[datensicherheit.de, 18.02.2026] Die Dragos Inc. hat am 18. Februar 2026 den „Dragos 2026 OT/ICS Cybersecurity Report and Year in Review“ veröffentlicht. Dieser – nunmehr bereits zum neunten Mal erscheinende – Bericht soll eine umfassendste Analyse aktueller Cyberbedrohungen für industrielle und Kritische Infrastrukturen (KRITIS) bieten. Identifiziert wurden laut Dragos drei neue Angreifergruppen, welche weltweit KRITIS ins Visier nehmen – zudem gehen Angreifer demnach zunehmend von reiner Aufklärung zu gezielten operativen Störungen über. „Insgesamt belegen die Ergebnisse eine zunehmende Professionalisierung der Angreifer: Die Gruppen agieren als arbeitsteilig und entwickeln sich von gezielten Angriffen auf einzelne Geräte hin zu einer systematischen Erfassung ganzer industrieller Steuerungssysteme.“ Der „Dragos 2026 OT/ICS Cybersecurity Report and Year in Review“ soll einen aktuellen Überblick und eine Analyse der globalen Bedrohungslage mit Schwerpunkt auf OT, relevanten Schwachstellen sowie wichtigen Entwicklungen und Trends in der Branche bieten.

Abbildung: Dragos

Nach aktuellen DRAGOS-Erkenntnissen agieren arbeitsteilige Gruppen und fokussieren zunehmend auf eine systematische Erfassung ganzer industrieller Steuerungssysteme…

Weltweit 3.300 Organisationen von Angriffen auf ihre OT betroffen

Im Jahr 2025 habe „KAMACITE“ systematisch Regelkreise innerhalb US-amerikanischer Infrastrukturen erfasst, während gleichzeitig „ELECTRUM“ dezentrale Energiesysteme in Polen ins Visier genommen und gezielt versucht habe, operative Anlagen zu stören.

• „Dragos identifizierte außerdem drei neue Angreifergruppen, darunter ,SYLVANITE’, die bestehende Zugänge an ,VOLTZITE’ weitergibt, um tiefere OT-Angriffe zu ermöglichen. ,PYROXENE’ richtet sich gegen Ziele in den USA, Westeuropa und dem Nahen Osten und setzte im Juni im Kontext eines regionalen Konfliktes zerstörerische ,Wiper’-Malware gegen Kritische Infrastrukturen ein. ,AZURITE’ weist technische Überschneidungen mit ,Flax Typhoon’ auf und führte anhaltende Operationen in den USA, Europa und im asiatisch-pazifischen Raum durch.“

Die Zahl der Industrieunternehmen angreifenden Ransomware-Gruppen, sei im Vergleich zum Vorjahr um 49 Prozent gestiegen und habe weltweit 3.300 Organisationen getroffen, deren Betrieb teils erheblich gestört worden sei.

OT-Bedrohungslage erreichte 2025 neue Qualität

„Die Bedrohungslage hat 2025 eine neue Qualität erreicht“, kommentiert Robert M. Lee, CEO und Co-Founder von Dragos. Er führt weiter aus: „Angreifer analysieren genau, wie industrielle Steuerungssysteme funktionieren, verstehen, woher Befehle stammen, wie sie sich verbreiten und an welchen Stellen physische Auswirkungen ausgelöst werden können.“

• Dabei entstünden zunehmend arbeitsteilige Strukturen: Spezialisierte Gruppen schafften systematisch Zugriffswege, welche noch spezialisiertere Akteure für weitergehende Angriffe auf OT-Umgebungen nutzen könnten.

Gleichzeitig verursachten Ransomware-Gruppen zunehmend Betriebsstörungen und mehrtägige Ausfälle, welche eine OT-spezifische Wiederherstellung erforderten. „Dennoch unterschätzen viele Industrieunternehmen weiterhin, wie stark Ransomware in OT-Umgebungen wirkt, da sie die Bedrohung fälschlicherweise als ein reines IT-Problem einordnen“, warnt Lee.

OT-Ransomware-Vorfälle konnten im Durchschnitt innerhalb von fünf Tagen erkannt und eindämmt werden

„Auch auf Verteidigungsseite gab es 2025 spürbare Fortschritte“, berichtet Lee. Unternehmen mit umfassender Transparenz in ihren OT-Umgebungen hätten OT-Ransomware-Vorfälle im Durchschnitt innerhalb von fünf Tagen erkennen und eindämmen können, während der branchenweite Durchschnitt bei 42 Tagen gelegen habe.

