Search
START TYPING AND PRESS ENTER TO SEARCH

lan-wan-telecom.de

Dragos Analyse: Cyberangriff auf das polnische Stromsystem 2025

Am 29. Dezember 2025 erfolgte ein Angriff auf mehrere Standorte des polnischen Stromnetzes, insbesondere Anlagen mit Anbindung an dezentrale Energieversorgung. Obwohl es zu keinen Stromausfällen kam, gelang es den Angreifern, sich Zugang zu operativen Systemen des Stromnetzes zu verschaffen und wichtige Komponenten vor Ort irreparabel zu beschädigen. Der Vorfall macht deutlich, wie anfällig diese Strukturen sein können. Für Deutschland, wo dezentrale Energiequellen an Bedeutung gewinnen, ist diese Entwicklung daher äußerst bedenklich.

Dragos war bei der Incident Response für einen Teil der Anlagen beteiligt, die durch diesen Angriff auf das polnische Stromnetz betroffen waren, und geht mit mittlerer Zuverlässigkeit davon aus, dass die Bedrohungsgruppe ELECTRUM dahintersteht. Zu den bekannten Aktivitäten von ELECTRUM gehört unter anderem auch der Ransomware-Angriff auf einen Satellitenbetreiber im Jahr 2022, der nicht nur militärische Kommunikationssysteme in der Ukraine, sondern auch zivile Infrastrukturen betroffen hat. Diese beinhaltete auch Windenergieanlagen in Deutschland, die über satellitengestützte Netzwerke angebunden waren.

Überblick über den Angriff

Es handelte sich um den ersten größeren Cyberangriff, der speziell auf dezentrale Energieanlagen abzielte. Diese Anlagen sind kleinere Wind-, Solar- und Kraft-Wärme-Kopplungsanlagen, die zunehmend weltweit in Stromnetze (z.B. als Windpark) integriert werden. Der Angriff in Polen ist besonders schwerwiegend, da er koordiniert und gleichzeitig an zahlreichen Standorten stattfand.

Die Angreifer nutzten eine Kombination aus exponierten Netzwerkkomponenten und bekannten Schwachstellen, um Remote Terminal Units (RTUs/Fernwirkgeräte) sowie die Kommunikationsinfrastruktur an den betroffenen Standorten zu kompromittieren. Diese Komponenten sind zwar durch Sicherheitsmechanismen geschützt, weisen jedoch unvermeidlich Schwachstellen auf, wie z.B. Fehlkonfigurationen, fehlende Patches oder angreifbare Dienste. Nachdem die Angreifer diese Hürden überwunden hatten, trafen sie auf RTUs und Kommunikationssysteme, die nicht darauf ausgelegt waren, komplexen Cyberangriffen standzuhalten. Die Kompromittierung und Kontrolle solcher Geräte erfordern mehr als nur die Ausnutzung technischer Fehler. Es benötigt detaillierte Kenntnisse der spezifischen Implementierung. Genau das haben die Angreifer bewiesen, indem sie RTUs bzw. Fernwirkkomponenten an mehreren Standorten erfolgreich übernommen haben. Es liegt nahe, dass sie gängige Konfigurationen und Betriebsabläufe systematisch erfassten und gezielt ausnutzten.

Die polnische Regierung betonte, dass die Übertragungsnetze als Rückgrat des Stromnetzes nicht beeinträchtigt wurden. Dennoch verschafften sich die Angreifer Zugang zu operativen Systemen, die direkt mit den Erzeugungsanlagen verbunden sind. Diese Systeme sind zwar nicht Teil der Übertragungsinfrastruktur, erfüllen jedoch eine wichtige operative Funktion im Rahmen der Energieeinspeisung. Deshalb können koordinierte Angriffe auf diese Komponenten erhebliche operative Auswirkungen auf das gesamte Stromnetz haben.

