Die letzten Tage des Jahres 2025 haben sich für die kritische Infrastruktur Rumäniens als alles andere als friedlich erwiesen. Während die meisten in Feiertagsstimmung waren und Zeit mit ihren Familien verbringen wollten, kämpften Sicherheitsteams darum, einen großen Sicherheitsvorfall im Energiekomplex Oltenia einzudämmen, dem größten kohlebasierten Energieerzeuger des Landes.

Dies war mit Sicherheit kein Einzelfall, der Vorstellungskraft könnte nicht ferner liegen. Es war der zweite schwere Schlag gegen rumänische Versorgungsnetze innerhalb nur weniger Wochen. Zusammen betrachtet, deutet dies auf eine ausgeklügelte, anhaltende und gezielte Kampagne gegen die wesentlichen Dienste Rumäniens zu einer kritischen Zeit hin.

Der Hintergrund

Der Energiekomplex Oltenia ist ein Netzwerk von Kohleminen und Kraftwerken, betrieben von Complexul Energetic Oltenia S.A. (CEO), über die Landkreise Gorj, Vâlce und Mehedinţi in Rumänien verteilt. Diese Landkreise sind Teil der historischen Region Oltenia, die Erbe und landschaftliche Schönheit vereint, um Besuchern ein einzigartiges Erlebnis zu bieten.  

Der Energiekomplex Oltenia wurde 2012 durch die Integration von Societatea Naţionala a Lignitului Oltenia mit den Energiekomplexen Turceni, Rovinari und Craiova gegründet. Laut einem Euracoal-Bericht, der Anfang 2024 veröffentlicht wurde, konzentrieren sich die Braunkohlereserven auf ein relativ kleines Gebiet von 250 Quadratkilometern. Hier wird die Braunkohle in zehn Tagebauen abgebaut und ist ein kritischer Bestandteil des Komplexes.

Der Angriff auf den CEO: Der „Gentlemen“-Zugriff

Am 26. Dezember 2025, etwa um 01:40 Uhr Ortszeit, startete eine Ransomware-Gruppe, die sich selbst „Gentlemen“ nennt, einen koordinierten Angriff auf die Geschäftsinfrastruktur der CEO-IT. Der Zeitpunkt war kein Zufall. Es war vielmehr ein koordinierter taktischer Schlag, der während der Weihnachtszeit durchgeführt wurde, wenn die Personalbesetzung gering ist und die Reaktionszeiten oft nicht optimal sind.

Die Auswirkungen waren nahezu sofort:

• Systemausfälle: ERP (Enterprise Resource Planning), Dokumentenmanagement, E-Mail-Dienste und die offizielle Website wurden verschlüsselt und offline genommen.

• Beeinträchtigte Operationen: Während das Nationale Energiesystem (SEN) stabil blieb, war das administrative und logistische Rückgrat eines Unternehmens, das 30 Prozent der rumänischen Elektrizität liefert, im Wesentlichen gelähmt.

• Das Bedrohungsakteur: Die Gruppe „Gentlemen“, die erstmals im August 2025 auftauchte, ist dafür bekannt, internetfreigelegte Dienste und kompromittierte Anmeldedaten auszunutzen. Anders als „Smash-and-Grab“-Akteure führen sie oft eine mehrstufige Aufklärung durch, um sicherzustellen, dass sie die ERP-Ebene treffen, die im Wesentlichen das „Gehirn“ der Unternehmensoperationen darstellt.

• Solche Scans werden von dem Bedrohungsakteur opportunistisch durchgeführt, um Fenster zu nutzen, die durch Nachwartungsaktivitäten, die Aktivierung neuer Dienstleistungen oder operative Übungen geboten werden.

Die Zusammenhänge: Der Vorläufer „Rumänische Wasser“

Um die Schwere (und den Kontext) des CEO-Angriffs zu verstehen, müssen wir nur sechs Tage zurückblicken, auf den 20. Dezember 2025. Die nationale Wasserwirtschaftsbehörde, Administrația Națională „Apele Române“, erlitt ein massives Ransomware-Ereignis, bei dem fast 1.000 IT-Systeme in 10 von 11 regionalen Büros kompromittiert wurden. Wir haben diesen Angriff ausführlich hier behandelt.

