Dieser Artikel ist ein Update zu unserem Lagebericht vom 1. April 2026 und unserem Hintergrundartikel zur IRGC-Bedrohung.
Die Deadline
Am 31. März 2026 veröffentlichte die Islamische Revolutionsgarde (IRGC) über die halboffizielle Nachrichtenagentur Tasnim eine Liste von 18 US-Technologieunternehmen, die ab dem 1. April 2026, 20:00 Uhr Teheraner Zeit (18:30 MESZ), als "legitime Ziele" gelten. Die IRGC nannte die Firmen "Hauptakteure bei terroristischen Operationen" und forderte Mitarbeiter auf, ihre Arbeitsplätze sofort zu verlassen. Anwohner im Umkreis von einem Kilometer sollten evakuieren.
Die 18 benannten Unternehmen
Apple, Google, Meta, Microsoft, Nvidia, Intel, IBM, Dell, Cisco, HP, Oracle, Palantir, Tesla, Boeing, GE, JP Morgan sowie zwei in den Vereinigten Arabischen Emiraten ansässige Firmen: G42 (KI-Unternehmen, Abu Dhabi) und Spire Solutions (Cybersecurity, Dubai).
Laut der IRGC-Erklärung liegt die Begründung in der Rolle dieser Firmen bei US-israelischen Militäroperationen: KI-gestützte Zielerfassung, Cloud-Infrastruktur für Militäroperationen und Überwachungstechnologie. Mehrere der genannten Firmen — darunter Palantir, Microsoft, Google, IBM und G42 — haben dokumentierte Verbindungen zum israelischen Militär oder zu israelischen Rüstungsunternehmen (AP News).
Was vor der Deadline bereits passiert war
Die Drohung war nicht aus dem Nichts. Seit Kriegsbeginn am 28. Februar 2026 gab es bereits bestätigte Angriffe:
- Amazon AWS (Anfang März): Iranische Drohnenangriffe trafen zwei AWS-Datencenter in den VAE und eins in Bahrain. Amazon bestätigte Strukturschäden, Stromausfälle und Wasserschäden durch Löscharbeiten. Die Datencenter hosten auch Teile der US-Militärinfrastruktur. (Quelle: AWS Health Dashboard, CNBC)
- Stryker (12. März): Der Medizintechnik-Konzern bestätigte einen Cyberangriff, der eine "globale Netzwerkstörung" der Microsoft-Umgebung verursachte. Die iranisch-verknüpfte Hackergruppe Handala übernahm die Verantwortung. Das Logo der Gruppe erschien auf Stryker-Login-Seiten. (Quelle: CBS News, Wall Street Journal, Brian Krebs)
- Kuwait Airport (1. April): Ein Drohnenangriff verursachte Rauchentwicklung über dem internationalen Flughafen am selben Tag der Deadline. (Quelle: TIME, Reuters)
Was nach 20:00 Uhr Teheraner Zeit bekannt ist
Stand 2. April 2026, 01:00 MESZ — etwa 4,5 Stunden nach der gesetzten Deadline — gibt es keine bestätigten neuen Angriffe auf die 18 benannten Tech-Firmen. Weder CNBC, Reuters, BBC noch Al Jazeera melden bisher Angriffe, die eindeutig der Deadline zugeordnet werden können.
Das bedeutet nicht Entwarnung. Mehrere Szenarien sind plausibel:
- Verzögerung: Drohnen- und Cyberangriffe brauchen Vorlauf. Die Deadline könnte symbolisch gemeint sein
- Cyberangriffe laufen bereits: Chris Krebs (ehemaliger CISA-Direktor) sagte gegenüber CBS, Iran fahre einen "All-Hands-on-Deck"-Ansatz — alle Gruppen, ob Militär, Geheimdienst, Proxies oder Hacktivisten, greifen an
- Verhandlungsdruck: Die Drohung selbst ist das Ziel — Evakuierungen und Kosten für Schutzmaßnahmen als asymmetrische Waffe
- Angriffe wurden abgewehrt: Das Weisse Haus erklärte, iranische Raketenangriffe seien um 90 % und Drohnenangriffe um 83 % zurückgegangen
Kontext: Der Krieg
Seit dem 28. Februar 2026 führen die USA und Israel Krieg gegen Iran. Der Auslöser waren Überraschungsluftangriffe, bei denen unter anderem Revolutionsführer Ali Khamenei, IRGC-Kommandeur Mohammad Pakpour und Sicherheitschef Ali Larijani getötet wurden. Seitdem wurden laut Al Jazeera mindestens 1.937 Menschen im Iran getötet und 24.800 verletzt. 13 US-Soldaten sind gefallen.
Iran hat mit Vergeltungsschlägen auf US-Militärbasen in der Region und Israel reagiert. Die Drohung gegen Tech-Firmen markiert eine Eskalation: vom militärischen Ziel zur zivilen Infrastruktur.
Was IT-Verantwortliche jetzt tun sollten
- Threat Intelligence: IOCs für iranische APT-Gruppen (Charming Kitten, MuddyWater, Handala) aktuell halten. CrowdStrike, Mandiant und Microsoft veröffentlichen laufend Updates
- Cloud-Abhängigkeiten prüfen: Wer AWS, Azure oder GCP in der Golfregion nutzt, sollte Failover-Szenarien testen. Die AWS-Datencenter-Angriffe zeigen: physische Zerstörung von Cloud-Infrastruktur ist kein theoretisches Risiko mehr
- Incident Response bereithalten: Die nächsten Tage und Wochen bleiben kritisch. Die Deadline war möglicherweise nur der Anfang
- Nicht übereagieren: Panik hilft niemandem. Die konkreten Risiken für europäische Unternehmen sind aktuell geringer als für US-Firmen mit Präsenz in der Golfregion. Aber Supply-Chain-Effekte (Cloud-Ausfälle, gestörte Lieferketten) können jeden treffen
Wir aktualisieren diesen Artikel, sobald neue bestätigte Informationen vorliegen.
Quellen: TIME, Gizmodo, CBS News, Al Jazeera, CNBC, Wall Street Journal, Reuters, AWS Health Dashboard, Tasnim News Agency. Alle Fakten mehrfach gegengeprüft. Keine Annahmen, keine Spekulationen über noch nicht bestätigte Angriffe.