Cyberangriff legt rumänische Wasserbehörde lahm

Ein massiver Ransomware-Angriff hat die IT-Infrastruktur der rumänischen Wasserbehörde ANAR lahmgelegt. Die Angreifer nutzten eine raffinierte Taktik, doch die Trinkwasserversorgung ist nicht in Gefahr.

Bucharest – In einem schwerwiegenden Angriff auf europäische Kritische Infrastruktur ist die rumänische Wasserbehörde (Administrația Națională Apele Române, ANAR) Opfer eines großangelegten Ransomware-Angriffs geworden. Dabei wurden etwa 1.000 Computersysteme im ganzen Land kompromittiert. Der Vorfall, der am Wochenende des 20. Dezember begann, legte Verwaltungs- und digitale Abläufe lahm. Die Behörden betonten jedoch, dass die Trinkwasserversorgung und kritische wasserbauliche Anlagen sicher seien.

Massive Störung in regionalen Verwaltungen

Der Cyberangriff, der erstmals am Samstag, den 20. Dezember, entdeckt wurde, gehört zu den umfangreichsten Angriffen auf die öffentliche Infrastruktur Rumäniens der letzten Jahre. Nach Angaben der Nationalen Cyber-Sicherheitsdirektion (DNSC) war nicht nur die Zentrale betroffen. Die Attacke griff rasch auf 10 der 11 regionalen Wasserbehörden des Landes über.

Die koordinierte Attacke legte eine breite Palette von IT-Systemen lahm und paralysierte damit das digitale Rückgrat der Behörde. Betroffen sind Geoinformationssysteme (GIS), kritische Datenbanken, E-Mail- und Webdienste sowie zahlreiche Windows-Arbeitsplätze. Besonders schwer traf es die Regionalbüros in Oradea, Cluj, Iași, Siret und Buzău.

Forensische Untersuchungen von DNSC und dem Cyberabwehrzentrum des rumänischen Geheimdienstes (SRI) offenbarten eine raffinierte Taktik der Angreifer. Statt eigener Schadsoftware manipulierten sie Windows BitLocker, eine legitime Verschlüsselungsfunktion des Betriebssystems, um die Dateien der Behörde zu sperren.

Viele Organisationen sind auf ausgeklügelte Ransomware-Angriffe nicht vorbereitet – gerade wenn Angreifer vertraute Systemwerkzeuge wie BitLocker einsetzen, reichen oft schon kleine Konfigurationsfehler oder fehlende Überwachungsmaßnahmen. Ein kostenloses E-Book erklärt praxisnah, welche Sofortmaßnahmen IT‑Verantwortliche und Entscheider jetzt umsetzen können, um Erkennung, Ausbreitung und Ausfallzeiten zu reduzieren. Gratis Cyber-Security-Report herunterladen

„Die Angreifer haben Windows BitLocker zur Verschlüsselung missbraucht – eine Methode, die die Erkennung erschwert“, kommentierte ein Cybersicherheitsexperte den Vorfall. Die DNSC rät dringend davon ab, Lösegeld zu zahlen. Verhandlungen würden nur das Geschäftsmodell der Cyberkriminellen stärken und keine Datenrückgabe garantieren.

Kritische Infrastruktur bleibt funktionsfähig

Trotz des schweren IT-Angriffs betonten die Behörden, dass die physische Kontrolle der Wasserinfrastruktur nicht gefährdet sei. Der Angriff blieb auf das administrative IT-Netzwerk beschränkt. Die operativen Technologie-Systeme (OT), die Dämme, Speicher und Hochwasserschutz steuern, wurden nicht kompromittiert.

Die ANAR bestätigte, dass der wasserbauliche Betrieb mit manuellen Notfallplänen aufrechterhalten wird. „Der Betrieb der Anlagen läuft nur über Leitstellen per Sprachkommunikation“, so die Behörde. Mitarbeiter koordinieren die Wasserverteilung und den Hochwasserschutz derzeit per Telefon und Funk. Die öffentliche Versorgung ist nicht unterbrochen.

