Europa im Visier: Russische Hacker greifen gezielt Wasserwerke an

Polens Geheimdienst enthüllt eine neue Dimension hybrider Kriegsführung – kritische Infrastruktur ist zum Hauptziel geworden.

Sicherheitsbehörden in ganz Europa schlagen Alarm. Ein am Donnerstag veröffentlichter Bericht der polnischen Inlandsgeheimdienstbehörde ABW zeichnet ein düsteres Bild: Russische Hackergruppen haben ihre Strategie grundlegend geändert. Statt klassischer Spionage geht es nun um handfeste Sabotage – mit dem Ziel, Panik in der Bevölkerung zu säen und die Versorgungssicherheit in NATO-Staaten zu untergraben.

Während staatliche Infrastrukturen im Visier von Saboteuren stehen, nehmen Cyberkriminelle zunehmend auch die Privatgeräte von Bürgern ins Visier. Wie Sie Ihr Android-Smartphone mit 5 einfachen Schritten effektiv vor Hackern und Viren schützen, erfahren Sie in diesem kostenlosen Ratgeber. Optimalen Smartphone-Schutz jetzt gratis sichern

Wasser, Strom, Flugsicherung: Die Angriffsziele im Detail

Die Analyse der ABW zeigt eine erschreckende Bilanz für die Jahre 2024 und 2025. Fünf kommunale Wasseraufbereitungsanlagen in Polen wurden erfolgreich geknackt: Jab?onna Lacka, Szczytno, Ma?dyty, Tolkmicko und Sierakowo. In mehreren Fällen gelangten die Angreifer bis in die industriellen Steuerungssysteme – und hätten damit die chemische Zusammensetzung des Trinkwassers manipulieren können.

Dass es nicht zur Verseuchung kam, lag nicht am Können der Hacker. Sicherheitsexperten sprechen von einem „Theater" – einer inszenierten Machtdemonstration, die das Vertrauen der Bürger in staatliche Institutionen untergraben soll. Die Angreifer nutzten dabei vor allem unsichere Verwaltungsschnittstellen und schwache Passwörter, die über das über das öffentliche Internet erreichbar waren.

Polens Digitalminister Krzysztof Gawkowski schlug auf einer Sicherheitskonferenz in Warschau Alarm: Die Zahl der Cyberangriffe auf polnische Infrastruktur stieg 2025 um 144 Prozent im Vergleich zum Vorjahr. Besonders brisant: Ein Vorfall Ende Dezember 2025, bei dem eine Schadsoftware Windparks, Solaranlagen und ein Kraftwerk lahmlegte. Nur knapp entging das Land einem landesweiten Blackout.

Deutschland im Fadenkreuz: APT28 attackiert Flugsicherung

Die Bedrohung endet nicht an Polens Grenzen. Auch Deutschland ist massiv betroffen. Vizeadmiral Thomas Daum, Chef des Cyber- und Informationsraums der Bundeswehr, beschrieb die Lage gegenüber Verbündeten als Zustand, in dem man „nicht im Krieg, aber auch nicht im Frieden" sei.

Ermittlungen bestätigten Anfang 2026: Der August 2024-Angriff auf die Deutsche Flugsicherung (DFS) ging auf das Konto der berüchtigten Hackergruppe APT28, auch bekannt als „Fancy Bear". Die Täter hatten sich Zugang zu Systemen verschafft, die für die sichere Abwicklung des Luftverkehrs essenziell sind.

