Der gefährlichste Teil des Angriffs begann Monate zuvor

Am 29. Dezember 2025, als Polen kurz vor dem Jahreswechsel bereits unter Schneestürmen und zweistelligen Minusgraden litt, traf eine koordinierte Cyberattacke mehr als 30 Wind- und Solarparks sowie ein Heizkraftwerk, das rund eine halbe Million Menschen mit Wärme versorgt. Premierminister Donald Tusk bezeichnete den Vorfall später als russischen Sabotageakt mit einem klaren Ziel: einen Blackout mitten im Winter auszulösen. 

Zu diesem Zeitpunkt waren die Angreifer jedoch längst im System – unbemerkt und über Monate hinweg.

Genau dieser Aspekt, dokumentiert in der technischen Analyse von CERT Polska aus Januar 2026, verdient besondere Aufmerksamkeit. Die zerstörerische Phase am 29. Dezember war kein spontaner Angriff, sondern der Höhepunkt einer langfristig angelegten, methodischen Infiltration. Über Wochen hinweg sammelten die Angreifer Betriebsdaten, erweiterten ihre Zugriffsrechte und kartierten die Systeme des Kraftwerks bis ins Detail, um gezielt zuschlagen zu können. 

Als schließlich die sogenannte Wiper-Malware aktiviert wurde, war sie nicht auf Erpressung ausgelegt, sondern auf maximale Zerstörung: Daten sollten unwiederbringlich gelöscht, Firmware beschädigt und industrielle Systeme dauerhaft außer Betrieb gesetzt werden. Nur im letzten Moment konnte Endpoint-Detection-Software den Angriff stoppen. 

Anders sah es in den Umspannwerken der erneuerbaren Energien aus. Dort griff keine solche Schutzmaßnahme: RTU-Controller, Schutzrelais und HMI-Systeme wurden systematisch abgeschaltet. Firmware wurde manipuliert, Systemdateien gelöscht – und Betreiber im ganzen Land verloren schlagartig die Fernüberwachung und Steuerung ihrer Anlagen. Die Stromproduktion lief weiter, doch die Kontrolle aus der Ferne war faktisch nicht mehr möglich. 

CERT Polska ordnete die Angriffe den Gruppen Static Tundra, Berserk Bear und Ghost Blizzard zu, die Verbindungen zum russischen Inlandsgeheimdienst FSB aufweisen sollen. Die Sicherheitsunternehmen Dragos und ESET kamen in unabhängigen Analysen zu einer ähnlichen Einschätzung und sehen mit mittlerer Wahrscheinlichkeit die GRU-nahe Gruppe Sandworm dahinter, die seit 2015 für Angriffe auf die ukrainische Energieversorgung bekannt ist. 

Die genaue Zuschreibung ist jedoch zweitrangig. Entscheidend ist die technische Realität: ein hochprofessioneller, gut ausgestatteter Akteur mit tiefem Verständnis für industrielle Steuerungssysteme, monatelangem ungestörten Zugriff auf kritische Infrastruktur – und der Fähigkeit, physische Auswirkungen in großem Maßstab zu verursachen. 

Im Februar 2026 veröffentlichte die US-Behörde CISA eine weltweite Warnung und griff dabei die Erkenntnisse von CERT Polska auf. Der Einstiegspunkt war in allen betroffenen Anlagen identisch: öffentlich erreichbare FortiGate-VPN-Geräte ohne Multi-Faktor-Authentifizierung – kombiniert mit mehrfach wiederverwendeten Zugangsdaten an über 30 Standorten. 

Ein besonders brisanter Punkt: Die Angreifer mussten nach dem Eindringen keine hochkomplexen Techniken einsetzen. Die vorhandene Architektur – typisch für viele verteilte OT-Umgebungen – bot bereits eine Angriffsfläche, die sich mit vergleichsweise geringem Aufwand ausnutzen ließ. 

Das Zugriffsproblem, das immer wieder auftaucht 

Der IBM X-Force Threat Intelligence Index 2026 zeigt ein klares Bild: Die Fertigungsindustrie ist bereits zum fünften Mal in Folge die weltweit am stärksten angegriffene Branche und macht 27,7 % aller Cyberangriffe aus. Gleichzeitig sind die Kosten weiter gestiegen: Laut Cost of a Data Breach Report 2024 von IBM belief sich der durchschnittliche Schaden in der Industrie auf 5,56 Millionen US-Dollar – ein Anstieg von 18 % gegenüber dem Vorjahr. 

Besonders kritisch ist die Zeit bis zur Entdeckung: In OT-Umgebungen dauert es im Schnitt 199 Tage, bis ein Angriff erkannt wird. In Polen waren die Angreifer sogar deutlich länger unentdeckt im System. 

Ein Blick auf typische OT-Vorfälle zeigt ein wiederkehrendes Muster. Angreifer verschaffen sich Zugang über Remote-Zugänge – häufig über Dienstleister oder Drittanbieter, deren Verbindungen aus betrieblichen Gründen notwendig sind, aber nicht ausreichend kontrolliert oder nachvollziehbar abgesichert sind. Von dort aus bewegen sie sich über Wochen oder Monate lateral durch das Netzwerk, nutzen Privilegienausweitung und wiederverwendete Zugangsdaten. 

