Cyberangriffe auf Bundeswehrzulieferer: was jetzt auf Unternehmen mit Zugang zu VS-NfD-Informationen (im Folgenden: VS-NfD-Zulieferer) zukommt.

Einleitung

Die Sicherheitslage im digitalen Raum hat sich drastisch verschärft. Jüngste Recherchen von NDR und WDR zeigen: Russische Hacker nehmen gezielt die Bundeswehr und deren Zulieferer ins Visier. Besonders betroffen sind Unternehmen mit Zugang zu als "Verschlusssache - Nur für den Dienstgebrauch" (VS-NfD) eingestuften Informationen. Diese Entwicklung markiert einen Wendepunkt in der Bedrohungslage für sicherheitsrelevante Unternehmen in Deutschland.

Zielgerichtete Cyberangriffe auf VS-NfD-Zulieferer

Die Angriffe erfolgen hochprofessionell, oftmals durch Gruppen wie "APT28" (auch bekannt als Fancy Bear) oder "Sandworm", die von zahlreichen westlichen Sicherheitsdiensten dem russischen Militärgeheimdienst GRU zugerechnet werden. Die Angreifer nutzen Schwachstellen in IT-Systemen, unzureichend abgesicherte Kommunikationswege oder menschliche Fehler aus, um an sensible Informationen zu gelangen. Im Visier stehen nicht nur militärische Systeme, sondern gezielt auch Dienstleister und Zulieferer mit Zugang zu sicherheitskritischen Daten.

Was bedeutet das für VS-NfD-Zulieferer?

Die Konsequenzen dieser Entwicklung sind weitreichend. Unternehmen, die mit VS-NfD-Daten arbeiten oder Zugriff auf Systeme mit dieser Einstufung haben, müssen ihre Sicherheitsstandards drastisch erhöhen. Die wichtigsten Anforderungen im Überblick:

1. Sicherheitsaudits & Penetrationstests

Unternehmen sind angehalten, ihre gesamte IT-Infrastruktur regelmäßig extern prüfen zu lassen. Penetrationstests und Schwachstellenanalysen helfen, Sicherheitslücken frühzeitig zu identifizieren.

2. Höhere Compliance-Anforderungen

Die Einhaltung sicherheitsrelevanter Vorgaben wird zur Pflicht. Dazu gehört unter anderem die sichere Verarbeitung von VS-NfD-Daten, klare Rollen- und Rechtemodelle sowie die Nutzung zugelassener Kommunikationsplattformen.

3. Erweiterte Mitarbeiterüberprüfung

Personen mit Zugang zu sensiblen Daten müssen sich intensiveren Background-Checks unterziehen. Die Vergabe von Rechten wird restriktiver gehandhabt.

4. Verpflichtende Zusammenarbeit mit Sicherheitsbehörden

Bei sicherheitsrelevanten Cybervorfällen besteht eine Meldepflicht an das BSI. Unternehmen mit VS-NfD-Bezug sollten zusätzlich abgestimmte Prozesse zur Kommunikation mit Behörden definieren – insbesondere, wenn sicherheitsrelevante staatliche Stellen (z.B. Bundeswehr, Behörden) involviert sind. In Fällen mit Spionageverdacht oder gezielter Ausforschung kann auch eine Kontaktaufnahme zum BfVerfolgen – dies ist jedoch keine verpflichtende Meldung, sondern erfolgt in Abstimmung mit dem BSI oder über das Nationale Cyber-Abwehrzentrum.

5. Vertrags- und Haftungsrisiken

Fehler im Umgang mit VS-NfD-Daten oder Sicherheitsvorfälle können schwerwiegende rechtliche und finanzielle Konsequenzen haben. Je nach Vertragslage und Vergabekriterien können Verstöße zum Ausschluss aus sicherheitsrelevanten Projekten führen oder haftungsrechtliche Folgen nach sich ziehen.

