Thought Leadership
Zum Ende des Jahres 2025 stand die Energieversorgung in Polen offenbar kurz vor einer schweren Störung. Ein koordinierter Cyberangriff zielte darauf ab, zentrale IT-Systeme des Stromnetzes zu sabotieren und großflächige Ausfälle zu verursachen.
Digitale Sabotage statt Datendiebstahl
Der Angriff wurde rechtzeitig erkannt und gestoppt, größere Schäden blieben aus. Nach Erkenntnissen von Sicherheitsexperten des europäischen IT-Sicherheitsunternehmens ESET setzten die Angreifer auf besonders destruktive Schadsoftware. Eingesetzt werden sollte ein sogenannter Wiper – ein Programm, das nicht auf Spionage, sondern auf das Löschen von Daten ausgelegt ist. Ziel war es, die Kommunikation zwischen Stromerzeugern und Netzbetreibern zu unterbrechen und damit die Stabilität des Netzes zu gefährden.
Technische Spuren führen zu bekannter Gruppe
Die forensische Untersuchung der eingesetzten Werkzeuge und Angriffsmuster ergab deutliche Parallelen zu früheren Operationen einer bekannten Bedrohungsakteursgruppe. Code-Strukturen, Vorgehensweise und Zielauswahl legen nahe, dass die russische Hackergruppe Sandworm für den Angriff verantwortlich ist. Vergleichbare Merkmale waren bereits bei früheren Attacken auf kritische Infrastrukturen beobachtet worden.
Ein Akteur mit Fokus auf kritische Infrastrukturen
Sandworm, auch unter den Namen Voodoo Bear oder Iron Viking bekannt, wird seit Jahren mit staatlich unterstützten Cyberoperationen in Verbindung gebracht. Die Gruppe richtet ihre Angriffe bevorzugt gegen Energieversorgung, öffentliche Einrichtungen und industrielle Steuerungssysteme. Im Unterschied zu vielen anderen Akteuren geht es dabei weniger um finanzielle Gewinne als um gezielte Störung und politische Signalwirkung.
Erinnerungen an frühere Blackouts
Der vereitelte Angriff fällt zeitlich fast genau zehn Jahre nach einem der bekanntesten Cyberangriffe auf eine Energieinfrastruktur. Im Dezember 2015 kam es in der Westukraine zu einem großflächigen Stromausfall, von dem mehrere hunderttausend Menschen betroffen waren. Auch damals wurden die Angriffe Sandworm zugeschrieben. Der aktuelle Vorfall in Polen zeigt, dass die Bedrohung durch gezielte Cyberoperationen gegen kritische Versorgungssysteme weiterhin besteht.
Der gescheiterte Angriff verdeutlicht, wie anfällig moderne Energieversorgungssysteme für digitale Sabotage sein können – insbesondere in geopolitisch angespannten Zeiten. Gleichzeitig zeigt er, wie wichtig kontinuierliche Überwachung, schnelle Reaktionsfähigkeit und internationale Zusammenarbeit bei der Abwehr solcher Angriffe sind. Für Betreiber kritischer Infrastrukturen bleibt Cybersicherheit damit eine zentrale Voraussetzung für die physische Versorgungssicherheit.
