Kritische Infrastruktur unter Beschuss: Energie, Wasser und Gesundheit als neue Fronten im Cyberkrieg
Im Jahr 2025 trafen 50% aller globalen Ransomware-Angriffe kritische Sektoren. Der Energiesektor und die Versorgungswirtschaft verzeichneten einen Anstieg der Angriffe um 80% im Vergleich zum Vorjahr. Im März 2026 kompromittierte ein staatlich geförderter Angriff 200.000 Systeme des Medizintechnikherstellers Stryker. Die CISA gab eine offizielle Warnung heraus, die kritische Organisationen aufforderte, sich auf Cyber-Unterbrechungen vorzubereiten.
Die Zahlen von 2025 beseitigen jegliche Ambiguität über die Richtung der Bedrohung: 2.332 der 4.701 im Jahr registrierten Ransomware-Vorfälle, also 50% des Gesamtvolumens, trafen kritische Sektoren wie Fertigung, Gesundheit, Energie, Transport und Finanzdienstleistungen. Der Energiesektor und die Versorgungswirtschaft verzeichneten einen Anstieg von 80% bei den Angriffen im Vergleich zu 2024. Amerikanische Versorgungsunternehmen litten 2024 unter 1.162 Cyberangriffen, ein Anstieg von fast 70% im Vergleich zu den 689 im Jahr 2023.
Die Vorfälle im Jahr 2026 bestätigen diesen Trend. Im März kompromittierten staatlich geförderte Akteure Stryker, einen Hersteller von Medizintechnik, und beschädigten oder unterbrachen mehr als 200.000 Systeme, Server und mobile Geräte. Im Februar zwang ein Ransomware-Angriff auf das University of Mississippi Medical Center zur Schließung aller 35 Klinikstandorte des Bundesstaates und zur Absage von elektiven Operationen. Im Dezember 2025 traf ein koordinierter Angriff ungefähr 30 Einrichtungen, die mit dem Stromnetz Polens verbunden waren.
Der Wandel des Angriffsvektors
Das alarmierendste Muster ist nicht das Volumen, sondern die Sophistication. Das FBI identifizierte im August 2025 den russischen FSB, der maßgeschneiderte Tools gegen Cisco-Infrastrukturen einsetzte. Die CISA dokumentierte chinesische Gruppen wie Volt Typhoon und Salt Typhoon, die "Living-off-the-Land"-Taktiken einsetzten, indem sie legitime Betriebssystem-Tools verwendeten, um sich lateral zu bewegen, ohne traditionelle Sicherheitswarnungen auszulösen.
Im Bereich der Wasserinfrastruktur offenbarte der Bericht des britischen Drinking Water Inspectorate 15 Benachrichtigungen über Angriffe auf Wasserversorger zwischen Januar 2024 und Oktober 2025. Im April 2025 übernahmen prorussische Hacker die Kontrolle über das System eines kleinen Staudamms in Norwegen und öffneten ein Ventil für vier Stunden, indem sie schwache Anmeldedaten eines mit dem Internet verbundenen Bedienfeldes ausnutzten.
Die Angriffsoberfläche hat sich erweitert
Im April 2026 wurde jedem schwerwiegenden Vorfall, der von Forschern verfolgt wurde, ein kompromittierter Dritter zugeordnet: Anbieter, BPO-Dienstleister oder Anwendungen, die über OAuth verbunden sind. Die Angriffsoberfläche hat sich vom Unternehmensperimeter zur digitalen Lieferkette entwickelt. Kritische Infrastruktureinrichtungen operieren häufig mit Betriebstechnologien (OT), die vor Jahrzehnten ohne Rücksicht auf die Internetkonnektivität entworfen wurden.
Was die CISA fordert
Im Mai 2026 formalisierten die CISA die Richtlinien, damit Organisationen der kritischen Infrastruktur explizite Pläne erstellen, um unter Cyberunterbrechungen zu operieren, einschließlich manueller Rückfallverfahren für die Steuerungssysteme, alternativer Kommunikationswege, wenn primäre Netzwerke betroffen sind, und regelmäßigen Übungen zur breit angelegten Angriffs-Simulation.
Für die Vorstandsmitglieder ist die Frage nicht mehr, ob ein Angriff stattfinden wird. Es geht darum, ob die Organisation operieren kann, wenn er stattfindet.