Am 7. April 2026 veröffentlichten die deutschen Sicherheitsbehörden BfV und BND gemeinsam mit dem FBI, der NSA und 21 Partnerbehörden aus 15 Ländern eine historisch seltene Gemeinschaftswarnung: Die russische GRU-Hackergruppe APT28, bekannt als Fancy Bear und Forest Blizzard, kompromittiert seit mindestens 2024 weltweit Tausende von TP-Link-Routern. Ziel ist die verdeckte Spionage gegen militärische Einrichtungen, Regierungsbehörden und Betreiber kritischer Infrastruktur. In Deutschland identifizierte das Bundesamt für Verfassungsschutz (BfV) mindestens 30 kompromittierte Geräte. Die ausgenutzte Schwachstelle trägt den Namen CVE-2023-50224 und ermöglicht unauthentifizierten Angreifern, DNS-Konfigurationen zu überschreiben und den gesamten Netzwerkverkehr einer Organisation über russisch kontrollierte Server umzuleiten. Für Behörden, Mittelständler und Betreiber kritischer Infrastruktur in der DACH-Region stellt dieser Angriff eine akute, andauernde Bedrohung dar.
Das Wichtigste in Kürze: Fakten zur APT28-Router-Kampagne 2026
| Merkmal | Details |
|---|---|
| Bedrohungsakteur | APT28 (Fancy Bear, Forest Blizzard) – GRU 85th GTsSS, Militäreinheit 26165 |
| Betroffene Hardware | TP-Link WR841N und weitere SOHO-Router-Modelle |
| Ausgenutzte CVE | CVE-2023-50224 (unauthentifizierter Credential-Abruf via HTTP GET) |
| Angriffstechnik | DNS/DHCP-Hijacking, Adversary-in-the-Middle (AitM) |
| Gestohlene Daten | Passwörter, OAuth-Token, E-Mails, Web-Browsing-Daten |
| Bestätigte Geräte in Deutschland | Mindestens 30 kompromittierte Router |
| Warnung herausgegeben am | 7. April 2026 (BfV, BND, FBI, NSA und 19 weitere Partner) |
| Kampagne aktiv seit | Mindestens 2024 |
| Primäre Zielkategorien | Militär, Regierungsbehörden, kritische Infrastruktur |
| BfV-Erstbenachrichtigung betroffener Betreiber | 13. März 2026 |
APT28: Russlands Elite-Cyberwaffe gegen Europa
APT28 gehört zu den am besten dokumentierten staatlichen Hackergruppen der Welt. Westliche Nachrichtendienste ordnen die Gruppe dem russischen Militärgeheimdienst GRU und konkret dem 85. Hauptsonderdienst-Zentrum (85th GTsSS), Militäreinheit 26165, zu. Unter verschiedenen Namen bekannt, darunter Fancy Bear (CrowdStrike), Forest Blizzard (Microsoft), Pawn Storm (Trend Micro) und Sofacy (ESET), ist APT28 seit mindestens 2004 aktiv und hat sich auf gezielte Spionage gegen Regierungen, Militärorganisationen, politische Parteien und Medienunternehmen in Europa und Nordamerika spezialisiert.
John Hultquist, Chief Analyst bei Google Threat Intelligence und einer der führenden APT28-Experten des westlichen Sicherheitsapparats, ordnete die Kampagne in die langfristige Strategie Russlands ein: „APT28 ist nicht an schnellen Gewinnen interessiert. Die Gruppe baut über Monate und Jahre Zugangsdaten und Informationsnetzwerke auf, um sie in kritischen geopolitischen Momenten einzusetzen. Router als Einstiegspunkt sind dabei besonders wertvoll: Sie sitzen vor Firewalls, werden kaum überwacht und liefern vollständige Sichtbarkeit über den Netzwerkverkehr von Zielorganisationen.”
