
Absicherung des dezentralen Netzes: Lehren aus dem ersten koordinierten Cyberangriff auf Wind- und Solarinfrastrukturen


Team Shieldworkz
Ein Weckruf für den Sektor der erneuerbaren Energien
Der Bereich der erneuerbaren Energien hat eine kritische Schwelle überschritten. Jahrelang behandelten OT-Ingenieure und CISOs im Wind- und Solarbereich die Cybersicherheit als nebensächlich – als ein Problem für Energieversorger und Kernkraftwerke, nicht aber für Wechselrichter auf einem Dach oder Turbinen auf einem Feld. Diese Denkweise ist heute gefährlich veraltet.
In einem Vorfall, den Sicherheitsforscher als den ersten groß angelegten, koordinierten Cyberangriff auf dezentrale Energieerzeugungsanlagen (DERs) eingestuft haben, nahmen Bedrohungsakteure mehr als 30 Wind- und Solarparks im polnischen Stromnetz ins Visier. Das Ergebnis war kein Blackout im Hollywood-Stil. Es war etwas weitaus Schlimmeres: Die Betreiber verloren die Sichtbarkeit ihrer eigenen Infrastruktur, während im Hintergrund versteckte Schadsoftware gleichzeitig an Dutzenden von Standorten Hardwareschäden verursachte.
Wenn Sie einen Windpark verwalten, Solaranlagen betreiben oder als CISO für ein Energieunternehmen verantwortlich sind, ist dieser Angriff die Blaupause für kommende Bedrohungen. In diesem Beitrag analysieren wir präzise, was passiert ist, was dies für die Cybersicherheit dezentraler Netze bedeutet und – was am wichtigsten ist – wie Sie Ihre Infrastruktur ab sofort wirksam schützen können.
Was tatsächlich geschah: Anatomie des Angriffs
Das Ziel: Warum Wind und Solar?
Dezentrale Energieerzeugungsanlagen wie Windparks und Solaranlagen unterscheiden sich strukturell grundlegend von klassischen Kohle- oder Gaskraftwerken. Anstelle einer einzigen, massiv gesicherten Großanlage betreiben Sie Dutzende oder Hunderte von geografisch verteilten Standorten, auf denen jeweils Edge-Geräte wie Wechselrichter, Fernwirkgeräte (RTUs) und speicherprogrammierbare Steuerungen (PLC) laufen. Diese Geräte kommunizieren mit einem zentralen Verteilnetz-Managementsystem (DMS) oder einer SCADA-Plattform über eine Mischung aus Mobilfunk, Glasfaser und öffentlichen Internetverbindungen.
Diese dezentrale Architektur ist einerseits ein Stabilitätsmerkmal des Netzes, andererseits jedoch ein Traum für Angreifer. Jeder entfernte Standort stellt ein potenzielles Einfallstor dar. Jede Firewall mit Internetanbindung dient als Angriffsfläche. Und historisch gesehen machten die Sicherheitsbudgets für diese Außenstandorte nur einen Bruchteil dessen aus, was für zentrale Erzeugungsanlagen aufgewendet wird.
Die Chronologie des Angriffs
Staatlich unterstützte Akteure starteten die Kampagne, indem sie ungepatchte Schwachstellen in Edge-Firewalls an mehreren entfernten Standorten identifizierten und ausnutzten. Einmal im System, bewegten sie sich lateral durch das OT-Netzwerk – wechselten von IT-Systemen in die OT-Segmente – und schleusten eine speziell entwickelte Wiper-Malware namens DynoWiper ein. Diese Schadsoftware war darauf ausgelegt, die Firmware industrieller Geräte zu manipulieren und sie damit funktionsunfähig zu machen.
