Cyberkrieg

Cyberangriffe legen Kartenzahlung bei Irans größten Staatsbanken lahm

Eine zweite Angriffswelle blockierte Karten- und Onlinedienste bei Bank Melli, Saderat und Tejarat – und legte die Verwundbarkeit eines durch Sanktionen geschwächten Finanzsystems offen.

Von Marc Weber · · 5 Min. Lesezeit

Außer Betrieb gesetzter Geldautomat einer Filiale der Bank Melli Iran in Teheran mit dunklem Bildschirm und blauer Beschilderung der Bank
Ein außer Betrieb gesetzter Geldautomat einer Filiale der Bank Melli Iran in Teheran während der Cyberangriffe vom Juni 2026: dunkler Bildschirm mit Störungshinweis, darüber die blaue Beschilderung und das kreisförmige Emblem der Bank. Illustratives, KI-generiertes Bild. Illustration: KI-generiert — Status

An den Kassen im Supermarkt blieb die Karte stecken, die Banking-App zeigte nur noch Fehlermeldungen: Ende Juni erlebten viele Iranerinnen und Iraner zum zweiten Mal binnen knapp zwei Wochen, wie das Bezahlen mit Karte schlagartig unmöglich wurde. Eine neue Angriffswelle zwang drei der größten Staatsbanken des Landes – Bank Melli, Bank Saderat und Bank Tejarat – dazu, ihre kartengestützten Dienste landesweit auszusetzen. Es war der jüngste Beleg dafür, dass Finanzinfrastruktur in der Auseinandersetzung zwischen Iran und seinen Gegnern zur Frontwaffe geworden ist.

Der erste Schlag traf am 13. und 14. Juni gleich vier Institute zugleich: Bank Melli Iran, Bank Saderat Iran, Bank Tejarat und die Export Development Bank of Iran. Statt die Abwehr jeder einzelnen Bank zu durchbrechen, zielten die Angreifer auf ein gemeinsames Kommunikationssystem, das die Geldhäuser miteinander verbindet – so der iranische Bankenkoordinationsrat und Recherchen der Nachrichtenagentur Reuters. Mobiles und Online-Banking fielen aus, Geldautomaten standen still, Kartenzahlungen scheiterten. In Teheran und anderswo notierten Geschäfte, Restaurants und Tankstellen Käufe von Hand, um sie später zu verrechnen.

Eine geteilte Schwachstelle

Was Fachleute beunruhigte, war weniger der Schaden als die Methode. Indem die Angreifer das Netz trafen, das die Staatsbanken verbindet, schalteten sie mit einem einzigen Zug mehrere Institute aus. Geteilte Infrastruktur bündelt das Risiko weit über die Bilanz einer einzelnen Bank hinaus – eine Erkenntnis, die in vielen vernetzten Volkswirtschaften gilt.

„Statt jede Bank einzeln anzugreifen, scheinen es die Täter auf das gemeinsame Kommunikationsnetz abgesehen zu haben“, sagte Javvad Malik von der Sicherheitsfirma KnowBe4 dem Wirtschaftsdienst AGBI. Die Störung war sichtbar und blamabel, nach derzeitigem Kenntnisstand aber oberflächlich: Kundendaten seien nicht entwendet worden, die zentralen Datensätze blieben intakt, hieß es von offizieller Seite.

Der Bankenkoordinationsrat sprach von einem „begrenzten Cyberangriff“ und betonte, es habe weder einen unbefugten Zugriff auf Kundeninformationen noch ein Datenleck gegeben. Die IT-Abteilung stellte die Abschaltung der Kartendienste als Schutzmaßnahme dar: Sie sei „darauf ausgelegt, unbefugten Zugriff zu verhindern und die Sicherheit der Vermögenswerte der Kunden zu gewährleisten“, während „Experten derzeit daran arbeiten, den Betrieb so schnell wie möglich wiederherzustellen“.

Eine vorübergehende Störung, die die Öffentlichkeit an der Supermarktkasse erlebt, ist beinahe auf Sichtbarkeit und Bloßstellung optimiert – und nicht auf dauerhaften Schaden.

