Kurz erklärt: OT-Cyberattacke auf Polen

Eskalation der Cybersabotage |
Was ist passiert?

Am Morgen und Nachmittag des 29. Dezembers 2025 führte ein einzelner Angreifer koordinierte Angriffe auf mehrere kritische Infrastruktureinrichtungen in ganz Polen durch. Die Angriffe betrafen mindestens 30 Wind- und Solarparks, ein privates Produktionsunternehmen und ein großes Heizkraftwerk, das fast 500.000 Kunden mit Wärme versorgt.

Das Hauptziel der Vorgänge war die irreversible Zerstörung von Daten und die Störung der Betriebsfähigkeit war. Der Angriff betraf sowohl traditionelle Informationstechnologiesysteme (IT) als auch Betriebstechnologie (OT) und stellte eine erhebliche Eskalation der Cybersabotage dar. Es gelang den Angreifern, die Kommunikation zwischen Windparks und den Verteilernetzbetreibern (DSOs) zu unterbrechen. Im Heizkraftwerk und im Produktionsunternehmen setzten die Angreifer eine ausgeklügelte „Wiper”-Malware ein, die darauf ausgelegt war, Dateien dauerhaft zu löschen und Systeme funktionsunfähig zu machen.

Diebstahl & irreversible Zerstörung von Daten | Was sind die Folgen?

Die Folgen dieser Angriffe sind schwerwiegend und reichen von Betriebsausfällen bis hin zu potenziellen Gefahren für die öffentliche Sicherheit. Zwar wurde die Stromerzeugung in den Anlagen für erneuerbare Energien nicht sofort eingestellt, doch der Verlust der Fernüberwachung und der Überwachungssteuerung durch den Verteilungsnetzbetreiber schuf eine Hoch-Risiko-Umgebung. Ein Abtrennen der 30 angegriffenen Anlagen vom Stromnetz war möglich.

Im Falle des Heizkraftwerks richtete sich die Sabotage gegen Systeme, die aufgrund der Minustemperaturen in einer Phase mit hohem Heizbedarf eingesetzt wurden. Die irreversible Zerstörung von Daten auf Workstations und Servern könnte zu langfristigen Ausfällen und massiven Kosten für die Wiederherstellung der Infrastruktur führen. Darüber hinaus könnte der Diebstahl sensibler technischer Informationen im Zusammenhang mit SCADA-Systemen und der Modernisierung von OT-Netzwerken den Angreifern die notwendigen Informationen liefern, um in Zukunft noch schädlichere Angriffe durchzuführen.

Polnisches Stromnetz

Quelle: Openstreetmaps und ENTSO-E

Mangelhafte Passwort-Hygiene |
Wie verschafften sich die Angreifer Zugang?

Der primäre Einstiegspunkt für die Angreifer bei fast allen Zielen war die Ausnutzung von Perimeter-Edge-Geräten, insbesondere FortiGate-Firewalls und VPN-Konzentratoren. In den erneuerbaren Energieparks waren diese Geräte dem Internet ausgesetzt, wobei die Authentifizierungsmethoden keine Multi-Faktor-Authentifizierung (MFA) vorsahen. Einige dieser Geräte wiesen historische Schwachstellen auf, darunter Fehler bei der Remote-Code-Ausführung, die über längere Zeiträume nicht gepatcht wurden.

Ein wiederkehrendes Problem war die Verwendung von Standard-Anmeldedaten und mangelhafte Passwort-Hygiene. Viele OT-Systeme waren mit werkseitigen Standardkonten wie „Default” konfiguriert.

Im Fertigungssektor gelangte der Angreifer sogar an die Konfiguration eines Geräts, nachdem diese in einem Online-Kriminellenforum öffentlich bekannt geworden war. Darüber hinaus ermöglichte die in der Branche übliche Praxis, dieselben Passwörter für mehrere Einrichtungen wiederzuverwenden, dem Angreifer, von einer kompromittierten Website zu vielen anderen zu wechseln.

Zerstörung der OT und IT |
Was folgte dann?

Sobald sie sich Zugang zu den Netzwerken verschafft hatten, verfolgten die Angreifer einen methodischen Prozess der Aufklärung, Persistenz und schließlich Zerstörung.

Aufklärung und laterale Bewegung

Die Angreifer verwendeten integrierte Windows-Dienstprogramme wie „ping“ und „nslookup“ sowie spezielle Tools wie „Advanced Port Scanner“, um die internen Netzwerke zu kartieren. Sie bewegten sich lateral mithilfe des Remote Desktop Protocol (RDP).

Daten-
exfiltration

Bevor sie zerstörerische Payloads starteten, stahlen die Angreifer wichtige Sicherheitsressourcen, darunter die Active Directory-Datenbank (ntds.dit), Registrierungshives (SAM und SYSTEM) und FortiGate-Konfigurationsdateien. Auf diese Weise erlangten sie Anmeldedaten für hochrangige Administratorkonten.