Dieser Vorfall zeigt, dass Angreifer mit spezifischen OT-Kenntnissen Systeme ins Visier nahmen, die dezentrale Erzeugungsanlagen überwachen und steuern. Auch wenn es zu keinem Stromausfall kam, ist der erlangte Zugriff ein Ausgangspunkt, der operative Eingriffe in die Energieversorgung ermöglichen könnte. Das Risiko steigt insbesondere dann, wenn Angreifer parallelen Zugriff auf eine größere Anzahl von Standorten erlangen oder ein tieferes Verständnis der jeweiligen Anlagenkonfigurationen entwickeln. Dieses Verständnis ermöglicht dann gezieltere Angriffshandlungen. Die dauerhafte Beeinträchtigung einzelner OT- und industrieller Steuerungskomponenten vor Ort zeigte, dass die Angreifer nicht nur einen Angriff vorbereiteten, sondern diesen auch zum Teil erfolgreich ausführen konnten.

OT-Resilienz mit den fünf kritischen Kontrollen für OT-Cybersicherheit

Es bleibt unklar, ob ELECTRUM versucht hat, Betriebsbefehle an die betroffenen Systeme zu senden, oder ob sich die Aktivitäten auf die Störung der Kommunikation beschränkten. Aufgrund der begrenzten Protokollierung der Netzwerkkommunikation und der OT-Befehle an den betroffenen Standorten kann Dragos den vollen Umfang der Aktivitäten zum jetzigen Zeitpunkt nicht eindeutig beurteilen. Es steht jedoch fest, dass es den Angreifern gelungen ist, Kommunikationskomponenten, darunter auch OT-Geräte, außer Betrieb zu setzen.

Betreiber und Eigentümer von Anlagen im Stromnetz können ihre Systeme schützen, indem sie die fünf kritischen Kontrollen des SANS Institute implementieren. Jede dieser Maßnahmen befasst sich mit bestimmten Aspekten der OT-Cybersicherheitsreife und -resilienz und kann direkt auf die in diesem Bericht beschriebenen Vorgehensweisen (initialer Zugang, OT-Zugriff und OT-Manipulation) der ELECTRUM-Operationen angewendet werden.

  • OT- und ICS-Incident-Response: Notfallpläne für dezentrale Energiesysteme müssen gleichzeitige Ausfälle an mehreren Standorten berücksichtigen. Sie sollten auch berücksichtigen, dass forensische Beweise oft begrenzt sind und nicht immer klar ist, ob Angreifer lediglich die Kommunikation gestört oder die operative Kontrolle übernommen haben.
  • Verteidigungsfähige Architektur: Jeder Standort mit dezentraler Energieerzeugung sollte als unabhängige Sicherheitszone konzipiert werden. Dazu gehören gehärtete und streng überwachte Edge-Geräte sowie die konsequente Vermeidung von Standardzugangsdaten.
  • Sichtbarkeit und Überwachung von OT- und ICS-Netzwerken: Betreiber benötigen eine kontinuierliche, OT-native Überwachung. Diese muss eine vollständige Bestandsaufnahme aller OT-Assets, Kommunikationswege und Protokolle umfassen, die an allen verteilten Standorten verwendet werden.
  • Sicherer Fernzugriff: Der Fernzugriff sollte eine Multi-Faktor-Authentifizierung, klar definierte und gepflegte Zugriffslisten, zeitlich begrenzte Sitzungen sowie die Überwachung ungewöhnlicher Anmeldeaktivitäten an mehreren Standorten umfassen.
  • Risikobasiertes Schwachstellenmanagement: Schwachstellen in standardisierten Edge-Geräten wie Firewalls oder VPN-Systemen können schnell das gesamte System beeinträchtigen. Um dem entgegenzuwirken, sind robuste Bestandsaufnahmen, schnelle Gegenmaßnahmen, eine klare Segmentierung und kompensierende Kontrollen erforderlich.

Weitere Details zum Angriff sind im vollständigen Bericht zu finden.

Beitrag veröffentlicht

in

,

von

Stephan Mayer