Gleichzeitig kappten die Angreifer die Kommunikationskanäle zwischen den einzelnen Parks und dem Netzbetreiber. Die Stromerzeugung lief an vielen Standorten weiter – die Turbinen drehten sich, die Paneele produzierten Strom –, doch die Betreiber hatten keinerlei Sichtbarkeit der Einspeisung, keine Möglichkeit zur Steuerung und keine Option für ein kontrolliertes Herunterfahren. In der OT-Sicherheit spricht man hierbei von einem „Loss of View“ (Sichtverlust) – einem der gefährlichsten Zustände, in denen sich ein Netzbetreiber befinden kann.
Beobachtete Angriffsvektoren beim koordinierten DER-Cyberangriff
Angriffsvektor | Ziel-Asset | Beobachtete Auswirkungen |
Ausnutzung von Edge-Firewalls | RTUs, SCADA-Gateways | Loss of View; unterbrochene Kommunikation zum Netzbetreiber |
Wiper-Malware (DynoWiper) | Firmware von Wechselrichtern & HMIs | Dauerhafte Hardwareschäden; verlängerte Ausfallzeiten |
Phishing / Diebstahl von Zugangsdaten | VPN & Remote-Access-Portale | Laterale Bewegung in das OT-Netzwerk |
Angriff auf die Supply-Chain | Software-Updates für IEDs | Hintertür in operativen Feldgeräten platziert |
IUnsicherer Fernzugriff | Wartungskonten von Drittanbietern | Unbefugte Befehlsausführung auf Feldgeräten |
Fünf wichtige Lehren für Betriebsleiter, OT-Ingenieure und CISOs
Lehre 1: Schützen Sie die Edge – nicht nur die Zentrale
Die traditionelle industrielle Cybersicherheit konzentrierte sich auf den Schutz der Kernsysteme: die Leitwarte, das SCADA-Historian, das EMS. Wenn sich Ihre Infrastruktur jedoch über mehr als 30 verteilte Standorte erstreckt, lässt dieses Modell den Großteil Ihrer Anlagen ungeschützt.
Jede RTU, jeder Wechselrichter und jede Edge-Firewall ist jetzt ein potenzieller Angriffspfad für hochprofessionelle Angreifer. Die Cybersicherheit im dezentralen Netz erfordert ein verteiltes Sicherheitsmodell – eines, das Sichtbarkeit, Erkennung und Reaktionsfähigkeit bis auf die Ebene der Feldgeräte ausdehnt.
Konkrete Schritte für Ihren Betrieb:
Erstellen Sie ein lückenloses OT-Asset-Inventory über alle dezentralen Standorte hinweg – Sie können nur schützen, was Sie auch kennen.
Etablieren Sie passives Netzwerk-Monitoring an jedem Standort, um anomalen Netzwerkverkehr ohne Beeinträchtigung des Betriebs zu erkennen.
Definieren Sie eine Baseline für den regulären Kommunikationsverkehr („Known Good“) zwischen Feldgeräten und Ihrer SCADA-Plattform; lassen Sie bei jeder Abweichung sofort alarmieren.
Lehre 2: Die IT/OT-Konvergenz birgt bidirektionale Risiken
Bei diesem Angriff erfolgte der erste Einbruch im IT-Netzwerk – über eine Phishing-E-Mail oder ein verwundbares, mit dem Internet verbundenes System. Von dort aus drangen die Angreifer über eine mangelhaft segmentierte IT/OT-Grenze vor und begannen, zerstörerische Befehle an physische Anlagen zu senden. Dies ist kein theoretisches Risiko mehr, sondern ein dokumentiertes, reales Angriffsmuster.
Viele Energieunternehmen behandeln IT- und OT-Sicherheit immer noch als getrennte Disziplinen mit separaten Teams und Budgets. Diese Trennung ist nicht länger tragbar. Wenn Ihr IT-Netzwerk kompromittiert wird, sind Ihre Windturbinen und Solarwechselrichter direkt gefährdet.
Ihre nächsten Schritte:
Analysieren Sie alle IT-zu-OT-Kommunikationspfade und setzen Sie an den Grenzen strenge Allowlisting-Regeln durch.
Implementieren Sie unidirektionale Sicherheitsgateways (Datendioden) an kritischen OT-Segmenten.
Stellen Sie sicher, dass IT-SOC-Analysten Einblick in die OT-Netzwerktelemetrie erhalten – auch wenn sie nicht direkt ohne die Freigabe des OT-Teams eingreifen können.