Destruktive Aktivitäten (OT)

den Wind- und Solarparks luden die Angreifer beschädigte Firmware auf Hitachi RTU560-Controller hoch, wodurch diese in eine unendliche Neustartschleife gerieten. Auf Mikronika-Controllern führten sie über den SSH-Zugriff Befehle aus, die alle Systemdateien löschten. Moxa-Geräte wurden auf die Werkseinstellungen zurückgesetzt und mit nicht erreichbaren IP-Adressen versehen, um die Wiederherstellung zu verzögern.

Destruktive Aktivitäten (IT)

Die Angreifer setzten zwei verschiedene Arten von Malware ein: DynoWiper (eine native C++-Binärdatei) und LazyWiper (ein PowerShell-Skript, das wahrscheinlich von einem LLM generiert wurde). Diese Wiper zielten auf bestimmte Dateierweiterungen ab und überschrieben Daten mit pseudozufälligen Sequenzen, um sie unwiederherstellbar zu machen.

Wie lassen sich die Schäden
solcher Cyberangriffe
verringern?

Man kann sich schwer davor schützen, angegriffen zu werden. Es ist aber möglich, mit gebräuchlichen Sicherheitsmaßnahmen die Auswirkungen von solchen Angriffen zu verringern.

Standard-
Anmeldedaten
entfernen

Bei allen Industrie- und Netzwerkgeräten müssen die werkseitig festgelegten Passwörter sofort nach der Bereitstellung geändert werden.

Firmware-
und Patch-
Management

Unternehmen müssen einen wirksamen Prozess für das Patchen von Edge-Geräten und OT-Umgebungen einhalten. Patchen ist insbesondere in OT-Umgebungen mit ihren Echtzeit-Anforderungen komplex. Deshalb ist eine fundierte Risikobewertung von Schwachstellen zwingend erforderlich, sowie bei Bedarf die Festlegungen von geeigneten alternativen Sicherheitsmaßnahmen.

Mulit-Faktor-Authentifizierung

Alle externen Dienste, insbesondere VPNs und Cloud-Dienste, müssen eine Multi-Faktor-Authentifizierung erfordern, um unbefugten Zugriff über gestohlene oder erratene Passwörter zu verhindern.

Netzwerk-
segmentierung

Eine robuste Netzwerksegmentierung sollte durchgesetzt werden, um zu verhindern, dass Angreifer sich frei zwischen IT- und OT-Umgebungen bewegen können, selbst wenn sie Administratorrechte auf einem einzelnen Gateway erhalten.

Gestärkte Resilienz für umfassenden Schutz

Um die Resilienz im der Energie-OT zu stärken, empfehlen wir darüber hinaus die folgenden Maßnahmen :

Einsatz fortschrittlicher Überwachung

Schützen Sie die Perimeter und die Sicherheitszonen mit lückenloser Überwachung und werten Sie die Informationen aus. Ein mehrschichtiges Verteidigungskonzept enthält auch eine Überwachung des Netzwerkverkehrs innerhalb einer Sicherheitszone. Sofern es den Angreifern gelungen ist, den Perimeterschutz zu überwinden, können durch Anomalie- oder Signaturerkennung bösartige Handlungen identifiziert und alarmiert werden. Netzwerküberwachung (Angriffserkennung, Intrusion Detection Systems) können auch eine ergänzende Sicherheitsmaßnahme darstellen, wenn ein Patch von OT-Systemen nicht möglich ist.

Absicherung von
Geräten

Deaktivieren Sie unnötige Dienste auf Industriegeräten, wie Webschnittstellen oder FTP-Server, wenn diese für den Betrieb nicht erforderlich sind.

Konfigurationen prüfen

Überprüfen Sie regelmäßig Firewall-Regeln, VPN-Zugänge und die vergebenen Berechtigungen, um unberechtigten und unbemerkten Zugang zu den kritischen Systemen zu verhindern.

Anmeldedatenhygiene beachten

Verbieten Sie die Wiederverwendung von Administratorpasswörtern an verschiedenen geografischen Standorten oder Einrichtungen.

Erkennung & Planung der Incident Response

Bereiten Sie sich auf Sicherheitsvorfälle vor. Dazu gehört zuerst die Fähigkeit, diese rechtzeitig zu erkennen. Die Reaktion darauf, also die Alarmierung der richtigen Personen sowie das Wissen, was zu tun ist (z.B. via Playbooks), sollte im Voraus festgelegt und regelmäßig geübt werden.

Schon gewusst?

Unsere Expert:innen bieten Cybersicherheitsberatung und -trainings für IT und OT.

Schreiben Sie uns!

Wir freuen uns, Ihnen unverbindlich
weiterhelfen zu können.

Haben Sie Fragen?
Benötigen Sie mehr Informationen?
Möchten Sie eine Demo anfordern?

Jetzt Nachricht schicken

News und Aktuelles

30. Jänner 2026