Am 20. Dezember 2025, als Rumänien sich auf die Winterferien vorbereitete, wurde eine stille digitale Belagerung gegen eine der lebenswichtigsten Säulen der Nation gestartet: Administrația Națională "Apele Române" oder Rumänische Gewässer.

Während Bürger zunächst nur eine offline Website und fehlende E-Mails bemerkten, war die Realität ein hochbrisantes Ransomware-Ereignis, das über 1.000 IT-Systeme im ganzen Land lahmlegte. Hier ist eine investigative Analyse der "BitLocker Panne". Dies ist ein Angriff, der eine erschreckende Entwicklung aufzeigt, wie Hacker eingebaute Sicherheitswerkzeuge gegen den Staat wenden.

Dieser Angriff sollte auch im Licht ähnlicher Angriffe auf kritische Infrastrukturen in Frankreich gesehen werden. Das Muster ist dasselbe: Eine öffentlich zugängliche kritische Infrastruktureinheit ins Visier nehmen und für einen längeren Zeitraum offline schalten, um die Wiederherstellung zu verzögern und sicherzustellen, dass die Medien den Vorfall aufgreifen. Die Website von Rumänische Gewässer ist zum Zeitpunkt der Abfassung dieses Blogposts noch nicht zugänglich.

Bevor wir weitermachen, vergessen Sie nicht, unseren vorherigen Blog über "Warum pro-russische Hacker Frankreichs La Poste ins Visier nahmen" hier zu lesen.   

Der Vorfall: Ein Wochenende ohne Betrieb

Rumänische Gewässer (Administrația Națională Apele Române), ist die oberste Wasserbehörde des Landes. Laut der Website von Rumänische Gewässer verwaltet die Nationale Verwaltung "Rumänische Gewässer" die Gewässer im öffentlichen Eigentum des Staates und die Infrastruktur des Nationalen Wasserwirtschaftssystems, bestehend aus Reservoirs, Hochwasserschutzdeichen, Kanälen, Beckenüberleitungen, Wasserentnahmen und anderen spezifischen Arbeiten sowie der dazugehörigen Managementinfrastruktur.

Der Vorfall begann am Samstag, dem 20. Dezember. Bis die Nationale Direktion für Cybersicherheit (DNSC) benachrichtigt wurde, war der Schaden weit verbreitet. Der Angriff traf nicht nur das zentrale Hauptquartier in Bukarest; er zog sich durch 10 der 11 regionalen Wasserbeckenverwaltungen Rumäniens, einschließlich wichtiger Zentren in Oradea, Cluj, Iași, Siret und Buzău.

Der Überblick über die Auswirkungen:

• Komprimierte Systeme: Ungefähr 1.000 IT-Assets.

• Betroffene Infrastruktur: GIS (Geographisches Informationssystem) Server, Datenbanken, Web- und E-Mail-Server sowie Domain-Name-Server (DNS).

• Das Ultimatum: Eine Erpressernotiz, die eine Kontaktaufnahme innerhalb einer Woche verlangt

Die gewählte Waffe: "Living off the Land"

Die bemerkenswerteste Entdeckung, die von Ermittlern des DNSC und des National Cyberint Centers (CNC) gemacht wurde, war das Fehlen konventioneller Ransomware. Stattdessen verwendeten die Angreifer Microsoft BitLocker, um Dateien auf den kompromittierten Systemen zu sperren.

BitLocker ist, wie viele von Ihnen wissen, eine legitime Windows-Funktion, die entwickelt wurde, um Daten durch Verschlüsselung zu schützen. Indem sie administrative Privilegien erlangten, "verschlossen die Angreifer im Wesentlichen die Vordertür und warfen den Schlüssel weg", indem sie die eigene Sicherheitssoftware der Behörde nutzten, um deren Daten als Geiseln zu halten. Diese spezielle Herangehensweise erinnert an die Zeile, die Jeff Goldblums Charakter im Alien-Invasionsklassiker Independence Day äußerte. „Sie nutzen unsere Systeme gegen uns.“ Das sagt David Levinson, ein MIT-ausgebildeter Satelliteningenieur und Technologieexperte, als er feststellt, dass die Aliens ein Signal in unsere eigenen Satelliten verschlüsselt haben, um ihre Schiffe und Angriffswerkzeiten zu koordinieren.

Levinson dekodiert in der Tat schnell die Verschlüsselung und verwendet eine einfache Berechnung, um die verbleibende Zeit für die Aliens bis zum koordinierten Angriff auf zentrale kritische Infrastrukturen auf der Erde zu ermitteln. Diese Entschlüsselung half dem Satelliteningenieur möglicherweise später im Film, eine maßgeschneiderte Malware zu entwickeln. Er verwendet diese Malware, um das Mutterschiff der Aliens und andere am Angriff auf die Erde beteiligte Raumschiffe zu infiltrieren und auszuschalten. Das war für die Menschheit ein knapper Sieg, wie per Roland Emmerich und den Machern des ersten Teils von Independence Day dargestellt.    

Entschuldigen Sie die Abschweifung. Kommen wir nun direkt zurück zum Vorfall.  

Diese "living-off-the-land" (LotL) Taktik ist bekanntermaßen schwer für traditionelle Antivirus-Software zu erkennen, da das verwendete Werkzeug von Natur aus vom Betriebssystem als vertrauenswürdig eingestuft wird und die erweiterten Dienste innerhalb legitimer Dienste getarnt werden können, um die anomalen Aktivitäten verborgen zu halten.

