Cyberangriffe: Thermofin (Sarcoma) und ZEF der Uni Bonn

Veröffentlicht am 26. September 2025 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Kurze Informationen in Sachen Cyberangriffe und Ransomware. Das Unternehmen Thermofin ist Opfer einer Sarcoma Ransomware-Infektion geworden (am 23.9.2025 bekannt geworden). Zudem ist mir die Information zugegangen, dass es am ZEF der Uni Bonn einen "Sicherheitsvorfall" gegeben hat. Hier einige Kurzinformation, was mir bekannt ist.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

Thermofin Opfer der Sarcoma Ransomware

Das 2002 gegründete Unternehmen Thermofin GmbH ist auf innovative und leistungsstarke Kühllösungen für verschiedene Branchen spezialisiert. Darunter sind auch Produkte für industrielle Kälte- und Klimatechnik. Die Produktpalette umfasst Verdampfer, Luftkühler, Wärmepumpen und Hybridkühler, die sowohl für gewerbliche als auch für industrielle Kunden konzipiert sind.

Ein Leserhinweis auf einen Vorfall

Ein Blog-Leser hat mich per privater Nachricht auf X auf einen Cybervorfall bei Thermofin hingewiesen (danke dafür) und ergänzte "Hi, vielleicht nennenswert, ein Standort ist auch bei mir in der Nähe und laut Berichten nur teilweise fähig zu arbeiten").

Sacoma Ransomware bei Thermofin

Laut dieser Plattform behauptet die Ransomware-Gruppe Sarcoma insgesamt 2,9 Terabyte an Daten abgezogen zu haben. Das Archiv enthält Dateien, SQL-Datenbanken, Exchange-Archvidaten.

Thermofin Sarcoma Ransomware

Obiger Tweet gibt an, dass der Betrieb in den kanadischen Zweigstellen gestört sei. Aber der Betrieb in Deutschland ist auch betroffen.

Information der Thermofin GmbH

In einer Mitteilung auf der Firmenseite informiert die Thermofin GmbH dass die Firma in Deutschland, sowie ihre Töchter in Polen und China, Opfer eines gezielten Cyberangriffes geworden seien. Ein genaues Datum wird leider nicht genannt – die Offenlegung von Sarcoma ist vom 23.9.2025. Bislang unbekannte Täter hätten sich unbefugten Zugang zu den IT-Systemen des Unternehmens verschafft und dabei unter anderem personenbezogene Daten entwendet, heißt es. Nach aktuellem Kenntnisstand betrifft dieser Vorfall auch Daten, deren Offenlegung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen kann.

Das Unternehmen bedauert diesen Vorfall zutiefst und hat unmittelbar nach Bekanntwerden des Angriffs wir folgende Maßnahmen ergriffen:

  • Sofortige Isolierung und Sicherung der betroffenen Systeme
  • Einschaltung externer IT-Sicherheitsexperten zur Aufklärung und Behebung des Vorfalls
  • Meldung des Vorfalls an die zuständige Datenschutzaufsichtsbehörde

Nach aktuellem Stand könnten laut Mitteilung des Unternehmens unter Namen, Adressen, Kontaktdaten, Bankverbindungen von Kunden abgeflossen sein. Derzeit ist man noch mit der Klärung des genauen Umfangs des Datenabflusses zu ermitteln. Gemäß Artikel 34 der Datenschutz-Grundverordnung (DSGVO) informiert das Unternehmen auch die Betroffenen. Derzeit ist das Unternehmen nach wie vor nur eingeschränkt erreichbar.

Die Sarcoma Ransomware-Gruppe

Sarcoma arbeitet mit Ransomware, die Dateien auf den Opfersystemen abzieht, dann Inhalte verschlüsselt und dafür sorgt, dass das Opfer nicht mehr arbeitsfähig ist. Das Opfer wird erpresst, und soll zahlen, um den Key zur Entschlüsselung zu erhalten. Weiterhin droht die Gruppe damit, die erbeuteten Daten im Darknet zu veröffentlichen. Die Ransomware-Gruppe Sarcoma trat erstmals im Oktober 2024 auf. Hier im Blog ist die Ransomware-Gruppe im Zusammenhang mit dem erfolgreichen Angriff auf die CAS Software vertreten (siehe Link-Liste am Artikelende).