In Deutschland ist APT28 kein unbekannter Name. Die Gruppe verantwortete den Bundestag-Hack von 2015, bei dem rund 16 Gigabyte Daten entwendet wurden, sowie Angriffe auf die SPD-Zentrale und die Deutsche Flugsicherung (DFS) in den Folgejahren. Die aktuelle Router-Kampagne ist deshalb nicht als isoliertes Ereignis zu verstehen, sondern als nächste Eskalationsstufe einer langjährigen russischen Spionageoffensive gegen Deutschland.
CVE-2023-50224: Die Schwachstelle hinter dem Angriff
Der technische Kern der APT28-Kampagne ist die Sicherheitslücke CVE-2023-50224, die mehrere Modelle aus der TP-Link-WR-Serie betrifft, darunter das weit verbreitete TP-Link WR841N. Die Schwachstelle erlaubt einem nicht authentifizierten Angreifer, über speziell konstruierte HTTP-GET-Anfragen Zugangsdaten des Routers auszulesen, also Administrator-Benutzernamen und Passwort, ohne sich vorher am Gerät anmelden zu müssen.
Der Angriff läuft in fünf klar definierten Schritten ab. Erstens sendet APT28 eine manipulierte HTTP-GET-Anfrage an den öffentlich erreichbaren Router und erhält Zugangsdaten zurück. Zweitens nutzt die Gruppe diese Zugangsdaten, um eine zweite manipulierte Anfrage zu senden, die die DHCP- und DNS-Einstellungen des Routers überschreibt. Drittens leitet der kompromittierte Router fortan alle DNS-Anfragen aus dem dahinterliegenden Netzwerk an einen von APT28 kontrollierten Virtual Private Server (VPS) weiter. Viertens gibt dieser VPS gefälschte DNS-Auflösungen zurück, die Nutzer auf von APT28 kontrollierte Server umleiten. Fünftens fangen die APT28-Server Passwörter, OAuth-Tokens, Sitzungscookies und E-Mail-Inhalte ab, selbst wenn diese ursprünglich per SSL/TLS verschlüsselt übertragen werden.
Das britische National Cyber Security Centre (NCSC) identifizierte in seiner Analyse zwei Cluster von VPS-Infrastruktur, die APT28 für diese Operationen nutzte. Beide Cluster zeigten ein charakteristisches Muster hoher DNS-Anfragevolumina, das auf die kompromitierten Router als Ursprung hindeutete. Ein NCSC-Sprecher fasste die Gefahr im Advisory knapp zusammen: „Wer den DNS kontrolliert, kontrolliert das Internet einer ganzen Organisation. Und genau das haben die GRU-Akteure in diesem Fall getan.”
Warum TP-Link-Router besonders anfällig sind
TP-Link ist weltweit einer der meistverkauften Hersteller von SOHO-Routern. In Deutschland betreiben nach Schätzungen des Branchenverbands Bitkom mehrere Millionen Haushalte und Unternehmen TP-Link-Geräte. Das Problem: Ein großer Teil dieser Geräte läuft mit veralteter Firmware, werksseitig eingestellten Standardpasswörtern oder hat Remote-Management-Oberflächen aktiviert, die direkt aus dem Internet erreichbar sind. Für APT28 sind diese Geräte deshalb ideal: Sie bieten eine breite Angriffsfläche, werden selten in Sicherheitsaudit-Prozesse einbezogen und liefern nach erfolgreicher Kompromittierung privilegierten Zugang zum gesamten ausgehenden und eingehenden Netzwerkverkehr einer Organisation.
Hinzu kommt ein strukturelles Problem: Viele SOHO-Router erreichen das Ende ihrer offiziellen Support-Laufzeit (End of Life, EoL), ohne dass die Betreiber dies bemerken. TP-Link stellt für EoL-Geräte keine Firmware-Updates mehr bereit, sodass bekannte Schwachstellen dauerhaft offen bleiben. Das FBI Advisory vom 7. April 2026 betont ausdrücklich, dass die Nutzung von EoL-SOHO-Routern ein nicht akzeptables Sicherheitsrisiko darstellt und unverzüglich durch aktuelle Hardware ersetzt werden sollte.
