In den frühen Tagen des anhaltenden Konflikts im Nahen Osten entdeckten Sicherheitsteams eine ständige Auskundschaftung am digitalen Perimeter einer von Europas sensibelsten wissenschaftlichen Einrichtungen. Das Ziel war das Nationale Zentrum für Kernforschung Polens (NCBJ), das wichtigste und führende staatliche nukleare Institut des Landes, das sich in Świerk, fast 30 Kilometer südöstlich von Warschau, befindet. Die Angreifer schafften es nicht, einzudringen. Aber der Versuch selbst stellt ein lautes Signal in einem bereits ohrenbetäubenden geopolitischen Sturm dar.

Was tatsächlich passiert ist

Das NCBJ bestätigte, dass Hacker seine IT-Infrastruktur ins Visier genommen hatten. Es wurde jedoch erklärt, dass der Angriff erkannt und blockiert wurde, bevor er irgendeinen Schaden verursachen konnte. In einer Erklärung sagte die Organisation, dass ihre Sicherheitssysteme und internen Verfahren, die darauf ausgelegt sind, Bedrohungen frühzeitig zu erkennen, den Kompromittierungsversuch verhinderten und es dem IT-Personal ermöglichten, die angegriffenen Systeme schnell zu sichern.

Polens Minister für Digitale Angelegenheiten, Krzysztof Gawkowski, sagte dem privaten Sender TVN24+, dass der Angriff "in den letzten Tagen" stattgefunden habe. Er fügte hinzu, dass die "ersten Identifikationen der Eintrittsvektoren (jene Orte, von denen das Zentrum angegriffen wurde) mit dem Iran in Verbindung stehen."

Kritischerweise gab der Minister auch eine sofortige Warnung heraus, dass die Indikatoren möglicherweise absichtliche Irreführungen sind, um den wahren Standort der Angreifer zu verschleiern. Wie wir alle wissen, gibt es in diesem Angriff einen offensichtlichen Verdächtigen: Russland.

Das NCBJ: Warum dieses Ziel wichtig ist

Der Cyberangriff zielte erfolglos auf das Nationale Zentrum für Kernforschung ab, das den einzigen betriebsfähigen Kernreaktor des Landes beherbergt. Das NCBJ ist keine Waffenanlage, da Polen keine Atomwaffen hat und sein erstes Kernkraftwerk baut. Aber der strategische Wert des Instituts hat nichts mit Sprengköpfen zu tun.

Das NCBJ ist Polens Hauptinstitut für staatliche Kernforschung, das auf Kernphysik, Reaktortechnologie, Teilchenphysik und Anwendungen von Strahlung spezialisiert ist. Es bietet technische und wissenschaftliche Unterstützung, die das Kernenergieprogramm des Landes untermauert. Derzeit baut Polen sein erstes ziviles Kernkraftwerk in Partnerschaft mit den amerikanischen Unternehmen Westinghouse und Bechtel. Jede gesammelte Information über Reaktorsicherheitssysteme, Lieferantenbeziehungen oder technische Spezifikationen wäre für einen sophistizierten Gegner von operativem Wert. Dies gilt insbesondere für Bedrohungsakteure, die die wirtschaftlichen und militärischen Verflechtungen der USA als legitime weiche Ziele betrachten.

Dies ist eindeutig ein Versuch, Beständigkeit und Vorpositionierung zu gewährleisten. Angreifer suchten einen frühen Zugang, um sicherzustellen, dass sie eingebettet bleiben, während die Daten wertvoller werden.

Der geopolitische Kontext, den Sie nicht davon trennen können

Der NCBJ-Angriff am 12. März geschah nicht im luftleeren Raum. Er ereignete sich 12 Tage nach Beginn eines offenen Krieges. Dieser Kontext ist von großer Bedeutung für das Bedrohungsmodell und die daraus folgenden Implikationen.

