Sandworm: Russische Hacker attackierten Polens Energieinfrastruktur

Ein neuer Datenlöscher namens „DynoWiper“ sollte im Dezember Polens Stromnetz lahmlegen. Die Attacke auf Kraftwerke und erneuerbare Energien wird der berüchtigten russischen Hackergruppe Sandworm zugeschrieben. Sie markiert eine gefährliche Eskalation der hybriden Kriegsführung gegen einen NATO-Staat.

Zwischen dem 29. und 30. Dezember 2025 zielte der Angriff auf mehrere Schlüsselkomponenten der polnischen Energieversorgung. Betroffen waren zwei Heizkraftwerke und ein System zur Steuerung erneuerbarer Energien. Die Schadsoftware „DynoWiper“ ist darauf ausgelegt, kritische Dateien unwiderruflich zu löschen und Computersysteme unbrauchbar zu machen – eine typische Vorgehensweise für Sabotageakte.

Das Cybersecurity-Unternehmen ESET hat den Angriff mit mittlerer Sicherheit der Gruppe Sandworm zugeordnet. Diese wird dem russischen Militärgeheimdienst GRU zugerechnet und ist unter Namen wie APT44 bekannt. Ihr Markenzeichen sind Attacken auf operative Technologie (OT), die physische Industrieanlagen steuert.

Staatlich geförderte Gruppen wie Sandworm entwickeln mit Tools wie „DynoWiper“ gezielt Fähigkeiten, um Energie- und Versorgungsnetze zu stören. Das kostenfreie E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen zusammen, nennt Prioritäten für IT‑ und OT‑Sicherheit und liefert sofort umsetzbare Checklisten — speziell für Betreiber von Infrastruktur, Energieversorger und IT‑Verantwortliche. Inklusive Praxisbeispielen und Maßnahmen, die Sie ohne große Budgeterhöhung umsetzen können. Jetzt kostenlosen Cybersecurity-Report herunterladen

Zehn Jahre nach dem ersten Blackout

Das Timing ist hochsymbolisch: Fast auf den Tag genau zehn Jahre nachdem Sandworm im Dezember 2015 den ersten malware-induzierten Blackout in der Ukraine verursachte, griff die Gruppe nun Polen an. Damals waren 230.000 Menschen ohne Strom.

Die Attacke auf den wichtigen Ukraine-Verbündeten und NATO-Partner Polen wird als klare Machtdemonstration und Einschüchterungsversuch gewertet. Sicherheitsforscher bezeichnen den Vorfall für Polen als „beispiellos“. Frühere Cyber-Vorfälle hatten keinen disruptiven Charakter.

Abgewehrter Blackout und europäische Alarmstufe

Polnische Behörden konnten die Attacke abwehren und Stromausfälle verhindern. Ein Blackout hätte bis zu einer halben Million Menschen treffen können. Ministerpräsident Donald Tusk betonte, das kritische Übertragungsnetz sei nie gefährdet gewesen, und verwies auf Urheber „direkt aus russischen Diensten“.

Energieminister Miłosz Motyka nannte es den „größten Angriff auf Energieinfrastruktur seit Jahren“. Besonders brisant: Ziel war die Kommunikation zwischen Solar- und Windparks und den Netzbetreibern – ein Angriffspunkt, der die Energiewende verwundbar macht.

Testfall für Europas Cyber-Resilienz

Der Vorfall ist ein Stresstest für den europäischen Schutz kritischer Infrastruktur. Die EU arbeitet bereits an schärferen Regeln. Geplante Nachbesserungen des Cybersecurity Act sollen die Sicherheit in IT-Lieferketten erhöhen und Zertifizierungsprozesse vereinheitlichen.

Doch die Bedrohung wächst. Staatliche Akteure und Cyberkriminelle nehmen Industrieanlagen immer häufiger ins Visier. Die Abhängigkeit von vernetzten digitalen Systemen in Energie, Wasser und Verkehr vergrößert das Schadenspotenzial exponentiell.

Sandworm bleibt eine globale Gefahr

Der gescheiterte Angriff zeigt: Die Gefahr durch Gruppen wie Sandworm ist persistent und entwickelt sich weiter. Die Einführung eines neuen „Wiper“-Tools belegt ihre anhaltende Innovationskraft. Experten erwarten weitere Attacken auf Energie, Logistik und Regierungen in Staaten, die russischen Interessen entgegenstehen.

Die Untersuchung des DynoWiper-Angriffs wird weltweit aufmerksam verfolgt. Sie ist eine düstere Erinnerung daran, dass der digitale Schlachtfeld längst mit dem geopolitischem Konflikt verschmolzen ist. Der Wettlauf zwischen Angreifern und Verteidigern um die kritische Infrastruktur hat eine neue Stufe erreicht.

PS: Wenn Angriffe auf OT‑Netze wie in Polen Realität werden, zählt vor allem schnelle Awareness und pragmatische Abwehr. Der kostenlose Leitfaden „Cyber Security Awareness Trends“ erklärt aktuelle Angriffsvektoren, relevante gesetzliche Änderungen (inkl. KI‑Regeln) und die vier wichtigsten Sofortmaßnahmen für kleine und mittlere Betreiber kritischer Infrastruktur. Ideal zum Teilen mit IT‑Leitung und Geschäftsführung — inklusive einer Checkliste zur Absicherung der Kommunikation von Solar‑ und Windparks. Kostenlosen Leitfaden jetzt anfordern