Ruhrpumpen-Angriff: Ransomware-Welle trifft deutsche Kommunen

Eine massive Cyber-Attacke über die Weihnachtsfeiertage hat den Pumpenhersteller Ruhrpumpen lahmgelegt und offenbart die Verwundbarkeit kommunaler Lieferketten. Die Akira-Gruppe droht mit der Veröffentlichung sensibler Daten – ein erster Stresstest für das neue IT-Sicherheitsgesetz.

Während Deutschland feierte, schlugen Cyberkriminelle zu: Eine koordinierte Ransomware-Welle traf über die Feiertage zahlreiche Unternehmen und Behörden. Im Fokus steht ein schwerer Angriff auf die Ruhrpumpen GmbH, einen Schlüsselzulieferer für kommunale Wasserwerke und die Energiewirtschaft. Die Attacke legt ein fundamentales Problem offen: Die Sicherheit kritischer Infrastrukturen endet nicht an der eigenen Firewall, sondern erstreckt sich über die gesamte Lieferkette.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte eine „dreistellige Anzahl“ betroffener Organisationen in Deutschland. Der Angriff auf Ruhrpumpen durch die berüchtigte Akira-Gruppe ist dabei besonders brisant. Die Erpresser behaupten, 142 Gigabyte an Daten erbeutet zu haben – inklusive Sozialversicherungsnummern von 600 Mitarbeitern, Finanzunterlagen und geheimen Verträgen.

Passend zum Thema Cyber-Angriffe auf Zulieferer: Erbeutete Mitarbeiterdaten werden häufig für präzise Phishing‑Kampagnen genutzt – gerade Stadtwerke und Kommunen sind jetzt gefährdet. Das kostenlose Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie CEO‑Fraud, gefälschte E‑Mails und Deep‑Fake‑Anrufe erkennen und intern abwehren. Enthalten sind Praxis‑Checklisten für Mitarbeiterschulungen und Vorlagen für IT‑Teams, die sich direkt umsetzen lassen. In 4 Schritten Phishing abwehren – Anti‑Phishing‑Paket sichern

Feiertags-Offensive gegen kritische Zulieferer

Warum schlagen die Angreifer gerade jetzt zu? Die Strategie ist perfide: Über die Feiertage sind IT-Abteilungen oft unterbesetzt, während gleichzeitig viele Systeme im „Autopilot“-Modus laufen. Experten warnen seit Monaten vor dieser Taktik. Bei Ruhrpumpen kam erschwerend hinzu, dass die Angreifer eine drei Jahre alte Sicherheitslücke in verbreiteten Firewalls ausnutzten – ein klassisches Versäumnis im Patch-Management.

Für Stadtwerke und kommunale Entsorger ist der Vorfall alarmierend. Spezialpumpen sind für die Wasser- und Abwasserinfrastruktur unverzichtbar. Ein Produktionsausfall bei Ruhrpumpen könnte Wartungsintervalle verzögern und die Versorgungssicherheit gefährden. Noch bedrohlicher: Über die digitalen Verbindungen zum Zulieferer könnten sich die Hacker Zugang zu den Netzwerken der Kommunen selbst verschaffen – eine sogenannte Supply-Chain-Attack.

NIS-2: Neues Sicherheitsgesetz im Härtetest

Die Angriffswelle trifft Deutschland in einer sensiblen Phase. Erst am 6. Dezember 2025 trat das NIS-2-Umsetzungsgesetz in Kraft. Es weitet den Kreis der betroffenen Einrichtungen massiv aus und erfasst nun auch viele kommunale Betriebe und ihre Zulieferer. Die neuen Pflichten sind rigoros:

• Sofortige Meldung erheblicher Vorfälle an das BSI
• Persönliche Haftung für Bürgermeister und Geschäftsführer bei grober Vernachlässigung
• Ganzheitliches Risikomanagement, das die gesamte Lieferkette einbezieht

Der Angriff auf Ruhrpumpen ist der erste große Praxistest für diesen neuen Rechtsrahmen. Wurde der Vorfall korrekt gemeldet? Funktionieren die Meldewege zwischen Unternehmen, Ländern und Bund unter realem Druck? Die Antworten darauf werden die Wirksamkeit des Gesetzes zeigen.

Kommunen im Visier: Altlasten und menschliche Schwachstellen

Die Warnungen waren deutlich. Bereits am 22. Dezember warnte die Bayerische Informationsstelle gegen Extremismus (BIGE) über 200 Kommunalvertreter vor den wachsenden Cyber-Risiken. Die Realität in vielen Rathäusern ist jedoch komplex: Historisch gewachsene, heterogene IT-Systeme erschweren die Verteidigung. Dazu kommen „menschliche Schwachstellen“ – also Mitarbeiter, die auf Phishing-E-Mails hereinfallen könnten.

Das BSI rät dringend zu erhöhter Wachsamkeit. Notfallpläne müssen auch über die Feiertage greifen, die Überwachung der Netzwerke darf nicht heruntergefahren werden. Priorität haben die sofortige Installation verfügbarer Sicherheitsupdates und die Überprüfung aller VPN-Zugänge.

Was kommt auf die Kommunen zu?

Experten sehen keine Entspannung für das neue Jahr. Im Gegenteil: Die erbeuteten Daten von Ruhrpumpen könnten nun für gezielte Phishing-Kampagnen gegen deren Kunden – also Kommunen und Stadtwerke – verwendet werden. Deep-Fake-Anrufe oder täuschend echte E-Mails, die vorgeben, vom vertrauten Zulieferer zu stammen, werden wahrscheinlich zunehmen.

Gleichzeitig wird die Durchsetzung des NIS-2-Gesetzes an Schärfe gewinnen. Das BSI wird prüfen, ob betroffene Unternehmen ihren Meldepflichten nachgekommen sind. Für die kommunale IT bedeutet das: Das Jahr 2026 beginnt mit der Bewältigung einer akuten Bedrohung und der Umsetzung komplexer neuer Compliance-Vorgaben.

Die Feiertags-Attacke ist ein Weckruf. Sie zeigt, dass IT-Sicherheit eine Gemeinschaftsaufgabe ist, die enge Kooperation und transparente Kommunikation entlang der gesamten Lieferkette erfordert. Nur so können die lebenswichtigen Infrastrukturen der Daseinsvorsorge geschützt werden.

PS: Sie arbeiten in einer Kommune oder bei einem Stadtwerk und wollen sofort handeln? Das Anti‑Phishing‑Paket liefert branchenspezifische Beispiele, psychologische Angriffsmuster und konkrete Schutzmaßnahmen, die sich ohne große IT‑Investitionen umsetzen lassen. Fordern Sie die kostenlose Anleitung mit Checklisten, Praxisbeispielen und CEO‑Fraud‑Prävention an – ideal für Notfallpläne und Mitarbeiterschulungen. Kostenloses Anti‑Phishing‑Paket anfordern