Zentralisierte Energieversorgungssysteme in Europa bleiben anfällig

In der Ukraine, genauer gesagt in Kiew, arbeiten Mitarbeiter daran, die von russischen Luftangriffen beschädigten Bereiche des Darniytsia-Wärmekraftwerks zu reparieren. Dies geschieht am 4. Februar 2026, und diese Winterzeit ist besonders herausfordernd für die Ukraine, die bereits vier Winter lang systematischen Angriffen auf ihre Energieinfrastruktur standgehalten hat.

Nach Angaben der Vereinten Nationen gab es im Januar 2026 nahezu tägliche Angriffe auf die Energieinfrastruktur in 17 Regionen des Landes. In Kiew führten wiederholte Angriffe auf zwei kombinierte Wärmekraftwerke zu einem Ausfall der zentralen Heizversorgung für nahezu 6.000 Wohnhäuser. Alle 15 Wärmekraftwerke der Ukraine haben bereits Schäden erlitten oder wurden vollständig zerstört.

Trotz dieser enormen Herausforderungen hat die Ukraine es geschafft, sich anzupassen und eine Lösung zu entwickeln, die in Europa bislang fehlt. Angesichts der Tatsache, dass zentralisierte Wärmekraftwerke zu hochwertigen Zielen wurden, haben ukrainische Betreiber auf kommunale Kraft-Wärme-Kopplungsanlagen umgeschaltet – kompakte Systeme, die unabhängig vom Gesamtnetz sowohl Strom als auch Wärme erzeugen.

Bis November 2025 war der Sektor der zentralisierten Wärmeversorgung in der Ukraine auf 182 solcher Anlagen angewachsen, ergänzt durch 239 blockmodulare Kessel, die autonome "Energieinseln" für Krankenhäuser, Wasserwerke und Wohnhäuser bilden. Während die europäischen Beschaffungszyklen die Implementierung in Jahren messen, installieren ukrainische Betreiber Module innerhalb weniger Tage.

Sie improvisieren unter Feuer: Indem sie Ersatzteile vorab lagern, Notfallkommunikationsprotokolle einrichten und bürokratische Hierarchien durch Entscheidungsfindung auf kommunaler Ebene abbauen. Die Internationale Energieagentur (IEA) bezeichnet diese Reaktionsmöglichkeiten als einige der tragfähigsten Elemente der energetischen Verteidigung der Ukraine. Doch an wen und wie schnell können diese Kenntnisse weitergegeben werden?

In Mittel- und Osteuropa (MOE) ist die zentralisierte Wärmeversorgung die Hauptmethode zur Beheizung von Städten. Länder wie Polen, die Slowakei, Tschechien, Ungarn und die baltischen Staaten sind alle auf zentralisierte Systeme angewiesen, die in der Zeit der Sowjetunion aufgebaut wurden. Diese architektonische Logik hat die Infrastruktur der Ukraine zu einem hochqualitativen Ziel gemacht – nicht nur für Raketen und Drohnen, sondern auch für Cyberangriffe.

Moderne Wärmekraftwerke arbeiten mit industrieller Software, die Temperatur, Druck und Fluss aus der Ferne reguliert. Diese digitale Schicht ist bereits anfällig für Angriffe. Im Januar 2024 zielte ein zuvor unbekanntes Schadprogramm namens FrostyGoop auf die Heizsysteme in Lwiw ab und übernahm Modbus, ein Kommunikationsprotokoll, das häufig zur Steuerung industrieller Anlagen verwendet wird. Dies führte zu einem Ausfall der Heizversorgung in über 600 Wohnhäusern für zwei Tage.

Forscher entdeckten später Heizungssteuerungen, die über dasselbe Protokoll im Internet zugänglich waren, in Litauen und Rumänien. Drei Tage vor Beginn dieses Jahres zielte ein koordinierter Cyberangriff auf ein großes polnisches Kombikraftwerk ab, das fast eine halbe Million Verbraucher bedient. Die Angreifer, die mit einer Gruppe in Verbindung standen, die Verbindungen zum FSB hat, waren seit März 2025 im Netzwerk aktiv und kartierten die Systeme sowie stahlen Zugangsdaten.