Nur einen Tag zuvor, am 11. März, hatte bereits eine weit folgenreichere iranische Cyberoperation stattgefunden. Der Medizintechnikriese Stryker, ein Fortune-500-Unternehmen mit Sitz in Michigan, das sich auf chirurgische Ausrüstung, orthopädische Implantate und Neurotechnologie spezialisiert hat, wurde von einem hochgradig destruktiven Cyberangriff getroffen. Die mit dem Iran verbundene Gruppe Handala behauptete, mehr als 200.000 Server, mobile Geräte und andere Systeme gelöscht zu haben, wodurch Stryker gezwungen war, Büros in 79 Ländern zu schließen. Die einzigartigen Aspekte dieses Vorfalls haben wir in einem früheren Beitrag behandelt, hier.

Handala ist eine von mehreren Bedrohungsakteuren, die mit dem iranischen Ministerium für Nachrichtendienste und Sicherheit (MOIS) verbunden sind. Es wird vermutet, dass sie möglicherweise zusammen mit APT 35 Aktivitäten zur Verletzung von Unternehmen weltweit durchführen. Handala ist bekannt dafür, strategische Ziele zu verfolgen und nicht an Lösegeldforderungen oder Datenlecks interessiert zu sein.

Der Angriff auf Stryker war visceral, groß angelegt und explizit politisch. Handala erklärte, den Angriff als Vergeltung für die Tötung von über 170 Menschen bei einem Angriff auf eine Schule in der südlichen iranischen Stadt Minab am ersten Tag des US-israelischen Militäreinsatzes gegen den Iran durchgeführt zu haben.

Der Angriff auf Polen hingegen war leiser. Er war vielmehr ein chirurgischer Aufklärungsversuch an einer nuklearen Anlage. Dies hat in einem 24-Stunden-Zeitraum zu zwei sehr unterschiedlichen operativen Signaturen für dieselbe Gruppe geführt.

Das False-Flag-Problem: Attribution ist schwieriger, als es aussieht

Das eigene Vorbehalt der polnischen Regierung über mögliche Irreführungen stellt den Kern der analytischen Herausforderung hier dar. Bei offensiven Cyberoperationen sind False-Flag-Angriffe, bei denen ein Angreifer absichtlich die Taktiken, Techniken und Verfahren (TTPs) eines anderen Nationalstaats nachahmt, keine theoretische Konstruktion. Sie sind gängige Praxis und es könnte Gründe geben zu glauben, dass dies ebenfalls ein solcher Fall war.

Die auf den Iran hinweisenden Eintrittsvektoren könnten mehrere Dinge bedeuten:

Szenario A: Direkte iranische Operation. Die Vergeltungslogik ist kohärent. Polen ist ein NATO-Mitglied. Der polnische Verteidigungsminister erklärte, dass Polen nicht am Konflikt im Nahen Osten beteiligt ist. Aber in Irans Bedrohungskalkulation ist jedes NATO-Mitglied, das US-Militäreinrichtungen beherbergt oder die Ukraine (was Polen erheblich tut) beliefert, ein legitimer Druckpunkt.

Szenario B: Eine russische False-Flag. Polen steht hoch auf der Zielliste russischer Cyberakteure, mit 31 bestätigten Vorfällen, die ihnen zwischen Mitte 2025 und Anfang 2026 zugeschrieben wurden. Anfang 2026 griff Russlands APT44 ("Sandworm") Polens Stromnetz an und zielte auf dezentralisierte Energieressourcenstandorte, Heiz- und Kraftanlagen sowie Systeme zur erneuerbaren Energieverteilung. Moskau hat jeden Anreiz, polnische Infrastruktur zu treffen und den Iran die Schuld tragen zu lassen. Dieser Angriff könnte Teil einer Reihe von Angriffen auf Polen sein, nur dass Russland diesmal beschlossen hat, die Schuld auf den Iran abzuwälzen. Zur Erinnerung: Dieser Angriff weist alle Merkmale eines standardmäßigen russischen Einsatzes auf, sei es in Bezug auf das Ziel, den Zeitpunkt oder sogar die TTP.

Szenario C: Opportunismus Dritter. Aktiver Konflikt bietet Deckung. Eine kriminelle oder Spionagegruppe ohne staatliche Zugehörigkeit kann geopolitischen Lärm nutzen, um Operationen durchzuführen, die im Hintergrund verschwimmen. Dies scheint etwas unwahrscheinlich, da nukleare Forschungsanlagen weit außerhalb der Liga solcher Akteure liegen. Aber es ist möglich, dass der Bedrohungsakteur möglicherweise versuchte, das Netzwerk zu infiltrieren, um den Zugang später an einen etablierteren Bedrohungsakteur zu verkaufen.

