Ransomware-Angriff legt Rumäniens größten Kohlekonzern lahm

Ein neuer, hochgefährlicher Ransomware-Stamm namens “The Gentlemen” hat den rumänischen Energieriesen CE Oltenia getroffen. Der Angriff auf den größten Kohle-Stromerzeuger des Landes markiert eine gefährliche Eskalation der Cyber-Bedrohung für Europas kritische Infrastruktur.

Kritische Infrastruktur im Visier

Der Angriff erfolgte in den frühen Morgenstunden des 26. Dezember 2025. Gegen 01:40 Uhr Ortszeit entdeckten Sicherheitsteams des Unternehmens die Ransomware in den internen Netzwerken. CE Oltenia reagierte umgehend und trennte die betroffenen Systeme vom Internet, um eine weitere Ausbreitung zu verhindern.

Die Folgen sind gravierend: Das gesamte IT-Geschäftsnetzwerk des Konzerns musste heruntergefahren werden. Die Stromproduktion in den zwölf Kraftwerksblöcken und fünfzehn Tagebauen läuft zwar weiter, doch administrative und kommerzielle Abläufe sind massiv beeinträchtigt. Die IT-Teams arbeiten nun daran, die Dienste aus Backups auf bereinigter Hardware wiederherzustellen – ein Prozess, der nach Einschätzung von Experten Tage oder sogar Wochen dauern kann.

Der Angriff auf CE Oltenia zeigt, wie verwundbar Energieversorger und Betreiber kritischer Infrastrukturen sind. Ein kostenloses E‑Book erklärt praxisnah, welche Maßnahmen jetzt Priorität haben — von der Absicherung von Active Directory über durchgängige Multi‑Faktor‑Authentifizierung bis zu unveränderlichen Offline‑Backups. Konkrete Checklisten helfen IT‑Verantwortlichen und Geschäftsführern, die Resilienz schnell zu erhöhen. Jetzt den kostenlosen Cyber‑Security‑Leitfaden für Unternehmen herunterladen

Der Vorfall reiht sich in eine besorgniserregende Serie von Attacken auf europäische Versorger ein. Erst wenige Tage zuvor meldete die rumänische Wasserbehörde eine ähnliche Störung bei fast 1.000 Systemen.

“The Gentlemen”: Eine neue, gefährliche Bedrohung

Bei “The Gentlemen” handelt es sich um einen relativ neuen, aber technisch hoch entwickelten Ransomware-as-a-Service-Anbieter, der seit Mitte 2025 aktiv ist. Der Name spielt auf die vermeintlich “gentlemanlike” Art der Erpresserschreiben an – doch die Methoden sind alles andere als höflich.

Technische Analysen von Sicherheitsfirmen zeigen: Die Gruppe setzt auf ausgeklügelte Tarnmethoden. Die Malware nutzt eine eigene Dateiendung (.7mtzhh) und deaktiviert Sicherheitssoftware durch das Ausnutzen legitimer Systemtreiber – eine Technik namens “Bring Your Own Vulnerable Driver” (BYOVD).

Ihr Geschäftsmodell ist die “Double Extortion”: Sie verschlüsseln nicht nur Daten, sondern stehlen auch sensible Unternehmensinformationen. Drohungen mit der Veröffentlichung auf Dark-Web-Leak-Seiten erhöhen den Druck auf die Opfer. Ob bei CE Oltenia Daten entwendet wurden, ist noch unklar.

Angreifer nutzen Feiertags-Schwäche aus

Der Zeitpunkt des Angriffs war wohl kein Zufall. Kurz nach Weihnachten sind viele IT-Abteilungen personell schwächer besetzt – eine Strategie, die Ransomware-Gruppen gezielt ausnutzen. Parallel zum Angriff in Rumänien meldete die Qilin-Gruppe einen erfolgreichen Angriff auf einen großen thailändischen Energiekonzern.

Der Vorfall unterstreicht die Verletzlichkeit der digitalen Backbones europäischer Energienetze. Je mehr Anbieter ihre Systeme modernisieren und vernetzen, desto größer wird die Angriffsfläche für Cyberkriminelle. Die EU hatte mit ihrer “Preparedness Union Strategy” 2025 zwar eine Initiative zur Stärkung der Resilienz gestartet, doch die Umsetzung in den Mitgliedsstaaten kommt nur langsam voran.

Technische Raffinesse und Schutzmaßnahmen

Was macht “The Gentlemen” so gefährlich? Die Malware ist für eine junge Gruppe erstaunlich ausgereift und kann Windows-, Linux- und ESXi-Virtualisierungsumgebungen angreifen. Die Täter gelangen oft über kompromittierte Benutzerkonten oder ungepatchte Sicherheitslücken in internetfähigen Diensten ins System.

Einmal im Netzwerk, bewegen sie sich lateral fort und eskalieren ihre Berechtigungen bis auf Domain-Administrator-Ebene. Der Einsatz des ThrottleStop.sys-Treibers zur Umgehung von Sicherheitsmonitoren gilt als kritisches Indiz für einen Kompromittierungsversuch.

Sicherheitsexperten raten Energieunternehmen dringend zu:
* Überprüfung der Active-Directory-Sicherheit
* Durchgängiger Nutzung von Multi-Faktor-Authentifizierung (MFA)
* Sicherstellung, dass Offline-Backups unveränderlich (immutable) sind

Was bedeutet das für die Zukunft?

Der Angriff auf CE Oltenia ist ein Weckruf für den gesamten europäischen Energiesektor. Marktbeobachter befürchten, dass der Erfolg von Gruppen wie “The Gentlemen” Nachahmer anlocken wird. Die Folge könnten höhere Versicherungsprämien und strengere Compliance-Auflagen für Versorger sein.

Die volle operative und finanzielle Tragweite für CE Oltenia wird sich in den kommenden Tagen zeigen. Zwar scheint die Stabilität des rumänischen Stromnetzes derzeit nicht gefährdet, doch die digitalen Schutzmauern wurden durchbrochen. Die Botschaft an alle Betreiber kritischer Infrastrukturen in Europa ist klar: Die Bedrohung ist real – und sie wächst.

PS: Wollen Sie verhindern, dass ein einzelner Cyber‑Vorfall Ihre Geschäftsprozesse lahmlegt? Der kostenlose Report liefert sofort anwendbare Schritte — von Anti‑Phishing‑Maßnahmen über Zugriffssteuerung bis zur Notfallwiederherstellung — speziell für Versorger und Betreiber kritischer Infrastruktur. Praktische Vorlagen und Priorisierungslisten helfen beim schnellen Handeln. Gratis‑Report zur Stärkung Ihrer IT‑Sicherheit anfordern