6. Pflicht zur Selbstakkreditierung bis 01.09.2025

Gemäß der neuen Verschlusssachenanweisung (VSA), die Anfang 2024 in Kraft trat, müssen sich alle Unternehmen, die mit VS-NfD-Daten umgehen, bis spätestens zum 1. September 2025 selbst akkreditieren. Diese Selbstakkreditierung beinhaltet unter anderem die Umsetzung technischer und organisatorischer Mindestmaßnahmen, die Etablierung eines Sicherheitskonzepts sowie die Bestätigung der Einhaltung durch eine verantwortliche Person im Unternehmen. Die konkrete Ausgestaltung der Selbstakkreditierung ist in den begleitenden Verwaltungsvorschriften und Umsetzungsrichtlinien geregelt. Ohne diese Akkreditierung droht der Verlust von Aufträgen oder Zugangsrechten zu sicherheitsrelevanten Informationen.

Die sicherheitspolitische Einordnung: Wie ernst ist die Lage?

Der Bundesverfassungsschutz und die NATO sprechen von einem fortlaufenden hybriden Konflikt, in dem Cyberangriffe zu einem zentralen Element russischer Einflussnahme geworden sind. Deutschland ist dabei nicht nur ein politisches, sondern auch ein technologisches Angriffsziel. Die Sabotage von Infrastruktur, die Spionage militärischer Kommunikation und das Auslesen von Entwicklungsdaten sind reale Gefahren.

Empfehlungen für betroffene Unternehmen

Angesichts der zugespitzten Lage ist schnelles Handeln gefragt. Unternehmen mit VS-NfD-Bezug sollten folgende Schritte umgehend einleiten:

• Durchführung externer IT-Sicherheitsaudits
• Implementierung eines ISMS nach BSI-Standards (z. B. IT-Grundschutz, ISO 27001)
• Schulung aller Mitarbeiter zu Cybersecurity-Standards
• Etablierung von Notfallplänen und Reaktionsmechanismen
• Enge Abstimmung mit zuständigen Sicherheitsbehörden
• Planung und Durchführung der Selbstakkreditierung gemäß VSA bis spätestens 01.09.2025

Zahlreiche Ressourcen, Hintergrundinformationen und Orientierungshilfen zur Selbstakkreditierung finden sich unter anderem auf vs-nfd.advisori.de, unserer privat betriebenen Informationsplattform rund um die Umsetzung der neuen VSA-Anforderungen.

Ein zusätzlicher Hinweis aus unserer Praxis:

Viele Unternehmen unterschätzen den Aufwand für die vollständige Umsetzung der Selbstakkreditierung – insbesondere die Dokumentation und technische Absicherung gemäß den Vorgaben der VSA. Frühzeitige Begleitung durch erfahrene Informationssicherheitsberater kann helfen, unnötige Reibungsverluste zu vermeiden. Ein häufiger Stolperstein ist beispielsweise die korrekte Zonierung der IT-Systeme im Kontext VS-NfD. Wer hier klar dokumentiert und prüfbar trennt, kann gegenüber Behörden und Auftraggebern nachweisen, dass keine vermischten Datenströme existieren – ein oft unterschätzter Compliance-Vorteil.

Fazit

Die Zeiten, in denen Cybersecurity eine rein technische Frage war, sind vorbei. VS-NfD-Zulieferer stehen im Zentrum einer geopolitischen Auseinandersetzung, die digitale, wirtschaftliche und militärische Ebenen gleichermaßen betrifft. Nur wer jetzt handelt, kann seine Systeme und seine Rolle in der sicherheitsrelevanten Lieferkette nachhaltig schützen.

Die Uhr tickt.

Hinweis: Dieser Beitrag basiert auf journalistischen Recherchen von NDR/WDR sowie aktuellen Sicherheitsanalysen deutscher und europäischer Sicherheitsbehörden.

Originalbericht unter: tagesschau.de/cyberangriffe-bundeswehr-russland-100.html