Lücke im nationalen Schutzschild aufgedeckt

Der Vorfall deckte eine kritische Sicherheitslücke auf: Vor dem Angriff war die IT-Infrastruktur der Wasserbehörde nicht in das zentrale nationale Cyber-Schutzsystem des rumänischen Cyberabwehrzentrums (CNC) integriert.

Als Reaktion darauf beschleunigt die Regierung nun die Pläne, die Wasserbehörde unter den Schutzschirm des CNC zu stellen. Diese Integration soll fortgeschrittene Überwachung und den Austausch von Bedrohungsinformationen ermöglichen. Technikexperten von DNSC, SRI und privaten Partnern arbeiten vor Ort rund um die Uhr daran, die betroffenen Netzwerke zu isolieren und Daten aus Backups wiederherzustellen.

Teil eines besorgniserregenden globalen Trend

Der Angriff auf die rumänische Wasserbehörde ist Teil eines globalen Trends, bei dem Hacktivisten und kriminelle Banden zunehmend Wasserwerke ins Visier nehmen. Der Sektor gilt oft als „zielreich, aber ressourcenarm“ und ist damit erpressbar.

Der Vorfall reiht sich in eine Serie von Cyberangriffen in Rumänien ein. Erst im vergangenen Jahr wurde der Energiekonzern Electrica Opfer eines ähnlichen Angriffs. Anfang 2024 zwang eine massive Ransomware-Kampagne über 100 rumänische Krankenhäuser zur Abschaltung ihrer Systeme. Die Nutzung von BitLocker in diesem jüngsten Angriff deutet auf einen pragmatischen, tarnungsorientierten Gegner hin – anders als die breit gestreuten Angriffe automatisierter Ransomware-Bots.

„Der Wechsel zu nativen Werkzeugen wie BitLocker zeigt, dass Angreifer mehr Zeit in Netzwerken verbringen, um sie zu verstehen, bevor sie zuschlagen“, sagte ein Sicherheitsberater aus Bukarest. „Sie wenden die eigenen Sicherheitswerkzeuge des Opfers gegen es selbst.“

Wochenlanger Wiederherstellungsprozess erwartet

Die vollständige Wiederherstellung der Systeme der Wasserbehörde wird voraussichtlich Wochen dauern. Während die unmittelbare Gefahr für die Wassersicherheit gebannt ist, steht eine aufwändige Säuberung an: Hunderte Arbeitsplätze und Server müssen gelöscht und neu aufgesetzt werden.

Die DNSC wird in den kommenden Tagen weitere technische Indikatoren für Kompromittierungen veröffentlichen, um andere Behörden bei der Erkennung ähnlicher Aktivitäten zu unterstützen. Der Vorfall ist eine deutliche Warnung an alle Betreiber Kritischer Infrastruktur in der Region: Die Trennung von IT- und OT-Netzwerken ist eine lebenswichtige Verteidigungslinie. Doch die administrative Lähmung durch solche Angriffe kann immer noch erheblichen operativen und reputativen Schaden anrichten.

Während die siebentägige Frist der Erpresser näher rückt, bleiben die Behörden bei ihrer Weigerung, zu verhandeln. Der Fokus liegt auf Widerstandsfähigkeit und dem Härten der Systeme, um den Angriff auszuhalten.

PS: Wenn Behörden und Unternehmen ihre IT-Resilienz schnell stärken wollen, helfen klar priorisierte Schritte oft mehr als teure Komplettlösungen. Der kostenlose Leitfaden zeigt praxisorientierte Maßnahmen – von Netzwerksegmentierung über Backup-Strategien bis zu Awareness-Checks – die sich sofort umsetzen lassen, um Angriffe früh zu erkennen und Schäden zu begrenzen. Jetzt kostenlosen Cyber-Security-Leitfaden anfordern