• Dies zeige, wie eng die Reife der Erkennungsmechanismen mit dem Erfolg der Reaktion zusammenhänge.

Lee betont indes: „Dennoch bestehen weiterhin erhebliche Lücken! Umfassende Transparenz in OT-Umgebungen ist entscheidend. Ohne kontinuierliche Überwachung werden die Einführung von Technologien wie KI, Batteriespeichersystemen oder dezentralen Energiequellen zu exponentiell größeren Blinden Flecken führen.“

3 neue OT-Angreifergruppen identifiziert: „SYLVANITE“, „AZURITE“ und „PYROXENE“

Dragos hat folgende drei neuen OT-Angreifergruppen identifiziert: „SYLVANITE“, „AZURITE“ und „PYROXENE“ – damit verfolgten Dragos-Analysten weltweit insgesamt 26 Gruppen, von denen elf im Jahr 2025 aktiv gewesen seien.

1. „SYLVANITE“ fungiert als „Initial Access Broker“
   Dieser nutze Schwachstellen rasch aus und gebe erlangte Zugänge an „VOLTZITE“ weiter, um weitergehende OT-Angriffe zu ermöglichen. Dragos habe „SYLVANITE“ im Rahmen von Incident-Response-Einsätzen bei US-amerikanischen Energie- und Wasserversorgern beobachtet. Diese Gruppe habe Schwachstellen in „Ivanti“ ausgenutzt und Active-Directory-Anmeldedaten extrahiert. Technische Überschneidungen bestünden mit „UNC5221“, „UNC5174“ und „UNC5291“.
2. „AZURITE“ zielt auf langfristigen Zugriff und den Diebstahl von OT-Daten ab
   Diese Gruppe greife OT-Engineering-Workstations an und exfiltriere Betriebsdaten wie Netzwerkdiagramme, Alarmdaten und Prozessinformationen, um ihre eigenen Fähigkeiten weiterzuentwickeln. Betroffen seien Unternehmen aus den Bereichen Fertigung, Verteidigung, Automobilindustrie, Energie, Öl und Gas sowie staatliche Einrichtungen in den USA, Australien, Europa und im asiatisch-pazifischen Raum. Technische Überschneidungen bestünden mit „Flax Typhoon“.
3. „PYROXENE“ kompromittiere Lieferketten und führe Social-Engineering-Kampagnen durch
   Diese Gruppe nutze häufig einen durch „PARISITE“ erlangten Erstzugang, um von IT- in OT-Netzwerke vorzudringen. Zu ihren Zielen gehörten Unternehmen aus Luft- und Raumfahrt, Verteidigung und Schifffahrt in den USA, Westeuropa, Israel und den Vereinigten Arabischen Emiraten. „PYROXENE“ weise erhebliche technische Überschneidungen mit Aktivitäten auf, welche nach Ansicht der US-Regierung dem „Cyber Electronic Command“ der „Islamischen Revolutionsgarde“ zuzuschreiben seien.

Entwicklung cyberkrimineller Gruppen von OT-Aufklärern zu gezielten operativen OT-Angreifern

„ELECTRUM“ habe 2025 mehrere destruktive Operationen durchgeführt, darunter einen koordinierten Angriff auf acht ukrainische Internetdienstanbieter im Mai sowie den Einsatz neuer Varianten von „Wiper“-Malware.

• Im Dezember 2025 habe „ELECTRUM“ in Polen Kraft-Wärme-Kopplungsanlagen und Steuerungssysteme für erneuerbare Energien angegriffen, um den Betrieb der Anlagen gezielt zu stören. Damit habe diese Gruppe ihre Aktivitäten von der Übertragungsinfrastruktur auf das dezentrale Stromnetz ausgedehnt. Technische Überschneidungen bestünden mit „Sandworm“. Unterstützt werde „ELECTRUM“ von „KAMACITE“. Diese Gruppe habe ihren Schwerpunkt von der Ukraine auf eine europäische Lieferkettenkampagne verlagert und zwischen März und Juli 2025 eine weitreichende Erkundung von US-Industrieanlagen durchgeführt. Dabei habe „KAMACITE“ systematisch vollständige Regelkreise, darunter HMIs (Human Machine Interfaces), Frequenzumrichter, Messmodule und Mobilfunk-Gateways analysiert.