Cybervorfall am ZEF der Uni Bonn

Ein weiterer, anonym bleiben wollender Leser, hat mich über einen Cybervorfall am Zentrum für Entwicklungsforschung (ZEF) der Uni Bonn informiert (danke). Das Zentrum für Entwicklungsforschung (ZEF) ist eine international und interdisziplinär ausgerichtete Denkfabrik an der Rheinischen Friedrich-Wilhelms-Universität in Bonn, die 1995 im Rahmen des Bonn-Berlin-Ausgleichs mit Unterstützung der Bundesrepublik Deutschland und des Landes Nordrhein-Westfalen gegründet wurde

ZEF Uni Bonn Opfer von Qilin

Die Einrichtung ist laut DSGVO-Portal am 21. September 2025 als Ransomware-Opfer auf den Seiten der Qilin-Gruppe aufgeführt worden. Auf der Qilin Leak-Seite sind einige Dokumente (Organisationspläne des ZEF, Strategiepapiere der Stadt Bonn in Sachen Digitalstrategie, Projektanträge, aber auch Mitarbeiterdaten) eingestellt worden.

Derzeit ist deren Webseite für mich nicht erreichbar – scheint was Größeres zu sein. Der ungenannt bleiben wollende Leser erwähnte, dass er die Information über einen Sicherheitsvorfall per "Mundpropaganda" über sein berufliches Umfeld erfahren habe. Laut diesem Tweet soll Qilin 500 GB an Daten abgezogen haben.

Wer ist Qilin?

Bei Qilin handelt es sich um eine russischsprachige Gruppe, die Ransomware-as-a-service einsetzt und möglicherweise aus Mitgliedern von Black Basta etc. gebildet wurde. Eine Analyse der Gruppe und Aktivitäten finden sich bei Check Point. Hier im Blog gibt es Artikel zu mehreren Infektionen (siehe folgende Linkliste zu Media Broadcast Satellite, Easy Credit etc.)

Ähnliche Artikel: 
United Kiosk AG: Webseite seit Mitte Oktober 2024 gestört
CAS Software (CRM-Systeme) Opfer von Ransomware
CAS Software (CRM-Systeme) bestätigt Cyberangriff
Ausfälle und Sicherheit: Cyberangriff auf AEP (Pharma-Großhandel); CAS (CRM-Systeme) down; Sophos bemängelt flavorseal.com
United Kiosk AG: Nutzerdaten nach Cyberangriff im Darknet
Cyberangriffe: Klinikum Ingolstadt, CAS-Software, Prodinger (Dez. 2024)
Media Broadcast Satellite (MBS) Opfer der Qilin Ransomware Gruppe?
Ransomware bei Easy Credit und Plan-B Rechtsanwälte
Sicherheit: HAWITA-Gruppe Opfer von Ransomware; Nutzerdaten von Klinik, GMP Academy, GL-SH und dasAuge im Netz
Malware-Report Juni 2025
Cyberangriffe kosten deutsche Unternehmen fast 300 Milliarden Euro / Jahr

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Cyberangriffe: Thermofin (Sarcoma) und ZEF der Uni Bonn

  1. Anonym sagt:
    26. September 2025 um 12:58 Uhr

    Mal wieder das Übliche BlaBla wenn das Kind in den Brunnen gefallen ist!

    Sofortige Isolierung und Sicherung der betroffenen Systeme
    Einschaltung externer IT-Sicherheitsexperten zur Aufklärung und Behebung des Vorfalls
    Meldung des Vorfalls an die zuständige Datenschutzaufsichtsbehörde

    Antworten
  2. Anonym sagt:
    27. September 2025 um 07:48 Uhr

    Die Firma Okuma in Deutschland hat es auch getroffen: https://www.okuma.co.jp/english/news/2025/250925.php

    Antworten
  3. Johannes sagt:
    27. September 2025 um 21:57 Uhr

    Ein (derzeit in Kurzarbeit) Beschäftigter bei Thermofin sagte mir, dort rechnet man mit einer regulären Produktion nicht mehr vor Weihnachten 2025.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.