Solaranlagen mit kritischen Schwachstellen, Router als Einfallstor für Botnetze und staatlich gesteuerte Hacktivisten – 2025 verschärft sich die Bedrohungslage dramatisch. Besonders vernetzte Infrastrukturen geraten ins Visier gezielter Angriffe, oft mit geopolitischer Absicht und realen Folgen für die Versorgungssicherheit.
Kritische Schwachstellen in Solaranlagen, Router-Botnetze und staatlich gelenkte Hacktivisten zeigen 2025 deutlich: Vernetzte Infrastrukturen stehen zunehmend im Fokus geopolitisch motivierter Cyberangriffe.
Die Bedrohungslage in der Cybersicherheit verschärft sich 2025 spürbar. Besonders betroffen sind vernetzte Systeme, die längst nicht mehr nur in klassischen IT-Umgebungen zu finden sind. Forescout Research – Vedere Labs hat in drei umfassenden Analysen nachgewiesen, wie verwundbar kritische Infrastrukturen geworden sind. Das Forschungsteam unter der Leitung von Daniel dos Santos identifizierte Schwachstellen in Solaranlagen, Sicherheitslücken in Routern und dokumentiert die neue Dimension staatlich unterstützter Hacktivisten.
Gefahr aus dem Stromnetz: Solarinfrastruktur als strategische Schwachstelle
Mit dem Bericht SUN:DOWN legt Vedere Labs einen Schwerpunkt auf die Sicherheit von Solarsystemen. 46 neue Schwachstellen wurden in Produkten von Sungrow, Growatt und SMA entdeckt. Ein Drittel dieser Lücken liegt im kritischsten Bereich der CVSS-Skala mit Werten zwischen 9.8 und 10. In Kombination mit älteren Lücken umfasst das bekannte Bedrohungspotenzial inzwischen 93 veröffentlichte Schwachstellen, von denen 80 Prozent mit hoch oder kritisch bewertet wurden.
Diese Zahlen sind kein abstraktes Risiko. Bereits 2024 griff eine Gruppe namens Just Evil das Monitoring-System eines baltischen Energieversorgers an. Sie verschaffte sich Zugriff auf das Dashboard von 22 Solaranlagen, darunter zwei Kliniken. Genutzt wurden gestohlene Zugangsdaten, die zuvor durch Trojaner auf Endgeräten abgegriffen wurden. Das betroffene System basierte auf Sungrows Cloud-Plattform.
Die Sicherheitsprobleme reichen von unsicheren Authentifizierungen über fehlende Eingabekontrollen bis hin zu Schwachstellen bei Over-the-Air-Firmwareupdates. Besonders brisant: In einem Fall war es möglich, ein ganzes System zu übernehmen, indem hartkodierte MQTT-Zugangsdaten aus der Firmware extrahiert wurden. Daniel dos Santos weist darauf hin, dass Solarstromsysteme längst nicht mehr nur ein Umwelt- oder Energiethema seien, sondern zur nationalen Sicherheitslage gehören.
Hinzu kommen geopolitische Risiken in der Lieferkette. Über die Hälfte (53 Prozent) der Hersteller von Wechselrichtern und 58 Prozent der Anbieter von Speichersystemen haben ihren Sitz in China. In Ländern wie Australien, Estland und Litauen wurden infolgedessen bereits regulatorische Maßnahmen gegen bestimmte Hersteller eingeführt. Manipulationen könnten zu kontrollierten Netzstörungen oder zu flächendeckenden Ausfällen führen.
Router als Einfallstor: DrayTek im Fokus der Forschung
Der Bericht DRAY:BREAK dokumentiert 14 neue Schwachstellen in Routern des taiwanesischen Herstellers DrayTek. Diese Geräte sind in 168 Ländern im Einsatz, über 700.000 davon direkt aus dem Internet erreichbar. 63 Prozent der aktiven Modelle gelten gelten als End-of-Life und erhalten keine Sicherheitsupdates mehr. Die meisten Schwachstellen betreffen dieselbe Funktionalität in der Weboberfläche der Geräte. Damit steigen die Chancen für automatisierte Angriffe erheblich.