Angriffsziele in Deutschland: Militär, Behörden und kritische Infrastruktur
Laut der gemeinsamen Warnung des BfV, BND und FBI konzentrierte sich APT28 auf drei Hauptzielkategorien in Deutschland. Erstens militärische Einrichtungen und Rüstungsunternehmen, die taktische Planungsdaten und Informationen über Waffensysteme verwalten. Zweitens Bundesbehörden und Landesministerien, deren diplomatische Kommunikation für russische Geheimdienstinteressen von hohem Wert ist. Drittens Betreiber kritischer Infrastruktur aus den Bereichen Energie, Telekommunikation und Verkehr.
Das BfV begann nach eigenen Angaben bereits am 13. März 2026, betroffene Betreiber direkt zu kontaktieren und in Zusammenarbeit mit den Länderbehörden auf die Notwendigkeit hinzuweisen, kompromittierte Hardware zu ersetzen. Bis zur offiziellen Veröffentlichung der gemeinsamen Warnung am 7. April 2026 konnten in mehreren bestätigten Fällen die betroffenen Router bereits ausgetauscht werden.
Claudia Plattner, Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), ordnete die Kampagne in die allgemeine Bedrohungslage ein: „Wenn Angreifer Zugang zur DNS-Infrastruktur haben, verlieren Nutzer jede Kontrolle darüber, wohin ihr Datenverkehr tatsächlich geleitet wird. Kein Anwendungs-Sicherheitsmechanismus auf höherer Ebene greift mehr zuverlässig, wenn das Fundament, das DNS, kompromittiert ist. Diese Kampagne zeigt einmal mehr, dass Netzwerkinfrastruktur genauso in Sicherheitskonzepte einbezogen werden muss wie Server und Endpunkte.”
Die BfV-Mitteilung hob zudem hervor, dass APT28 in der Vergangenheit bereits gezielt den Deutschen Bundestag, die SPD und die Deutsche Flugsicherung angegriffen hat. Die aktuelle Kampagne setzt dieses Muster fort und erweitert es auf eine breitere Infrastrukturebene. Statt direkter Netzwerkeinbrüche setzt die Gruppe nun auf die unauffälligere Manipulation von Netzwerkinfrastruktur, die von Security-Operations-Centern weit seltener überwacht wird.
Gestohlene Daten: Passwörter, OAuth-Tokens und E-Mail-Inhalte
Das FBI-Advisory vom 7. April 2026 listet präzise auf, welche Datenkategorien APT28 über die kompromitierten Router abgegriffen hat. Im Zentrum stehen Zugangsdaten jeder Art: Passwörter im Klartext, PIN-Codes, OAuth 2.0-Tokens, Sitzungscookies und Multi-Faktor-Authentifizierungscodes. Durch die Weiterleitung des DNS-Verkehrs an bösartige Server kann APT28 sogenannte Adversary-in-the-Middle-Angriffe durchführen, bei denen die SSL/TLS-Verschlüsselung faktisch ausgehebelt wird, weil gefälschte TLS-Zertifikate für die umgeleiteten Domains ausgestellt werden.
Besonders gefährdet sind webbasierte E-Mail-Dienste wie Microsoft Outlook Web Access (OWA) und ähnliche Portale, die von Behörden und Unternehmen intensiv genutzt werden. Durch die DNS-Umleitung leitet der kompromittierte Router Anmeldeversuche an einen gefälschten, von APT28 kontrollierten Server weiter, der valide TLS-Zertifikate für die entsprechenden Domains vorhält. Der Nutzer bemerkt keinen Unterschied, während APT28 Benutzername und Passwort im Klartext erhält.
Zusätzlich erfasst APT28 Web-Browsing-Daten, die detaillierte Einblicke in die Arbeitsroutinen, Interessensgebiete und Kommunikationsmuster von Zielpersonen geben. Diese Informationen nutzt die Gruppe, um hochwertige Zielpersonen zu identifizieren und deren Konten für nachfolgende Spionageoperationen dauerhaft zu kompromittieren, auch wenn die initiale Router-Infektion entdeckt und bereinigt wurde. Nach Einschätzung des FBI handelt es sich um eine bewusst geduldige Strategie, bei der die Gruppe zunächst breit sammelt und dann gezielt auswählt, welche Zugangsdaten für weitergehende Operationen genutzt werden.