Führen Sie gemeinsame IT/OT-Notfallübungen (Tabletop Exercises) durch, die ein solches Lateral-Movement-Szenario simulieren.
Lehre 3: Firmware ist die letzte Verteidigungslinie – und Angreifer wissen das
DynoWiper hatte es nicht auf Datendateien oder Betriebsprozesse abgesehen. Die Malware zielte direkt auf die Firmware – die hardwarenahe Software in Wechselrichtern, RTUs und HMI-Panels. Ist die Firmware erst einmal beschädigt, lässt sich das Gerät meist weder starten noch aus der Ferne wiederherstellen und muss im schlimmsten Fall physisch ausgetauscht werden. Bei über 30 Standorten bedeutet dies wochenlange Ausfälle und erhebliche Hardware-Wiederbeschaffungskosten.
Die Integrität der Firmware ist kein spektakuläres Thema, stellt jedoch eine fundamentale Sicherheitsmaßnahme dar. Nutzen Sie diese Checkliste zum Firmware-Schutz:
Maßnahmen zur Firmware-Integrität
Nr. | Maßnahme |
1 | Halten Sie für jeden OT-Gerätetyp in Ihrem Bestand Offline- und unveränderliche (immutable) Firmware-Backups vor. |
2 | Speichern Sie diese Backups auf physisch getrennten (air-gapped) Write-Once-Medien – keinesfalls im selben Netzwerk wie die Produktivsysteme. |
3 | Dokumentieren Sie die exakte Firmware-Version, den Hersteller-Hashwert sowie das Datum für jedes Feldgerät. |
4 | Etablieren Sie eine automatisierte Prüfung der Firmware-Integrität, die bei jeder unbefugten Änderung sofort alarmiert. |
5 | Halten Sie einen Notfall-Hardwarebestand (mindestens 10 % der kritischen Geräteanzahl) in einem sicheren Lager bereit. |
6 | Integrieren Sie dedizierte Firmware-Wiederherstellungsprozesse inklusive Schritt-für-Schritt-Anleitungen in Ihre Incident-Response-Handbücher. |
7 | Testen Sie die Wiederherstellung der Firmware jährlich in einer Testumgebung – nicht nur in der Theorie. |
8 | Fordern Sie bei künftigen Gerätebeschaffungen von Herstellern konsequent kryptografisch signierte Firmware. |
Lehre 4: Netzwerksegmentierung und Zero-Trust sind unverzichtbar
Die Angreifer konnten sich ungehindert über mehrere geografisch getrennte Standorte hinwegbewegen, weil die Netzwerkarchitektur dies zuließ. Flache Netzwerke – in denen ein Vorfall an Standort A unbeschränkten Zugriff auf Standort B ermöglicht – sind in dezentralen Infrastrukturen für erneuerbare Energien leider noch immer der Standard. Das muss sich ändern.
Das Zero-Trust-Prinzip basiert auf einer einfachen Annahme: Kein Gerät, Benutzer oder System genießt standardmäßig Vertrauen, unabhängig von seinem Standort im Netzwerk. Jede Verbindung muss authentifiziert, autorisiert und kontinuierlich validiert werden. Für dezentrale Energieinfrastrukturen bedeutet dies:
Mikrosegmentierung aller Außenstandorte, damit sich eine Kompromittierung nicht automatisch auf benachbarte Anlagen ausbreiten kann.
Zwingende Multi-Faktor-Authentifizierung (MFA) für jeglichen Fernzugriff – auch für Konten von Wartungsdienstleistern.
Implementierung einer rollenbasierten Zugriffskontrolle (RBAC), damit ein Dienstleister, der einen Wechselrichter wartet, keinen Zugriff auf Ihr SCADA-Historian erhält.
Lückenlose Aufzeichnung und Überwachung aller privilegierten Web-Sitzungen mit Fernzugriff auf OT-Systeme.
Nutzung von Jump-Servern (Bastion Hosts) als einzigem kontrollierten Zugangspunkt für den OT-Fernzugriff.
Denken Sie daran: Die Angreifer nutzten unsichere Fernzugangspunkte als primären Ausbreitungsweg. Wenn Ihr Servicepartner ohne MFA direkt von einem privaten Laptop auf ein Feldgerät zugreifen kann, haben Sie genau diese Schwachstelle in Ihrem Netz.
