CPS im Visier: Cyberkriminelle Attacken zunehmend auf KRITIS

Claroty warnt vor opportunistischen Angriffen auf Cyber-Physische Systeme (CPS) – beeinflusst durch geopolitische Ereignisse, indes technisch nicht besonders ausgefeilt

[datensicherheit.de, 23.03.2026] Nach aktuellen Erkenntnissen von Claroty werden Cyber-Physische Systeme (CPS) zunehmend zu einem bevorzugten Ziel „opportunistischer Angreifer“ – dabei seien viele dieser Attacken von geopolitischen Ereignissen beeinflusst und technisch nicht besonders ausgefeilt. Solche und weitere Ergebnisse sind dem neuen Report „Analyzing CPS Attack Trends” von Claroty zu entnehmen, der demnach auf der Analyse von mehr als 200 Angriffen von über 20 Hacker-Gruppen im Zeitraum Januar bis Dezember 2025 beruht. Der komplette Report mit den vollständigen Ergebnissen, einer detaillierten Analyse und gezielten Empfehlungen steht online zur Verfügung.

Abbildung: CLAROTY

„Analyzing CPS Attack Trends” – Analyse von mehr als 200 Angriffen von über 20 Hacker-Gruppen

Es drohen Betriebsunterbrechungen, physische Schäden an Anlagen sowie Gefährdung von Arbeitnehmern und Umwelt

82 Prozent der Angriffe auf CPS erfolgten über VNC-Protokoll-Clients (Virtual Network Computing), um aus der Ferne auf exponierte, mit dem Internet verbundene Ressourcen zuzugreifen. Bei zwei Drittel (66%) der Vorfälle seien Mensch-Maschine-Schnittstellen (HMI) oder SCADA-Systeme kompromittiert worden.

• Diese beiden Geräteklassen überwachten und steuerten industrielle Prozesse in Echtzeit. Jeder unrechtmäßige Zugriff oder jede Manipulation könne äußerst schwerwiegende Folgen für das Unternehmen und die Bevölkerung haben.

Diese reichten von Betriebsunterbrechungen über physische Schäden an Anlagen bis hin zur Gefährdung von Arbeitnehmern und Umwelt. Viele dieser Angriffe seien zudem ausgesprochen niedrigschwellig und erforderten weder Schwachstellen noch umfassende Kenntnisse der genutzten Geräte oder Protokolle.

CPS in KRITIS-Strukturen Opfer politischer oder gesellschaftlicher Ziele cyberkrimineller Akteure

Die Analyse habe zudem ergeben, dass die Attacken auf die Kritischen Infrastrukturen (KRITIS) größtenteils durch politische oder gesellschaftliche Ziele motiviert gewesen seien, welche mit den Motiven staatlich-unterstützter Angreifer übereinstimmten.

Angesichts der seit langem bestehenden geopolitischen Spannungen im Nahen Osten und des Krieges zwischen Russland und der Ukraine führten die Sicherheitsforscher viele der Vorfälle auf mit Russland und dem Iran verbundene Bedrohungsakteure zurück:

• 81 Prozent der von iranischen Gruppen durchgeführten Angriffe hätten sich gegen Einrichtungen in den USA und Israel gerichtet.
• 71 Prozent der von russischen Gruppen durchgeführten Angriffe hätten sich gegen Unternehmen in Ländern der Europäischen Union (EU) gerichtet.
• Die am häufigsten von mit Russland verbundenen Bedrohungsakteure angegriffenen EU-Länder seien Italien (18%), Frankreich (11%) und Spanien (9%).

Claroty-Report verweist auf klaren Bedarf, CPS-Sicherheitsmaßnahmen zu verstärken

„Unsere Untersuchungen zeigen eine erhebliche Zunahme der Angriffe auf die grundlegenden Systeme, die den täglichen Ablauf unserer Gesellschaft gewährleisten – von der Fertigung über die Wasser- und Abfallwirtschaft bis hin zur Stromerzeugung und zum Gesundheitswesen“, berichtet Thorsten Eckert, „Regional Vice President Sales Central“ von Claroty.

