Drei Hauptstädte handelten am selben Montag

Im Dezember 2025, mitten im Winter, kam ein Angriff auf die polnische Energieinfrastruktur dem Erfolg nahe genug, dass Regierungen heute beschreiben, was er angerichtet hätte: rund 500.000 Menschen ohne Strom. Er gelang nicht. Am 13. Juli 2026 sagte Europa laut, wer es versucht hat.

Die EU und Großbritannien verkündeten ihre Sanktionen am selben Tag. London listete 24 Personen und Einrichtungen. Brüssel benannte neun Personen und vier Einrichtungen, nach Aussage der EU-Außenbeauftragten das größte Cyber-Sanktionspaket in der Geschichte der Union. Zusammen 33 Ziele, verbunden mit dem Einfrieren von Vermögenswerten, Einreiseverboten und dem Verbot, ihnen Gelder oder wirtschaftliche Ressourcen zur Verfügung zu stellen.

Die Namen sind konkret. Drei GRU-Offiziere: Vyacheslav Stafeyev, Ivan Senin, Ivan Kasyanenko. Der Bulletproof-Hoster Media Land LLC und dessen Ableger ML.Cloud, verknüpft mit Ransomware- und Phishing-Schäden in ganz Europa. Z-Pentest, das laut Rat kritische Infrastruktur einschließlich Energie und Wasser angegriffen hat. Zehn Personen hinter der Rybar LLC. Betreiber der Zugangsdaten-Schadsoftware Lumma Stealer. Und hinter dem Angriff auf das polnische Netz eine Einheit: das FSB-Zentrum 16.

Sanktionen sind eine Aussage über die Vergangenheit. Was am selben Tag zusätzlich erschien, ist eine Aussage über Ihr Netzwerk.

Der Weg hinein war nicht raffiniert

Das britische National Cyber Security Centre veröffentlichte gemeinsam mit zwölf weiteren Ländern eine Warnung: den Vereinigten Staaten, Australien, Kanada, Tschechien, Dänemark, Estland, Finnland, Frankreich, Italien, Neuseeland, Polen und Schweden. Sie beschreibt, wie das FSB-Zentrum 16 tatsächlich hineinkommt. Die Gruppe wird seit Jahren unter einem ganzen Regal von Namen geführt: Berserk Bear, Energetic Bear, Dragonfly, Crouching Yeti, Static Tundra.

Ernüchternd sind die Techniken. Weltweites Scannen nach dem Simple Network Management Protocol mit Standard- oder schwachen Community-Strings. Missbrauch von Cisco Smart Install, einer Funktion zur bequemen Inbetriebnahme von Switches, die kaum eine Organisation nach dem Rollout wieder ausgeschaltet hat. Bekannte, längst veröffentlichte Schwachstellen in den Weboberflächen von Netzwerkgeräten. Betroffene Sektoren: Kommunikation, Verteidigung, Energie, Finanzdienstleistungen, Regierung, Gesundheitswesen.

Nichts davon ist exotisch. Ein staatlicher Nachrichtendienst spaziert über Standardkonfigurationen und ungepatchte Randgeräte in kritische Infrastruktur, weil es funktioniert und weil es leise ist. Auf Netzwerkgeräten läuft kein Endpoint-Agent. Sie tauchen in den meisten Schwachstellenscans nicht auf. Niemand wird alarmiert, wenn eines übernommen wird, weil dort nichts läuft, das alarmieren könnte.

Die empfohlenen Maßnahmen sind entsprechend schlicht: Umstieg auf SNMPv3 und Abschaltung der Altversionen, starke und eindeutige Passwörter auf Netzwerkgeräten, strikte Beschränkung des Zugriffs auf Managementprotokolle, Smart Install aus. Deutschland gehört nicht zu den dreizehn Staaten, die die Warnung gezeichnet haben, was an der Lage nichts ändert: Die genannten Sektoren überschneiden sich weitgehend mit den deutschen KRITIS-Sektoren, und das BSI ist die nationale Cybersicherheitsbehörde, bei der solche Vorfälle nach dem NIS-2-Umsetzungsgesetz landen.

Warum ein Fehler aus dem Jahr 2008 eine Frist von drei Tagen bekommt

Am selben 13. Juli nahmen die Vereinigten Staaten genau eine Schwachstelle in ihren Katalog aktiv ausgenutzter Sicherheitslücken auf. Keinen frischen Zero-Day. CVE-2008-4128, eine Cross-Site-Request-Forgery-Lücke in Cisco IOS, offengelegt im Jahr 2008. Die zugehörige Frist zur Behebung: der 16. Juli. Drei Tage.