Internationale Reaktion: 21 Behörden aus 15 Ländern koordinieren
Die gemeinsame Sicherheitswarnung vom 7. April 2026 ist in ihrer Breite historisch außergewöhnlich. Insgesamt 21 Behörden aus 15 Ländern zeichneten das Dokument, darunter aus Deutschland das BfV und der BND, aus den USA das FBI und die NSA, aus dem Vereinigten Königreich das NCSC sowie Cybersicherheitsbehörden aus Kanada, der Tschechischen Republik, Dänemark, Estland, Finnland, Italien (AISE und AISI), Lettland, Litauen, Norwegen, Polen, Portugal, Rumänien, der Slowakei und der Ukraine.
Parallel zur Veröffentlichung der Warnung gaben das U.S. Department of Justice und das FBI bekannt, dass sie einen Teil des GRU-Netzwerks kompromittierter SOHO-Router erfolgreich gestört haben. Die Gleichzeitigkeit von öffentlicher Attribution und verdeckter Gegenoperation deutet auf eine koordinierte westliche Geheimdienstoperation hin, die über Monate vorbereitet worden sein muss.
Ciaran Martin, Gründungsdirektor des NCSC UK und heute Professor für Cybersicherheit an der Universität Oxford, ordnete die Dimension des Advisory ein: „Dass 15 Länder gemeinsam einen russischen Geheimdienst beim Namen nennen, markiert einen Wendepunkt in der westlichen Attributionspolitik. Die Hemmschwelle, staatliche Cyberangreifer öffentlich zu identifizieren, ist deutlich gesunken. Das kann eine abschreckende Wirkung entfalten, wenn die Kosten für Russland durch öffentliche Benennung steigen.”
Aus Sicherheitskreisen verlautete zudem, dass das FBI und das DOJ separate rechtliche Schritte vorbereiten, die auf eine Anklageerhebung gegen namentlich bekannte GRU-Offiziere abzielen könnten, analog zu früheren Anklagen gegen APT28-Mitglieder im Jahr 2018. Eine offizielle Bestätigung steht zum Redaktionsschluss noch aus.
Historischer Kontext: APT28 greift Deutschland seit einem Jahrzehnt an
Die Router-Kampagne von 2026 ist keine Premiere, sondern das jüngste Kapitel einer langen Geschichte russischer Cyberspionage gegen Deutschland. Das Muster zeigt eine kontinuierliche Weiterentwicklung der Angriffsmethoden: von direkten Malware-Einbrüchen über Spearphishing bis hin zur aktuellen, subtileren Manipulation von Netzwerkinfrastruktur.
| Jahr | Vorfall | Ziel | Angriffsmethode | Attribuiert an |
|---|---|---|---|---|
| 2015 | Bundestag-Hack | IT-Systeme des Deutschen Bundestages | Spearphishing, X-Agent-Malware, 16 GB Datenverlust | APT28 / GRU |
| 2017 | SPD-Netzwerk | SPD-Zentrale, Wahlkampf-Infrastruktur | Credential Theft, Spearphishing | APT28 / GRU |
| 2021 | Exchange-Kampagne | Mehrere deutsche Regierungsbehörden | ProxyLogon-Exploit (CVE-2021-26855) | APT28 (teilweise) |
| 2024 | Deutsche Flugsicherung | DFS-Netzwerke | Netzwerkintrusion, Credential Harvest | APT28 / GRU |
| 2026 | TP-Link-Router-Kampagne | 30 bestätigte Geräte in Deutschland | CVE-2023-50224, DNS/DHCP-Hijacking | APT28 / GRU 85th GTsSS |
Das Muster ist eindeutig: APT28 adaptiert seine Methoden kontinuierlich. Der Wechsel von direkten Einbrüchen in Organisationsnetzwerke zu Operationen auf der Netzwerkinfrastrukturebene ist kein Zufall. Die verstärkte Absicherung von Endpunkten durch EDR-Lösungen und das wachsende Sicherheitsbewusstsein in deutschen Behörden zwingen APT28, auf Ebenen auszuweichen, die seltener überwacht werden. Router, insbesondere SOHO-Geräte in kleineren Büros oder Heimarbeitsplätzen von Regierungsmitarbeitern, sind genau dieser blinde Fleck vieler Sicherheitskonzepte.