Die Forscher entdeckten unter anderem eine Schwachstelle mit dem Maximalwert 10, die eine Remote Code Execution ermöglicht. Eine weitere Lücke mit einem CVSS-Wert von 9.1 erlaubt OS-Befehlsausführung über die Schnittstelle zwischen Host und Guest-OS. Zudem fanden sich zahlreiche klassische Buffer Overflows, Cross-Site-Scripting-Lücken und mangelnde Eingabekontrollen.
Die Bedrohung ist nicht theoretisch. Bereits 2024 wurde ein Botnetz aufgedeckt, das aktiv DrayTek-Router missbrauchte. Laut FBI war es in der Lage, Daten zu exfiltrieren, Systeme lahmzulegen und weitere Schadsoftware nachzuladen. Die Router sind besonders anfällig, da sie häufig in Unternehmensnetzwerken genutzt werden. Laut Forescout sind 75 Prozent der untersuchten Geräte kommerziell im Einsatz.
„Wir beobachten, dass Angreifer ihre Infrastruktur gezielt auf diese Geräteklasse ausrichten“, erklärt dos Santos. Er kritisiert, dass Hersteller auf einzelne Lücken mit Patches reagieren, jedoch kaum systematische Analysen durchführen. Dadurch bleiben verwandte Schwachstellen oft jahrelang unentdeckt.
Globale Übersicht: Die gefährlichsten vernetzten Geräte 2025
Der aktuelle Report über die risikoreichsten Geräte 2025 führt die Bedrohungslage weiter aus. Im Vergleich zum Vorjahr hat sich das Risiko in fast allen Industrien verschärft. Netzwerkgeräte wie Router, Firewalls und ADCs (Application Delivery Controller) haben Endgeräte überholt und stehen nun an der Spitze der gefährdeten IT-Komponenten. Das liegt vor allem an der steigenden Zahl veröffentlichter Exploits, der oft mangelhaften Wartung sowie der exponierten Position dieser Geräte im Netzwerk.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Spanien, China und Großbritannien führen die Liste der Länder mit den höchsten durchschnittlichen Risikowerten an. In der öffentlichen Verwaltung stieg der Anteil veralteter Windows-Versionen innerhalb eines Jahres von 1.2 auf 2.7 Prozent. Zugleich nahm die Verwendung von Telnet zu, während die Nutzung von verschlüsseltem SSH zurückging. In Regierungseinrichtungen wird Telnet inzwischen zehnmal so häufig verwendet wie im Vorjahr.
Auch im Gesundheitswesen bleibt die Lage kritisch. Dort dominiert weiterhin Windows 10, das ab Oktober 2025 nicht mehr unterstützt wird. Besonders risikoreich sind hier medizinische Bildgebungssysteme, Infusionspumpen und Geräte mit direkter Netzwerkanbindung, wie PACS oder LIS-Schnittstellen. Laut Forescout werden diese Systeme zunehmend von Ransomware-Gruppen ins Visier genommen.
Staatliche Hacktivisten als neue Waffe in geopolitischen Konflikten
Ein beunruhigender Trend betrifft die Zunahme staatlich unterstützter Hacktivisten. In seinem Bericht beschreibt Rik Ferguson, Vice President Security Intelligence bei Forescout, wie sich Protestbewegungen zu geopolitischen Stellvertretern entwickeln. Diese Gruppen agieren scheinbar unabhängig, profitieren aber von technischer Infrastruktur, finanzieller Unterstützung und Schutz durch staatliche Stellen.
„Hacktivismus hat sich zu einem strategischen Werkzeug für Staaten entwickelt, um Einfluss auszuüben, ohne offiziell Verantwortung zu übernehmen“, sagt Ferguson. Dabei kommen gezielt hybride Taktiken zum Einsatz. Kritische Infrastrukturen wie Stromversorgung, Wasserwerke oder Flughäfen geraten in das Visier von Gruppen, die mit bekannten staatlichen Akteuren wie Sandworm oder APT28 in Verbindung stehen.
