Die Zielerfassung eines schwedischen Wärmekraftwerks im Frühjahr 2025, die kürzlich von Minister für Zivilschutz Carl-Oskar Bohlin bestätigt wurde, markiert eine erhebliche Eskalation in der hybriden Kriegsführung gegen die europäische Energieinfrastruktur. Während alle über erfolgreiche Cyberangriffe sprechen, ist es wichtig, ausführlich über Cyberangriffe zu sprechen, die abgewehrt wurden. Aus Niederlagen und Erfolgen lassen sich Lehren ziehen, und daher ist es unerlässlich zu verstehen, wie sich dieser Cyberangriff abspielte und wie er im Ansatz gestoppt wurde.

Wie wir in den letzten zwei Jahren gesehen haben, handelt es sich hierbei nicht um einen Einzelfall. Russische Bedrohungsakteure haben die europäische Kritische Infrastruktur länderübergreifend einem Belastungstest unterzogen. Tatsächlich war dieser Angriff ein Vorläufer einer destruktiveren, groß angelegten Kampagne, die im Dezember 2025 gegen Polen gestartet wurde.

Es ist erfreulich festzustellen, dass keiner dieser Angriffe erfolgreich war.

In diesem Beitrag gehen wir dem Angriff auf das schwedische Wärmekraftwerk detailliert auf den Grund, untersuchen verschiedene Dimensionen und Zusammenhänge dieses Angriffs und skizzieren die Schritte, mit denen sich derartige Angriffe verhindern lassen.

Wie immer gilt: Bevor Sie fortfahren, vergessen Sie nicht, unseren vorherigen Blogbeitrag zur NERC CIP-Compliance hier anzusehen.

Hintergrund

Der schwedische Wärmekraftwerkssektor konzentriert sich in erster Linie auf nachhaltige Kraft-Wärme-Kopplung (KWK/CHP). Größere Anlagen nutzen Biomasse zur Bereitstellung von Fernwärme und Strom im ganzen Land. Zu den wichtigsten Anlagen gehören das Biofuel-Werk Värtaverket in Stockholm und das CHP-Werk Rya in Göteborg, während Karlshamnsverket als unverzichtbares ölbefeuertes Reservekraftwerk dient. Schweden wandelt ältere Kohle-/Ölkraftwerke aggressiv auf Biomasse und aus Abfällen gewonnene Brennstoffe um, um seine Ziele zur Klimaneutralität zu erreichen.

Anfang 2025 bemerkte Shieldworkz einen Anstieg von Aufklärungsangriffen, die auf europäische Länder abzielten. Dies folgte auf eine fast acht Monate andauernde Flaute, in der es im europäischen Cyberspace unheimlich ruhig geworden war. Die zunehmenden Aufklärungsangriffe durchbrachen dieses Muster, und gezielte Angriffe auf erneuerbare Energieerzeugung und die zugehörige Infrastruktur nahmen zu. Jemand (wir wissen alle, wer das ist) wollte nicht, dass Europa sich schneller in Richtung erneuerbarer Energieerzeugung bewegt.   

Der Vorfall: Ein Wandel von Belästigung zu Sabotage

Über Jahre hinweg hatte sich der Energiesektor weltweit vor allem mit störenden, aber weitgehend oberflächlichen Distributed-Denial-of-Service-(DDoS)-Angriffen zu befassen. Solche Angriffe folgen häufig auf eine Phase längerer Aufklärung.

Dieser Vorfall steht für einen strukturellen Wandel in Absicht und Fähigkeiten des Gegners. Eine pro-russische Hacktivistengruppe, die als Stellvertreter für den russischen Geheimdienst fungierte, umging die IT-Peripherie und griff die Operational Technology-(OT)-Infrastruktur direkt an. Anhaltende Aufklärungsaktivitäten ermöglichten es dem Bedrohungsakteur, die OT-Umgebung zu kartieren und eine zielgerichtete Eindringstrategie zu entwerfen.  

• Ziel: Ein großes Wärmekraftwerk in Westschweden.

• Zeitraum: Frühjahr 2025.

• Ergebnis: Durch ein „integriertes Sicherheitssystem“ vereitelt, bevor es zu kinetischen oder sonstigen Schäden kam.

Was schiefging: Die verwundbare Kante

Obwohl die Abwehr des schwedischen Werks standhielt, offenbarte die „Anatomie“ des Angriffs einen noch gefährlicheren Trend. Angreifer sind nicht mehr nur darauf aus, Daten zu exfiltrieren, länger im Netz zu verbleiben oder sogar den erlangten Zugriff zu verkaufen. Ihr Ziel war es, das Netz zu manipulieren. Dieser Angriff könnte einer der frühesten Angriffe gewesen sein, die russischen Bedrohungsakteuren ermöglichten, ein Playbook für Angriffe auf europäische Kritische Infrastruktur zu erstellen.

• Der Angriffsvektor: Die Angreifer zielten auf ungepatchte Edge-Geräte und exponierte Fernzugriffspunkte ab – eine Strategie, die sie Monate später in Polen perfektionierten.

