministerium der Verteidigung warnt im Juni 2026 erneut vor gezielten Spionagekampagnen gegen deutsche staatliche und wirtschaftliche Strukturen. Wer steckt dahinter – und was genau wollen die Angreifer? Ein Überblick über staatliche APT-Gruppen, kriminelle Akteure und die Branchen, die sich gerade besonders warm anziehen sollten.

Spionage, nicht Erpressung: Warum der Unterschied entscheidend ist

Ransomware ist laut. Datenspionage ist leise. Das ist der Clou, den viele Sicherheitsverantwortliche noch immer unterschätzen. Während ein Ransomware-Angriff spätestens beim verschlüsselten Desktop auffällt, kann Cyber-Industriespionage monatelang – teils jahrelang – unbemerkt im Unternehmensnetzwerk stattfinden. Die Angreifer kopieren Konstruktionspläne, Forschungsdaten, Angebotskalkulationen. Kein Alarm. Kein sichtbarer Schaden. Bis ein Wettbewerber plötzlich ein verdächtig ähnliches Produkt auf den Markt bringt.

Genau diese Langfristigkeit ist das Markenzeichen eines Advanced Persistent Threat. APT steht für komplexe, zielgerichtete und vor allem anhaltende Angriffe auf IT-Infrastrukturen mit dem Ziel, dauerhaft Kontrolle zu erlangen und systematisch Informationen abzuziehen. Das Bundesministerium der Verteidigung sieht diese Bedrohungslage nicht als theoretische Übung, sondern als konkrete operative Realität für deutsche Strukturen.

Plot Twist: Die gefährlichsten Angreifer wollen gar kein Geld. Sie wollen Wissen.

Staatliche Akteure: Spionage als Staatsprogramm

Das Landesamt für Verfassungsschutz Baden-Württemberg beschreibt es klar: Staatlich gesteuerte Cyberangriffe werden „in der Regel von speziellen Abteilungen innerhalb militärischer oder nachrichtendienstlicher Organisationen“ durchgeführt – oft unter ziviler Tarnung. Das pikante daran: Diese Einheiten sind häufig besser ausgestattet als die Sicherheitsabteilungen ihrer Ziele.

Staatliche APT-Gruppen arbeiten nach einem klar strukturierten Ablauf. Zunächst verschaffen sie sich über Spear-Phishing, Social Engineering oder das Ausnutzen ungepatchter Schwachstellen initialen Zugang. Dann bauen sie Tunnel und Subnetzwerke auf, eskalieren Privilegien, breiten sich lateral im Netzwerk aus – und beginnen mit der systematischen Datenexfiltration. Das geht nicht in Stunden. Das geht in Wochen und Monaten. Backdoors sorgen dafür, dass sie nach einer möglichen Entdeckung schnell wieder hereinkommen.

Ein konkretes Beispiel aus 2025: Eine chinesische APT-Gruppe kombinierte eine damals neu entdeckte Windows-Schwachstelle (ZDI-CAN-25373) mit der Spionage-Malware PlugX, um europäische diplomatische Einrichtungen über längere Zeiträume auszuspähen. PlugX ist dabei keine brandneue Superwaffe – sondern eine in Spionagekreisen seit Jahren bekannte Malware. Der „Advanced“-Anteil liegt oft weniger in exotischer Technik als in Organisation, Geduld und präziser Zielauswahl.

Attribution bleibt dabei brisant. Behörden sprechen bewusst von „staatlich gesteuert“ oder „im Auftrag von Staaten“ – selten von zweifelsfreier Urheberschaft. APT-Operationen laufen über Proxies, gehackte Infrastrukturen, gemietete Server in Drittländern. Technische Beweise sind schwer zu sichern, politische Konsequenzen folgen oft nur bei nachrichtendienstlicher Bestätigung.

Kriminelle Gruppen: Geld statt Geheimnisse

Hier liegt die wichtigste konzeptionelle Trennlinie. Rein kriminell motivierte Gruppen wollen in der Regel schnelles Geld: Ransomware, Erpressung, Datenverkauf im Darknet. Ihre Operationen sind auf maximale Skalierung ausgelegt – tausende Opfer gleichzeitig, automatisierte Angriffsketten, wenig Aufwand pro Ziel. Cyber-Industriespionage interessiert sie nur insofern, als gestohlene Daten verkaufbar sind.

