Polnischer Geheimdienst meldet ICS-Angriffe auf fünf Wasseraufbereitungsanlagen
Automatisiert erstellt von CyberDeutsch
Zusammenfassung
Polens Inlandsgeheimdienst ABW hat in einem neuen, auf Polnisch verfassten Bericht eine deutliche Zunahme von Cyberangriffen auf industrielle Steuerungssysteme (ICS) und sonstige Betriebstechnik (OT) im Zeitraum 2024 und 2025 dokumentiert. Den Angaben zufolge verlagern staatlich unterstützte Angreifer ihren Schwerpunkt zunehmend auf die physische Störung kritischer Dienste. Im Zentrum stehen direkte Einbrüche in die Steuerungssysteme von Wasseraufbereitungsanlagen mehrerer polnischer Kommunen. Für das Jahr 2025 verzeichnete die Behörde Sicherheitsvorfälle an den Wasseraufbereitungsstationen in Jabłonna Lacka, Szczytno, Małdyty, Tolkmicko und Sierakowo. In einigen Fällen verschafften sich die Angreifer Zugang zu den ICS und erlangten die Möglichkeit, Betriebsparameter der Anlagen zu verändern — mit unmittelbarem Risiko für den Anlagenbetrieb und die öffentliche Wasserversorgung. Bereits zuvor hatte ein polnischer Vertreter erklärt, ein Cyberangriff hätte beinahe einer Stadt die Wasserversorgung gekappt, sei aber vereitelt worden; technische Einzelheiten wurden damals nicht genannt. Der neue ABW-Bericht liefert nun mehr Hintergründe zu Angriffen dieser Art auf den polnischen Wassersektor.
Als zentrale Einfallstore für die Einbrüche in die Steuerungssysteme nennt die ABW zwei Schwachpunkte: schwache Passwortrichtlinien sowie Systeme, die direkt mit dem Internet verbunden sind. Beides sind seit Langem bekannte Versäumnisse bei der grundlegenden Absicherung von OT-Umgebungen. Dieselben Schwächen wurden dem Bericht zufolge kürzlich auch bei einem mit Russland in Verbindung gebrachten Angriff auf polnische Energieanlagen ausgenutzt.
Über die Wasserwerke hinaus dokumentierte die Behörde eine Zunahme von Angriffen auf Lieferketten, kritische Infrastruktur und Steuerungssysteme weiterer kommunaler Versorgungsbetriebe. Dazu zählen unter anderem Kläranlagen und Anlagen zur Abfallverbrennung.
Bei den Angriffen auf Lieferketten hatten es die Täter laut den Ermittlern gezielt auf Vertragsdaten, Projektunterlagen und Zugangsdaten abgesehen. Solche Anmeldedaten ermöglichen den weiterführenden Zugriff auf nachgelagerte Systeme.
Die Hauptverantwortung schreibt die ABW hacktivistischen Gruppen zu. Häufig handle es sich dabei jedoch um Tarnidentitäten ausländischer Regierungen, insbesondere russischer Nachrichtendienste. Namentlich nennt der Bericht die russischen APT-Gruppen APT28 und APT29 sowie die mit Belarus in Verbindung gebrachte Gruppe UNC1151, die gegen polnische Ziele vorgehen.
