WARSCHAU, 24. Januar 2026, 14:24 (MEZ)
- ESET bringt die Cyberangriffe auf Polens Stromnetz Ende Dezember mit der russlandgestützten Sandworm-Gruppe in Verbindung, obwohl es zu keinen Störungen kam
- Laut der polnischen Regierung wurden zwei Heizkraftwerke und Systeme zur Verwaltung erneuerbarer Energien getroffen
- Beamte sagen, dass nach dem versuchten Angriff strengere Cybersicherheitsregeln ausgearbeitet werden
Das Cybersicherheitsunternehmen ESET hat Hacker, die mit dem russischen Militärgeheimdienst in Verbindung stehen, als wahrscheinliche Quelle der Cyberangriffe auf Polens Stromnetz Ende Dezember identifiziert. Die Eindringlinge versuchten, eine Datenlösch-Malware namens DynoWiper einzusetzen, ihr Versuch scheint jedoch gescheitert zu sein. Die russische Botschaft in Washington hat auf Anfragen nach einer Stellungnahme nicht reagiert. 1
Die Entdeckung rückt einen Vorfall in den Fokus, den polnische Beamte nun als ernsthafte Bedrohung für die Energiesicherheit des Landes ansehen. Der Fokus hat sich von Datendiebstahl auf potenzielle Störungen verlagert. Diese Entwicklung kommt zu einem Zeitpunkt, an dem Warschau für strengere Cyberregeln für kritische Infrastrukturen eintritt.
TechCrunch bezeichnete DynoWiper als „Wiper“-Malware, die dazu entwickelt wurde, Daten zu löschen und Computer unbrauchbar zu machen. 2
Polens Premierminister sagte, die Angriffe am 29. und 30. Dezember hätten zwei Heizkraftwerke getroffen – diese Anlagen erzeugen sowohl Strom als auch Wärme – und hätten zudem ein System ins Visier genommen, das Strom aus erneuerbaren Quellen wie Windkraftanlagen und Solarfarmen verwaltet. Donald Tusk erklärte, dass „alles darauf hindeutet“, dass die Operation von Gruppen „direkt mit den russischen Diensten verbunden“ durchgeführt wurde. 3
Tusk sagte, Polens Verteidigung sei stabil geblieben und betonte, dass „zu keinem Zeitpunkt kritische Infrastruktur bedroht war.“ Er bestätigte, dass er Minister und Sonderdienste angewiesen habe, mit voller Kapazität zu arbeiten, und verwies auf bevorstehende Schritte, darunter einen Gesetzentwurf für ein nationales Cybersicherheitssystem.
ESET brachte den Angriff mit „mittlerer Sicherheit“ mit Sandworm in Verbindung und verwies auf die Analyse sowohl der Malware als auch der Methoden der Angreifer. Das Unternehmen stellte außerdem fest: „Uns ist keine erfolgreiche Störung infolge dieses Angriffs bekannt.“ DynoWiper ist ein Wiper – eine Art Malware, die Daten löscht oder überschreibt, um Maschinen unbrauchbar zu machen. 4
Energieminister Milosz Motyka sagte Reportern Anfang dieses Monats, dass Polens Cyberabwehreinheiten „den stärksten Angriff auf die Energieinfrastruktur seit Jahren“ entdeckt hätten. Der Angriff traf Kommunikationsverbindungen zwischen Anlagen für erneuerbare Energien und Stromverteilungsbetreibern. 5
Robert Lipovsky, leitender Threat-Intelligence-Forscher bei ESET, bezeichnete die Operation als „beispiellos“ für Polen und wies darauf hin, dass frühere Cyberangriffe nicht auf Störungen abzielten. „Einen störenden Cyberangriff auf den polnischen Energiesektor durchzuführen, ist eine große Sache“, sagte er der Journalistin Kim Zetter. 6
Sandworm, berüchtigt für seine zerstörerischen Operationen, wurde von westlichen Behörden und Experten mit Angriffen auf die ukrainische Energieinfrastruktur in Verbindung gebracht, darunter ein durch Malware verursachter Stromausfall vor einem Jahrzehnt. Das Ereignis Ende Dezember in Polen hat vor diesem Hintergrund Aufmerksamkeit erregt.
Polens neues Cybersicherheitsgesetz zielt auf strengere Regeln für Risikomanagement und Vorfallreaktion für IT-Netzwerke sowie für Betriebstechnologie ab – die industriellen Kontrollsysteme, die Kraftwerke und Netz-Infrastruktur steuern.
Cyber-Attribution liefert selten gerichtsfeste Beweise, und die Erkenntnisse von ESET stützen sich auf Ähnlichkeiten im Code und in den Taktiken, nicht auf ein formelles Eingeständnis. Die Untersuchung des beabsichtigten Schadens dauert an, und polnische Behörden haben nicht offengelegt, wie der Einbruch erfolgte – was die Möglichkeit eines weiteren Angriffs mit anderen Techniken offenlässt.
Der Vorfall im Dezember verursachte keinen Stromausfall – zumindest diesmal nicht. Dennoch zeigt er, wie schnell datenlöschende Malware von IT-Systemen direkt ins Stromnetz gelangen kann. Energiebetreiber bereiten sich nun auf den Angriff vor, den sie wirklich fürchten: den nächsten.