„VOLTZITE“ habe Stufe 2 der ICS-Cyber-Kill-Chain erreicht: „Dragos beobachtete, wie die Gruppe Software auf Engineering-Workstations manipulierte, um Konfigurations- und Alarmdaten zu extrahieren.“ Dabei habe sie gezielt untersucht, unter welchen Bedingungen Prozessabschaltungen ausgelöst würden. „VOLTZITE“ habe zudem „Sierra Wireless AirLink“-Mobilfunkgateways kompromittiert, um Zugang zu Midstream-Pipeline-Betrieben in den USA zu erhalten, und sich anschließend weiter zu Engineering-Workstations bewegt. Technische Überschneidungen bestünden mit „Volt Typhoon“.

„Hacktivisten“: Wandlung von eher symbolischen Aktionen hin zu operativ wirksamen OT-Angriffskampagnen

„BAUXITE“ habe während des Iran-Israel-Konflikts im Juni 2025 zwei speziell entwickelte „Wiper“-Malware-Varianten gegen israelische Ziele eingesetzt und damit frühere Zugriffs- und Störungsaktivitäten zu eindeutig destruktiven Operationen eskaliert.

• „Hacktivistische Gruppen verknüpfen zunehmend ideologische Botschaften mit staatlich unterstützten Aktivitäten und greifen öffentlich zugängliche HMIs, fehlkonfigurierte Engineering-Workstations sowie offen zugängliche Feldprotokolle wie ,Modbus’/TCP und DNP3 an.“

„BAUXITE“ weise technische Überschneidungen mit Aktivitäten auf, welche die US-Regierung „CyberAv3ngers“ und dem „IRGC-CEC“ zuschreibe.

Ransomware bleibt größte OT-Bedrohung der Industrieunternehmen

Dragos habe im Jahr 2025 insgesamt 119 Ransomware-Gruppen – mit Fokus auf Industrieunternehmen – verfolgt, gegenüber 80 im Jahr 2024.

• Weltweit seien 3.300 Organisationen betroffen gewesen – mehr als zwei Drittel davon aus der Fertigungsindustrie. Branchenweit habe die durchschnittliche Verweildauer von Ransomware in OT-Umgebungen bei 42 Tagen gelegen.

Dragos stellte zudem fest, „dass OT-Vorfälle oftmals noch immer fälschlicherweise als reine IT-Vorfälle eingestuft werden, da OT-Systeme wie Engineering-Workstations und HMIs aufgrund ihres ,Windows‘-Betriebssystems der IT zugerechnet werden“.

Häufige Unzuverlässigkeit der Bewertung von OT-Schwachstellen für ICS-Priorisierung

Dragos stellte fest, „dass 25 Prozent der von ICS-CERT und im NVD erfassten Schwachstellen im Jahr 2025 fehlerhafte CVSS-Werte aufwiesen“. Darüber hinaus hätten 26 Prozent der Sicherheitshinweise weder Patches noch konkrete Abhilfemaßnahmen der Hersteller enthalten.

• „Lediglich zwei Prozent der für ICS relevanten Schwachstellen fielen in Dragos‘ risikobasiertem ,Now, Next, Never’-Modell in die Kategorie ,Now’ und erforderten sofortige Maßnahmen.“

Die Untersuchungen von Dragos zu Batterie-Energiespeichersystemen hätten Schwachstellen zur Umgehung der Authentifizierung und zur Befehlsinjektion identifiziert. Mehr als 100 Geräte seien frei über das Internet erreichbar gewesen – darunter zur Einspeisung von Strom in Versorgungsnetze eingesetzte Wechselrichter mit einer Leistung von rund einem Megawatt.