Wenig überraschend: Die Grenze zwischen kriminell und staatlich verschwimmt zunehmend. Sicherheitsanbieter wie ESET beschreiben APT-Gruppen als „Cyberkriminelle von staatlichen Organisationen oder Organisationen, die im Auftrag von Staaten arbeiten“. Das bedeutet in der Praxis: Staatliche Auftraggeber kaufen Zugänge von sogenannten Initial Access Brokern – kriminellen Zwischenhändlern, die gehackte Netzwerkzugänge versteigern. Kommerzielle Malware taucht in staatlichen Spionagekampagnen auf. Ransomware-Infrastruktur wird für Ablenkungsmanöver genutzt.

Für Unternehmen ergibt sich daraus ein Detektionsproblem. Ein unbekannter Akteur im Netzwerk könnte ein Ransomware-Affiliate sein, der gerade ausspäht – oder ein APT-Operator, der seit drei Monaten systematisch Forschungsdaten kopiert. Die initiale Angriffsphase sieht oft identisch aus.

Branchen-Hotspots: Wer steht besonders im Visier?

Behörden und Sicherheitsbehörden nennen konsistent dieselben Sektoren als bevorzugte Ziele von Cyber-Industriespionage: Rüstung und Verteidigung, Energie und kritische Infrastruktur, Pharma und Biotechnologie, Maschinenbau, Automotive, Luft- und Raumfahrt sowie universitäre Forschung. Nicht weil diese Branchen schlechter geschützt wären, sondern weil das dortige Wissen strategisch wertvoll ist.

Rüstungstechnologie liegt auf der Hand. Konstruktionsdaten eines unbemannten Systems oder Entwicklungsdetails einer neuen Radargeneration haben für fremde Geheimdienste einen offensichtlichen Wert – man spart Jahre eigener Forschung. Energie ist anders gelagert: Hier geht es nicht nur um Spionage, sondern auch um potenzielle Sabotage. APT-Angriffe können als reine Aufklärung beginnen und in der Krise als Hebel genutzt werden.

Pharma und Biotech standen spätestens seit der Pandemie im Fokus. Impfstoff-Entwicklungsdaten, klinische Studien, Patentvorläufer – das ist kommerziell und strategisch zugleich brisant. Der Mittelstand wird dabei systematisch unterschätzt. Die APT-Definition schließt ausdrücklich Groß- und Mittelstandsunternehmen ein, „welche aufgrund ihres Technologievorsprungs potenzielle Opfer darstellen“. Ein Maschinenbauer mit 200 Mitarbeitenden, der eine weltmarktführende Spezialnische bedient, ist ein attraktiveres Ziel als ein schlecht gesicherter Großkonzern ohne relevantes Know-how.

Das pikante daran: Supply-Chain-Angriffe machen auch gut gesicherte Unternehmen angreifbar, wenn ihre Zulieferer oder Dienstleister kompromittiert werden. Die Landesinitiative Cybersicherheit BW benennt verstärkte Angriffe auf Lieferketten als expliziten Trend. Besonders tückisch ist dabei, dass Zulieferer mit geringerem Sicherheitsbudget als Sprungbrett dienen – ein Angreifer, der einmal im Netzwerk eines kleinen Softwaredienstleisters sitzt, kann über legitime Remote-Zugänge in die Systeme deutlich größerer Auftraggeber gelangen, ohne dass dort zunächst ein Alarm ausgelöst wird.

Wie ein APT-Angriff in der Praxis aussieht

Spear-Phishing bleibt der häufigste Eintrittspunkt. Keine generische Spam-Mail, sondern eine sorgfältig recherchierte Nachricht, die den Empfänger namentlich kennt, seinen Vorgesetzten zitiert und auf eine interne Konferenz referenziert. Der Anhang öffnet. Die Backdoor ist installiert. Der Angreifer sitzt drin – und wartet erstmal.

Das Ausbreiten im Netzwerk, in Sicherheitskreisen „Lateral Movement“ genannt, geschieht in kleinen Schritten. Jeder neue Zugang wird dokumentiert, jedes Passwort-Hash gesammelt, jede Freigabe kartiert. Administrative Rechte werden eskaliert. Irgendwann hat der Angreifer Zugriff auf das, was er wollte: das Entwicklungsverzeichnis, die CAD-Dateien, die Forschungsdatenbank.

Die Exfiltration läuft komprimiert und verschlüsselt, oft über legitime Cloud-Dienste oder DNS-Kanäle, die selten geblockt werden. Das Landesamt für Verfassungsschutz Baden-Württemberg betont: Diese Angreifer hinterlassen Backdoors für späteren Zugriff – und kommen wieder, sobald die akute Aufmerksamkeit nachlässt. Manche Kompromittierungen werden erst nach einem Jahr entdeckt, manche nie.

Meiner Einschätzung nach ist die durchschnittliche Verweildauer eines APT-Akteurs im Netzwerk das beste Argument dafür, Incident Response nicht erst nach einem offensichtlichen Vorfall zu üben, sondern kontinuierlich Threat Hunting zu betreiben.

