Die Cybersecurity and Infrastructure Security Agency (CISA) hat nach einer Reihe zerstörerischer Cyberangriffe auf die Energieinfrastruktur in Polen eine Cyberwarnung für den US-Energiesektor herausgegeben. Die Warnung fordert die Betreiber auf, die Standardpasswörter zu überprüfen und den Schutz auf internetverbundenen Geräten zu verstärken, nachdem der Vorfall im Dezember Schwachstellen in der Betriebstechnologie und Steuerungssystemen offengelegt hat.
Der Vorfall in Polen ereignete sich am 29. Dezember 2025, als laut einer Analyse des polnischen Computer Emergency Response Teams (CERT-PL) mehrere Anlagen, darunter mehr als 30 Wind- und Solaranlagen, ein Kraftkraftwerk sowie eine Produktionsstätte, koordinierte böswillige Aktivitäten ins Visier genommen wurden. Die Angreifer erhielten Zugang zu internetverbundenen Edge-Geräten wie Firewalls, Virtual Private Network (VPN)-Gateways und anderen Systemen mit Standard- oder schwachen Zugangsdaten.
Sobald sie im Netzwerk waren, setzten Angreifer zerstörerische Malware ein, die die Firmware auf entfernten Terminalgeräten (RTUs) beschädigte, Daten auf Human-Machine-Schnittstellen (HMIs) löschte und Daten aus den IT-Systemen des Unternehmens löschte, heißt es in der Warnung. Diese Maßnahmen störten die Fähigkeit der Betreiber, kritische Infrastruktur zu überwachen und zu kontrollieren, obwohl die Stromerzeugung an betroffenen Standorten für erneuerbare Energien während des Vorfalls Berichten zufolge fortgesetzt wurde.
In seiner Mitteilung hob CISA hervor, dass internetorientierte Edge-Geräte weiterhin ein primäres Ziel für Bedrohungsakteure sind. Diese Geräte verknüpfen interne Kontrollsysteme mit breiteren Netzwerken und können Angreifern einen Einstiegspunkt bieten, wenn sie mit Standard- oder wiederverwendeten Zugangsdaten und schwachen Authentifizierungsschutzmaßnahmen zurückbleiben. Die Empfehlung forderte Organisationen auf, End-of-Life-Geräte zu ersetzen und Passwortänderungen für alle Geräte durchzusetzen.
Die Leitlinien wiesen auch auf das Risiko hin, das durch eine Betriebstechnologie ohne Firmware-Verifikation ausgeht. In manchen Fällen können Geräte ohne Mechanismen zur Validierung der Firmware-Integrität dauerhaft durch bösartigen Code oder beschädigte Konfigurationsänderungen beschädigt werden. CISA empfahl den Betreibern, Updates, die die Firmware-Verifikation unterstützen, wo möglich, zu priorisieren und sicherzustellen, dass Vorfallreaktionspläne potenzielle OT-Ausfälle berücksichtigen.
Die polnische CERT-Analyse führte den Vorfall auf eine gezielte und störende Kampagne zurück, die mit breiteren geopolitischen Spannungen verbunden war, obwohl zu diesem Zeitpunkt keine größeren Ausfälle gemeldet wurden. Die Verwendung von Standardzugangsdaten zum Erstzugriff unterstrich das anhaltende Risiko grundlegender Sicherheitsüberprüfungen in kritischen Infrastrukturumgebungen.
In seiner Warnung forderte CISA US-Energieunternehmen und andere Betreiber kritischer Infrastruktur auf, die technischen Erkenntnisse von CERT-PL zu überprüfen und empfohlene Sicherheitsmaßnahmen in ihren Betrieb zu integrieren. Dazu gehören die Durchsetzung der Multifaktor-Authentifizierung, wo möglich, die Reduzierung der Netzwerkbelastung für OT- und industrielle Steuerungssysteme sowie das Entfernen nicht unterstützter oder verwundbarer Hardware aus dem Dienst.
Die Behörde hat sich kürzlich darauf konzentriert, Risiken durch ungesicherte Netzwerkausrüstung zu verringern. In einer separaten Direktive an Bundesbehörden ordnete CISA die Entfernung nicht unterstützter Edge-Geräte aus Regierungssystemen an, was einen umfassenderen Vorstoß zur Schließung gemeinsamer Angriffswege widerspiegelt, die in jüngsten Vorfällen ausgenutzt wurden.
Der Alarm ist Teil der laufenden Leitlinien der US-Sicherheitsbehörden, die darauf abzielen, den Schutz in Energie-, Fertigungs- und anderen Sektoren zu stärken, die auf vernetzte Betriebstechnologie angewiesen sind. Der Hinweis von CISA erinnert an die Bedeutung grundlegender Cybersicherheitshygiene, einschließlich der Änderung von Standardpasswörtern und der Durchsetzung sicherer Konfigurationsstandards für alle internetverbundenen Geräte.