Diese Einschätzung stammt von Alan Woodward, Professor für Cybersicherheit an der University of Surrey, der AGBI sagte, die Angriffe schienen eher darauf angelegt, das Vertrauen der Bevölkerung zu untergraben, als Daten zu zerstören. Bis zum 24. Juni meldete die Informatics Services Corporation, die einen Großteil des iranischen Zahlungsverkehrs betreibt, die Störungen seien behoben; der Bankenkoordinationsrat erklärte, Onlinetransaktionen funktionierten wieder normal. Privatbanken waren nicht betroffen.

Wer hinter den Angriffen steht

Eine Gruppe, die sich „Black Wolves“ nennt – ein iranisches regierungskritisches Kollektiv –, übernahm auf Telegram die Verantwortung und stellte die Aktion in einen politischen Rahmen. „Ein stiller Krieg entfaltet sich, und Iran steht unter Cyberangriff“, schrieb sie. Das fügt sich in ein Muster inländischen Hacktivismus, der das Establishment seit den Frauenrechtsprotesten von 2022 ins Visier nimmt, als Aktivisten die Zentralbank und die Überwachungskameras des Evin-Gefängnisses kompromittierten.

Bemerkenswert ist, dass die iranischen Behörden die Angriffe vom Juni 2026 öffentlich keinem Staat und keiner Gruppe zuschrieben. Zunächst fiel der Verdacht auf Predatory Sparrow, die israelnahe Gruppe, die für einige der zerstörerischsten Attacken auf iranische Ziele verantwortlich gemacht wird. Doch von AGBI zitierte Fachleute widersprachen dieser Verbindung und verwiesen auf die begrenzte, umkehrbare Natur der Ausfälle. Die Uneindeutigkeit ist selbst Teil der Geschichte: In einem dichten Feld aus Hacktivisten, Kriminellen und staatlich gestützten Gruppen ist die Zuordnung langsam und umstritten.

Nachhall des Krieges von 2025

Die Ausfälle treffen das Land im Schatten einer weit härteren Kampagne ein Jahr zuvor. Während des zwölftägigen Krieges zwischen Iran und Israel im Juni 2025 legte Predatory Sparrow – auf Persisch Gonjeshke Darande und weithin mit Israel in Verbindung gebracht – die Bank Sepah lahm, das Geldhaus der Iranischen Revolutionsgarden. Konten wurden unzugänglich, landesweit schlossen Filialen, einige Gehälter aus Staat und Sicherheitsapparat verzögerten sich, und die Website der iranischen Zentralbank ging offline. Die Gruppe erklärte, sie habe die „Daten zerstört“ der Bank der Revolutionsgarden, und warf dieser vor, Sanktionen zu umgehen, um die Militärprogramme des Regimes zu finanzieren.

Einen Tag später entzog dieselbe Gruppe der größten Kryptowährungsbörse des Landes, Nobitex, mehr als 90 Millionen Dollar – so die Blockchain-Analysefirma Elliptic. Die Mittel wurden auf sogenannte Vanity-Adressen mit Parolen gegen die Revolutionsgarden geleitet, die praktisch nicht ausgegeben werden können – das Geld wurde als politische Botschaft vernichtet. Anschließend leakten die Angreifer den Quellcode von Nobitex.

„Sie haben schwerwiegende Angriffe ausgeführt, die echtes Können und Raffinesse erkennen lassen.“

So urteilte John Hultquist, Chefanalyst der Google Threat Intelligence Group, nach dem Angriff auf die Bank Sepah über Predatory Sparrow. An diesem Maßstab gemessen wirken die Vorfälle vom Juni 2026 grobschlächtiger – genau deshalb bezweifeln Fachleute, dass hier dieselbe Hand am Werk war.

