Ende Dezember 2025 wurde die kritische Energieinfrastruktur Polens – darunter Wind- und Solarparks, Kraft-Wärme-Kopplungsanlagen und industrielle Systeme – Ziel eines koordinierten Cyberangriffs, der vermutlich von Hackern im Auftrag eines Staates verübt wurde.
Hier ein kurzer Überblick darüber, was die Angreifer erreicht haben:
- Sie verschafften sich zunächst Zugang über ungeschützte VPN-/Firewall-Geräte (z. B. Fortinet-Hardware), indem sie Standard-Anmeldedaten verwendeten und keine Multi-Faktor-Authentifizierung einsetzten
- Sobald sie sich Zugang verschafft hatten, gelangten sie zu OT- und ICS-Systemen und setzten dort zerstörerische „Wiper“-Malware ein, die darauf ausgelegt war, Dateien auf Steuerungen und HMIs zu löschen oder zu beschädigen
- Der Angriff führte zu einem Ausfall der Kommunikation und Überwachung zwischen den Anlagen und den Netzbetreibern, beschädigte die Firmware und verursachte bei einigen ICS-Geräten sogar dauerhafte Schäden – führte jedoch nicht zu einem Stromausfall.
Wie Datendioden hätten helfen können
Eine Datendiode ist ein Hardwaregerät für die Cybersicherheit, das einen unidirektionalen Datenfluss gewährleistet, d. h., Daten können physisch nur in eine Richtung fließen – von einem Netzwerk zum anderen –, ohne dass ein Rückverkehr möglich ist. Schauen wir uns einige Möglichkeiten an, wie eine Datendiode diesen Angriff hätte verhindern können.
1. Verhinderung unbefugten Zugriffs auf Betriebsnetzwerke
OT- und ICS-Geräte waren über das Netzwerk erreichbar, da Peripheriegeräte (wie VPN-Gateways) zu diesen Umgebungen führten. Falls vorhanden, hätten Datendioden zwischen folgenden Komponenten eingesetzt werden können:
- Das internetgestützte Netzwerk und der Bereich Unternehmens-IT
- Der Bereich Unternehmens-IT und der OT/ICS-Bereich
Wenn eine Diode installiert ist, könnten Angreifer selbst bei einer Kompromittierung des VPN-Dienstes niemals bidirektionalen Netzwerkverkehr in die OT-Domäne leiten.
Das bedeutet: Selbst wenn Anmeldedaten gestohlen würden, könnten Angreifer keine Befehle oder Schadcode in Systeme hinter einer Diode senden, da die Diode den Datenverkehr physisch daran hindert, in diesen Bereich zu gelangen.
2. Schutz der Überwachungs- und Steuerkanäle
Manche Systeme (wie Netzüberwachungs-Dashboards oder Historien-Server) benötigen häufig Daten aus dem ICS, müssen jedoch niemals Befehle zurück senden. Mit einer Datendiode könnten OT-Daten sicher an Überwachungssysteme gesendet werden, und kein externes System oder System aus der Unternehmensdomäne könnte Datenverkehr zu OT-Geräten initiieren.
Dies ist ein wesentlicher Bestandteil der Sicherheitsarchitektur in industriellen Umgebungen, in denen der Datenverkehr in eine Richtung erfolgen muss.
3. Absicherung gegen seitliche Verschiebung
Bei diesem Angriff bewegten sich die Angreifer, sobald sie sich im Netzwerk befanden, lateral – von den Eintrittsstellen hin zu den Backend-Windows-Domänen und OT-Steuerungen. Wäre eine Datendiode vorhanden gewesen, wäre die Netzwerksegmentierung physisch durchgesetzt worden. Eine Datendiode hätte zudem sichergestellt, dass die Luftspalten durch einseitige Datenflüsse sicher kontrolliert worden wären.
Selbst wenn es einem Angreifer gelänge, in ein Segment einzudringen, könnte er andere Segmente nicht erreichen, sofern diese durch Einwegbarrieren geschützt sind.
Mehrschichtige Cybersicherheit
Man sollte nicht vergessen, dass die Implementierung von Datendioden zwar ein wesentlicher Bestandteil einer umfassenden OT-Cybersicherheitsstrategie ist, aber nicht der einzige.
- Durchsetzung einer starken Authentifizierung
- Sich über Sicherheitslücken oder Fehlkonfigurationen in Software auf dem Laufenden halten
- Man sollte bedenken, dass Dioden ein Element der Netzwerksteuerung sind und kein Überwachungsinstrument
Mit anderen Worten: Dioden sind am wirksamsten als Teil einer mehrschichtigen Sicherheitsstrategie, die mit folgenden Maßnahmen kombiniert werden muss:
- Hervorragende Qualifikationen und MFA
- Ordnungsgemäße Installation von Patches und Überprüfung der Firmware
- Netzwerksegmentierung und Zugriff nach dem Prinzip der geringsten Berechtigungen
- Systeme zur Erkennung von Anomalien und Eindringlingen
Entweder oder
Datendioden sichern kritische Umgebungen, indem sie einen physisch erzwungenen Einweg-Datenfluss gewährleisten. Dadurch wird es für Angreifer erheblich erschwert, industrielle Systeme zu erreichen und zu kontrollieren, selbst wenn sie in Peripheriegeräte eindringen. Im Fall Polens – wo Hacker internetgestützte Systeme ausnutzten und sich lateral in die Steuerungshardware vorarbeiteten – hätte der strategische Einsatz von Dioden folgende Vorteile bieten können:
- Blockierte Angriffswege in OT-Segmente
- Verhinderung der Übertragung bösartiger Befehle und von Malware an ICS
- den Umfang der zerstörerischen Handlungen begrenzt
OPSWATMetaDefender Optical Diode bietet eine Vielzahl von Formfaktoren und Konfigurationen, die speziell darauf ausgelegt sind, Ihre Anforderungen an die Perimetersicherheit zu erfüllen. Kontaktieren Sie noch heute einen Experten und erfahren Sie, wie eine unserer Dioden oder unidirektionalen Gateway-Lösungen Ihre kritischen Umgebungen schützen kann.
