Polnische Behörden und unabhängige Forscher haben einen groß angelegten Cyberangriff auf das polnische Stromnetz Ende Dezember 2025 auf mit Russland verbundene staatliche Hacker zurückgeführt. Der Angriff richtete sich gegen Systeme, die die Energieerzeugung und -verteilung verwalten, und beinhaltete Schadsoftware, die Daten aus industriellen Steuerungssystemen löschen und den Betrieb stören sollte. Der Vorfall verursachte keine weitreichenden Ausfälle, aber Beamte beschrieben ihn als eine der bedeutendsten Cyberoperationen, die je gegen die kritische polnische Infrastruktur gerichtet waren.
Die polnische Regierung berichtete, dass die Systeme am 29. und 30. Dezember digitalen Eindringlingsversuchen unterzogen wurden, die die Informations- und Betriebsnetze von Kraftkraftwerken sowie die Managementsysteme für erneuerbare Energieanlagen ins Visier nahmen. Diese Systeme koordinieren die Stromerzeugung von Windkraftanlagen, Solarparks und anderen dezentralen Energiequellen. Die polnischen Behörden erklärten, die Angriffe seien abgewehrt worden, bevor ein Stromausfall stattfand.
Sicherheitsanalysten eines Cybersicherheitsunternehmens ESET identifizierten die bei dem Vorfall verwendete Malware als eine neue Variante der Wiper-Software namens DynoWiper. ESET führte den Angriff einer langjährigen russischen fortschrittlichen Persistent-Bedrohungsgruppe zu, die weithin als Sandworm bekannt ist und die westliche Regierungen mit der russischen Hauptnachrichtendienstdirektion (GRU) in Verbindung bringen. Die Gruppe wurde mit früheren disruptiven Cyber-Kampagnen in Verbindung gebracht, darunter ein Angriff auf das ukrainische Stromnetz im Jahr 2015.
Der polnische Minister für digitale Angelegenheiten sagte, der Vorfall sei der erste bekannte groß angelegte Angriff auf dezentrale Energiequellen und bezeichnete die Angriffe sowohl großer als auch kleinerer erneuerbarer Anlagen als eine Eskalation der Cyberbedrohungen für den Energiesektor. Beamte sagten, der Angriff habe gezeigt, wie digitale Systeme, die Stromerzeugungsanlagen mit Netzsteuerungsinfrastruktur verbinden, ausgenutzt werden können.
Premierminister Donald Tusk und Energiebeamte erklärten, die Operation solle offenbar darauf abzielen, die Kommunikation zwischen Erzeugungsanlagen und Netzbetreibern zu stören. Das Ausmaß und die Komplexität des Angriffs führten zu Warnungen der nationalen Behörden, dass kritische Infrastruktur weiterhin anfällig für zukünftige Eindringlinge staatlich verbundener Akteure ist. Trotz des Ausbleibens von Ausfällen löste die Episode Pläne aus, die Cybersicherheitsanforderungen für Energiesysteme zu stärken und öffentliche sowie private Betreiber mit fortschrittlichen Werkzeugen zur Bedrohungserkennung und -reaktion auszustatten.
Unabhängige Berichte zeigten, dass Forscher, die die Malware und Eindringlingstechniken analysierten, starke Ähnlichkeiten mit früheren Sandworm-Kampagnen feststellten, einschließlich Codeüberschneidungen und Taktiken, die mit GRU-verbundenen Akteuren übereinstimmen. Westliche Regierungen haben in der Vergangenheit offiziell zerstörerische Cyberangriffe auf europäische Infrastrukturen Einheiten des russischen Militärgeheimdienstes zugeschrieben und Sanktionen im Zusammenhang mit solchen Operationen verhängt.
Polens Energieminister bezeichnete das Ereignis Ende Dezember als den stärksten Cyberangriff auf das nationale Energiesystem seit Jahren und bestätigte, dass Verteidigungsmaßnahmen einen Stromausfall für Verbraucher während einer kalten Phase verhinderten. Die Bewertung der Regierung betonte die Bedeutung von Wachsamkeit und verbessertem Schutz kritischer Infrastrukturnetzwerke.