Fehlt eine saubere Trennung zwischen IT- und OT-Netzwerken, erreichen sie früher oder später die operative Ebene. Der tatsächliche Schaden hängt dann nicht nur von der Raffinesse der Angreifer ab, sondern auch davon, wie viel Bewegungsfreiheit ihnen die Umgebung unbeabsichtigt eingeräumt hat. 

Die gute Nachricht: Die notwendigen Gegenmaßnahmen sind bekannt – und erfordern keine komplett disruptive Sicherheits-Transformation, wie sie in OT-Umgebungen oft gefürchtet wird. 

Allerdings sind sie auch nicht trivial umzusetzen. In Umgebungen, in denen Verfügbarkeit oberste Priorität hat, Systeme jahrzehntealt sind und Sicherheitsteams mit begrenzten Ressourcen arbeiten, ist jede Veränderung ein Balanceakt. 

Dennoch sind die entscheidenden Kontrollen klar: 

Jede privilegierte Remote-Session in eine OT-Umgebung sollte vorab explizit vom OT-Team freigegeben werden. Sämtliche Aktivitäten innerhalb dieser Sitzungen müssen manipulationssicher protokolliert werden. 

Die Wiederverwendung von Zugangsdaten über verschiedene Standorte hinweg ist weit verbreitet – nicht zuletzt, weil eine koordinierte Rotation ohne Unterbrechung des Betriebs schwer umzusetzen ist. Gleichzeitig ist genau das die größte Schwachstelle für laterale Bewegungen. Eine zentrale Verwaltung und Absicherung von Zugangsdaten (Credential Vaulting) ist daher einer der effektivsten Hebel, um dieses Risiko zu reduzieren. 

Auch die Trennung zwischen IT und OT darf nicht nur konzeptionell existieren, sondern muss technisch durchgesetzt werden. Nur so lässt sich verhindern, dass kompromittierte IT-Zugänge ungehindert in die Produktionsumgebung übergreifen. 

Und im Ernstfall braucht es klare Handlungsfähigkeit: die Möglichkeit, externe Zugriffe sofort vollständig zu unterbrechen, einzelne Accounts gezielt zu sperren und gleichzeitig die Produktion intern stabil weiterlaufen zu lassen. Nur so entsteht kein Zielkonflikt zwischen Schadensbegrenzung und Betriebsfähigkeit. 

Das ist keine Theorie. Im polnischen Heizkraftwerk konnte die Wiper-Malware im letzten Moment durch Endpoint-Schutz gestoppt werden. Hätte das Unternehmen zusätzlich Transparenz über die monatelangen lateralen Bewegungen innerhalb privilegierter Zugänge gehabt, wäre es vermutlich gar nicht so weit gekommen. 

Genau diese Art von Zugriffskontrolle und Transparenz bildet auch die Grundlage der NIS2-Richtlinie, die nun für kritische Einrichtungen in Europa gilt: dokumentierte Zugriffskontrollen, Multi-Faktor-Authentifizierung, Steuerung von Lieferkettenrisiken und getestete Incident-Response-Prozesse. Die Verantwortung liegt dabei ausdrücklich auch auf Management-Ebene – mit möglichen Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. 

Resilienz aufbauen, bevor es zu spät ist 

In der OT-Sicherheit wird Resilienz oft erst dann thematisiert, wenn präventive Maßnahmen bereits versagt haben. Der Vorfall in Polen zeigt jedoch deutlich, warum dieses Denken zu kurz greift. 

Die Angreifer waren schon lange im System, bevor die eigentliche Zerstörung begann. Prävention – im Sinne eines vollständigen Ausschlusses – war zu diesem Zeitpunkt bereits gescheitert. Entscheidend für den Ausgang war vielmehr, ob geeignete Kontrollen vorhanden waren, um laterale Bewegungen zu erkennen, Schäden zu begrenzen und schnell zu reagieren. Genau hier zeigte sich ein gemischtes Bild: Die Wiper-Malware konnte gestoppt werden, die Angriffe auf die Umspannwerke hingegen nicht. 

Organisationen, die die Lehren aus diesem Vorfall ernst nehmen, sollten sich zwei zentrale Fragen stellen: 

Erstens: Besteht echte Transparenz darüber, wer privilegierten Zugriff auf die OT-Umgebung hat, auf welche Systeme diese Accounts zugreifen können – und ob aktuell ungewöhnliche Aktivitäten stattfinden? 

Zweitens: Wenn sich bereits heute ein Angreifer im Netzwerk befände – welche Mechanismen würden ihn erkennen, eindämmen und eine Reaktion ermöglichen, ohne dabei geschäftskritische Systeme abzuschalten? 

Die Angreifer in Polen konnten monatelang unentdeckt agieren. Die entscheidende Frage ist daher nicht, ob sich ein solcher Vorfall auch anderswo wiederholen kann. 

Sondern ob die vorhandenen Sicherheitsmaßnahmen dafür sorgen, dass die Auswirkungen deutlich geringer ausfallen, wenn es passiert.