Weitere Informationen zum Thema:

DRAGOS
About Dragos: The Leader in OT Cybersecurity / Our Mission: To safeguard civilization from those trying to disrupt the industrial infrastructure we depend on every day

DRAGOS
2026 OT Cybersecurity Year in Review: Explore the data from Dragos’s 2026 OT Cybersecurity Report, our 9th Annual Year in Review – the go-to report for industrial control systems (ICS) and operational technology (OT) vulnerabilities, threats targeting industrial environments, and lessons learned from customer engagements worldwide

DRAGOS
Robert M. Lee – CEO & Co-Founder

DRAGOS
Threat Group BAUXITE – Ability to comprimise PLCs, modify ladder logic, and deploy custom backdoors on OT Devices

DRAGOS
Threat Group ELECTRUM – Electric grid disruption and long-term persistence using LOTL tactics and custom ICS Malware

DRAGOS
Threat Group KAMACITE – Spearphishing, exploiting SOHO routers, and leveraging custom capabilities to enable ELECTRUM operations

datensicherheit.de, 05.02.2026
Moderne OT-Resilienz: Digitale Zwillinge als wichtige Bausteine / Neben kontinuierlichem „Exposure Management“ braucht operative Resilienz in OT-Umgebungen konkrete technische und organisatorische Hebel: Zugangskontrollen, belastbare Testumgebungen und kompensierende Maßnahmen für „Legacy“-Systeme

datensicherheit.de, 20.01.2026
OT-Sicherheit: Mittels KI Verunsicherung überwinden und Vertrauen begründen / Je weiter sich KI-Anwendungen entwickeln, desto stärker entscheidet der verantwortungsvolle Umgang mit Transparenz und Vertrauen über nachhaltige Akzeptanz

[datensicherheit.de, 21.10.2025] Kai Thomsen, „Director of Global Incident Response Services“ bei Dragos, greift in seiner aktuellen Stellungnahme ein für Experten der OT-Sicherheit signifikantes „Jubiläum“ auf: „Vor 15 Jahren im Sommer 2010 machte ,Stuxnet’ erstmals der Öffentlichkeit bewusst, dass Cyberangriffe nicht nur digitale Systeme treffen, sondern auch reale, physische Schäden anrichten können.“ Diese Schadsoftware griff Steuerungs- und Automatisierungssysteme an – und legte damit offen, wie verwundbar physische Prozesse in Kritischen Infrastrukturen (KRITIS) sind. Seitdem hätten sich Angriffe auf OT-Systeme deutlich weiterentwickelt.

Foto: Dragos

Kai Thomsen: „Stuxnet“ blieb kein Einzelfall – inzwischen sind mindestens neun Schadprogramme bekannt, die gezielt auf industrielle Steuerungs- und Automatisierungssysteme ausgelegt sind

Dragos-Warnung vor neuen Schadprogrammen und immer engeren Verbindungen zwischen staatlichen Akteuren und kriminellen Gruppen

Thomsen führt aus: „Am 22. Juli 2025 sprach Robert M. Lee, CEO und Mitgründer des OT-Sicherheitsunternehmens Dragos, vor dem US-Kongress:

• Er warnte vor einer wachsenden Zahl von Angreifern, neuen Schadprogrammen und immer engeren Verbindungen zwischen staatlichen Akteuren und kriminellen Gruppen.“

Gleichzeitig habe er aufgezeigt, dass viele Angriffe nicht erfolgreich verliefen, weil Fachwissen und Abwehrmechanismen inzwischen deutlich besser entwickelt seien. Die größte Lücke liege laut Lee nicht in der Technik, sondern in der Umsetzung.

„Stuxnet“ – Dragos fasst zentrale Erkenntnisse zusammen

„Die folgenden sechs Punkte fassen die Lehren zusammen, die sich seit ,Stuxnet’ herausgebildet haben und die heute wichtiger für die OT sind als je zuvor:“