Lehre 5: „Loss of View“ ist so gefährlich wie ein physischer Stromausfall
Eine der am meisten unterschätzten Folgen dieses Angriffs war, dass die Stromerzeugung zwar weiterlief, die Betreiber aber keine Kontroll- und Überwachungsmöglichkeit mehr hatten. Im Netzbetrieb bedeutet ein „Loss of View“, dass Sie Angebot und Nachfrage nicht mehr ausgleichen, auf Störungen nicht reagieren und im Bedarfsfall keine kontrollierte Abschaltung durchführen können. Dies ist ein massives Risiko für die Netzstabilität und weit mehr als ein einfacher IT-Sicherheitsvorfall.
Zum Schutz vor Loss-of-View-Angriffen:
Richten Sie Out-of-Band-Übertragungswege ein, die nicht dasselbe Netzwerk wie Ihre primäre SCADA-Kommunikation nutzen.
Setzen Sie auf dezentrale, intelligente Edge-Systeme, die bei einem Kommunikationsausfall zur Zentrale einen sicheren, autonomen Betrieb aufrechterhalten können.
Legen Sie manuelle Betriebsabläufe (Fallback-Prozeduren) für jeden kritischen Standort fest und trainieren Sie Ihr Personal darin, diese unter Stress auszuführen.
Verankern Sie feste Zeitlimits, wie lange eine Anlage im Loss-of-View-Zustand betrieben werden darf, bevor ein automatisches Protokoll zur sicheren Abschaltung greift.
Aufbau einer resilienten Sicherheitsarchitektur für dezentrale Energieanlagen
Das 5-Ebenen-OT-Sicherheits-Framework für erneuerbare Energien
Es gibt keine einzelne Maßnahme, die jeden Angriff verhindert. Wirksam ist nur eine mehrschichtige Verteidigungsstrategie (Defense-in-Depth) – also sich überschneidende Sicherheitskontrollen. Bricht eine Ebene weg (was bei einem gezielten, staatlich gestützten Angriff passieren kann), fängt die nächste Ebene die Bedrohung ab, bevor katastrophale Schäden entstehen.
OT-Sicherheitsarchitektur – Evaluierung für dezentrale Netze
Ebene | Maßnahme |
Ebene 1 – SICHTBARKEIT | Vollständiges, kontinuierlich aktualisiertes OT-Asset-Inventory über alle DER-Standorte hinweg |
Ebene 1 – SICHTBARKEIT | Passives Netzwerk-Monitoring an jedem entfernten Standort implementiert |
Ebene 1 – SICHTBARKEIT | Zentralisierte Protokollierung und Alarmierung für OT-Ereignisse (nicht nur für IT-Events) |
Ebene 2 – SEGMENTIERUNG | Sicherung der IT/OT-Grenzen mit strengen Allowlist-Kommunikationsregeln |
Ebene 2 – SEGMENTIERUNG | Isolierung der Außenstandorte zur Unterbindung von Lateral Movement zwischen den Parks |
Ebene 2 – SEGMENTIERUNG | Zero-Trust-Fernzugriff mit MFA für alle Dienstleister- und Mitarbeiter-Sitzungen |
Ebene 3 – INTEGRITÄT | Unveränderbare (immutable) Firmware-Backups mit erprobten Wiederherstellungsprozessen |
Ebene 3 – INTEGRITÄT | Verpflichtung der Hersteller zur Bereitstellung kryptografisch signierter Firmware bei Neuanschaffungen |
Ebene 3 – INTEGRITÄT | Konfigurations-Versionskontrolle für alle OT-Geräte (PLCs, RTUs, HMIs) |
Ebene 4 – REAKTION (RESPONSE) | Spezifischer OT-Incident-Response-Plan (kein bloß für die OT adaptierter IT-Notfallplan) |
Ebene 4 – REAKTION (RESPONSE) | Etablierte manuelle Notbetriebs-Prozeduren für jeden kritischen Standort |
Ebene 4 – REAKTION (RESPONSE) | Vorgehaltenes Hardware-Notfalllager für die schnelle Systemrekonstruktion vor Ort |
Ebene 5 – COMPLIANCE | Nachweisbare Sicherheitskontrollen mapped to NERC CIP, IEC 62443 oder NIS2 / KRITIS-Vorgaben |
Ebene 5 – COMPLIANCE | Jährliche, spezifische OT-Penetrationstestings und Red-Teaming-Übungen |
Ebene 5 – COMPLIANCE | Regelmäßige gemeinsame Simulationen (Tabletop Exercises) mit IT-, OT- und Management-Stakeholdern |
Regulatorischer Kontext: Was Netzbetreiber wissen müssen
Die regulatorischen Anforderungen an die Cybersicherheit im Bereich der erneuerbaren Energien verschärfen sich zusehends. Ob Sie in Europa unter der NIS2-Richtlinie (bzw. dem deutschen BSIG / Kritis-Dachgesetz) agieren oder in Nordamerika die NERC CIP-Standards erfüllen müssen – die Erwartungshaltung ist dieselbe: Sie müssen nachweisen, dass Sie Ihre kritischen Assets identifiziert, Risiken bewertet und angemessene technische und organisatorische Maßnahmen (TOM) implementiert haben.
Worauf Auditoren und Behörden bei Post-Incident-Reviews und Compliance-Prüfungen dezentraler Energieanlagen zunehmend achten:
Ein aktuelles, lückenloses Verzeichnis aller OT-Assets, inklusive Edge-Geräten an Außenstandorten.
Der Nachweis einer wirksamen Netzwerksegmentierung zwischen IT- und OT-Umgebungen.
Dokumentierte und regelmäßig getestete Incident-Response-Prozesse speziell für OT/ICS-Umgebungen.
Ein kontrolliertes Zugangsmanagement für Hersteller und Dritte mit revisionssicherer Protokollierung (Audit Logs).
Ein strukturiertes Supply-Chain-Risikomanagement für Hard- und Softwarebeschaffungen.
Der Angriff auf das polnische Netz beeinflusst bereits heute, wie Regulierungsbehörden in ganz Europa Sicherheitsanforderungen für DER-Betreiber neu definieren. Jetzt proaktiv zu handeln ist nicht nur eine Frage solider Cybersicherheit, sondern stellt Ihren konformen Betrieb gemäß den KRITIS-Vorgaben sicher.
Wie Shieldworkz Ihr dezentrales Netz absichert
Wir bei Shieldworkz sind exklusiv auf OT-, ICS- und IoT-Cybersicherheit für industrielle Umgebungen spezialisiert – einschließlich Wind- und Solar-Erzeugungsinfrastrukturen. Wir wissen, dass man klassische Enterprise-IT-Sicherheitslösungen nicht einfach auf Wechselrichter und RTUs übertragen kann. OT-Umgebungen erfordern Branchenexpertise für proprietäre Protokolle, anlagenspezifische Verfügbarkeitsanforderungen und physikalische Risiken.
Shieldworkz-Dienstleistungen im Abgleich mit den Lehren des Angriffs
Shieldworkz-Dienstleistung | Funktionsweise | Adressierte Bedrohung |
OT-Asset-Discovery & Inventory | Erfasst kontinuierlich jedes IED, jeden Wechselrichter, jede RTU und jedes Edge-Gerät in Ihren Netzsegmenten. | Unbekannte Assets als blinde Flecken |
Passives OT-Netzwerk-Monitoring | Erkennt anomale Befehle, Lateral Movement und unbefugten Datenverkehr, ohne den Betrieb zu stören. | Loss-of-View-Szenarien, Lateral Movement |
Härtung der Edge-Sicherheit | Härtet Firewalls, deaktiviert ungenutzte Ports und erzwingt Allowlisting zwischen DER-Standorten und Betriebsführung. | Ausnutzung von Schwachstellen in Edge-Firewalls |
Firmware-Integritätsmanagement | Überbacht den Soll-Zustand der Firmware offline und alarmiert zuverlässig bei jeder unautorisierten Modifikation. | Zerstörerische Wiper-Malware (z. B. DynoWiper) |
Zero-Trust-Fernzugriff | Erzwingt MFA, das Least-Privilege-Prinzip und lückenlose Protokollierung für alle externen Wartungszugriffe. | Identitätsdiebstahl, ungesicherter Fernzugriff |
Incident-Response-Bereitschaft | Vordefinierte Incident-Playbooks, dedizierte OT-Sicherheitsexperten auf Abruf und Unterstützung bei behördlichen Meldepflichten. | Sämtliche Angriffsvektoren – Post-Compromise-Szenarien |