Geopolitische Eskalation als Verstärker: Wenn Spannungen die Angriffsdichte erhöhen

Datenspionage gegen deutsche Technologie ist kein statisches Phänomen – sie schwankt mit der geopolitischen Lage. Sicherheitsforscher beobachten regelmäßig, dass sich die Intensität von APT-Kampagnen im Gleichschritt mit diplomatischen Krisen, Sanktionsrunden oder militärischen Eskalationsstufen verändert. Wenn ein Staat unter wirtschaftlichem Druck steht, verstärkt er häufig seine Anstrengungen, fehlendes Know-how durch Spionage zu kompensieren. Dieser Zusammenhang ist direkt relevant für Branchen, die in geopolitisch sensible Lieferketten eingebunden sind. Wie sehr geopolitische Konflikte die Cyberrisiken für europäische Unternehmen konkret verschärfen, lässt sich etwa am iranischen Konfliktumfeld und seinen Auswirkungen auf die Cyberbedrohungslage nachvollziehen – ein Muster, das sich auf andere Konfliktherde übertragen lässt.

Für Unternehmen bedeutet das: Das eigene Bedrohungsmodell darf nicht statisch sein. Wer heute nicht im Visier steht, kann es in sechs Monaten sein – weil sich die politische Ausgangslage verschoben hat oder weil ein Zulieferer in einem sensiblen Sektor zum Sprungbrett wurde. Threat Intelligence muss deshalb auch geopolitische Entwicklungen einbeziehen, nicht nur technische Indikatoren.

Prävention: Was Unternehmen konkret tun können

Patch-Management ist banal, aber wirksam. Der ZDI-CAN-25373-Fall zeigt: APT-Gruppen kombinieren bekannte Malware mit frischen Schwachstellen. Wer Windows-Systeme zeitnah patcht, nimmt ihnen einen zentralen Angriffsvektor. Das klingt trivial – in der Praxis scheitern Industrieunternehmen regelmäßig daran, weil Produktionssysteme keine Downtime vertragen.

Netzwerksegmentierung begrenzt den Schaden einer erfolgreichen Kompromittierung. Wenn der kompromittierte Entwickler-Laptop keinen direkten Zugang zum Produktionsnetz hat, wird Lateral Movement erheblich aufwendiger. Privileged Access Management – also die Beschränkung administrativer Rechte auf das absolut Notwendige – verlangsamt die Rechteeskalation.

Cyber Threat Intelligence ist der nächste Schritt. Wer weiß, welche APT-Gruppen aktuell auf seine Branche abzielen, kann Detektionsregeln schärfen. Sicherheitsanbieter wie Orange Cyberdefense veröffentlichen regelmäßig Lageberichte, die zeigen, welche Taktiken und Malware-Familien gerade aktiv genutzt werden. Diese Informationen gehören in den Security-Operations-Prozess, nicht ins Regal.

Mitarbeiterschulungen zu Spear-Phishing sind keine einmalige Pflichtveranstaltung. APT-Köder sind hochwertig recherchiert und täuschend echt. Regelmäßige Simulationen mit steigendem Schwierigkeitsgrad sind der einzig verlässliche Weg, die menschliche Verteidigungslinie zu stärken. Technisch klingt das nach Standard – in der Praxis der deutschen Mittelstandslandschaft ist es noch immer keine Selbstverständlichkeit.

Vorfälle melden: Das BSI und die Verfassungsschutzbehörden der Länder sind Anlaufstellen bei konkretem Verdacht auf Datenspionage. Die NIS2-Richtlinie, die in Deutschland umgesetzt wird, verpflichtet bestimmte Unternehmen zur Meldung erheblicher Sicherheitsvorfälle. Wie viele Betriebe diese Pflicht bereits erfüllen, zeigt ein Blick auf aktuelle Zahlen: Laut einem Bericht des Versicherungsmagazins hatten rund 11.500 Unternehmen ihre NIS2-Registrierungspflicht erfüllt – was angesichts der Gesamtzahl betroffener Betriebe eher bescheiden wirkt.

Das Detektionsproblem: Warum APTs so selten auffliegen

Staatliche APT-Akteure sind darauf optimiert, unter dem Radar zu bleiben. Sie nutzen legitime Administrationstools, die in Netzwerklogs nicht sofort auffallen. Sie bewegen sich zu Geschäftszeiten, um im normalen Rauschen zu verschwinden. Sie exfiltrieren langsam und in kleinen Chargen, um Anomalie-Erkennungssysteme nicht zu triggern.