Ein ohnehin überlastetes System

Für Iran kommt der Zeitpunkt ungelegen. Eine Absichtserklärung zwischen den USA und Iran hat die offenen Feindseligkeiten von 2025 heruntergefahren und damit die Debatte angefacht, ob verdeckte Sabotage – darunter Cyberoperationen – wieder auf den Tisch kommt. Jeder Ausfall, so kurz er auch sein mag, trifft ein Finanzsystem, das ohnehin schon belastet ist:

  • jahrelange US-amerikanische und internationale Sanktionen;
  • ein an Wert verlierender Rial;
  • eine Serie wiederkehrender Einbrüche, darunter ein Angriff der Gruppe IRLeaks im Jahr 2024, der als einer der schwersten auf Irans Banken gilt.

Die größere Lehre reicht weit über Teheran hinaus. Da Kartensysteme, der Nachrichtenverkehr zwischen Banken und Kryptobörsen zu Zielen geopolitischer Konflikte werden, rückt die Widerstandsfähigkeit der Zahlungsinfrastruktur – jener unsichtbaren Mechanik, die das Bezahlen mit Karte überhaupt erst ermöglicht – in den Rang einer Frage der nationalen Sicherheit, nicht bloß der IT. Irans wiederkehrende Blackouts führen früh und anschaulich vor, wie schnell eine moderne Volkswirtschaft ins Stocken gerät, wenn man diese Mechanik abschaltet.

Häufig gefragt

Welche iranischen Banken waren betroffen?
Die erste Welle am 13./14. Juni 2026 störte vier Institute zugleich: Bank Melli, Bank Saderat, Bank Tejarat und die Export Development Bank of Iran. In der zweiten Welle um den 23. bis 25. Juni setzten Melli, Saderat und Tejarat ihre Kartendienste landesweit aus. Privatbanken waren nicht betroffen.
Wer steckt hinter den Angriffen?
Die iranische regierungskritische Gruppe „Black Wolves“ bekannte sich auf Telegram. Die iranischen Behörden schrieben die Angriffe öffentlich keinem Staat und keiner Gruppe zu. Ein anfänglicher Verdacht gegen die israelnahe Gruppe Predatory Sparrow wurde von Fachleuten relativiert.
Wie schwer war der Schaden?
Nach offiziellen Angaben wurden keine Kundendaten entwendet, die zentralen Datensätze blieben intakt. Fachleute werteten die Ausfälle als auf Sichtbarkeit und Bloßstellung angelegt, nicht auf dauerhaften Schaden. Bis zum 24. Juni galten die Störungen als behoben.
Was geschah 2025 bei der Bank Sepah?
Während des zwölftägigen Iran-Israel-Krieges legte Predatory Sparrow die mit den Revolutionsgarden verbundene Bank Sepah lahm und erklärte, deren Daten „zerstört“ zu haben. Einen Tag später vernichtete die Gruppe über 90 Millionen Dollar bei der Kryptobörse Nobitex.
Quellen(12)
  1. 1Cyberattack hits Iran banks as digital tensions lingerAGBI · agbi.com
  2. 2Cyberattack hits four major Iranian banks, officials sayCybernews · cybernews.com
  3. 3Cyberattack On 4 Iranian Banks ConfirmedRadio Free Europe/Radio Liberty (via GlobalSecurity.org) · globalsecurity.org
  4. 4Cyberattack disrupts services at four major Iranian banksThe Paypers · thepaypers.com
  5. 5Cyberattack Hits State Banks in IranAsharq Al-Awsat · english.aawsat.com
  6. 6Cyberattack hits state banks in IranOman Observer (DPA) · omanobserver.om
  7. 7Cyberattack disrupts banking services in IranYahoo News (DPA) · yahoo.com
  8. 8Iran's Bank Sepah disrupted by cyberattack claimed by pro-Israel hacktivist groupCyberScoop · cyberscoop.com
  9. 9Iran's financial sector takes another hit as largest crypto exchange is targetedCyberScoop · cyberscoop.com
  10. 10Iranian crypto exchange Nobitex hacked for over $90 million by pro-Israel groupElliptic · elliptic.co
  11. 11Pro-Israel hackers take credit after $90 million stolen from Iran's largest crypto exchangeCNN · cnn.com
  12. 12Predatory SparrowWikipedia · en.wikipedia.org

navigierenöffnenescschließen