![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Zum Jahresende 2025 kam es zu einem Cyberangriff auf das polnische Stromnetze. Die Angreifer waren mehrere Stunden in der Anlage aktiv und es gelang ihnen, Komponenten zu zerst\u00f6ren. Dragos hat mir eine Analyse dieses Cyberangriff zukommen lassen., die ich nachfolgend einstelle.<\/p>\n
<\/p>\n
Der Angriff erfolgte am 29. Dezember 2025 und betraf mehrere Standorte des polnischen Stromnetzes, insbesondere Anlagen mit Anbindung an dezentrale Energieversorgung. Obwohl es zu keinen Stromausf\u00e4llen kam, gelang es den Angreifern, sich Zugang zu operativen Systemen des Stromnetzes zu verschaffen und wichtige Komponenten vor Ort irreparabel zu besch\u00e4digen.<\/p>\n
Der Vorfall macht deutlich, wie anf\u00e4llig diese Strukturen sein k\u00f6nnen. F\u00fcr Deutschland, wo dezentrale Energiequellen an Bedeutung gewinnen, ist diese Entwicklung daher \u00e4u\u00dferst bedenklich.<\/p>\n
Der Sicherheitsanbieter Dragos war bei der Incident Response f\u00fcr einen Teil der Anlagen, die durch diesen Angriff auf das polnische Stromnetz betroffen waren, beteiligt. Dragos Spezialisten gehen mit mittlerer Zuverl\u00e4ssigkeit davon aus, dass die Bedrohungsgruppe ELECTRUM dahintersteht.<\/p>\n
Zu den bekannten Aktivit\u00e4ten von ELECTRUM geh\u00f6rt unter anderem auch der Ransomware-Angriff auf einen Satellitenbetreiber im Jahr 2022. Dieser betraf nicht nur milit\u00e4rische Kommunikationssysteme in der Ukraine, sondern auch zivile Infrastrukturen. Diese beinhaltete auch Windenergieanlagen in Deutschland, die \u00fcber satellitengest\u00fctzte Netzwerke angebunden waren.<\/p>\n
Es handelte sich um den ersten gr\u00f6\u00dferen Cyberangriff, der speziell auf dezentrale Energieanlagen abzielte. Diese Anlagen sind kleinere Wind-, Solar- und Kraft-W\u00e4rme-Kopplungsanlagen, die zunehmend weltweit in Stromnetze (z. B. als Windpark) integriert werden. Der Angriff in Polen ist besonders schwerwiegend, da er koordiniert und gleichzeitig an zahlreichen Standorten stattfand.<\/p>\n
Die Angreifer nutzten eine Kombination aus exponierten Netzwerkkomponenten und bekannten Schwachstellen, um Remote Terminal Units (RTUs\/Fernwirkger\u00e4te) sowie die Kommunikationsinfrastruktur an den betroffenen Standorten zu kompromittieren. Diese Komponenten sind zwar durch Sicherheitsmechanismen gesch\u00fctzt, weisen jedoch unvermeidlich Schwachstellen auf, wie z.B. Fehlkonfigurationen, fehlende Patches oder angreifbare Dienste.<\/p>\n
Nachdem die Angreifer diese H\u00fcrden \u00fcberwunden hatten, trafen sie auf RTUs und Kommunikationssysteme, die nicht darauf ausgelegt waren, komplexen Cyberangriffen standzuhalten. Die Kompromittierung und Kontrolle solcher Ger\u00e4te erfordern mehr als nur die Ausnutzung technischer Fehler. Es ben\u00f6tigt detaillierte Kenntnisse der spezifischen Implementierung. Genau das haben die Angreifer bewiesen, indem sie RTUs bzw. Fernwirkkomponenten an mehreren Standorten erfolgreich \u00fcbernommen haben. Es liegt nahe, dass sie g\u00e4ngige Konfigurationen und Betriebsabl\u00e4ufe systematisch erfassten und gezielt ausnutzten.<\/p>\n
Die polnische Regierung betonte, dass die \u00dcbertragungsnetze als R\u00fcckgrat des Stromnetzes nicht beeintr\u00e4chtigt wurden. Dennoch verschafften sich die Angreifer Zugang zu operativen Systemen, die direkt mit den Erzeugungsanlagen verbunden sind. Diese Systeme sind zwar nicht Teil der \u00dcbertragungsinfrastruktur, erf\u00fcllen jedoch eine wichtige operative Funktion im Rahmen der Energieeinspeisung. Deshalb k\u00f6nnen koordinierte Angriffe auf diese Komponenten erhebliche operative Auswirkungen auf das gesamte Stromnetz haben.<\/p>\n
Dieser Vorfall zeigt, dass Angreifer mit spezifischen OT-Kenntnissen Systeme ins Visier nahmen, die dezentrale Erzeugungsanlagen \u00fcberwachen und steuern. Auch wenn es zu keinem Stromausfall kam, ist der erlangte Zugriff ein Ausgangspunkt, der operative Eingriffe in die Energieversorgung erm\u00f6glichen k\u00f6nnte.<\/p>\n
Das Risiko steigt insbesondere dann, wenn Angreifer parallelen Zugriff auf eine gr\u00f6\u00dfere Anzahl von Standorten erlangen oder ein tieferes Verst\u00e4ndnis der jeweiligen Anlagenkonfigurationen entwickeln. Dieses Verst\u00e4ndnis erm\u00f6glicht dann gezieltere Angriffshandlungen. Die dauerhafte Beeintr\u00e4chtigung einzelner OT- und industrieller Steuerungskomponenten vor Ort zeigte, dass die Angreifer nicht nur einen Angriff vorbereiteten, sondern diesen auch zum Teil erfolgreich ausf\u00fchren konnten.<\/p>\n
Es bleibt unklar, ob ELECTRUM versucht hat, Betriebsbefehle an die betroffenen Systeme zu senden, oder ob sich die Aktivit\u00e4ten auf die St\u00f6rung der Kommunikation beschr\u00e4nkten. Aufgrund der begrenzten Protokollierung der Netzwerkkommunikation und der OT-Befehle an den betroffenen Standorten kann Dragos den vollen Umfang der Aktivit\u00e4ten zum jetzigen Zeitpunkt nicht eindeutig beurteilen. Es steht jedoch fest, dass es den Angreifern gelungen ist, Kommunikationskomponenten, darunter auch OT-Ger\u00e4te, au\u00dfer Betrieb zu setzen.<\/p>\n
Betreiber und Eigent\u00fcmer von Anlagen im Stromnetz k\u00f6nnen ihre Systeme sch\u00fctzen, indem sie die f\u00fcnf kritischen Kontrollen des SANS Institute implementieren. Jede dieser Ma\u00dfnahmen befasst sich mit bestimmten Aspekten der OT-Cybersicherheitsreife und -resilienz und kann direkt auf die in diesem Bericht beschriebenen Vorgehensweisen (initialer Zugang, OT-Zugriff und OT-Manipulation) der ELECTRUM-Operationen angewendet werden.<\/p>\n
Weitere Details zum Angriff sind im vollst\u00e4ndigen Bericht<\/a> zu finden.<\/p>\n","protected":false},"excerpt":{"rendered":" Zum Jahresende 2025 kam es zu einem Cyberangriff auf das polnische Stromnetze. Die Angreifer waren mehrere Stunden in der Anlage aktiv und es gelang ihnen, Komponenten zu zerst\u00f6ren. Dragos hat mir eine Analyse dieses Cyberangriff zukommen lassen., die ich nachfolgend … Weiterlesen