• Die Absicht: Das Ziel war es, einen „Loss of Control“ zu erzeugen, der es einem feindlichen Akteur ermöglichen würde, Turbinen abzuschalten oder die an die Betreiber fließenden Daten zu verfälschen und so einen gefährlichen „Blind Spot“ zu schaffen.

Der Bedrohungsakteur: Der Geheimdienst-Stellvertreter

Die Zuschreibung durch Minister Bohlin deutet auf eine pro-russische Hacktivistengruppe mit klaren Verbindungen zu russischen Geheimdiensten hin (wahrscheinlich die russische GRU, die Hauptnachrichtendirektion, konkret Einheit 74455).

• Nach Recherchen von Shieldworkz passt dies zum Verhalten von Gruppen wie Static Tundra (Berserk Bear) oder Sandworm, die häufig „hacktivistische“ Tarnorganisationen nutzen, um staatlich gesteuerte Operationen zu verschleiern und glaubhafte Abstreitbarkeit zu wahren.

• Wir sind der Auffassung, dass dieser Angriff genutzt wurde, um neue Mitglieder von Sandworm in der Durchführung von Angriffen auf OT-Infrastrukturen zu schulen.

Schaden: Eine knappe Fehlentscheidung

Im Gegensatz zu dem Angriff auf das polnische Netz im Dezember 2025, bei dem über 30 Standorte von Wiper-Malware getroffen wurden, hatte der schwedische Vorfall keine schwerwiegenden Folgen. Der Angriff wurde rechtzeitig erkannt und adressiert. Die „integrierte Sicherheit“ des Werks (wahrscheinlich physische Fail-Safes oder fest verdrahtete Sicherheitslogik) verhinderte, dass die digitale Infiltration in einen kinetischen Ausfall eskalierte.

Muster der Aggression: Die OT-Bedrohungslage der EU

Dieser Vorfall ist ein einzelner Datenpunkt in einer breiteren, aggressiven Kampagne gegen die Energiestabilität der EU.

Wie solche Angriffe auf OT künftig verhindert werden können

Das Netz zu schützen bedeutet nicht länger nur, die „Burg“ (zentrale Kraftwerke) oder selbst den Wassergraben zu sichern. Vielmehr geht es darum, das gesamte „Viertel“ (verteilte Wind- und Solarstandorte) abzusichern.

Aus den Lehren der schwedischen und polnischen Angriffe lassen sich zehn zentrale Schritte ableiten, mit denen Betreiber Kritischer Infrastrukturen ihre OT-Umgebung gegen staatlich gestützte Sabotage härten können.

1. Vollständige Asset-Erkennung durchführen (die Unbekannten kennen)

Sie können nur schützen, was Sie auch erfassen können. Verteilte Standorte verfügen oft über nicht erfasste Assets, vor allem ältere RTUs oder Kommunikationsmodule, die nach Abschluss eines Projekts in Vergessenheit geraten sind.

• Maßnahme: Verwenden Sie passive Discovery-NDR-Tools wie Shieldworkz, um jede PLC, jedes HMI und jedes Relais zu erfassen. Bilden Sie die Firmware-Versionen und Kommunikationsprotokolle ab.

2. Strikte Netzsegmentierung durchsetzen  

Stoppen Sie laterale Bewegungen. Wenn ein Angreifer ein VPN in einem Windpark kompromittiert, darf er nicht auf den benachbarten Solarstandort oder das zentrale Leitsystem zugreifen können.

• Maßnahme: Implementieren Sie Zonen und Conduits (gemäß ISA/IEC 62443) und benennen Sie Zonenverantwortliche. Isolieren Sie OT-Prozessnetze von dem Business-IT-Netz durch eine gehärtete Industrial DMZ.

3. Multi-Faktor-Authentifizierung (MFA) überall einführen

Der polnische Angriff hat gezeigt, dass Standardanmeldeinformationen und gestohlene Passwörter die primären Eintrittsschlüssel sind.

• Maßnahme: Erzwingen Sie MFA für jeden Fernzugriff. Unterstützt ein Altgerät keine MFA, platzieren Sie es hinter einem sicheren Gateway oder Jump Host, der dies kann.

4. Hardware Root of Trust und Secure Boot

Malware wie DynoWiper hat Erfolg, indem sie die Firmware überschreibt. Wenn die Hardware nicht verifizieren kann, welchen Code sie ausführt, ist sie ein unweigerlich drohender Totalausfall.

• Maßnahme: Stellen Sie auf Hardware mit Secure-Boot-Funktionen um. Verwenden Sie Trusted Platform Modules (TPM), um sicherzustellen, dass nur digital signierte, autorisierte Firmware ausgeführt werden kann.

5. Nicht genutzte Ports und Standardkonten deaktivieren (Berechtigungen prüfen)

„Versteckte“ Zugriffspunkte sind ein Geschenk für Bedrohungsakteure wie Static Tundra.

