Wladimir Putin nutzt aus, dass Donald Trumps Amerika die EU im Regen stehen lässt. Die Hackerangriffe auf polnische Energieanlagen zeigen: Russland geht immer unverfrorener gegen Ziele in Europa vor. Die Einheit „Berserk Bear" hat nun Olympia im Visier.
In den letzten Jahren hat sich Polen an Provokationen im Zusammenhang mit Russland gewöhnt: Sabotageakte an Eisenbahnstrecken, Brandstiftungen und Drohnenangriffe.
Die jüngsten Schüsse in diesem sogenannten hybriden Krieg fielen am 29. Dezember, als Cyberangriffe auf 30 Energieanlagen fast zu einem großen Stromausfall führten, gerade als die Temperaturen stark sanken. Sie markierten eine ernsthafte Eskalation der russischen digitalen Subversion in Europa über die Ukraine hinaus.
Die Angriffe im Dezember richteten sich laut Dragos, einem Cybersicherheitsunternehmen, gegen Kraft-Wärme-Kopplungsanlagen sowie gegen Systeme, die die Verteilung von Energie aus Wind- und Solaranlagen steuern. Polen bezieht 29 Prozent seiner Energie aus erneuerbaren Quellen.
Die Angreifer erlangten die Kontrolle über die Betriebstechnologie – die Schnittstelle zwischen einem Computernetzwerk und einem physischen System – und beschädigten einige Geräte irreparabel. Der Angriff wurde gestoppt, bevor er einen Stromausfall verursachen konnte, von dem fast eine halbe Million Menschen betroffen gewesen wären.
Der Vorfall ist aus zwei Gründen bemerkenswert. Zum einen markiert er eine Intensivierung der Cyberkampagne Russlands in Europa. Russische Hacker dringen seit Langem in europäische Computernetzwerke ein, um Geheimnisse zu stehlen und die Infrastruktur auf Schwachstellen zu untersuchen.
In der Ukraine sind sie noch viel weiter gegangen und haben 2015 und 2016 gewagte Angriffe auf das Stromnetz durchgeführt. Außerhalb der Ukraine sind sie jedoch vorsichtiger vorgegangen.
Das ändert sich nun. Im Jahr 2023 sendeten mit Russland verbundene Hacker Befehle an Eisenbahnsignalanlagen im Nordwesten Polens und brachten 20 Züge zum Stillstand. Im folgenden Jahr wiederholten sie diese Aktion gegen tschechische Signalanlagen.
In beiden Fällen befanden sich die Ziele auf Routen, über die Hilfsgüter in die Ukraine transportiert werden. Seitdem hat Russland seine Kampagne jedoch auf zivile Ziele ausgeweitet, die keinen direkten Bezug zum Krieg haben.
Im Jahr 2024 legten Hacker eine kleine private Wassermühle in Frankreich lahm, möglicherweise weil sie diese mit einem viel größeren Staudamm verwechselt hatten. Und im vergangenen Jahr griffen sie einen Staudamm im Südwesten Norwegens an, wodurch vier Stunden lang unkontrolliert Wasser austrat.
Der Angriff in Polen markiert auch in zweiter Hinsicht eine Veränderung. Frühere Sabotageakte wurden wahrscheinlich von Sandworm durchgeführt. So nennen Cybersicherheits-Forscher eine Einheit des GRU, des russischen Militärgeheimdienstes. Oder von „Hacktivisten”-Gruppen, die als Frontorganisationen für den Geheimdienst dienen.
Der GRU hat seit Langem den Ruf eines lauten, aggressiven und ungeschickten Cyber-Akteurs, der Chaos vor Heimlichkeit priorisiert. Aus diesem Grund wurde zunächst angenommen, dass die Angriffe in Polen ein Werk der GRU waren.
Doch laut polnischen Beamten und Cybersicherheits-Spezialisten handelte es sich bei den Tätern wahrscheinlich um Hacker des FSB, des russischen Staatssicherheitsdienstes. Diese Einheit wird in der farbenfrohen Nomenklatur der Cyber-Sicherheitsfirmen manchmal als „Berserk Bear” bezeichnet.
Die Cyberoperationen des FSB, die hauptsächlich auf Spionage abzielen, waren in der Vergangenheit langsam, leise und vorsichtig. „Sie haben nie die tatsächliche Absicht gezeigt, Störungen zu verursachen – sie haben nur gewartet, bis sie den Befehl erhielten”, sagt John Hultquist, Chefanalyst bei der Threat Intelligence Group von Google. „Das ist das erste Mal in zwölf Jahren, dass sie so vorgegangen sind.”
Dies wirft Fragen über Russlands Einfluss auf andere europäische Infrastrukturen auf.
Die Hacker von Berserk Bear "verschwinden regelmäßig und wenn sie zurückkommen, sind sie in der Regel neu ausgerüstet", sagt Hultquist. "Wir konnten sie unmöglich an allen Orten finden, die sie ins Visier genommen hatten. Ich bin jetzt besorgt, dass wir es mit einem Akteur zu tun haben, der in der Vergangenheit weltweit in kritische Infrastrukturen eingedrungen ist – und der mit ziemlicher Sicherheit über Zugänge verfügt, von denen wir nichts wissen."
Er warnt davor, dass die Olympischen Winterspiele in Italien ein Ziel sein könnten: Russland wurde von der Veranstaltung ausgeschlossen und hat zuvor bereits die Spiele in Pyeongchang 2018 und die Spiele in Paris 2024 angegriffen. Am 5. Februar, als die Spiele begannen, gab Italien bekannt, dass es russische Angriffe auf Websites im Zusammenhang mit den Spielen blockiert habe.
Neben Cyber-Sabotage gibt es auch jede Menge physische Sabotage. Am 3. Februar verhaftete die deutsche Polizei zwei Männer aus Rumänien und Griechenland, die verdächtigt werden, im vergangenen Jahr in Hamburg Kriegsschiffe sabotiert zu haben. Sie durchstachen unter anderem Wasserleitungen und füllten Kies in einen Motor.
Deutschland hat noch nicht mit dem Finger auf Russland gezeigt. Aber die Lage dürfte sich verschärfen, sagt Chelsea Cederbaum, eine ehemalige CIA-Analystin, die bei Recorded Future, einem Geheimdienstunternehmen, arbeitet.
Sie sagt, dass der russische Präsident Wladimir Putin eine Gelegenheit sieht, den Druck zu erhöhen, während Amerika und Europa uneinig sind, insbesondere in Bezug auf Grönland. Und bevor 2028 in Amerika Präsidentschaftswahlen stattfinden, bei denen ein weniger russlandfreundlicher Präsident gewählt werden könnte.
"Ich habe beobachtet, wie Putins Risikotoleranz sprunghaft angestiegen ist", sagt sie.
"© 2026 The Economist Newspaper Limited. All rights reserved."
"From The Economist, translated by www.deepl.com, published under licence. The original article, in English, can be found on www.economist.com"
