In den vergangenen Monaten verzeichnen europäische Länder eine auffällige Häufung schwerer Cyberangriffe – insbesondere auf Betreiber kritischer Infrastrukturen. Der jüngste Fall betrifft den rumänischen Pipeline-Betreiber Conpet, dessen Systeme vor wenigen Tagen von der Ransomware-Gruppe Qilin kompromittiert wurden. Die Angreifer behaupten, rund 1 Terabyte Daten exfiltriert zu haben. Während die Pipeline selbst weiterlief, waren interne IT-Systeme spürbar beeinträchtigt.
Nur Wochen davor traf es die rumänische Wasserbehörde ANAR: Etwa 1.000 Systeme wurden verschlüsselt, zentrale Services fielen aus. Bereits im Dezember 2025 wurde der Energieerzeuger Oltenia Energy Complex Ziel eines weiteren Ransomware-Angriffs; die Stromproduktion blieb zwar stabil, doch die IT-Infrastruktur wurde erheblich gestört.
Zurückblickend ins Jahr 2024 zeigt sich: Schon damals wurde die Electrica Group Opfer der „Lynx“-Ransomware. Auch hier war die Versorgung nicht betroffen – aber die IT-Systeme gerieten massiv unter Druck.
Wer nur auf Rumänien blickt, übersieht jedoch das Gesamtbild. Es ist nicht Rumänien, das im Visier steht – es ist Europa.
Europa erlebt seit 2024 einen deutlichen Anstieg an Ransomware- und Erpressungsangriffen, und das auf einem ohnehin schon hohen Ausgangsniveau.
Im September 2025 kam es an mehreren großen europäischen Flughäfen – darunter London Heathrow Airport, Flughafen Berlin Brandenburg und Brussels Airport – zu erheblichen Störungen im Check-in- und Boarding-Prozess, ausgelöst durch einen Angriff auf einen zentralen IT-Dienstleister.
Nur einen Monat später traf es den schwedischen Übertragungsnetzbetreiber Svenska kraftnät. Zwar blieb die Stromversorgung stabil, doch erneut wurde sichtbar, wie verwundbar selbst hochkritische Organisationen geworden sind.
Anfang 2026 folgte ein Angriff auf das belgische AZ Monica. Server mussten abgeschaltet, Operationen verschoben und Patient:innen verlegt werden.
Und auch die Schweiz verzeichnete im zweiten Halbjahr 2025 ganze 164 Angriffe auf kritische Infrastruktur – Energie, Transport, Telekommunikation und Gesundheitswesen waren besonders betroffen. Viele dieser Vorfälle waren Ransomware oder Credential-Diebstahl mit teilweise erheblichen Auswirkungen auf operative IT-Systeme.
Warum nehmen die Angriffe so stark zu?
Die Ursachen lassen sich auf drei Kernpunkte reduzieren, die sich gegenseitig verstärken:
1. Wachsende IT-Abhängigkeit
Selbst wenn OT-Systeme unberührt bleiben, genügt bereits ein Ausfall von ERP, Abrechnung, Disposition oder klinischen Informationssystemen, um einen gesamten Betrieb in akute Schieflage zu bringen.
IT ist heute das Rückgrat – fällt sie aus, stoppt die Organisation.
2. Enge Verzahnung von IT und OT
Industrie, Energie, Logistik und Gesundheitssektor sind stärker vernetzt als je zuvor.
Diese Kopplung schafft Effizienz – aber auch Angriffsflächen.
3. Eine industrialisierte Cybercrime-Ökonomie
Ransomware ist heute ein professionelles Geschäftsmodell.
Dazu gehören:
- Ransomware-as-a-Service
- Initial-Access-Broker
- spezialisierte Exfiltrationstools
- automatisierte Angriffsketten
Professionelle Angriffe verlaufen inzwischen so schnell, dass zwischen Erstzugriff und Ausbringung der Ransomware oft weniger als 24 Stunden liegen. Zugangshändler verkaufen kompromittierte Zugänge wie Massenware – und tausende europäische Organisationen stehen längst in deren Datenbanken.
Fazit
Europa erlebt derzeit eine Welle hochprofessioneller Angriffe auf kritische Infrastrukturen. Die steigende Abhängigkeit von IT- und OT-Systemen trifft auf eine Cybercrime-Industrie, die effizienter, schneller und arbeitsteiliger arbeitet als je zuvor. Für Unternehmen – egal ob Energieversorger, Gesundheitsorganisation oder Industrieunternehmen – bedeutet das: Resilienz muss aktiv aufgebaut werden, bevor der Ernstfall eintritt. Die Angriffe sind kein Ausnahmezustand mehr, sondern Teil der neuen Realität.