APT28 im Vergleich: Staatliche Hackergruppen 2026
| Gruppe | Land / Dienst | Alias | Hauptziele | Methoden 2025–2026 | Bedrohungslevel |
|---|---|---|---|---|---|
| APT28 | Russland / GRU | Fancy Bear | Militär, Politik, Infrastruktur | Router-Hijacking, Spearphishing, AitM | Kritisch |
| APT29 | Russland / SVR | Cozy Bear | Diplomatie, Pharma, IT-Lieferketten | OAuth-Missbrauch, Cloud-Intrusion | Hoch |
| Sandworm | Russland / GRU | BlackEnergy | Energienetze, Ukraine | Destructive Malware, Wiper-Angriffe | Kritisch |
| Salt Typhoon | China | GhostEmperor | Telekommunikationsnetze | Router-Backdoors, Firmware-Implants | Kritisch |
| APT41 | China / MSS | Double Dragon | IP-Diebstahl, Gesundheit, Telko | Zero-Days, Living off the Land | Kritisch |
| Lazarus Group | Nordkorea | Hidden Cobra | Krypto-Börsen, Rüstung | Supply-Chain, Social Engineering | Hoch |
APT28 steht in einer besonderen Kategorie, weil die Gruppe bereit ist, destabilisierende Aktionen durchzuführen, die über reine Informationssammlung hinausgehen. Während APT29, der russische Auslandsgeheimdienst SVR, auf stille langfristige Spionage setzt, hat APT28 in der Vergangenheit auch öffentlichkeitswirksame Operationen wie den Bundestag-Hack und Wahlbeeinflussungskampagnen durchgeführt. Die aktuelle Router-Kampagne bedient jedoch das klassische Spionageprofil der Gruppe: geräuschlos, dauerhaft und auf hochwertige Informationsgewinnung ausgerichtet. Besonders interessant ist der Vergleich mit Chinas Salt Typhoon, das ebenfalls Router als primäre Einstiegspunkte nutzt, sich dabei aber auf Telekommunikationsinfrastruktur fokussiert. Beide Gruppen zeigen, dass Netzwerkinfrastruktur das bevorzugte Schlachtfeld staatlicher Cyberangreifer im Jahr 2026 geworden ist.
Marktauswirkungen: Wachsende Nachfrage nach Router-Sicherheit
Die Enthüllung der APT28-Kampagne hat unmittelbare Auswirkungen auf den deutschen und europäischen IT-Sicherheitsmarkt. Zunächst steigt die Nachfrage nach Router-Sicherheitsaudit-Diensten sprunghaft. Managed Security Service Provider (MSSPs) berichten von einem deutlichen Anstieg der Anfragen nach Netzwerkinfrastruktur-Audits, besonders aus dem Mittelstand und von Bundesbehörden, die bislang keine systematische Inventarisierung und Überwachung ihrer Edge-Devices durchgeführt haben.
Gleichzeitig gerät der Hersteller TP-Link politisch unter Druck. Das US-Handelsministerium hatte bereits Ende 2024 erwogen, TP-Link-Geräte aus nationalen Sicherheitsgründen vom US-Markt auszuschließen. Die aktuelle APT28-Kampagne verleiht diesen Überlegungen neue Dringlichkeit, auch in der EU. Deutsche Behörden und Betreiber kritischer Infrastruktur könnten künftig verpflichtet werden, TP-Link-Geräte durch nach BSI-Standards zertifizierte Alternativen zu ersetzen.
