Koordinierte Cyberangriffe auf polnische Energieinfrastruktur im Dezember 2025

Ende Dezember 2025 erlebte Polen eine Serie koordinierter Cyberangriffe auf kritische Energieinfrastruktur. Mehr als 30 Anlagen erneuerbarer Energien, ein Heizkraftwerk und ein Produktionsunternehmen wurden zum Ziel destruktiver Sabotageaktionen. Die polnische IT-Sicherheitsbehörde CERT Polska hat nun einen detaillierten Bericht zu den Vorfällen veröffentlicht und warnt vor einer neuen Qualität der Bedrohung.

Angriffswelle während Kältewelle

Die Attacken ereigneten sich am 29. Dezember 2025 in den Vormittags- und Nachmittagsstunden. Betroffen waren über 30 Wind- und Photovoltaikanlagen, ein großes Fernwärmewerk mit rund 500.000 Kunden sowie ein Industrieunternehmen. Der Zeitpunkt fiel zusammen mit einer Kältewelle und Schneestürmen in Polen kurz vor dem Jahreswechsel.

Die Angreifer verfolgten ausschließlich destruktive Absichten. CERT Polska vergleicht die digitalen Sabotageakte mit vorsätzlicher Brandstiftung in der physischen Welt. Die Behörde spricht von einer deutlichen Eskalation gegenüber bisherigen Cybervorfällen.

Technische Details der Angriffe auf erneuerbare Energien

Ziel der Attacken waren Umspannwerke, die als Verbindungspunkte zwischen erneuerbaren Energiequellen und dem Verteilnetz fungieren. In diesen Anlagen kommen verschiedene industrielle Steuerungssysteme zum Einsatz: Remote Terminal Units (RTUs) für Fernsteuerung und Überwachung, Human Machine Interfaces (HMIs) zur Visualisierung, Schutzrelais sowie Kommunikationskomponenten wie serielle Portserver, Modems, Router und Switches.

Nach dem Eindringen in die internen Netzwerke führten die Angreifer Aufklärungsmaßnahmen durch und entwickelten einen Zerstörungsplan. Dieser umfasste die Manipulation von Steuerungssoftware, das Löschen von Systemdateien und den Einsatz spezialisierter Löschsoftware (Wiper). Die teilautomatisierte Ausführung startete am Morgen des 29. Dezember.

Durch die Beschädigung der RTUs verloren die Stationen die Verbindung zu den Systemen der Netzbetreiber. Fernsteuerung war nicht mehr möglich. Die laufende Stromerzeugung blieb jedoch unbeeinflusst.

Sabotageversuch am Heizkraftwerk

Beim Angriff auf das Fernwärmewerk sollten Daten auf Geräten im internen Netzwerk irreversibel durch Wiper-Malware vernichtet werden. Der Attacke ging eine längerfristige Infiltration voraus, bei der sensible Betriebsinformationen gestohlen wurden.

Die Angreifer erlangten Zugang zu privilegierten Benutzerkonten und konnten sich dadurch ungehindert in den Systemen bewegen. Bei der Aktivierung der Schadsoftware griff jedoch die Endpoint Detection and Response-Lösung (EDR) des Unternehmens ein und blockierte die Ausführung. Die Wärmeversorgung der Endkunden blieb aufrechterhalten.

Paralleler Angriff auf Produktionsbetrieb

Am selben Tag versuchten die Angreifer, ein Fertigungsunternehmen zu schädigen. Diese Aktion war mit den Angriffen auf die Energiewirtschaft zeitlich abgestimmt, das Ziel erscheint jedoch opportunistisch gewählt und steht in keinem inhaltlichen Zusammenhang zu den anderen Zielen. Die eingesetzte Wiper-Malware war identisch mit der beim Heizkraftwerk verwendeten Schadsoftware.

Zuordnung zu bekannten Bedrohungsakteuren

Die Untersuchung der Angriffs-Infrastruktur liefert deutliche Hinweise auf die Täterschaft. CERT Polska analysierte kompromittierte VPS-Server, Router, Datenverkehrsmuster und Merkmale der Anonymisierungstechnik. Die Ergebnisse zeigen starke Übereinstimmungen mit Infrastrukturen, die von mehreren öffentlich dokumentierten Bedrohungsgruppen genutzt werden: Static Tundra (Cisco), Berserk Bear (CrowdStrike), Ghost Blizzard (Microsoft) und Dragonfly (Symantec).

Diese Akteure sind bekannt für ihr Interesse am Energiesektor und verfügen über Fähigkeiten zum Angriff auf industrielle Steuerungssysteme. Die beobachteten Vorgehensweisen passen zu den bekannten Mustern dieser Gruppen. Allerdings handelt es sich um die erste öffentlich dokumentierte destruktive Aktion, die diesen Aktivitätsclustern zugeordnet wird.

Empfehlungen und Dokumentation

CERT Polska stellt einen umfassenden Bericht zur Verfügung, der den vollständigen zeitlichen Ablauf, eine technische Malware-Analyse, Kompromittierungsindikatoren sowie Details zu Taktiken, Techniken und Vorgehensweisen (TTPs) der Angreifer enthält. Die Behörde empfiehlt allen Betreibern kritischer Infrastruktur die Lektüre, um das Bewusstsein für reale Sabotagerisiken im digitalen Raum zu schärfen.

Weiterlesen

 

---