Schadhafter Wiper-Code wurde eingesetzt, um die Systeme unwiderruflich unbrauchbar zu machen. Ein Endpoint-Detection-Programm im Kraftwerk entdeckte es rechtzeitig. Die meisten kommunalen Heizungsbetreiber auf dem gesamten Kontinent verfügen nicht über solche Möglichkeiten. Die Ukraine weiß, wie diese Angriffe aussehen, wie sie eskalieren und wie man die Wärmeversorgung trotz dieser Angriffe aufrechterhält. Doch dieses Wissen gelangt nicht schnell genug zu den europäischen Anbietern, die es benötigen.

Es gibt mehrere strukturelle Probleme. Der Heizungssektor in Europa ist fragmentiert: staatliche Anbieter in großen Städten, große private Akteure wie Veolia und Engie, kommunale Betreiber – die größte Gruppe in MOE – sowie kleine lokale Betreiber, die während der Privatisierung in den 1990er Jahren Kraftwerke erworben haben. Die kommunalen Betreiber sind das schwächste Glied. Sie unterstehen den Stadtverwaltungen und nicht den nationalen Regierungen. Sie haben kein Mandat für den internationalen Wissensaustausch, kein Budget dafür und keinen institutionellen Partner, mit dem sie in Kiew Kontakt aufnehmen können.

Sie investieren hauptsächlich nur dann, wenn EU-Subventionsprogramme für Infrastruktur verfügbar sind, die oft jahrzehntelang bestehen. Wenn man 50 Jahre alte Rohre und Produktionstechnologien betreibt, hat Cybersicherheit nicht die höchste Priorität. Es ist nicht einmal die zweite Priorität. Es sind kleine Unternehmen in ländlichen Städten, die keine zusätzlichen Ressourcen haben und oft von Managern geleitet werden, die mit täglichen operativen Problemen beschäftigt sind.

Einige von ihnen sind sich der Bedrohung bewusst, aber kaum einer hat einen Mechanismus, um darauf zu reagieren. Die institutionelle Infrastruktur für den Wissensaustausch existiert technisch. Das Sekretariat der Energiegemeinschaft verbindet die Ukraine mit ihren europäischen Nachbarn und hat Memoranden zur Koordination der zentralisierten Wärmeversorgung unterzeichnet. Die EU-Bereitschaftsstrategie definiert 30 Maßnahmen zur Krisenresistenz. Aber diese Verbindungen bestehen zwischen Regierungen (und nicht zwischen Ingenieuren und Disponenten), die tatsächlich die Systeme betreiben.

Die EU-Bereitschaftspolitik wird von oben nach unten umgesetzt, was die lokale Verwundbarkeit der Wärmeversorgung nicht effektiv angeht. Niemand hat in seiner Stellenbeschreibung die Aufgabe, einen ukrainischen KWK-Betreiber mit einem Heizungsunternehmen in Polen oder der Slowakei zu verbinden. Währenddessen werden Vorschläge für eine gemeinsame europäische Cyberverteidigung geprüft, und mehrere EU-Mitgliedstaaten entwickeln offensive cybertechnische Abschreckungsmaßnahmen. Aber das Tempo entspricht nicht der Bedrohung. Und erneut arbeiten diese Initiativen auf strategischer Ebene – nicht auf der Ebene der kommunalen Wärmeversorgung, wo die Verwundbarkeit am größten ist.

Jetzt stellt sich die Frage, was getan werden muss. Zurück in der Ukraine improvisiert Kiew nicht mehr.

Am 3. März hielt Präsident Wolodymyr Selenskyj eine Sitzung des Nationalen Sicherheits- und Verteidigungsrates ab, bei der regionale Pläne für die energetische Resilienz für jede ukrainische Region genehmigt wurden, die auf vier Säulen basieren: Resilienz, Innovation, Technologie und internationale Zusammenarbeit.