Russische Hacker haben Ende 2025 über 30 Windkraft- und Solaranlagen in Polen mit Wiper-Malware angegriffen – der erste Großangriff auf dezentrale Energieressourcen dieser Art. Obwohl der Angriff scheiterte, zeigt er die wachsende Verwundbarkeit erneuerbarer Energiesysteme.
Ende Dezember 2025 erlitt Polens Energiesektor einen beispiellosen Cyberangriff. Zwischen dem 29. und 30. Dezember richteten sich Angreifer gegen mehr als 30 Anlagen für erneuerbare Energien, ein Fertigungsunternehmen und ein Kraft-Wärme-Kopplungswerk. Premierminister Donald Tusk bestätigte zwar das Scheitern des Angriffs, räumte aber ein, dass es sich um einen der aggressivsten Cyberanschläge der letzten Jahre handelte.
CERT Polka veröffentlichte am 30. Januar einen detaillierten Bericht zum Vorfall und verglich die Attacke mit Brandstiftung. Die Anschläge waren gezielt zerstörerisch konzipiert und ereigneten sich während einer Phase mit Minustemperaturen und Schneestürmen kurz vor Neujahr – ein bewusst gewählter Zeitpunkt. Die polnische Regierung deutete auf Russland als Urheber hin, während Sicherheitsexperten Übereinstimmungen mit der russisch-orientierten Bedrohungsgruppe Berserk Bear und dem berüchtigten Akteur Sandworm identifizierten.
Der Industriesicherheitsanbieter Dragos legte seinen Jahresbericht zur OT/ICS-Cybersicherheit vor und bescheinigte der Bedrohungsgruppe Electrum – die mit Sandworm überlappt – moderat hohe Verantwortung für den Angriff. Im vergangenen Jahr kooperierte Electrum mit der Hackergruppe Kamicite, um destruktive Attacken gegen ukrainische Internetanbieter durchzuführen und industrielle Geräte in den USA zu scannen. Kamicite verschaffte sich initialen Zugang, während Electrum die destruktiven Operationen ausführte.
“Electrum zählt zu den aggressivsten und fähigsten Bedrohungsakteuren im OT/ICS-Umfeld weltweit,” stellte Dragos fest. “Selbst bei Angriffen auf IT-Infrastrukturen wirken sich die Malware-Tools von Electrum oft auf Organisationen aus, die kritische Dienste erbringen.” Robert Lee, CEO von Dragos, betonte in einer Pressekonferenz, dass sein Unternehmen an der Incident-Response beteiligt war, die Details aber aus rechtlichen Gründen nicht offengelegt werden können.
Lee hob die Besonderheit dieses Angriffs hervor: Es war das erste koordinierte Großangriff auf dezentrale Energieressourcen (DERs) wie Windkraftanlagen und Solarfarmen. “Wenn 25 Prozent des Stromnetzes aus Windfarmen bestehen und jemand diese angreift, kann das extrem schwerwiegende Folgen haben,” erklärte Lee. Es gab keine Hinweise darauf, dass die Angreifer vollständige Kontrolle über die Anlagen erlangten oder eine Fehlbedienung anstrebten.
Lee wies auch darauf hin, dass Polen vergleichsweise Glück hatte, da der Anteil erneuerbarer Energien dort noch moderat ist. “Hätte der gleiche Angriff in den USA, Australien oder Skandinavien stattgefunden, wo DERs einen wesentlich höheren Anteil ausmachen, hätte das möglicherweise zu einer Katastrophe für das Stromnetz geführt,” warnte Lee.
Die US-Cybersecurity- und Infrastruktur-Sicherheitsbehörde CISA veröffentlichte am 10. Februar eine Sicherheitsmitteilung, die auf kritische Sicherheitslücken im OT-Sektor hinwies. Der Bericht zeigte, dass Angreifer über anfällige, internetfähige Edge-Geräte eindringen konnten und anschließend Wiper-Malware einsetzten, um Remote Terminal Units zu beschädigen. “Die Anschläge führten zu Kontrollverlust zwischen Anlagen und Verteilnetzbetreibern sowie zur Datenzerstörung an Bedienoberflächen,” hieß es in der CISA-Warnung.
Als Konsequenz empfahl CISA Betreibern, Firmware-Updates priorisiert umzusetzen, die Firmware-Verifizierung ermöglichen, und Standardpasswörter auf Edge-Geräten sofort zu ändern. Dragos forderte Infrastrukturbetreiber auf, Incident-Response-Pläne zu etablieren, die explizit adressieren, wie Systeme unter Bedingungen funktionieren können, wenn die Integrität von Feldgeräten nicht mehr gewährleistet ist. Zusätzlich sollten strenge Zugriffskontrollmaßnahmen, OT/IT-Segmentierung und umfassende Netzwerk-Transparenz implementiert werden.
Quelle: Dark Reading