Was ist passiert – und warum es zählt

Conpet, Rumäniens nationaler Betreiber von Öl-Pipelines, meldete am Dienstag eine Cyberattacke, die Geschäftsanwendungen beeinträchtigte und die Website zeitweise lahmlegte. Ob operative Abläufe (OT) betroffen waren, ist zum jetzigen Zeitpunkt nicht öffentlich bestätigt. Erfahrungsgemäß versuchen Unternehmen in solchen Lagen, IT- von OT-Systemen strikt zu trennen, um eine Ausbreitung des Angriffs zu verhindern.

Der Vorfall ist sicherheitspolitisch bedeutsam, weil er zentrale Risiken in der Energieversorgung sichtbar macht: Ein einzelner Kompromiss in der IT – etwa durch Phishing oder gestohlene Zugänge – kann finanzielle Schäden, Reputationsverlust und im schlimmsten Fall Lieferunterbrechungen nach sich ziehen. Gleichzeitig müssen Betreiber heute strengeren Regulierungen wie NIS2 gerecht werden und Resilienz gegenüber Ransomware, DDoS und Zero-Day-Exploits nachweisen.

Für Security-Teams in KRITIS-Betrieben heißt das: Frühzeitige Erkennung, klare Trennung von IT/OT und geübte Incident-Response-Abläufe sind nicht optional, sondern betriebsnotwendig. Weiterführende Einblicke findest du auch in unserem Security-Blog und im Ransomware-Leitfaden.

Mögliche Angriffsvektoren und Lessons Learned

Technische Hypothesen (branchenüblich)

• Phishing/MFA-Bypass: Mitarbeitende werden zu Klicks verleitet, Zugangsdaten abgegriffen, schwache MFA-Verfahren umgangen. Keywords: Phishing, Security Awareness.
• Exponierte Dienste/VPN: Schwachstellen in VPN-Gateways oder Remote-Zugängen; veraltete Protokolle, unsichere Konfigurationen. Keywords: Patch-Management, Zero Trust.
• Ransomware/Hands-on-Keyboards: Angreifer bewegen sich lateral, exfiltrieren Daten und verschlüsseln Systeme. Keywords: EDR/XDR, Netzwerksegmentierung.
• DDoS gegen Webpräsenzen: Überlastung der Website als Ablenkungs- oder Druckmittel. Keywords: DDoS-Mitigation, WAF/CDN.

Organisatorische Schwachstellen

• Ungeübte Notfallprozesse: Fehlende Playbooks, keine Tabletop-Übungen, langsame Entscheidungswege. Keywords: Incident Response, Business Continuity.
• Geringe Awareness: Mitarbeitende erkennen Social-Engineering nicht zuverlässig. Siehe unsere Awareness-Trainings und Phishing-Simulationen.

Wichtig: Diese Punkte sind allgemeine Muster aus der Praxis und keine bestätigten Details bei Conpet. Dennoch lassen sich daraus klare Handlungsfelder ableiten – von Identity Security bis hin zu OT-Monitoring.

Praxisleitfaden: 10 Sofortmaßnahmen für bessere OT- und IT-Sicherheit

1. Segmentierung strikt durchsetzen: Trenne IT und OT auf Netzwerkebene; setze Zonen/Conduits, minimal nötige Verbindungen, Jump-Hosts. Keywords: Zero Trust, OT-Security.
2. MFA „phishing-resistent“ gestalten: Nutze FIDO2/Passkeys oder Number-Matching statt einfacher OTPs. Keywords: Identity Protection, MFA.
3. Härtung und Patch-Management: Priorisiere extern erreichbare Systeme, VPNs, AD und E-Mail-Gateways. Keywords: Schwachstellenmanagement, Zero-Day.
4. EDR/XDR und SIEM nutzen: Erkenne Lateral Movement, exfiltrierte Daten und verdächtige OT-Protokolle. Keywords: EDR/XDR, SIEM.
5. Backup-Strategie 3-2-1-1: Drei Kopien, zwei Medien, eine Offsite, eine unveränderliche Kopie. Teste Restore regelmäßig. Keywords: Backup, Ransomware.
6. Least Privilege & PAM: Adminrechte minimieren, Just-in-Time-Zugriffe, Sitzungsaufzeichnung. Keywords: Privileged Access, IAM.
7. DDoS-Schutz aktivieren: WAF/CDN vorschalten, Rate-Limits und Bot-Management. Keywords: DDoS, Verfügbarkeitsmanagement.
8. Security Awareness steigern: Regelmäßige Trainings und realistische Phishing-Simulationen. Keywords: Security Awareness, Social Engineering.
9. Playbooks und Übungen: IR-Runbooks für Ransomware, DDoS und Datendiebstahl; Tabletop-Drills mit Fachbereichen. Keywords: Incident Response, Krisenmanagement.
10. Lieferketten prüfen: Zugriff von Dienstleistern härten, SBOM/Verträge, Monitoring externer Verbindungen. Keywords: Third-Party Risk, Supply-Chain-Security.

Pro & Contra: OT-Monitoring-Tools

• Pro: Passive Erkennung von ICS-Anomalien, Asset-Inventar ohne Agenten, Mapping zu Purdue-Model.
• Contra: Anschaffung/Integration aufwendig; ohne saubere Segmentierung bleibt das Risiko bestehen.

Tipp: Starte mit klarer Segmentierung und Identitätenhärtung. Ergänze danach OT-Monitoring dort, wo es den höchsten Mehrwert bietet. Mehr dazu in unserem Security-Blog.

Fallbeispiel: Colonial Pipeline – Parallelen und Unterschiede

Der Colonial-Pipeline-Vorfall (USA, 2021) entstand laut öffentlichen Berichten durch einen Angriff auf IT-Systeme. Aus Vorsicht wurden Teile des Betriebs angehalten – ein Lehrbeispiel dafür, wie eng IT- und OT-Risiken verwoben sind. Parallele: Ein IT-Vorfall kann schnelle, weitreichende Entscheidungen in OT erzwingen. Unterschied: Regulatorik, Netzstrukturen und Reaktionspläne variieren stark zwischen den Regionen.

Lehre für Europa: Segmentierung, geübte Incident-Response und kommunikative Resilienz (klare, faktenbasierte Öffentlichkeitstexte) sind entscheidend, um Vertrauen in KRITIS aufrechtzuerhalten – unabhängig davon, ob OT direkt betroffen ist.

Fazit und nächste Schritte

Der Angriff auf Conpet unterstreicht, dass Betreiber kritischer Infrastrukturen ihre Cyber-Resilienz ganzheitlich denken müssen: von der Tür zur IT bis zum Ventil in der OT. Auch ohne bestätigte technische Details gilt: Eine Kombination aus Zero Trust, starker Authentifizierung, Segmentierung, EDR/XDR und geübten Incident-Response-Prozessen verringert das Risiko massiv – ebenso wie kontinuierliche Awareness-Trainings.

Praktischer Einstieg für dein Team:

• Starte mit einem 30-Tage-Plan: Schwachstellen-Scan, Identity-Review, Backup-Tests.
• Führe eine Tabletop-Übung für Ransomware durch – mit IT, OT, Recht und Kommunikation.
• Rolle phishingsichere MFA für alle externen Zugänge aus und härte VPNs.

Bleib informiert: Abonniere unseren Security-Blog für Updates zu KRITIS, Ransomware, Phishing und NIS2. Wer proaktiv handelt, reduziert Ausfallzeiten, schützt Reputation und stärkt die Versorgungssicherheit.