• Maßnahme: Schließen Sie alle ungenutzten physischen und logischen Ports (FTP, Telnet, HTTP). Ändern Sie jedes werkseitig gesetzte Passwort am ersten Einsatztag.

6. OT-spezifische Anomalieerkennung  

IT-Sicherheit sucht nach gestohlenen Daten; OT-Sicherheit muss nach „unmöglichen“ physischen Befehlen oder Abweichungen von den Baseline-Verkehrsmustern suchen.

• Maßnahme: Setzen Sie Network Detection and Response (NDR)-Tools ein, die industrielle Protokolle verstehen (Modbus, DNP3, IEC 60870-5-104). Alarmieren Sie bei ungewöhnlichen Befehlen, etwa einem gleichzeitigen Massensignal „Reboot“ an 50 RTUs.

7. Firmware-Integrität und Schutz vor „Rollback“

Angreifer versuchen häufig, ein Gerät auf eine ältere, verwundbare Firmware-Version „herabzustufen“.

• Maßnahme: Aktivieren Sie Anti-Rollback-Mechanismen in Ihrer Update-Pipeline. So wird sichergestellt, dass ein Gerät nicht auf eine Version mit bekannten Sicherheitslücken zurückgesetzt werden kann.

8. Eine „Offline“-Wiederherstellungsbasis festlegen

Wenn ein Wiper zuschlägt, ist Ihre „View“ verloren. Sie müssen in der Lage sein, alles ohne Internetverbindung von Grund auf neu aufzubauen.

• Maßnahme: Bewahren Sie verifizierte, offline gespeicherte Backups aller PLC-Logiken, HMI-Konfigurationen und Relais-Einstellungen auf. Üben Sie jährlich Kaltstart-Wiederherstellungsübungen.

9. Strenge Anforderungen in der Lieferkette (der „Trusted Vendor“-Kreislauf)

Der schwedische Vorfall zeigt, dass Stellvertreter häufig die Werkzeuge oder Lieferanten ins Visier nehmen, denen Sie am meisten vertrauen.

• Maßnahme: Prüfen Sie die Sicherheitspraktiken Ihrer Lieferanten. Stellen Sie sicher, dass Wartungslaptops, die von Dritten vor Ort mitgebracht werden, in einem „Clean Room“ gescannt werden, bevor sie mit Ihrem Netz verbunden werden.

10. An NIS2 und NERC-CIP-Playbooks ausrichten

Regulatorische Compliance ist nicht nur Papierarbeit; sie ist eine defensive Baseline.

• Maßnahme: Nutzen Sie Shieldworkz Regulatory Playbooks und Remediation Guides, um das Compliance-Reporting zu automatisieren und sicherzustellen, dass Sie die neuesten EU-Vorgaben für Meldepflichten bei Vorfällen und Risikomanagement erfüllen.

Das Fazit

Der schwedische Angriff war im Wesentlichen eine „Sondierung“. Ähnlich wie Flugzeuge der russischen Luftwaffe, die ständig die Einsatzbereitschaft der europäischen Luftverteidigung testen, prüften russische Einheiten die verfügbaren Zugangswege und Abwehrmechanismen, um Wege zu finden, diese zu umgehen.  

Durch das Testen der Abwehr eines einzelnen Werks im Frühjahr sammelte der Bedrohungsakteur Erkenntnisse über den OT-Sicherheitsstatus europäischer Kritischer Infrastrukturen. Diese Erkenntnisse wurden genutzt, um die automatisierten destruktiven Werkzeuge zu verfeinern, die in der massiven polnischen Kampagne im Dezember 2025 zum Einsatz kamen. Die Werkzeuge und Taktiken russischer Bedrohungsakteure entwickeln sich weiter, und ebenso sollten die Abwehrmaßnahmen weiterentwickelt werden, um deren Erfolg zu verhindern.

Die Lehre für Netzbetreiber ist eindeutig: Operational Technology ist die neue Frontlinie. Wir müssen über IT-typische Sicherheits-Pflaster wie fragmentierte Reaktionen hinausgehen und eine umfassende, integrierte Reaktion implementieren, die Erkennung und Reaktion durchgängig verbindet. Wenn Sie die Firmware-Integrität nicht kürzlich geprüft und die Asset-Erfassung nicht abgeschlossen haben, arbeiten Sie auf Zeit.

Ausführliche Strategien zum Schutz dieser kritischen Assets finden Sie in den neuesten OT-Sicherheits-Benchmarks bei Shieldworkz.

 Zusätzliche Ressourcen    

Umfassender Leitfaden zu Network Detection and Response NDR im Jahr 2026 hier
Ein herunterladbarer Bericht zum Stryker-Cybervorfall hier    
Remediation Guides hier  
Best Practices für OT-Sicherheit und Leitlinien zur Risikobewertung hier 
IEC-62443-basierte Checkliste zur OT/ICS-Risikobewertung für den Lebensmittel- und Getränkesektor hier