Eintrittsvektoren — die IP-Adressen, Infrastrukturen und Routingpfade, über die ein Angriff erfolgt — sind trivial fälschbar oder über Infrastruktur von Drittstaaten und Bot-Farmen verschleierbar. Jeder Analyst, der Ihnen erzählt, dass IP-Geolocation die Attribution klärt, verkauft Ihnen möglicherweise etwas oder ist möglicherweise nicht gut informiert.

Was die Verteidiger richtig gemacht haben

Dieser Vorfall ist auch für das, was nicht passiert ist, lohnenswert. Das NCBJ wurde nicht verletzt. Dank der schnellen und effektiven Aktionen von Sicherheitssystemen und internen Verfahren sowie der schnellen Reaktion der Teams wurde der Angriff vereitelt und die Integrität der Systeme nicht gefährdet.

Das ist kein triviales Ergebnis. Kritische Infrastruktur, insbesondere nukleare Einrichtungen, waren historisch gesehen ein hochgeschätztes, unterhärtetes Ziel, das fest innerhalb gut gezeichneter roter Linien liegt, soweit es die Regierungen betrifft. Die erfolgreiche Verteidigung hier legt einige Dinge nahe: Schichtweiser Erkennung war vorhanden, das SOC (Security Operations Centre) hatte getestete und einsatzbereite Vorfallreaktionsprozeduren, und die Bedrohungsinformationsweitergabe innerhalb des polnischen nationalen Cyberapparats war funktional genug, um eine schnelle Reaktion zu ermöglichen.

Vergleichen Sie dies mit dem Scheitern bei Stryker, wo Sicherheitsexperten vermuteten, dass Handala-Akteure Zugang zu den Active-Directory-Diensten von Stryker erlangt hatten und das Microsoft-Endpunkt-Management-Tool Intune nutzten, um Microsoft-Geräte, einschließlich Geräten, die im Rahmen einer bring-your-own-device-Politik verwaltet wurden, aus der Ferne zu löschen. Dies ist ein Versagen in der Lieferkette und des Identitätsmanagements in großem Ausmaß, auf den einen Zugang von außen niemals möglich sein sollte.

Was als nächstes kommt

Das strategische Bild deutet darauf hin, dass dies erst der Anfang ist, nicht ein einmaliges Ereignis. Der Iran hat historisch gesehen auf kinetischen Druck mit beständigen, multidimensionalen Cyberkampagnen reagiert — nicht mit einem einzigen Schlag. Historisch gesehen hat der Iran einige der berüchtigtsten wiper-Cyberangriffe auf nationale Feinde durchgeführt, die darauf abzielen, einfach alle Daten in angezielten Netzwerken zu löschen. Saudi Aramco verlor 2012 zigtausende von Arbeitsplätzen. Das Muster ist geduldige Eskalation, nicht Spektakel.

Für Betreiber kritischer Infrastruktur in Europa, insbesondere in den Bereichen Energie, Kernenergie und in sektoren, die an die Verteidigung angrenzen, hat sich das Bedrohungsmodell nun maßgeblich erweitert. Polens Nähe zum Ukraine-Konflikt machte es bereits zu einem erstklassigen russischen Ziel. Die Hinzunahme potenzieller iranischer Vergeltungsoperationen schafft einen mehrfrontigen Cyberdruck, der das SOC-Bandbreite, die Attributionspipelines und die nationale Cyberantwortkoordinierung gleichzeitig belasten wird.

Der Angriff auf das NCBJ wurde vereitelt. Der nächste möglicherweise nicht. Und in einer Umgebung, in der False-Flags gängige Praxis sind und zwei kernnahe Konflikte parallel stattfinden, waren die Fehlermargen bei der Attribution und die Konsequenzen solcher Fehler noch nie höher.

Fragen? Vergessen Sie nicht, uns hier eine Nachricht zu hinterlassen.

Ergänzung und relevante Checklisten

OT Sicherheitskontrollen, abgestimmt auf NIST SP 800-171
STRIDE-basiertes Bedrohungsmodell und DREAD-Bewertung für verteilte Kontrollsysteme in Raffinerien