Die Lage hat sich seit unserem letzten Bericht zur IRGC-Drohung verschärft. Die iranische Revolutionsgarde (IRGC) hat eine konkrete Deadline gesetzt: Ab 20:00 Uhr Teheraner Zeit am 1. April 2026 (18:30 MESZ) will sie Angriffe auf US-Technologieunternehmen und deren Infrastruktur in der Golfregion durchführen. CNBC, Reuters und Gizmodo haben die Drohung unabhängig bestätigt.
Was wir wissen
- 18 benannte Ziele: Apple, Google, Microsoft, Nvidia, Boeing, Tesla und 12 weitere Unternehmen mit Präsenz in der Golfregion
- Begründung: Vergeltung für "weitere Assassinierungen" im Rahmen des Iran-Israel-USA-Konflikts
- Angriffsarten (angekündigt): Physische Angriffe auf Rechenzentren, Büros und Technologie-Infrastruktur. Implizit: auch Cyberangriffe
- Betroffene Region: Primär VAE, Saudi-Arabien, Bahrain, Qatar
Einordnung: Wie ernst ist die Lage?
Die Drohung ist ungewöhnlich spezifisch. Normalerweise benennt der Iran keine einzelnen Unternehmen. Die Nennung von Tech-Konzernen mit Rechenzentren in der Region (Azure UAE, Google Doha, AWS Bahrain) deutet darauf hin, dass der Iran diese Infrastruktur als strategisch wertvoll und damit als Druckmittel betrachtet.
Ob es zu physischen Angriffen kommt, ist unklar. Historisch nutzt der Iran Drohungen auch als politisches Signal ohne direkte Umsetzung. Allerdings hat die Eskalationsdynamik 2026 eine neue Qualität: Die IRGC hat in den letzten Monaten Drohnenangriffe auf Schiffe in der Strasse von Hormuz deutlich intensiviert.
Was sicher ist: Die Cyberkomponente. Iranische APT-Gruppen (APT33/Elfin, APT35/Charming Kitten, MuddyWater) gehören zu den aktivsten staatlichen Cyberakteuren weltweit. Physische Eskalation wird fast immer von Cyberoperationen begleitet.
Was IT-Verantwortliche in Europa jetzt tun sollten
- Cloud-Regionen prüfen: Haben Sie Workloads in Azure UAE, Google Qatar/Saudi, AWS Bahrain? Wenn ja: Failover-Bereitschaft prüfen. Können Workloads kurzfristig auf europäische Regionen umgeschwenkt werden?
- Threat Intelligence aktualisieren: IOCs für iranische APT-Gruppen in SIEM-Regeln laden. CrowdStrike, Mandiant und Microsoft veröffentlichen regelmässig aktualisierte Indicators.
- VPN/Firewall-Regeln verschärfen: Traffic aus iranischen IP-Ranges (falls nicht bereits blockiert) und bekannten TOR-Exit-Nodes monitoren.
- Incident Response Team informieren: Das IR-Team sollte heute Abend erreichbar sein. Nicht weil ein Angriff sicher ist, sondern weil Vorbereitung kostenlos ist und Reaktion teuer.
- Kommunikation vorbereiten: Falls ein Cloud-Provider Störungen meldet: Wer kommuniziert intern? Wer an Kunden? Vorlagen vorbereiten.
Was wir nicht wissen
Ob die Drohung umgesetzt wird. Ob Cyberangriffe separat oder begleitend stattfinden. Ob europäische Infrastruktur direkt betroffen sein könnte (eher unwahrscheinlich, aber nicht ausgeschlossen bei Cyberoperationen). Und ob die Deadline ein ultimatives Signal oder eine Verhandlungstaktik ist.
Wir aktualisieren diesen Artikel bei neuen Entwicklungen.
Quellen: CNBC, Reuters, Gizmodo, Defence Security Asia. Stand: 1. April 2026, 19:00 MESZ.