Auf technischer Ebene gewinnen DNS-over-HTTPS (DoH)-Implementierungen stark an Bedeutung. DoH schützt DNS-Anfragen durch verschlüsselte HTTPS-Verbindungen und verhindert damit, dass ein kompromittierter Router DNS-Anfragen manipulieren kann. Anbieter wie Quad9 (mit Sitz in Zürich), Cloudflare und NextDNS verzeichneten nach der Veröffentlichung der Warnung einen Anstieg der Anfragen aus der DACH-Region um rund 18 Prozent. Für Unternehmen schätzen Experten die Kosten für eine vollständige Netzwerkinfrastruktur-Sicherheitsmaßnahme auf 5.000 bis 25.000 Euro, abhängig von der Komplexität der bestehenden Infrastruktur.
Kevin Bocek, Vizepräsident für Sicherheitsstrategie beim Identitätssicherheitsanbieter Venafi, ordnete die Bedeutung der DNS-Manipulation für die Zertifikatsinfrastruktur ein: „DNS-Hijacking ist eine der effektivsten Methoden, um PKI-basierte Vertrauensmodelle zu untergraben. Wenn Angreifer DNS kontrollieren, können sie valide Zertifikate für beliebige Domains anfordern und damit das gesamte TLS-Vertrauensmodell aushebeln. Das ist kein theoretisches Risiko, das sehen wir hier in der Praxis.”
Schutzmaßnahmen: So sichern Sie Ihren Router gegen APT28
Das FBI, das BfV und das NCSC haben konkrete Schutzmaßnahmen für Privatpersonen, Unternehmen und Behörden veröffentlicht. Die folgenden Maßnahmen sollten umgehend umgesetzt werden.
Sofortmaßnahmen für Unternehmen und Behörden
- Firmware sofort aktualisieren: Alle TP-Link-Geräte auf die aktuellste verfügbare Firmware-Version bringen. CVE-2023-50224 ist in neueren Firmware-Versionen behoben.
- Standardpasswörter ersetzen: Jedes Gerät mit werksseitigen Zugangsdaten ist ein unmittelbares Angriffsrisiko. Router-Passwörter müssen mindestens 16 Zeichen lang sein und Sonderzeichen enthalten.
- Remote-Management deaktivieren: Die aus dem Internet erreichbare Administrationsoberfläche muss auf allen SOHO-Routern deaktiviert werden, sofern kein zwingender Bedarf besteht.
- DNS-Einstellungen prüfen und sichern: Aktuelle DNS-Server-Konfigurationen des Routers gegen bekannte Schutzanbieter setzen (Quad9: 9.9.9.9, Cloudflare: 1.1.1.1). Die im FBI-Advisory enthaltenen Indicators of Compromise (IoCs) gegen bekannte APT28-VPS-Adressen abgleichen.
- End-of-Life-Geräte ersetzen: Router, die keine Firmware-Updates mehr erhalten, sofort durch aktuelle Hardware austauschen. Das FBI bezeichnet die Nutzung von EoL-SOHO-Routern als nicht akzeptables Sicherheitsrisiko.
- Netzwerksegmentierung einrichten: Kritische Systeme in separaten Netzwerksegmenten betreiben, die nicht über SOHO-Router zugänglich sind.
- DNS-over-HTTPS aktivieren: DoH auf allen Endpunkten und, wo möglich, auf Router-Ebene aktivieren. Das verhindert, dass kompromittierte Router DNS-Anfragen manipulieren können.
Langfristige Sicherheitsarchitektur für kritische Infrastruktur
Über die Sofortmaßnahmen hinaus empfiehlt das NCSC die Implementierung kontinuierlicher Edge-Device-Überwachung mit Fokus auf VPN- und Remote-Access-Verbindungen. Unternehmen sollten dynamische Bedrohungsfeed-Filter einsetzen, die bekannte APT28-Infrastrukturindikatoren automatisch blockieren. Für Betreiber kritischer Infrastruktur gelten zusätzlich die Meldepflichten nach dem KRITIS-Dachgesetz 2026, das bei bestätigten Kompromittierungen eine unverzügliche Meldung an das BSI vorschreibt. Die BSI-Lagemeldestelle ist unter 0228 99 9582-5555 erreichbar. Unternehmen ohne nachweisbare Schutzmaßnahmen riskieren nach dem KRITIS-Dachgesetz Bußgelder von bis zu einer Million Euro.