Wir arbeiten direkt mit Betriebsleitern und OT-Ingenieuren vor Ort zusammen – nicht nur mit den IT-Verantwortlichen in der Zentrale. Wir verstehen Schichtpläne, Wartungsfenster und die betrieblichen Realitäten einer verteilten Erzeugungslandschaft. Unsere Audits sind zerstörungsfrei, unser Monitoring arbeitet rein passiv und unser Incident-Response-Team verfügt über fundierte Erfahrung mit den spezifischen Industrieprotokollen Ihrer Anlagen.
Fazit
Wichtige Erkenntnisse
Der erste koordinierte Cyberangriff auf Wind- und Solarinfrastrukturen war kein theoretisches Laborszenario mehr. Er hat stattgefunden, er hat realen Hardwareschaden verursacht, und er sollte für jede Organisation, die dezentrale Energieanlagen betreibt, der Anstoß sein, die eigene Sicherheitsarchitektur sofort auf den Prüfstand zu stellen.
Nehmen Sie diese fünf Kernpunkte aus diesem Vorfall mit:
Schützen Sie die Edge: Jeder dezentrale Standort, jeder Wechselrichter und jede RTU ist ein Angriffsweg. Dehnen Sie Ihr Sicherheitskonzept über die Leitwarte hinaus aus.
Verbinden Sie IT- und OT-Sicherheit: Eine IT-Kompromittierung wird unweigerlich zu einem OT-Vorfall, wenn Sie es zulassen. Setzen Sie auf strikte Segmentierung und eine konsolidierte Sicherheitsarchitektur.
Sichern Sie Ihre Firmware – offline: Wiper-Malware zielt gezielt auf Firmware ab. Unveränderliche Offline-Backups und getestete Wiederherstellungskonzepte sind geschäftskritisch.
Implementieren Sie Zero-Trust-Fernzugriff: Jede Verbindung von externen Partnern, jede Fernwartungssitzung und jedes Dienstleisterkonto muss authentifiziert, autorisiert und lückenlos auditiert werden.
Planen Sie für den „Loss of View“: Operative Sichtbarkeit ist ein Sicherheitsfaktor, kein Komfortmerkmal. Etablieren Sie redundante Übertragungswege und manuelle Notfallkonzepte.
Sie müssen diesen Weg nicht alleine gehen. Shieldworkz verfügt über die spezialisierte OT-Sicherheitsexpertise, die passiven Werkzeuge und die praktische Erfahrung im Incident Response, um Sie beim Aufbau einer normenkonformen Sicherheitsarchitektur auf BSI- und KRITIS-Niveau wirksam zu unterstützen.
Sind Sie bereit, Ihr dezentrales Netz abzusichern? Fordern Sie jetzt eine 30-minütige OT-Sicherheitsbewertung durch unsere Experten für industrielle Cybersicherheit an.
Zusätzliche Ressourcen:
Checkliste zur NERC CIP Sicherheits-Gap-Analyse hier
NIS2-Richtlinie: Analyse der Cybersicherheits-Lücken und Kontroll-Checkliste hier
Leitfaden zur NERC CIP Behebung mittels OT Security NDR hier
Sanierungs- und Behebungs-Leitfäden hier

Wöchentlich erhalten
Ressourcen & Nachrichten
Erfahren Sie, wie unsere branchenführenden OT-Security-Lösungen kritische Sicherheitsherausforderungen gemäß KRITIS-Anforderungen bewältigen
Dies könnte Ihnen auch gefallen.

Why IEC 62443 Is the Leading OT Cybersecurity Standard

Team Shieldworkz

Preliminary Investigation Report: Data Extortion targeting Kudankulam Nuclear Plant engineering documents

Prayukth K V

Key Components of a Cyber Physical System Explained

Team Shieldworkz

Preparing European critical infrastructure for the next phase of Russian cyber operations

Prayukth K V

Nihon Kotsu cyber incident: Analysis and investigative report

Prayukth K V

Understanding the operational and cybersecurity risks of AI integration in Industrial Control Systems

Prayukth K V