Die Untersuchung

Während der CEO-Angriff eine spezialisierte und möglicherweise neue Variante der „Gentlemen“-Ransomware nutzte, war der Angriff auf die Wasserbehörde mehr „life off the land“, indem Windows BitLocker verwendet wurde, um Mitarbeiter auszusperren. Die beiden Angriffe sind so unterschiedlich wie Kreide und Käse, aber trotz der unterschiedlichen Werkzeuge und Methoden ist die strategische Verbindung ziemlich unbestreitbar:

• Systematische Ziele: Beide Angriffe richteten sich gegen die administrativen IT-Ebenen von Einheiten, die die nationalen Energie- und Wassersysteme untermauern.

• Die „Feiertagslücke“: Beide fanden Ende Dezember statt und nutzten den verringerten Wachsamkeitsgrad aus, der mit jeder Urlaubssaison einhergeht.

• Wasser-Energie-Wechselbeziehungen: „Apele Române“ verwaltet die Dämme und Wasserflüsse, die CEO und andere Energieversorger zum Kühlen und für Wasserkraft nutzen. Indem zuerst das Wassermanagement angegriffen wurde, kartierte der Bedrohungsakteur effektiv die Abhängigkeiten des rumänischen Netzes, bevor er sich selbst an den Energie-Riesen wandte. Darauf müssen alle Betreiber kritischer Infrastrukturen achten.

• Beide Angriffe richteten sich gegen Rumänien

Der Bedrohungsakteur

Die Gruppe hinter dem Angriff „The Gentlemen“ ist ein relativ neuer Akteur, der sich in den letzten Jahren erheblich weiterentwickelt hat. Anders als traditionelle Bedrohungsakteure, die oft auf Hit-and-Run-Taktiken vertrauen, ist diese Gruppe dafür bekannt, monatelange Aufklärungsoperationen durchzuführen. Die drei häufigsten Taktiken, die von „The Gentlemen“ in den frühen Stadien eingesetzt werden, umfassen:

·       Dokumentieren aller zugänglichen Infrastrukturbestandteile aus dem Internet (wie offene Ports)

·       Sammeln von Daten aus Sicherheitsvorfällen, um ein Schwachstellenprofil (einschließlich potenziell gefährdeter Dienste) des potentiellen Opfers zu erstellen

·       Identifizieren eines Fensters zum Starten des Angriffs und/oder zur Bereitstellung der Ransomware

·       Datenexfiltration und Zustellung der Erpressernotiz

Nachfolgend finden Sie den Zeitplan des Angriffs, wie von unseren Forschern ermittelt.

Im November 2025 könnte die Gruppe begonnen haben, exponierte Dienste (mithilfe eines fortschrittlichen IP-Scanners) im Zusammenhang mit den COO-Operationen zu sondieren. Sobald die Dienste erkannt wurden, beschaffte und benutzte die Gruppe zuvor durchgesickerte Anmeldedaten aus anderen Sicherheitsverletzungen, um sie anzugreifen. Beispielsweise konnte unser Team während der ersten Phase unserer Untersuchung zwei solcher Anmeldedaten finden. Ein Set gehörte einem Mitarbeiter aus dem Operationsteam (die Anmeldedaten wurden 2021 während des Nitro PDF-Verstoßes kompromittiert). Ein weiteres Anmeldedatenset, das mit einer generischen Unternehmens-E-Mail-ID verbunden war, wurde in einem Leak im Zusammenhang mit dem „Orbis“-Produkt von Bureau van Dijk (BvD) entdeckt.