Resilienz: Warum die Wasserhähne weiter liefen

In den meisten Angriffen auf kritische Infrastruktur ist das Albtraumszenario der Verlust von Operationstechnologie (OT). Dazu gehören die Systeme, die physisch Dämme, Schleusentore und den Wasserdruck steuern.

Die gute Nachricht: Rumänische Gewässer hatte möglicherweise erfolgreich ihre IT- (administrativen) und OT- (operativen) Netzwerke segmentiert und damit letztere geschützt. Während das "digitale Gehirn" durcheinander war, blieben die "physischen Hände" funktionstüchtig und stabil.

• Manuelle Übersteuerung: Dispatcher kehrten sofort zu Telefon- und Funkkommunikation zurück.

• Lokale Kontrolle: Personal an hydrotechnischen Standorten verwaltete Strukturen manuell und stellte sicher, dass Hochwasserschutz und Wasserversorgung während der Krise funktionierten.

Ein mögliches fehlendes Schutzschild

Vielleicht die bedeutendste Erkenntnis aus der Untersuchung ist, dass Rumänische Gewässer zuvor in keiner Weise in das nationale Cyber-Schutzsystem für kritische Infrastrukturen integriert war.

Das National Cyberint Center (Teil des SRI) verwaltet einen ausgeklügelten Verteidigungsschirm sowohl für öffentliche als auch private Entitäten von nationaler Bedeutung. Dieser Vorfall hat eine Lücke aufgedeckt: Einer der wichtigsten Versorgungsmanager des Landes saß im Grunde genommen außerhalb der Festung.

Im Lichte des Vorfalls hat das DNSC die notwendigen Schritte eingeleitet, um diese Infrastruktur in die Systeme zu integrieren, die vom CNC entwickelt wurden, um den Cyberschutz für sowohl öffentliche als auch private IT&C-Infrastrukturen mit kritischer Bedeutung für die nationale Sicherheit zu gewährleisten, durch den Einsatz intelligenter Technologien. Dies geht aus einer aktualisierten Mitteilung des DNSC hervor.

Der aktuelle Stand:

• Keine Verhandlung: Nach der Politik des DNSC haben die Behörden sich geweigert, in irgendeiner Weise Kontakt mit den Hackern aufzunehmen.

• Integration: Verfahren werden nun beschleunigt, um die Wasserinfrastruktur unter den nationalen Cyberschutzschirm zu ziehen.

• Zuordnung: Während sich keine Gruppe zu dem Angriff bekannt hat, ähneln das Timing und die Methodik der jüngsten Aktivität von pro-russischen Hacktivistengruppen (wie Z-Pentest oder NoName057), die europäische Versorgungsunternehmen in den Jahren 2024 und 2025 zum Ziel hatten.

Laut DNSC ist die Lage derzeit unter Kontrolle, und die wesentlichen Aktivitäten von ANAR gehen weiter, ohne dass dies die Überwachung der Wasserressourcen oder den Betrieb der hydrotechnischen Infrastruktur beeinträchtigt.

Die Hauptmaßnahmen, die umgesetzt werden, sind folgende:

·  Die Wiederherstellung der Benutzerkonten wurde abgeschlossen. Dies ermöglicht die Wiederaufnahme des sicheren Zugriffs der Mitarbeiter auf die für die laufenden Tätigkeiten notwendigen IT-Systeme.

· Der E-Mail-Dienst wird neu gestartet und stabilisiert sich. Technische Teams arbeiten daran, den Betrieb für alle Benutzer so schnell wie möglich vollständig wiederherzustellen.

· Um die Kontinuität kritischer Überwachungs- und Koordinationsaktivitäten sicherzustellen, wurde die Dispatching-Anwendung, die für die Überwachung hydrologischer Situationen wesentlich ist, verlegt und in einer sicheren IT-Umgebung in Betrieb genommen.  

· Gleichzeitig laufen technische Arbeiten zur Wiederherstellung der Finanzanwendung. Die Verfügbarkeit für Bürger wird in den kommenden Tagen öffentlich mitgeteilt.

· Es wird auch daran gearbeitet, die Website www.rowater.ro zu restaurieren und zu sichern, damit sie wieder vollständig funktionsfähig wird. Die Seite ist immer noch nicht erreichbar.

Das Urteil: Ein Weckruf für 2026

Der Vorfall bei Rumänische Gewässer kann in der Tat als Meisterklasse in moderner asymmetrischer Kriegsführung betrachtet werden. Die Angreifer brauchten keinen benutzerdefinierten Code; sie benötigten nur einen einzigen Fuß in der Tür, um das Verschlüsselungssystem der Systeme selbst zu bewaffnen.

Für die Cybersicherheitsgemeinschaft ist dies eine Erinnerung daran, dass „Zero Trust“ nicht nur ein Schlagwort ist – es ist eine Notwendigkeit. Wenn Ihre eigenen Sicherheitswerkzeuge in einen Käfig verwandelt werden können, reicht der Perimeter nicht mehr aus.

Interessiert an einer maßgeschneiderten Beratung zu spezifischen Sicherheitsmaßnahmen zur Segmentierung Ihres OT-Netzwerks Sprechen Sie mit unserem Experten.

Testen Sie unsere NDR-Lösung für OT-Sicherheit, hier.

Für alles andere, lassen Sie es uns wissen hier.