Neue Geheimdienstberichte aus Polen und den USA belegen eine besorgniserregende Eskalation der Angriffe auf kommunale Wasserversorger.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Report jetzt gratis herunterladen
Polen: Fünf Kläranlagen kompromittiert
Der polnische Inlandsgeheimdienst ABW meldete am Montag dieser Woche schwere Sicherheitsverletzungen an fänf Wasseraufbereitungsanlagen. Die betroffenen Einrichtungen in Jabłonna Lacka, Szczytno, Małdyty, Tolkmicko und Sierakowo wurden über ungeschützte Steuerungsschnittstellen im Internet geknackt. Die Angreifer nutzten schwache Passwörter aus – ein Standardproblem in der Branche.
In seiner ersten umfassenden öffentlichen Aktivitätsübersicht seit über einem Jahrzehnt machte der Geheimdienst russische Hackergruppen verantwortlich. Konkret nannte die Behörde die als APT28 und APT29 bekannten Einheiten, die häufig unter dem Deckmantel von „Hacktivisten“ agieren.
Besonders alarmierend: Die Angriffe waren nicht bloß explorativ. In Szczytno gelang es den Tätern, die Kontrollsysteme für Spülzyklen und Chemiedosierung zu manipulieren. Zwar konnten die gefährlichsten Sabotageversuche vereitelt werden, doch die technischen Analysen zeigen, dass die Angreifer sich dauerhaften Zugang verschafft hatten.
Gefährlicher Strategiewechsel bei staatlichen Hackern
Die Vorfälle markieren einen doktrinären Wandel. Statt auf Spionage setzen staatliche Akteure zunehmend auf die Manipulation industrieller Steuerungssysteme – jener Technik, die Pumpen, Filter und Chemieanlagen reguliert. Die polnische Regierung reagierte mit einem Rekordbudget: Eine Milliarde Euro für Cybersicherheit im Haushaltsjahr 2026, davon rund 80 Millionen Euro speziell für den Schutz der Wasserversorgung.
USA: Ransomware legt SCADA-Systeme lahm
Die Bedrohungslage in Osteuropa spiegelt sich in Nordamerika wider. Anfang Mai traf ein Ransomware-Angriff die Wasseraufbereitungsanlage von Minot in North Dakota. Die Betreiber mussten auf manuelle Messwerterfassung umstellen. Zwar blieb die Wasserversorgung sicher und es wurde kein Lösegeld gefordert, doch die SCADA-Steuerungssysteme fielen komplett aus.
Die US-Umweltschutzbehörde EPA hatte bereits 2024 in einer Durchsetzungsverfügung festgestellt, dass über 70 Prozent der geprüften kommunalen Wassersysteme gegen grundlegende Sicherheitsanforderungen verstießen. Typische Schwachstellen: Standardpasswörter, fehlende Zwei-Faktor-Authentifizierung und mangelnde Netzwerktrennung zwischen IT und Betriebstechnik.
Rekord-Schäden durch Phishing und Cyberangriffe zeigen, warum immer mehr Unternehmen jetzt auf gezielte Awareness-Kampagnen setzen. Erfahren Sie im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulationstaktiken schützen kann. Kostenloses Anti-Phishing-Paket sichern
Branchenexperten warnen: Während große Versorger ihre Sicherheit verbessern, bleiben kleine und mittlere Gemeinden verwundbar. Sie arbeiten oft mit veralteter Hardware und ohne spezialisiertes Sicherheitspersonal. Iranische Gruppen und chinesische Akteure wie Volt Typhoon zielen gezielt auf diese kleineren Einheiten ab – als Vorbereitung für mögliche zukünftige Konflikte.
Von Erpressung zur Sabotage
Die aktuelle Angriffswelle unterscheidet sich grundlegend von klassischer Ransomware. Zwar treibt Gewinnstreben weiterhin kriminelle Banden, doch staatliche Akteure fokussieren auf Betriebsstörungen. Die iranische Gruppe CyberAv3ngers etwa attackierte speziell speicherprogrammierbare Steuerungen (PLCs) in mehreren US-Bundesstaaten – weil die Hardware aus Israel stammte.
Die Einbruchsmethoden sind technisch oft banal, aber verheerend in ihrer Wirkung. Angreifer scannen das öffentliche Internet nach exponierten Kontrollpanels. Einmal eingedrungen, können sie Turbinen stoppen, Chemiedosierungen manipulieren oder Zugangscodes ändern. In Polen veröffentlichten Hacker sogar Videoaufnahmen, wie sie Turbinen in Echtzeit abschalteten.
Regulierungsbehörden verschärfen Gangart
Die US-Behörden CISA, EPA und FBI haben wiederholt Warnungen herausgegeben. Sie fordern Wasserwerke auf, regelmäßige Bestandsaufnahmen ihrer Systeme durchzuführen und Steuerungstechnik vom öffentlichen Internet zu trennen. Doch aktuelle Inspektionen zeigen: Viele Anlagen ignorieren selbst grundlegende Sicherheitsmaßnahmen wie das Ändern von Standardpasswörtern, die oft in öffentlichen Handbüchern stehen.
CISA hat neue Regeln vorgeschlagen: Kritische Infrastrukturen sollen schwere Cybervorfälle binnen 72 Stunden melden müssen, Lösegeldzahlungen sogar innerhalb von 24 Stunden. Diese Vorgaben des „Cyber Incident Reporting for Critical Infrastructure Act“ sollen der Regierung Echtzeit-Einblick in systemische Bedrohungen geben – die bisher von Kommunen oft verschwiegen wurden.
Lehren aus der Vergangenheit
Der historische Präzedenzfall mahnt zur Wachsamkeit: 2021 versuchte ein Angreifer, in einer Wasseraufbereitungsanlage in Oldsmar, Florida, die Natriumhydroxid-Konzentration auf gefährliche Werte zu erhöhen. Nur ein aufmerksamer Operator verhinderte die Katastrophe. Der Vorfall trieb die EPA zu verstärkten Durchsetzungsmaßnahmen an – bis rechtliche Anfechtungen mehrerer Bundesstaaten 2023 die Behörde vorübergehend ausbremsten.
Ausblick: Autonome Abwehrsysteme gefordert
Für das laufende Jahr zeichnet sich ein Kurswechsel ab: Die Wasserbranche setzt zunehmend auf „präventive“ Sicherheitsmaßnahmen. Branchenführer und Regierungsvertreter fordern den Umstieg auf autonome Systeme, die Bedrohungen ohne menschliches Eingreifen erkennen und abwehren können. Der Grund: Das Zeitfenster zwischen Einbruch und potenziell katastrophaler Systemänderung ist oft zu kurz für manuelle Reaktion.
Die internationale Zusammenarbeit zwischen Behörden wie dem polnischen ABW und der US-Behörde CISA deutet auf eine gemeinsame Verteidigungsstrategie für westliche kritische Infrastrukturen hin. Da staatliche Akteure sowohl Kleinstädte als auch Metropolen angreifen, ist die Grenze zwischen nationaler Sicherheit und kommunaler Daseinsvorsorge längst verschwommen. In den kommenden Monaten ist mit verstärkten Bundesinspektionen und Verwaltungsverfügungen zu rechnen. Wer seine Notfallpläne nicht aktualisiert oder Fernzugänge nicht sichert, dem drohen empfindliche zivil- und strafrechtliche Konsequenzen.
