Die Infiltration kritischer Infrastrukturen zielt nicht auf den schnellen Effekt. (Bild: Adobe Stock)
Wer noch immer glaubt, die Leit- und Fernwirktechnik (kurz OT) von Versorgungsunternehmen sei keine kritische Anlage und bräuchte keine Cybersicherheit, wurde in den letzten Monaten von zwei Großmächten eines Besseren belehrt. Ende Dezember 2025 versuchten russlandnahe Gruppen, in Polen 30 erneuerbare Energieanlagen und ein Heizkraftwerk zum Erliegen zu bringen. Die Angriffe wurden vereitelt, bevor es zu einem Blackout kam. Polens Vizepremier und Digitalminister Krzysztof Gawkowski betonte jedoch, dass Polen einem breitflächigen Blackout sehr nahe gewesen sei. Bis zu 500.000 Menschen hätte es treffen können [1]. Bereits Monate zuvor hatte Gawkowskis Stellvertreter Dariusz Standerski von täglich 20 bis 50 Cyberangriffen auf kritische Infrastruktur gesprochen [2].
Anfang Januar 2026 gingen in Venezuela flächendeckend die Lichter aus, während 150 US-amerikanische Helikopter und Flugzeuge ins Landesinnere eindrangen. Details zu dieser nachvollziehbaren Koinzidenz gibt es keine. Jedoch konnte der US-amerikanische Präsident sich nicht verkneifen, zu suggerieren, dass die Lichter per Cyberangriff seitens der USA ausgeknipst wurden [3].
Präpositionierung
Beide Vorfälle geben auch Kontext für die in den letzten Jahren vielfach gehörte Behauptung, dass es so wenig direkte Cyberangriffe auf kritische Anlagen gäbe. Kritische Infrastrukturen werden von staatlichen Akteuren nicht für den schnellen Effekt angegriffen, sondern um in einem zukünftigen Konfliktszenario die Oberhand zu bekommen. Das Stichwort ist hier „Präpositionierung“: Ein Angriff auf ein Netzwerk erfolgt, um bereit zu sein, nicht um sofort einen Effekt zu erzielen.
In der Logik der Präpositionierung bedeutet das: Nur weil bisher wenige Cyberstörungen kritischer Infrastrukturen bekannt geworden sind, darf nicht davon ausgegangen werden, dass es keine erfolgreichen Cyberangriffe auf deren OT gab. Das fehlende Endresultat (z. B. Blackout oder Stillstand) negiert nicht die Kompromittierung. Im Gegenteil, es besteht eine gute Chance, dass die Aggressoren längst am Notausknopf sitzen, aber noch warten und Tee trinken – wenn es sein muss, jahrelang.
An dieser Stelle kommen drei Umstände ins Spiel, welche die Unschärfe für kritische Anlagen und OT-abhängige Infrastruktur erhöhen.
- Anlagenbetreiber haben Schwierigkeiten, überhaupt zu erkennen, wer sich in ihrer OT herumtreibt und was dort an maliziösen Aktivitäten passiert. Die Sichtbarkeit fehlt.
- Anlagenbetreiber vertrauen darauf, dass ihre OT hinter ein paar Firewalls und VPN-Schranken sicher ist. Einfachste Pentests beweisen das Gegenteil.
- OT-Infrastruktur ist nach wie vor größtenteils „insecure by design“. Cybersicherheit steckt im Gegensatz zur IT nicht in ihrer DNA. Schwachstellenbewertungen zeigen das seit Jahren gleichbleibend.