DynoWiper: Wenn der Hacker das Licht ausknipsen will
10 Jahre nach dem ersten durch die Hackergruppe verursachten Blackout meldet sich Sandworm zurück, diesmal mit Datenlöschung statt Lösegeld zum Ziel. Der Angriff auf Polens Stromnetz zeigt: Der Schutz kritischer Infrastruktur muss oberstes Ziel sein.

28. Januar 2026, 12:05 Uhr · Quelle: Pressebox

Die Malware DynoWiper, von Sandworm eingesetzt, zielte auf Polens Stromnetz ab und zeigt die Gefahr digitaler Sabotage für Infrastrukturen.

Neustadt an der Weinstraße, 28.01.2026 (PresseBox) - Fast auf den Tag genau zehn Jahre nachdem die berüchtigte Hackergruppe Sandworm mit einem Angriff auf das ukrainische Stromnetz, und damit dem ersten durch Malware verursachten Blackout weltweit, Geschichte schrieb, geriet Ende 2025 und Anfang 2026 der polnische Energiesektor ins Fadenkreuz. Diesmal trägt die Bedrohung den Namen DynoWiper. Es ist kein klassischer Erpressungsversuch, wie man ihn von Ransomware-Banden kennt, die lediglich Lösegeld einstreichen wollen. Hier geht es um etwas viel Fundamentaleres und Gefährlicheres: die gezielte Sabotage kritischer Infrastruktur. Wer DynoWiper einsetzt, will keine Verhandlungen führen, sondern Spuren verwischen und Systeme unbrauchbar machen.

Die Sicherheitsforscher von ESET, die den Angriff analysierten, ordnen die Malware mit relativ hoher Sicherheit der Gruppe Sandworm zu. Diese Einheit, die dem russischen Militärgeheimdienst GRU zugerechnet wird, gilt seit Jahren als das digitale Brecheisen für geopolitische Interessen. Der Name DynoWiper ist dabei Programm. Als sogenannter „Wiper“ ist die Schadsoftware darauf programmiert, Daten nicht einfach nur zu stehlen, sondern sie unwiederbringlich zu löschen. In einer vernetzten Welt, in der die Steuerung von Stromnetzen auf Millisekunden-Präzision und intakten Datenbanken basiert, wirkt ein solcher Angriff wie ein digitaler Flächenbrand. Wenn die Betriebssysteme der Kontrollstationen erst einmal gelöscht sind, bleibt oft nur der mühsame und langwierige Weg der manuellen Wiederherstellung, während draußen buchstäblich die Lichter ausgehen.

Der Zeitpunkt des Angriffs auf Polen ist dabei alles andere als zufällig gewählt. Polen fungiert nicht nur als logistisches Rückgrat für die Unterstützung der Ukraine, sondern ist auch ein zentraler Pfeiler der NATO-Ostflanke. Ein erfolgreicher Schlag gegen das polnische Stromnetz hätte eine psychologische und physische Schockwirkung weit über die Landesgrenzen hinaus erzielt. Dass der Angriff im Januar 2026 bekannt wurde, zeigt zudem eine neue Eskalationsstufe: Es ist das erste Mal, dass ein derart massiver Versuch beobachtet wurde, Wiper-Malware gegen die Energie-Infrastruktur eines EU- und NATO-Mitgliedsstaates einzusetzen. Sandworm scheint die Samthandschuhe endgültig ausgezogen zu haben und testet nun die Belastbarkeit der europäischen Verteidigungslinien im Cyberspace.

Technisch gesehen zeigt DynoWiper eine beeindruckende Anpassungsfähigkeit. Die Malware nutzt raffinierte Mechanismen, um Sicherheitssoftware zu umgehen, bevor sie ihre zerstörerische Wirkung entfaltet. Es ist ein Katz-und-Maus-Spiel auf höchstem technischem Niveau. Während Ransomware oft lautstark mit Erpresserbriefen auf sich aufmerksam macht, arbeitet ein Wiper wie DynoWiper idealerweise still im Hintergrund, bis der Befehl zur Selbstzerstörung erfolgt. Das Ziel ist der totale Stillstand. In Polen konnte der Angriff glücklicherweise frühzeitig erkannt und eingedämmt werden, bevor es zu einem flächendeckenden Stromausfall kam. Dies unterstreicht, wie entscheidend die proaktive Bedrohungssuche – das sogenannte Threat Hunting – in der heutigen Zeit geworden ist. Wer nur auf Alarme wartet, hat gegen Gruppen wie Sandworm meist schon verloren, bevor das erste Byte gelöscht wird.

Die Entdeckung von DynoWiper sollte ein Weckruf für die gesamte europäische Wirtschaft sein. Sie erinnert daran, dass Cybersicherheit im Jahr 2026 keine reine IT-Aufgabe mehr ist, sondern eine Frage der nationalen und kontinentalen Sicherheit. Wir bewegen uns weg von Kleinkriminalität hin zu staatlich gelenkter Sabotage. Die Tatsache, dass Sandworm nach einem Jahrzehnt immer noch dieselben Ziele verfolgt, aber mit immer schärferen Werkzeugen arbeitet, sollte zu denken geben. Es reicht nicht mehr aus, nur die Brandmauer hochzuziehen. Wir müssen verstehen, wie die Angreifer denken, ihre Taktiken studieren und vor allem die Resilienz unserer Systeme so weit stärken, dass selbst ein erfolgreicher Teileinbruch nicht das gesamte Kartenhaus zum Einsturz bringt.

Internet / Cyberangriff / Sandworm / DynoWiper / Energiesektor / Cybersicherheit / Polen
[pressebox.de] · 28.01.2026 · 12:05 Uhr
[0 Kommentare]