Angriffe auf Staudämme, Wasserwerke und Krankenhäuser: Cyber-Physische Kriege sind kein Science-Fiction mehr
Wenn Cyber-Sicherheitsexperten sagen „wir sind im Krieg", dann klingt das nach Übertreibung. Bis man liest, was tatsächlich passiert ist.
Der Orange Cyberdefense Security Navigator 2026 dokumentiert 139.373 Sicherheitsvorfälle und 19.053 bestätigte Brüche zwischen Oktober 2024 und September 2025. Aber die Zahlen sind nicht das Problem. Die Qualität der Angriffe ist es.
Der Staudamm von Bremanger
Am 7. April 2025 übernahmen Angreifer die Kontrolle über den Bremanger-Damm in Norwegen. Sie öffneten die Schleusen und ließen 500 Liter Wasser pro Sekunde vier Stunden lang strömen. Norwegen’s Sicherheitsdienst führt den Angriff auf russische Hacker zurück.
Das ist kein DDoS. Das ist kein Datendiebstahl. Das ist die physische Welt, die angegriffen wird, über Netzwerkverbindungen.
Kurz darauf meldeten kanadische Behörden, dass Hacktivisten Wasser-, Energie- und Agrarinfrastrukturen infiltriert hatten. Druckventile manipuliert, Temperaturniveaus geändert, automatische Tankanzeiger bei einem Öl- und Gasunternehmen gesteuert. In einer Getreidesilo haben Angreifer die Feuchtigkeitseinstellungen verändert.
Die technische Wirkung war begrenzt. Die Botschaft war es nicht: Wir können eure Infrastruktur erreichen.
Hacktivisten sind keine digitalen Graffiti-Sprayer mehr
Was früher digitale Protestaktionen waren, hat sich in ein Ökosystem aus staatsnahen Akteuren verwandelt. NoName057(16) und Killnet operieren unabhängig, aber im Sinne ihres Staates. Sie greifen feindliche Regierungen an und schaffen plausible Distanz für die eigene Regierung.
Europol hat mit „Operation Eastwood" die Infrastruktur von NoName057(16) zerschlagen. Ein koordinierter Schlag gegen ein Hacktivist-Netzwerk. Aber das Problem ist strukturell, nicht personell: Die Grenzen zwischen Hackern, Aktivisten und Staatsakteuren verschwinden.
Angriffe auf Identität und die Netzwerk-Peripherie
Neben den spektakulären physischen Angriffen konzentrieren sich staatliche Akteure auf zwei Punkte: Identitäten und Netzwerk-Edge-Geräte. Berichte beschreiben heimliche Backdoors auf Appliances und Virtualisierungsplattformen, die monatelang ohne auffällige Malware Zugang bieten. Die schnelle Ausnutzung von 0-Day- und N-Day-Schwachstellen in Perimeter-Appliances bleibt Standard.
Ziel der Angriffe: Regierungsnetze, Telekommunikation, Verteidigungsnetze, Halbleiterindustrie. Der Übergang zwischen Enterprise-IT und OT (Operational Technology) in Industrieumgebungen ist besonders gefährlich, weil dort Monitoring begrenzt ist und Sicherheitsmaßnahmen die Antwort verzögern.
Europa’s Abhängigkeit wird zur Schwäche
Der Security Navigator beschreibt ein fundamentales Problem: Europa ist strategisch von den technologischen und Cyber-Sicherheitsfähigkeiten der USA abhängig. Diese Abhängigkeit wird jetzt auf die Probe gestellt.
Alle Technologie ist politisch. Wer sich auf Technologieplattformen verlässt, erhöht seine Anfälligkeit für technische Machtausübung, Cyber-Operationen, Desinformationskampagnen und andere Formen der Einflussnahme.
Das klingt abstrakt, ist aber konkret: Wenn europäische Behörden US-Cloud-Dienste nutzen, europäische Krankenhäuser US-Software betreiben und europäische Telekommunikationsnetze von US-Vendors abhängen, dann ist jede geopolitische Krise auch eine technologische.
Cyber-Erpressung bleibt der Elefant im Raum
Der Security Navigator dokumentiert 139.373 Vorfälle. Ransomware und Cyber-Erpressung bleiben die dominierende Bedrohung. Die Cl0p-Gang startete eine große Kampagne über eine 0-Day-Schwachstelle in Cleo-Software und erreichte Hunderte von Opfern. Operation ENDGAME hat im Mai 2025 Server zerschlagen, Domains neutralisiert und Haftbefehle für 20 Verdächtige erlassen. Die Nachfolge-Netzwerke wurden im Juni weiter dezimiert.
Die UK-Regierung erwägt ein generelles Verbot von Lösegeldzahlungen für den öffentlichen Sektor. Das wäre ein starkes Signal, wenn es kommt.
Was das für Deutschland bedeutet
Für Deutschland ist das Bild zwiespältig. Der Deutschland-Stack des IT-Planungsrats setzt auf offene Standards und digitale Souveränität. Gut. Aber der Security Navigator zeigt, dass Standards allein nicht reichen. Man braucht die operative Fähigkeit, Angriffe zu erkennen, zu verhindern und zu beantworten.
Besonders im Rettungsdienst und Gesundheitswesen: Krankenhäuser, Rettungsleitstellen, digitale Patientenakten, IoT-Geräte in Fahrzeugen. Das alles gehört zur kritischen Infrastruktur, die im Fokus von Cyber-Physischen Angriffen steht.
Die Frage ist nicht ob, sondern wann.
Quellen: