Verdeckte russische Operationen gegen europäische Sicherheits-, Versorgungs- und Wirtschaftsinfrastruktur gibt es nicht erst seit dem Ukraine-Krieg. Allerdings verschärft sich zusehends die Lage. Bis anhin neigt der Westen dazu, sich unter der Gefahr wegzuducken.
Oliver Rolofs09.12.2025, 05.30 Uhr
Leben mit Stromausfällen ist in Kiew ist Routineübung geworden. Aufnahme vom Oktober 2025.
Thomas Peter / Reuters
Es war ein Vorgang, der in normalen Zeiten kaum über die norwegischen Lokalmedien hinausgekommen wäre: Im April 2025 übernehmen unbekannte Hacker die Steuerung eines Staudamms im westnorwegischen Bremanger, öffnen ein Fluttor, lassen stundenlang Wassermassen ablaufen. Monate später bestätigt der norwegische Sicherheitsdienst, dass prorussische Akteure dahintergestanden seien. Der Angriff sei weniger Sabotage als eine Demonstration der eigenen Fähigkeiten gewesen – ein Warnschuss für Europa.
Optimieren Sie Ihre Browsereinstellungen
NZZ.ch benötigt JavaScript für wichtige Funktionen. Ihr Browser oder Adblocker verhindert dies momentan.
Bitte passen Sie die Einstellungen an.
Europa befindet sich in einem Konflikt, den viele bis jetzt nicht als solchen wahrhaben wollen. Während Russland seit Jahren die Ukraine mit einem brutalen Krieg überzieht, führt der Kreml parallel einen verdeckten Feldzug gegen Europas wirtschaftliche und technologische Souveränität. Dieser hybride Angriff begann nicht erst mit dem Krieg von 2022. Bereits der Cyberangriff auf Estland im Jahr 2007 – der erste grossflächige digitale Angriff auf einen europäischen Staat – zeigte, wie der Kreml Verwundbarkeiten als strategisches Instrument nutzt. Was viele damals noch als isolierten Cybervorfall einstuften, markierte tatsächlich den Beginn einer systematischen Ausweitung russischer Hybridoperationen.
Logik der Verwundbarkeit
Heute sind die Angriffsflächen nicht auf militärische Strukturen der Nato beschränkt, sondern erstrecken sich auf Unternehmen, Rohstoffprojekte, Unterseekabel, den Informationsraum und letztlich die öffentliche Meinung unserer Gesellschaft. Dieser Konflikt folgt keiner klassischen Logik von Fronten, sondern der Logik der Verwundbarkeit. Und die Verwundbarsten sind jene, die massgeblich Europas Zukunft tragen: Energieversorger, Rohstoffunternehmen und Betreiber kritischer Infrastruktur.
Der hybride Krieg Russlands endet jedoch nicht an der EU-Aussengrenze – er reicht tief in die Ukraine hinein.
Die Cyberangriffe der vergangenen drei Jahre haben dies schonungslos offengelegt. Die EU-Cybersicherheitsagentur Enisa verzeichnete 2024 über 11 000 schwerwiegende Vorfälle – ein neuer Höchststand. Besonders auffällig ist der Anstieg bei Attacken auf industrielle Steuerungen, die inzwischen fast ein Fünftel aller erfassten Angriffe ausmachen.
Seit dem Viasat-Vorfall 2022, der die satellitengestützte Fernüberwachung von mehr als 5800 Enercon-Windrädern lahmlegte, ist klar, dass Russland gezielt jene Sektoren attackiert, die für die europäische Energiewende unentbehrlich sind. Vestas, Nordex, französische Übertragungsnetzbetreiber und italienische Umspannwerke wurden Opfer komplexer Angriffe. Auch der finnisch-schwedische Energieversorger Fortum verzeichnet seit dem Nato-Beitritt Finnlands und Schwedens im Jahr 2023 regelmässig Cyberangriffe auf seine Anlagen und kritischen Infrastrukturen. Solche zeitlichen Koinzidenzen sind kaum Zufall, vielmehr zeugen sie von strategischer Absicht.