Die zunehmenden Angriffe auf kritische Netze zeigen, wie verwundbar unzureichend gesicherte Systeme im digitalen Zeitalter sind. Ein veraltetes Betriebssystem ist dabei oft wie eine offene Haustür für Kriminelle – dieser kostenlose Report zeigt, wie Sie Sicherheitslücken auf Ihrem Gerät dauerhaft schließen. Gratis-Anleitung zur Schließung von Sicherheitslücken herunterladen

Hinzu kommen gezielte Angriffe auf die Rüstungsindustrie. Einem großen Hersteller von Panzerfahrzeugen gelang es, durch eine Lieferkettenattacke Logistik und Wartung zu stören. Die Täter nutzten dabei zunehmend raffinierte Methoden: Statt auffälliger Schadsoftware setzen sie auf „Living-off-the-Land"-Techniken, bei denen sie legitime Systemwerkzeuge gegen ihre Opfer einsetzen.

Großbritannien meldet Rekordzahlen

Auch auf der Insel ist die Lage angespannt. Das britische National Cyber Security Centre (NCSC) verzeichnete im vergangenen Jahr eine Rekordzahl an national bedeutsamen Vorfällen. NCSC-Chef Richard Horne warnte Ende April 2026, dass feindliche Staaten wie Russland die „ernsthafteste Bedrohung" für britische Interessen darstellten. Unternehmen und Betreiber kritischer Infrastruktur müssten sich auf „großflächige Störungen" vorstellen, die sich nicht durch traditionelle Maßnahmen wie Lösegeldzahlungen beheben ließen.

Besonders perfide: Die Hacker nutzen Schwachstellen in handelsüblichen Internet-Routern aus, um Datenverkehr umzuleiten und sensible Informationen von westlichen Organisationen zu stehlen, die die Ukraine unterstützen.

Neue Exploits und alte Schwachstellen

Die wichtigsten Akteure bleiben APT28, die GRU-Einheit Sandworm (von Forschern als APT44 geführt) und APT29 („Cozy Bear"). Sie zeigen eine bemerkenswerte Anpassungsfähigkeit. Ein neu entdeckter Exploit mit der Kennung CVE-2026-21509 in Microsoft Office wurde im Februar 2026 genutzt, um Regierungsbehörden und Rüstungsfirmen in Bulgarien, Rumänien und der Slowakei anzugreifen. Die Angreifer verschickten manipulierte Dokumente, die als offizielle Korrespondenz getarnt waren.

Paradoxerweise setzen selbst Eliteeinheiten wie Sandworm zunehmend auf alte, ungepatchte Sicherheitslücken. Die Botschaft der Sicherheitsforscher ist klar: Grundlegende Cybersicherheitshygiene bleibt die wichtigste Verteidigungslinie.

Die neue Definition von Aggression

Die Intensität der Angriffe zwingt europäische Regierungen zu einem Umdenken. Polens Minister Gawkowski fordert, dass gescheiterte Sabotageversuche an Kraftwerken genauso schwer gewertet werden müssten wie physische Bombenanschläge – wegen des potenziell katastrophalen Verlusts von Menschenleben.

Die Reaktionen der NATO-Staaten sind deutlich. Polen hat die Mittel und das Personal für seine Cyberkommandos massiv aufgestockt. Die ABW veröffentlicht erstmals seit über einem Jahrzehnt wieder regelmäßige Lageberichte zur nationalen Sicherheit. Auch die Deutsche Gesellschaft für Osteuropakunde und andere Forschungseinrichtungen mussten ihre Sicherheitsvorkehrungen verschärfen, nachdem APT29 wiederholt versuchte, in ihre E-Mail-Systeme einzudringen.

Der Fokus der Sicherheitsbehörden liegt nun auf der Härtung von Betriebstechnologie (OT) und der strikten Trennung industrieller Steuerungssysteme vom öffentlichen Internet. Experten warnen: Solange die geopolitischen Spannungen hoch bleiben, werden kritische Infrastrukturen das primäre Ziel russischer Staatshacker bleiben. Besonders gefährdet sind kleinere kommunale Versorger – die „Cyber-Armen" der Nation, die nicht über die Ressourcen nationaler Netzbetreiber verfügen, aber dennoch attraktive Ziele für staatlich gesteuerte Sabotage darstellen.

de | wissenschaft | 69337197 |