Klassische Antiviren-Software erkennt diese Aktivitäten schlecht bis gar nicht. EDR-Systeme (Endpoint Detection and Response) sind deutlich effektiver – aber nur, wenn die Signaturen und Verhaltensprofile aktuell gehalten werden und ein Team dahintersteht, das die Alerts auch auswertet. Ein ungemoniteter EDR-Alert ist wertlos.

Das ist auch der Grund, warum Cyberangriffe gegen deutsche Unternehmen statistisch stark unterschätzt werden. Ein erheblicher Teil der Vorfälle wird nie entdeckt, ein weiterer Teil nie gemeldet. Die öffentlich verfügbaren Zahlen zeigen nur die Spitze. Deutschland gilt nach aktuellen Auswertungen als Europas meistangegriffenes Land – wobei der unsichtbare Teil der Datenspionage in dieser Statistik strukturell fehlt.

Warum viele Sicherheitsstrategien an der APT-Realität vorbeigehen

Ein verbreitetes Missverständnis in Unternehmen ist die Gleichsetzung von Sicherheit mit Perimeterschutz: Firewall, Virenschutz, E-Mail-Filter – und dann sei man geschützt. APT-Akteure setzen genau dort an, wo diese Kontrollen enden oder umgangen werden können. Spear-Phishing richtet sich nicht gegen die Firewall, sondern gegen den Menschen davor. Legitime Administrationstools wie PowerShell oder Windows Management Instrumentation werden genutzt, weil sie selten geblockt werden.

Ein realistisches Praxis-Szenario: Ein Entwickler in einem mittelständischen Automatisierungsspezialisten öffnet eine scheinbar interne E-Mail mit einer Einladung zur Produktdemo. Das angehängte PDF enthält ein Makro, das eine Verbindung zu einem extern kontrollierten Server aufbaut. Der Angreifer nutzt die nächsten Wochen, um Berechtigungen zu eskalieren und schließlich auf ein Netzlaufwerk zuzugreifen, auf dem Steuerungsquellcode für Fertigungsanlagen liegt. Die eigentliche Exfiltration erfolgt über einen legitimen Cloud-Speicherdienst, den das Unternehmen selbst nutzt – und dessen ausgehender Datenverkehr nicht überwacht wird. Der Vorfall fällt erst auf, als ein Wettbewerber auf einer Fachmesse ein funktional identisches System vorstellt.

Dieses Szenario ist nicht konstruiert. Es beschreibt das typische Muster, das Sicherheitsbehörden und Incident-Response-Teams immer wieder dokumentieren. Der Schaden ist in solchen Fällen schwer zu beziffern: Kein System fiel aus, keine Daten wurden verschlüsselt, keine Lösegeldforderung erschien. Und doch ist jahrelange Entwicklungsarbeit in fremde Hände übergegangen.

Staatlich oder kriminell: Was für die Verteidigung wirklich zählt

In der taktischen Verteidigung ist die Frage „staatlich oder kriminell?“ weniger relevant als oft angenommen. Die technischen Maßnahmen gegen Lateral Movement, Datenexfiltration und Backdoors sind dieselben – egal ob dahinter ein Geheimdienstoffizier oder ein finanziell motivierter Hacker sitzt. Was sich unterscheidet, ist die Risikoabschätzung: Ein staatlicher Akteur gibt nicht auf, nur weil ein Angriff misslingt. Er probiert es über einen anderen Weg.

Meiner Meinung nach ist das der wichtigste Denkfehler in vielen Sicherheitsstrategien: Unternehmen planen für den einzelnen Vorfall, nicht für den persistenten Angreifer, der bereit ist, monatelang zu warten und Taktiken anzupassen. Genau das macht den „Persistent“-Teil von APT so ernst zu nehmen.

Die Warnung des BMVg im Juni 2026 ist kein neues Thema – aber ein Reminder, dass Cyber-Industriespionage kein abstraktes Zukunftsrisiko ist. Die Kampagnen laufen gerade. In diesem Moment. In Netzwerken, deren Besitzer noch nichts ahnen.

Was bleibt – und was Sie jetzt tun sollten

Wer verantwortlich für IT-Sicherheit in einem technologieintensiven Unternehmen ist, sollte drei Fragen ehrlich beantworten: Wie lange würde es dauern, bis ein unbekannter Akteur in meinem Netzwerk entdeckt wird? Werden EDR-Alerts aktiv ausgewertet – oder laufen sie in eine Queue, die niemand liest? Gibt es einen Prozess für den Verdachtsfall Datenspionage, inklusive Meldewegen zu BSI und Verfassungsschutz?

Wer mindestens eine dieser Fragen nicht sicher mit „Ja“ beantworten kann, hat Handlungsbedarf. Nicht irgendwann. Jetzt.