Ein Eintrag in diesem Katalog bedeutet genau eine Sache. Er ist kein theoretischer Schweregrad und kein Proof of Concept aus der Forschung. Er bedeutet, dass die Lücke jetzt in freier Wildbahn ausgenutzt wird, und der Katalog überschritt mit dieser Aufnahme 1.638 Einträge. Die Dreitagesfrist bindet US-Bundesbehörden, doch das Signal ist kein verwaltungsinternes. Ein achtzehn Jahre alter Fehler bekommt keine Notfalluhr, weil ihn jemand wiederentdeckt hat. Er bekommt sie, weil er gerade benutzt wird.

Legt man beide Dokumente nebeneinander, wird das Bild scharf. Die Warnung sagt, dass ein staatlicher Akteur auf Netzwerktechnik wohnt. Der Katalog nennt die konkrete Tür: eine Cisco-Lücke, die alt genug ist, um wählen zu dürfen. Niemand musste für diese Kampagne etwas erfinden. Es genügte, dass die Verteidiger nie auf den Switch geschaut haben.

Wem gehört der Router?

Stellen Sie diese Frage im eigenen Haus und beobachten Sie, was passiert. Server haben einen Verantwortlichen, einen Patch-Zyklus und einen Monitoring-Agenten. Notebooks haben ein Flottenmanagement. Der Router im Rack, der Switch in der Filiale, die Firewall, die der Dienstleister vor vier Jahren installiert und seither nie wieder angefasst hat: Die gehören meist dem, der sie aufgesetzt hat, und der arbeitet häufig längst woanders.

Diese Lücke ist inzwischen nicht nur technisch, sondern rechtlich. Nach dem NIS-2-Umsetzungsgesetz müssen besonders wichtige und wichtige Einrichtungen die Risiken ihrer Netz- und Informationssysteme beherrschen, und Netzwerkgeräte gehören zweifelsfrei dazu. Wenn das BSI fragt, wie Sie Lieferanten und Infrastruktur überwachen, wird die Antwort nicht durchgehen, dass die Randgeräte zwischen interner Mannschaft und ausgelagertem Betrieb hindurchgefallen sind. Für den Dienstleister gilt dasselbe: Betreibt er Ihre Netzwerktechnik, ist seine Konfigurationshygiene Ihr Risiko, und der Vertrag mit ihm ist der Ort, an dem das geregelt ist oder eben nicht.

Wer in Energie, Wasser, Verkehr, Gesundheit oder digitaler Infrastruktur arbeitet, liest hier kein allgemeines Sensibilisierungsmaterial. Die Warnung nennt Ihren Sektor, sie nennt das Protokoll, und sie kommt mit einer Liste sanktionierter Personen, die genau das getan haben.

Was in dieser Woche zu tun ist

Zuerst die Inventur, denn patchen lässt sich nur, was auf einer Liste steht. Jeder gemanagte Switch, jeder Router, jede Firewall und jede Netzwerk-Appliance, auch die in den Filialen und die, die ein Lieferant eingebaut hat. Fehlt dieses Verzeichnis, ist sein Aufbau die Arbeit dieser Woche, und er ist mehr wert als jedes Werkzeug, das Sie stattdessen kaufen könnten.

Dann drei konkrete Schritte aus der Warnung. Cisco Smart Install überall abschalten, wo es noch läuft, was in den meisten Umgebungen überall heißt, wo es je lief. SNMP auf Version 3 umstellen, mit Authentifizierung und Verschlüsselung, und die Versionen 1 und 2c abschalten, die Community-Strings im Klartext übertragen. Managementschnittstellen aus jedem Pfad nehmen, der aus dem Internet erreichbar ist, und hinter ein kontrolliertes Netzsegment legen.

Prüfen Sie zuletzt, ob Ihre Netzwerkgeräte Protokolle erzeugen, die überhaupt jemand liest. Diese Kampagne hielt sich, weil übernommene Netzwerktechnik stumm ist. Ein umkonfigurierter Router sieht exakt aus wie ein unveränderter, solange niemand ihn mit einem bekannten guten Stand vergleicht.

Nichts davon ist ein neuer Ratschlag. Genau das ist der Punkt, und genau deshalb hielten es dreizehn Regierungen für nötig, es gemeinsam auszusprechen.