Auch im maritimen Raum häufen sich die Angriffe auf kritische Infrastrukturen, oftmals in Verbindung mit der russischen Schattenflotte, einer wachsenden Armada von oft alten und schlecht gewarteten Schiffen, die von Russland und anderen Akteuren genutzt werden, um westliche Sanktionen und den Ölpreisdeckel zu umgehen. Die Beschädigung des Balticconnector zwischen Finnland und Estland und eines estnischen Seekabels 2024 folgte Mustern, die europäische Nachrichtendienste seit Jahren russischen Akteuren zuschreiben. Norwegische und britische Behörden beobachten seit 2023 verdächtige Routen russischer Forschungsschiffe entlang zentraler Unterseekabel in der Nord- und der Ostsee bis hin zur Irischen See. Diese Kabel, über die der Grossteil des europäischen Datenverkehrs läuft, gelten schon lange als Zielscheiben hybrider Operationen.
Parallel dazu nutzt Russland wirtschaftliche Erpressung als geopolitisches Instrument. Die Enteignungen von in Russland aktiven Tochterfirmen von Danone und Carlsberg im Jahr 2023 stehen beispielhaft für ein neues russisches «Exit-Regime», das westliche Unternehmen in massive Verluste treibt.
Wertvolle Vermögenswerte wurden per Dekret unter staatliche Verwaltung gestellt und später zu Schleuderpreisen an kremlnahe Käufer übertragen. Unternehmen, die Russland verlassen wollen, müssen heute Zwangsabschläge von bis zu 60 Prozent hinnehmen und zusätzliche Abgaben leisten – ein Mechanismus, durch den westliche Firmen seit Kriegsbeginn unfreiwillig über 60 Milliarden Dollar in die russische Staatskasse gespült haben.
Härtere Bandagen
Auch vor einer härteren Gangart scheint man nicht zurückzuschrecken. Immer wieder werden in Deutschland Anschläge oder Sabotageakte registriert, die sicherheitsbehördlich als potenziell russische Störaktionen bewertet werden: Brandanschläge auf Verteilerkästen der Deutschen Bahn, der Versuch, das Trinkwassersystem der Fregatte «Hessen» der Deutschen Marine in Wilhelmshaven mit Altöl zu verunreinigen, oder sogar die mutmassliche Planung eines Anschlags gegen den Rheinmetall-Chef Armin Papperger, die westliche Dienste einem deutsch-russischen Netzwerk zuschrieben. Der Fall zeigt, dass strategisch relevante Wirtschaftsakteure zunehmend auch physischer Bedrohung ausgesetzt sind.
Zugleich intensiviert Moskau seine Aktivitäten im Informationsraum. Die «Doppelgänger»-Kampagne, bei der gefälschte Nachrichten-Sites westlicher Medien eingesetzt werden, ist nur die sichtbarste Methode. Weniger auffällig, aber wesentlich wirkungsvoller sind die gezielten Zulieferungen vermeintlicher Leaks. Seit 2024 erhalten europäische Investigativredaktionen vermehrt anonyme Datenpakete mit internen Unterlagen grosser Energie- und Rohstoffunternehmen – häufig echt, oft manipuliert, immer aber mit dem erkennbaren Ziel, Misstrauen zu säen, Narrative der Verwundbarkeit zu verstärken und letztlich auch Unternehmenswerte zu zerstören.
Sicherheitsbehörden halten es für wahrscheinlich, dass Teile dieses Materials durch russische Cyberangriffe beschafft und anschliessend über Strohleute in die öffentliche Debatte eingespeist werden. Die Muster entsprechen bekannten Methoden des russischen Auslandsdienstes (SWR), der wirtschaftliche und energiepolitische Informationen sammelt, aber ebenso klassische Operationen zum Zweck der Einflussnahme orchestriert, um strategisch relevante Projekte zu diskreditieren. Damit wächst das Risiko, dass Medien ungewollt zu Verstärkern fremder Dienste werden.
Wie solche Einfluss-Operationen funktionieren können, zeigte bereits die «Bettwanzen-Panik» in Paris im Herbst 2023. Was als Social-Media-Episode begann, führte binnen Tagen zu europaweiter Aufregung. Westliche Sicherheitsbehörden stellten später fest, dass die Dynamik gezielt verstärkt wurde – vor allem über Accounts aus russischen und teilweise chinesischen Einfluss-Netzwerken. Das mutmassliche Ziel: Frankreich kurz vor den Olympischen Spielen unvorbereitet und überfordert erscheinen zu lassen und so zu diskreditieren.