Sobald der Angreifer Zugriff erlangte und die Dienste kontrollierte, kartierte er verschiedene Segmente der Infrastruktur und der verbundenen Netzwerke sowie Muster der Systemnutzung. Parallel dazu schaltete der Angreifer mehrere Antiviren-Software aus, indem er mehrere Windows-Treiber missbrauchte, um geschützte Prozesse zu beenden. Wir glauben, dass diese Übung um den Feiertag des Heiligen Andreas begonnen haben muss und gegen Ende der zweiten Dezemberwoche 2025 abgeschlossen wurde. Von da an war es nur noch ein Geduldsspiel, als die Gentleman auf die magere Saison warteten, um schließlich die Ransomware zu aktivieren.     

Cybersecurity-Lektionen für 2026: Die Realität kritischer Infrastrukturen

Auf dem Weg ins Jahr 2026 wurde die altehrwürdige Sicherheitsmentalität, die auf der physischen Trennung von operativer Technologie (OT) basierte, überholt. Diese Angriffe beweisen, dass Sie nicht auf eine Turbine zugreifen müssen, um ein Kraftwerk zu stoppen; Sie müssen lediglich das ERP-System verschlüsseln, das seine Lieferkette und sein Personal verwaltet.

Kritische Lektionen für Betreiber:

• Das ERP ist im Wesentlichen die neue Peripherie: Moderne OT ist für die Logistik von IT abhängig. Wenn Ihre IT ausfällt, wird Ihre OT irgendwann nicht mehr versorgt.

• Unveränderliche Backups sind unverzichtbar: Der CEO konnte auf einer neuen Infrastruktur mit dem Wiederaufbau beginnen, weil sie brauchbare Backups hatten. Ohne diese wären sie den Verhandlungsführern der „Gentlemen“ ausgeliefert gewesen. Das Versäumnis, während der Weihnachtszeit kritische Dienste aufrechtzuerhalten, hätte ein erhebliches öffentliches Echo für jeden Betreiber kritischer Infrastrukturen riskieren können.

• Anmeldeinformationen-Hygiene: Beide Angriffe begannen wahrscheinlich mit einem einzigen Satz gestohlener Anmeldeinformationen. Multi-Faktor-Authentifizierung (MFA) muss nicht nur für E-Mails, sondern für jeden internen Dienst erzwungen werden.

• Sensibilisierung der Mitarbeiter: Sie müssen über die Raffinesse der Bedrohungsakteure wie der „Gentlemen“ Bescheid wissen.

Das NIS2-Gebot und die OT-Bedrohungslandschaft

Die Implementierung der NIS2-Richtlinie ist kein „zukünftiges Erfordernis“ mehr – es ist die Grundlage für den Fortbestand im Jahr 2026. Diese Vorfälle unterstreichen zwei wesentliche Säulen der Richtlinie:

Obligatorische Sicherheits- und Risikobewertungen für OT

Historisch gesehen wurden OT-Systeme (die Hardware, die tatsächlich Wasser bewegt und Energie erzeugt) in Risikobewertungen ignoriert, weil sie „getrennt“ waren. Wie beim Angriff auf die Wasserbehörde zu sehen ist, schafft sogar dann, wenn OT funktionsfähig bleibt, der Ausfall von IT-basierter Kommunikation (Radio-/Telefon-Fallbacks) eine gefährliche operative Unklarheit. 2026 erfordert kontinuierliches OT-Monitoring, um seitliche Bewegungen von IT-Netzwerken zu erkennen, bevor die „Kill-Chain“ physische Vermögenswerte erreicht.

Lieferkette und sektorale Resilienz

NIS2 verlangt, dass Entitäten über ihre eigenen Grenzen hinausblicken. Die Verbindung zwischen „Apele Române“ und CEO zeigt, dass eine Schwachstelle in der Wasserbewirtschaftung eine Schwachstelle in der Energieproduktion ist. Betreiber müssen gemeinsame Bedrohungsbewertungen mit ihren vorgelagerten und nachgelagerten Partnern durchführen.