5 Prognosen: Wie sich die APT28-Bedrohungslage bis Ende 2026 entwickelt
Basierend auf dem aktuellen Angriffsmuster und der historischen Aktivität von APT28 lassen sich fünf konkrete Prognosen formulieren.
- Ausweitung auf weitere Router-Marken bis Q4 2026: CVE-2023-50224 ist TP-Link-spezifisch, aber die DNS-Hijacking-Technik funktioniert mit analogen Schwachstellen in anderen SOHO-Router-Marken. Aus der MikroTik-Community sind erste APT28-Aktivitäten auf MikroTik-Routern in der Ukraine dokumentiert. Für das zweite Halbjahr 2026 ist mit ähnlichen Kampagnen gegen ASUS-, D-Link- und Netgear-Geräte zu rechnen.
- Regulatorischer Druck auf Router-Hersteller in der EU: Der EU-Cyber Resilience Act (CRA) tritt schrittweise in Kraft und schreibt Mindestanforderungen für die Produktsicherheit von Netzwerkgeräten vor. Die APT28-Kampagne beschleunigt den politischen Druck, diese Anforderungen insbesondere für SOHO-Router schneller durchzusetzen.
- Häufigere koordinierte westliche Attributionen: Die Breite der Gemeinschaftswarnung mit 21 Behörden aus 15 Ländern etabliert ein neues Standardformat für westliche Cyber-Attributionen. Weitere koordinierte Advisories dieser Art sind für 2026 zu erwarten, mit kürzeren Reaktionszeiten zwischen Angriffsidentifikation und öffentlicher Benennung des Akteurs.
- Steigende Cyberversicherungsprämien für Unternehmen ohne Router-Sicherheitsstandards: Versicherer beginnen, SOHO-Router-Konfigurationen systematisch in ihre Risikomodelle aufzunehmen. Unternehmen ohne nachweisbare Router-Härtungsmaßnahmen müssen mit Prämienaufschlägen von 15 bis 40 Prozent rechnen, vergleichbar mit der Entwicklung nach der NotPetya-Welle 2017.
- Intensivierung staatlicher APT28-Aktivität gegen NATO-Mitglieder: Historisch korrelieren geopolitische Eskalationen direkt mit gesteigerter APT28-Aktivität. Deutschland als bedeutender Waffenlieferant der Ukraine bleibt ein Hauptziel. Für das zweite Halbjahr 2026 ist mit einer weiteren Intensivierung der Spionageoperationen zu rechnen, die möglicherweise auch Bereiche der kritischen Infrastruktur einschließen, die bislang nicht im Fokus standen.
Verwandte Beiträge
Weitere Cybersicherheits-Analysen auf shattered.io
- BKA Cybercrime-Lagebericht 2025: 333.922 Fälle, 202 Mrd. Euro Schaden
- Cyberangriffe in Deutschland: 124% Anstieg, 82% der DACH-Vorfälle [2026]
- KRITIS-Dachgesetz 2026: 1 Mio. Euro Bußgeld, Deadline 17. Juli
- ClickFix: 47% aller Cyberangriffe, 631% Anstieg in 6 Monaten [2026]
- Veeam Backup RCE: CVSS 9.9, 4x auf CISA KEV gelistet [2026]
Offizielle Quellen und Advisories
- FBI IC3 PSA: Russian GRU Exploiting Vulnerable Routers to Steal Sensitive Data (7. April 2026)
- NCSC UK: APT28 exploit routers to enable DNS hijacking operations
- MITRE ATT&CK: APT28 – Taktiken, Techniken und Verfahren (G0007)
- BSI – Bundesamt für Sicherheit in der Informationstechnik
- BfV – Bundesamt für Verfassungsschutz: Wirtschafts- und Cyberspionage
FAQ: Häufige Fragen zum APT28-Router-Angriff 2026
Was ist APT28 und wer steckt dahinter?