Ein ähnliches Muster zeichnet sich nun im Fall des Unternehmens Norge Mining ab, das in ein geopolitisches Fadenkreuz geraten zu sein scheint. Das anglo-norwegische Unternehmen erschliesst in Südwestnorwegen eines der grössten europäischen Vorkommen von Phosphat, Vanadium und Titan – Rohstoffe, die Europa für seine Energie-, Batterie- und Rüstungsindustrie dringend benötigt. Die geplante Förderung ab 2030 könnte Europas Abhängigkeit von Russland und China substanziell reduzieren. Seit mehreren Monaten jedoch wird das Projekt von einer Kette auffälliger Vorfälle begleitet: anonyme Dossiers, geleakte Unternehmensdaten, offenbar gesteuertes Whistleblowing, gefälschte Wirtschaftlichkeitsanalysen, Angriffe auf interne IT-Systeme und eine daraus resultierende Medienkampagne sowie die Mobilisierung der örtlichen Bevölkerung gegen das Unternehmen. Auch hier liegt der Verdacht nahe, dass der SWR dahintersteckt.
Operationen im Innern der Ukraine
Der hybride Krieg Russlands endet jedoch nicht an der EU-Aussengrenze – er reicht tief in die Ukraine hinein. Die jüngsten grossen Korruptionsaffären im ukrainischen Energiesektor offenbaren eine gefährliche Schnittstelle zwischen Bereicherung, staatlicher Unterwanderung und russischer Einflussnahme. Ermittlungen zeigen, dass Teile der mutmasslichen Geldwäscherei mit dem Netzwerk des Politikers Andri Derkach in Verbindung stehen – eines offiziell benannten russischen Agenten, der mittlerweile dem russischen Parlament angehört. Mitglieder seines Teams waren im ukrainischen Staatskonzern Enerhoatom beschäftigt und sollen aktiv an der Korruptionsstruktur mitgewirkt haben.
Damit stellt sich die Frage, ob es in diesen Fällen nur um persönliche Bereicherung ging – oder um gezielte Sabotage der ukrainischen Energieinfrastruktur. Die Folgen waren real: erhöhte Risiken für Blackouts, Verzögerungen bei Reparaturen, geschwächte Verteidigungsfähigkeit. Genau das, wovon Russland unmittelbar profitiert. Immer deutlicher zeigt sich, dass Korruption in der Ukraine nicht nur ein internes Problem ist, sondern auch ein Werkzeug russischer Staatskunst – ein Instrument, um die Widerstandskraft des Landes systematisch zu unterminieren. Die ukrainischen Sicherheitsbehörden müssen solche Fälle daher nicht nur als Korruption behandeln, sondern auch als mögliche Akte feindlicher Penetration.
Europa steht vor einer strategischen Herausforderung, die lange unterschätzt wurde. Der Wirtschaftskrieg des Kremls richtet sich gegen das industrielle Rückgrat des Kontinents: Energieunternehmen, Häfen, Rohstoffprojekte, Datenkabel, Logistikzentren, Strom-Trassees. Russland führt diesen Krieg längst koordiniert, wie die Beispiele in der Ukraine und in Norwegen zeigen – Europa verteidigt sich bis jetzt fragmentiert.
Eine wirksame Antwort erfordert drei Dinge: Erstens müssen Staaten kritische Industrie- und Rohstoffprojekte als Teil ihrer Sicherheitsarchitektur begreifen, mit eng verzahnten Nachrichtendienst- und Cyberstrukturen, robusten Schutzstandards und der systematischen Überwachung kritischer Unterwasserinfrastruktur. Zweitens brauchen Unternehmen Frühwarnsysteme gegen Desinformation, verpflichtende Resilienzstandards, End-to-End-Sicherheit ihrer Lieferketten und eine klare Kommunikationsstrategie im Angriffsfall. Drittens muss Europa gemeinsam mit den USA bereit sein, weitere gezielte Sanktionspakete gegen russische Nachrichtendienstnetze, Cybergruppen, Frontfirmen und deren Finanzierungsstrukturen zu verabschieden.
Russland hat seine Kriegsführung modernisiert. Europa muss dagegen möglichst rasch seine Verteidigungskraft mobilisieren – nicht aus Alarmismus, sondern aus nüchterner Beurteilung der Sachlage heraus.
Oliver Rolofs ist Sicherheitsexperte und Direktor des Österreichischen Instituts für strategische Studien und internationale Zusammenarbeit (AISSIC) in Wien.