Threat Intelligence

Sandworm

Sandworm steht für die destruktivsten Cyberangriffe der Geschichte – von Stromausfällen in der Ukraine bis NotPetya. Wer OT betreibt, sollte diese Gruppe kennen.

Kurz erklärt

Sandworm ist eine dem GRU zugeordnete Sabotage-Einheit, verantwortlich für die Stromnetz-Angriffe in der Ukraine (Industroyer), NotPetya – den teuersten Cyberangriff der Geschichte – und laufende Wiper-Kampagnen. Für Energieversorger, Industrie und KRITIS-Betreiber in Europa ist Sandworm der Maßstab, an dem sich OT-Sicherheit messen lassen muss.

Typ

APT – staatlich gesteuert (Russland, GRU), Sabotage-Fokus

Status

Aktiv – destruktive Kampagnen, v. a. im Umfeld des Ukraine-Kriegs (Stand: Juli 2026)

Motivation

Sabotage und Destabilisierung – militärisch motiviert

Typische Ziele

Energie, Wasser, Telekommunikation, Logistik – OT/ICS-Umgebungen in Europa

Taktiken

ICS-spezifische Malware (Industroyer), Wiper, Supply-Chain-Angriffe, Übernahme von Fernwirktechnik

Risiko-Einschätzung

Hoch für KRITIS und Industrie – Kollateralschäden möglich (NotPetya traf weltweit)

Was Unternehmen jetzt prüfen sollten

  • Strikte IT/OT-Segmentierung mit überwachten Übergängen
  • Sichtbarkeit in OT-Netzen: Wer spricht mit den Steuerungen – und war das schon immer so?
  • Wiederanlauf ohne IT: Notbetrieb und manuelle Rückfallebenen testen
  • KRITIS-Meldewege (BSIG §8b) und Systeme zur Angriffserkennung nachweisbar betreiben

Wie Argos unterstützt

OT/IoT-Security-Monitoring, KRITIS-konforme Angriffserkennung im Cyber Defense Center und Incident Response mit OT-Erfahrung – vor Ort in 4–8 Stunden in der DACH-Region.