DynoWiper: Wenn der Hacker das Licht ausknipsen will

Die Sicherheitsforscher von ESET, die den Angriff analysierten, ordnen die Malware mit relativ hoher Sicherheit der Gruppe Sandworm zu. Diese Einheit, die dem russischen Militärgeheimdienst GRU zugerechnet wird, gilt seit Jahren als das digitale Brecheisen für geopolitische Interessen. Der Name DynoWiper ist dabei Programm. Als sogenannter „Wiper“ ist die Schadsoftware darauf programmiert, Daten nicht einfach nur zu stehlen, sondern sie unwiederbringlich zu löschen. In einer vernetzten Welt, in der die Steuerung von Stromnetzen auf Millisekunden-Präzision und intakten Datenbanken basiert, wirkt ein solcher Angriff wie ein digitaler Flächenbrand. Wenn die Betriebssysteme der Kontrollstationen erst einmal gelöscht sind, bleibt oft nur der mühsame und langwierige Weg der manuellen Wiederherstellung, während draußen buchstäblich die Lichter ausgehen.

Der Zeitpunkt des Angriffs auf Polen ist dabei alles andere als zufällig gewählt. Polen fungiert nicht nur als logistisches Rückgrat für die Unterstützung der Ukraine, sondern ist auch ein zentraler Pfeiler der NATO-Ostflanke. Ein erfolgreicher Schlag gegen das polnische Stromnetz hätte eine psychologische und physische Schockwirkung weit über die Landesgrenzen hinaus erzielt. Dass der Angriff im Januar 2026 bekannt wurde, zeigt zudem eine neue Eskalationsstufe: Es ist das erste Mal, dass ein derart massiver Versuch beobachtet wurde, Wiper-Malware gegen die Energie-Infrastruktur eines EU- und NATO-Mitgliedsstaates einzusetzen. Sandworm scheint die Samthandschuhe endgültig ausgezogen zu haben und testet nun die Belastbarkeit der europäischen Verteidigungslinien im Cyberspace.

Technisch gesehen zeigt DynoWiper eine beeindruckende Anpassungsfähigkeit. Die Malware nutzt raffinierte Mechanismen, um Sicherheitssoftware zu umgehen, bevor sie ihre zerstörerische Wirkung entfaltet. Es ist ein Katz-und-Maus-Spiel auf höchstem technischem Niveau. Während Ransomware oft lautstark mit Erpresserbriefen auf sich aufmerksam macht, arbeitet ein Wiper wie DynoWiper idealerweise still im Hintergrund, bis der Befehl zur Selbstzerstörung erfolgt. Das Ziel ist der totale Stillstand. In Polen konnte der Angriff glücklicherweise frühzeitig erkannt und eingedämmt werden, bevor es zu einem flächendeckenden Stromausfall kam. Dies unterstreicht, wie entscheidend die proaktive Bedrohungssuche – das sogenannte Threat Hunting – in der heutigen Zeit geworden ist. Wer nur auf Alarme wartet, hat gegen Gruppen wie Sandworm meist schon verloren, bevor das erste Byte gelöscht wird.

Die Entdeckung von DynoWiper sollte ein Weckruf für die gesamte europäische Wirtschaft sein. Sie erinnert daran, dass Cybersicherheit im Jahr 2026 keine reine IT-Aufgabe mehr ist, sondern eine Frage der nationalen und kontinentalen Sicherheit. Wir bewegen uns weg von Kleinkriminalität hin zu staatlich gelenkter Sabotage. Die Tatsache, dass Sandworm nach einem Jahrzehnt immer noch dieselben Ziele verfolgt, aber mit immer schärferen Werkzeugen arbeitet, sollte zu denken geben. Es reicht nicht mehr aus, nur die Brandmauer hochzuziehen. Wir müssen verstehen, wie die Angreifer denken, ihre Taktiken studieren und vor allem die Resilienz unserer Systeme so weit stärken, dass selbst ein erfolgreicher Teileinbruch nicht das gesamte Kartenhaus zum Einsturz bringt.