Besonders betroffen sind Regionen mit geopolitischen Spannungen. Angriffe auf Energieanlagen in Osteuropa, gezielte Desinformationskampagnen im Nahen Osten oder Störungen von Medienhäusern in Südostasien gehören inzwischen zum Standardrepertoire. Ferguson warnt: „Die Trennlinie zwischen Cybercrime, Hacktivismus und staatlicher Operation ist praktisch verschwunden.“
Die Ergebnisse der Vedere-Labs-Forschung zeigen eine beunruhigende Realität. Ob Solarstrom, Router oder medizinische Systeme, kritische Infrastrukturen stehen im Fokus internationaler Angreifer. Verstärkt wird diese Lage durch politische Unsicherheiten, mangelhafte Updatestrategien und eine weltweite Verlagerung digitaler Angriffsflächen.
Christina Höfer, Vice President of OT/ IoT Verticals & Strategy bei Forescout, betont die Notwendigkeit strategischer Maßnahmen: „Die Konvergenz von IT und OT erfordert ein neues Sicherheitsverständnis. Wer kritische Infrastruktur betreibt, muss in Sichtbarkeit, Segmentierung und Monitoring investieren.“
Allein technische Schutzmaßnahmen reichen nicht mehr aus. Es braucht eine stärkere regulatorische Kontrolle, internationale Standards für Firmware-Updateprozesse und den Austausch aktueller Bedrohungsinformationen. Daniel dos Santos bringt es auf den Punkt: „Ohne globale Zusammenarbeit werden wir den Bedrohungen von morgen mit den Sicherheitskonzepten von gestern begegnen.“
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3f0eef0140714a3397057a1ac1bb4/0129321130v2.jpeg "Die Werkstatt Bremen betreut als Dienstleister die Computertechnik der Beweisstückstelle der Polizei. Glücklicherweise hat der Ransomware-Angriff keine Auswirkungen auf die reguläre Arbeit der Polizei. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/04/31/0431f2415871892c7d742b53db21478f/0121391750v1.jpeg "In der Sonderausgabe „CYBERRISIKEN 2025“ aus der Redaktion von Security-Insider erfahren Sie, vor welchen Herausforderungen Security-Experten in Zukunft stehen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d5/3f/d53f17760df6ed8e39942a7ef638fee9/0124720088v2.jpeg "In Wechselrichtern, die Solaranlagen an das Stromnetz anschließen, wollen zwei anonyme Hinweisgeber undokumentierte Kommunikationsmodule entdeckt haben. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fc/d9/fcd9f147736055a81e7aec6bf63b9c47/0120888479v3.jpeg "Das FBI und andere Behörden haben ein auch China gesteuertes Botnetz mit über 260.000 Geräten entdeckt. In Europa sind etwa 25 Prozent der kompromittierten Geräte zu finden, darunter mehr als 18.900 in Deutschland. (Bild: Aidas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/b1/f0b1efab41affc08e3430fe302b835dc/0120390355v2.jpeg "Fünf verschiedene OT/IoT-Router sind durch den Sicherheitstest gefallen. Über 40 Millionen Geräte in Deutschlands kritischer Infrastruktur sind betroffen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/17/eb/17eb5b92fa90f2b54751558e17fa622f/0118943101v1.jpeg "Gefährdete Unternehmensnetzwerke 2024: Diese vernetzten Geräte stellen die größten Risiken dar, laut dem neuesten Report von Forescout Vedere Labs. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/83/f8/83f880978b14819e8d4a91fe76169f43/0122520536v2.jpeg "Mithilfe von Distributed-Denial-of-Service-Angriffen stören Cyberkriminelle weltweit Wahlen. (Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/98/1298c219f7003ab25f4b9dfc69b899ff/0126172662v2.jpeg "Das Gesundheitswesen entwickelt sich zur meistangegriffenen Branche, mit durchschnittlich zwei Sicherheitsvorfällen pro Tag in den USA und ähnlichen Trends in Europa. (Bild: © Artyom - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/4c/b74c0a8e1cc7def4fc8188cc5ab5001e/0126383379v2.jpeg "Cyberkriminelle nehmen die Fertigungsindustrie verstärkt ins Visier. Ransomware, Datendiebstahl und OT-Angriffe bedrohen Produktion und Versorgungssicherheit. (Bild: © panuwat - stock.adobe.com)")