• Sie sähen vor allen immer mehr opportunistische Drive-by-Angriffe auch in diesem Bereich, welcher ja zuvor eher von gezielten Angriffen geprägt gewesen sei. Eckert führt hierzu aus: „Dabei nutzen die Angreifer relativ einfache technische Mittel, um kritische Sektoren anzugreifen, deren Störung schwerwiegende und teilweise gefährliche Folgen haben kann.“

Der vorliegende Report zeige einen klaren Bedarf, die Sicherheitsmaßnahmen für CPS zu verstärken. „Laxe Sicherheitspraktiken und eine mangelnde Cyberhygiene sind angesichts der sich im Vergleich zum letzten Jahr nochmals verschärften geopolitischen Situation nicht mehr hinnehmbar!“, so Eckert

Claroty-Tipps zum CPS-Schutz und Stärkung der Resilienz

Um ihre CPS besser zu schützen und ihre Resilienz zu erhöhen, sollten Unternehmen laut Claroty folgende Maßnahmen ergreifen:

• Mit dem Internet verbundene Geräte schützen!
  Sicherheitsverantwortliche sollten die Konfigurationen von Betriebstechnik (OT), smarten Geräten und vernetzten Medizingeräten (IoMT) überprüfen. Zudem müssten Vorkehrungen getroffen werden, um eine „Enumeration“ dieser Geräte zu verhindern, da diese zunehmend mit dem Internet verbunden seien.
• Unsichere Standardkonfigurationen beheben!
  Sicherheitsverantwortliche müssten Standard- oder schwachen Anmeldedaten erkennen und diese proaktiv ändern, wenn Geräte online eingesetzt werden. Sie müssten weitere unsichere Konfigurationen identifizieren, bewerten und beheben können, bevor die Geräte vernetzt werden.
• Unsichere Protokolle aktualisieren!
  Bei vielen der untersuchten Angriffe seien unsichere Protokolle wie VNC und „Modbus“ genutzt worden. Diesen fehlten grundlegende Sicherheitsfunktionen wie Authentifizierung und Verschlüsselung. Deshalb sollten Sicherheitsverantwortliche ihre kritischsten verbundenen Ressourcen inventarisieren und auf sicherere Kommunikationsprotokolle umsteigen.
• Den Gegner kennen!
  Es sei wichtig, die Motive und Taktiken von (politisch motivierten) Hacker-Gruppen zu verstehen. Auf diese Weise ließen sich deren nächste Schritte antizipieren – etwa nächste Ziele innerhalb einer bestimmten Branche. Zudem könne so erkannt werden, welche CPS bereits bei anderen Einrichtungen kompromittiert wurden, um entsprechende Gegenmaßnahmen zu priorisieren.

Weitere Informationen zum Thema:

CLAROTY
Claroty Named a Leader by Gartner® / Recognized for Ability to Execute and Completeness of Vision, Claroty has been named a Leader for the second consecutive year in the 2026 Gartner® Magic Quadrant™ for CPS Protection Platforms.

CLAROTY
Report: Analyzing CPS Attack Trends / Team82 examines 200 verified cyberattacks against cyber-physical systems (CPS) involving geopolitically and socially motivated hacktivist groups

TechTarget
Thorsten Eckert – Regional Vice President Sales Central, Claroty

www.it-visions.de Dr. Holger Schwichtenberg
Erklärung des Begriffs: Enumeration

datensicherheit.de, 27.03.2025
OT/ICS-Cybersicherheit: Wachsende Bedrohungslandschaft für Unternehmen weltweit / Annual Report 2024 von TXOne Networks veröffentlicht / Dringende Maßnahmen zum Schutz der industriellen Abläufe

datensicherheit.de, 12.02.2025
OT-Geräte: Zwei Drittel der Schwachstellen von Ransomware-Gruppen ausgenutzt / Neuer Claroty-Report zeigt OT-Bedrohungen durch Ransomware und unsichere Verbindungen in Produktion, Transport und Logistik sowie natürliche Ressourcen auf