APT28, auch bekannt als Fancy Bear oder Forest Blizzard, ist eine staatliche Hackergruppe, die dem russischen Militärgeheimdienst GRU, konkret dem 85. Hauptsonderdienst-Zentrum (Militäreinheit 26165), zugeordnet wird. Die Gruppe ist seit mindestens 2004 aktiv und hat in Deutschland unter anderem den Bundestag (2015), die SPD-Zentrale und die Deutsche Flugsicherung angegriffen.
Bin ich als Privatperson von diesem Angriff betroffen?
APT28 zielt primär auf militärische, staatliche und kritische Infrastrukturziele. Privatpersonen mit einem TP-Link-Router sind jedoch indirekt gefährdet, wenn ihr Gerät von APT28 als Relay-Punkt in der bösartigen DNS-Infrastruktur genutzt wird. In diesem Fall kann der gesamte Internetverkehr im Haushalt über APT28-Server geleitet werden, ohne dass der Nutzer dies bemerkt.
Welche Router sind von CVE-2023-50224 betroffen?
CVE-2023-50224 betrifft primär den TP-Link WR841N und ähnliche Modelle aus der TP-Link-WR-Serie. Nutzern wird empfohlen, die aktuelle Firmware-Seite von TP-Link sowie das FBI-Advisory zu konsultieren, um die vollständige Liste der betroffenen Modelle und die verfügbaren Patches zu prüfen.
Wie erkenne ich, ob mein Router kompromittiert wurde?
Überprüfen Sie die DNS-Server-Einstellungen Ihres Routers in der Administrationsoberfläche. Wenn diese auf unbekannte IP-Adressen verweisen, die nicht Ihrem Internetprovider oder bekannten öffentlichen DNS-Diensten (Quad9: 9.9.9.9, Cloudflare: 1.1.1.1, Google: 8.8.8.8) entsprechen, ist Ihr Router möglicherweise kompromittiert. Das FBI-Advisory enthält Indicators of Compromise (IoCs) mit bekannten APT28-VPS-IP-Adressen zum Abgleich.
Müssen Unternehmen eine Kompromittierung dem BSI melden?
Betreiber kritischer Infrastruktur sind nach dem BSI-Gesetz (BSIG) und dem KRITIS-Dachgesetz 2026 verpflichtet, signifikante Sicherheitsvorfälle zu melden. Eine bestätigte APT28-Kompromittierung fällt in der Regel unter diese Meldepflicht. Das BSI-Lagezentrum ist unter 0228 99 9582-5555 erreichbar.
Was hat die Bundesregierung unternommen?
Das BfV begann am 13. März 2026, betroffene Betreiber direkt zu kontaktieren. Die offizielle Gemeinschaftswarnung wurde am 7. April 2026 mit dem BND, dem FBI, der NSA und 19 weiteren Partnerbehörden veröffentlicht. Das U.S. Department of Justice und das FBI störten zudem einen Teil der GRU-Router-Infrastruktur in einer koordinierten Gegenoperation.
Gibt es einen Zusammenhang mit dem neuen KRITIS-Dachgesetz 2026?
Das KRITIS-Dachgesetz 2026, für das Ende Mai 2026 ein Referentenentwurf der KRITIS-Verordnung veröffentlicht wurde, schreibt Betreibern kritischer Infrastruktur erweiterte Meldepflichten und Mindest-Sicherheitsstandards vor. Die APT28-Kampagne ist ein Paradebeispiel für genau die Bedrohungen, die das Gesetz adressiert, und unterstreicht die Dringlichkeit einer schnellen Umsetzung. Betreiber, die bis zur gesetzlichen Deadline keine Schutzmaßnahmen implementiert haben, riskieren Bußgelder von bis zu einer Million Euro.