Die 2026 OT Incident Response Checkliste

Für Betreiber kritischer Infrastrukturen ist die Fehlermarge praktisch verschwunden. Sie können diese grundlegende Checkliste zur Reaktion auf Vorfälle verwenden, um Ihre Bereitschaft für die Bedrohungslandschaft 2026 zu prüfen:

Vorbereitung und Sichtbarkeit

• [ ] Passives Asset-Erkennung: Haben Sie ein getestetes Echtzeit-, automatisiertes Inventar aller SPS, HMI und Gateways in Ihrem OT-Netzwerk? (Aktives Scannen kann ältere OT-Geräte abstürzen lassen; nutzen Sie passive Überwachung mit Shieldworkz).

• [ ] Das „Logic“-Backup: Haben Sie Offline-, unveränderliche Backups nicht nur Ihrer Daten, sondern auch Ihrer PLC-Logik und Konfigurationen?

• [ ] Netzwerkeinschließungen: Sind Ihre IT- und OT-Netzwerke durch eine „DMZ“ mit strikter Protokollfilterung (z.B. nur Modbus- oder OPC-UA-Verkehr zulassen) getrennt?

• [ ] Hat jemand im Dark Web und auf anderen Seiten und Foren nachgesehen, ob Unternehmens- oder Mitarbeiterdaten kompromittiert wurden? Falls ja, haben wir Maßnahmen ergriffen, um die betroffenen Daten oder Systeme zusätzlich zu sichern?

Erkennung und Meldung (NIS2-Konformität)

• [ ] Der 24-Stunden-Trigger: Gibt es einen klaren Arbeitsablauf, um das nationale CSIRT innerhalb von 24 Stunden nach einem „Frühwarnereignis“ zu benachrichtigen?

• [ ] Verhaltensgrundlagen: Können Ihre Systeme einen seitwärts bewegenden Bedrohungsakteur im Stil von „Gentlemen“ erkennen, oder bemerken Sie es erst, wenn die Verschlüsselung beginnt?

• [ ] Lieferantenaudit: Haben Sie die Remote-Zugriffswerkzeuge Ihrer Drittwartungsanbieter auditiert?

Reaktion und manuelle Resilienz

• [ ] Tischübung „Black Start“-Übungen: Haben Sie eine Simulation durchgeführt, bei der das IT-Netzwerk zu 100 % ausfällt? Können Ihre Ingenieure die physische Anlage manuell betreiben?

• [ ] Out-of-Band-Kommunikation: Haben Sie einen Satelliten- oder verschlüsselten Mobilkommunikationsplan, der nicht auf dem Unternehmens-E-Mail-/VOIP-Server basiert?

• [ ] Beweissicherung: Beinhaltet Ihr IR-Plan einen Schritt „Forensik zuerst“, um flüchtigen Speicher zu erfassen, bevor infizierte OT-Arbeitsstationen neu gestartet werden?

Eine detailliertere IR-Vorlage finden Sie hier.

Die „Gentlemen“ mögen behaupten, raffiniert zu sein, aber sie sind auch opportunistisch, taktisch versiert und geduldig. Sie nutzen mehrere Sicherheitslücken aus, die bei Betreibern kritischer Infrastrukturen überall bestehen. Die Winterkrise Rumäniens im Jahr 2025 ist ein lautstarker Weckruf für den Rest Europas: die Einhaltung von NIS2 ist der Boden (oder Grundlinie), nicht die Obergrenze.

Schließlich neue Regel. Die Bedrohungsakteure haben dieses Jahr sicherlich keinen Urlaub. Daher ist es an der Zeit, auch Ihre Wache zu verstärken.

Erfahren Sie mehr über Shieldworkz‘ Incident-Response-Dienste

Sprechen Sie mit einem Urlaubssicherheitsexperten (ja, wir haben einen spezialisierten Sicherheitsexperten, der mehr über die Feinabstimmung Ihrer Sicherheitsmaßnahmen in schlanken Zeiten weiß).

Testen Sie unsere OT-Sicherheitsplattform hier.