1. OT als Rückgrat Kritischer Infrastrukturen
   „Stuxnet“ habe deutlich gemacht, dass Angriffe auf industrielle Steuerungs- und Automatisierungssysteme (ICS/OT) direkte Auswirkungen auf physische Prozesse haben könnten.
   „Während IT-Systeme vor allem die Integrität und Verfügbarkeit von Daten schützen sollen, steht in der OT die sichere und zuverlässige Steuerung industrieller Abläufe im Mittelpunkt.“
   Ein erfolgreicher Angriff könne Maschinen beschädigen, Anlagen stilllegen und im schlimmsten Fall Menschenleben gefährden. Trotzdem fließe der Großteil der Cybersicherheitsbudgets noch immer in IT-Systeme. „Dieses Ungleichgewicht besteht bis heute.“
2. Reale, vielschichtige und weiter zunehmende Bedrohung
   „,Stuxnet’ blieb kein Einzelfall. Inzwischen sind mindestens neun Schadprogramme bekannt, die gezielt auf industrielle Steuerungs- und Automatisierungssysteme ausgelegt sind.“
   Über 25 staatliche und nichtstaatliche Gruppen hätten ihren Fokus auf OT-Umgebungen ausgerichtet. Einige sammelten Informationen, andere störten bereits aktiv die Stromversorgung, Wassersysteme oder die Rüstungsproduktion. Besonders gefährlich sei „PIPEDREAM“. Dieses modulare Angriffstool lasse sich flexibel in verschiedenen Branchen einsetzen und skalieren.
   Auch nichtstaatliche Akteure erlangten inzwischen bislang nur staatlich geförderten Akteuren vorbehaltene Fähigkeiten. Durch weltweite Vernetzung und zunehmende Professionalisierung von Ransomware- und „Hacktivisten“-Gruppen steige das Risiko groß angelegter, koordinierter Angriffe deutlich.
3. Machbare Verteidigung auf Basis stimmiger Grundlagen
   Trotz der komplexen Bedrohungslage zeige sich eine klare Erkenntnis: „Angriffe auf OT-Systeme lassen sich abwehren.“ Analysen belegten, dass bereits fünf grundlegende Schutzmaßnahmen einen Großteil aller Vorfälle verhindern könnten.
   Besonders wichtig sei Sichtbarkeit im Netzwerk. Ohne ein klares Bild von den „Assets“ und Bedrohungen im eigenen System blieben selbst professionelle Angriffe oft über lange Zeit unentdeckt.
   Aus der Praxis gebe es zahlreiche Beispiele. „Selbst kleinere Versorger haben sich erfolgreich gegen hochentwickelte Angriffe behauptet, wenn ihre Sicherheitsstrategien klar definiert und konsequent umgesetzt waren.“
4. Kooperation des öffentlichen und privaten Sektors ein Muss
   Staatliche Stellen, Nachrichtendienste, CERTs und Unternehmen müssten eng zusammenarbeiten, um OT-Systeme wirksam zu schützen.
   „Damit solche Kooperationen Erfolg haben, braucht es klare Zuständigkeiten, abgestimmte Abläufe und ein gemeinsames Verständnis der Bedrohungslage.“ Einzelne Initiativen wie das „Electricity Information Sharing and Analysis Center“ (E-ISAC) gälten als gute Beispiele.
   Viele Partnerschaften blieben jedoch zu unkonkret, schlecht koordiniert oder zu breit angelegt, um Wirkung zu entfalten. Ohne klare Schwerpunkte und gegenseitige Verpflichtung bleibe das Potenzial ungenutzt.
5. Regulierung verständlich und praxisnah
   Die größte Hürde beim Schutz kritischer OT-Infrastrukturen sei nicht der Mangel an Know-how oder technischen Lösungen. „Viel schwerer wiegen unklare, widersprüchliche oder überfrachtete Vorgaben.“
   Betreiber sähen sich häufig mit einer Vielzahl an Regelwerken verschiedener Stellen konfrontiert. Diese seien oft doppelt, unkoordiniert oder nicht auf OT-Systeme zugeschnitten. „Was fehlt, ist eine abgestimmte Regulierung, die von der Industrie mitgestaltet wird, sich an realen Bedrohungen orientiert, klare Ziele vorgibt und dabei genug Spielraum für konkrete, unternehmensspezifische Umsetzungen lässt.“
   Kritische Infrastrukturen ließen sich nur dann wirksam absichern, „wenn auch die vorgelagerten Bereiche zuverlässig geschützt sind“. Die Risiken entstehen laut Thomsen oft nicht erst beim Betreiber, sondern bereits bei den Zulieferern. Ungeprüfte Technik oder unsichere Hersteller könnten ganze Systeme gefährden.
6. Bekannte Maßnahmen harren der Umsetzung
   15 Jahre nach „Stuxnet“ sei klar, dass die Bedrohungslage weiter zunehme. Gleichzeitig stehe heute mehr Wissen über wirksame Schutzmaßnahmen zur Verfügung als je zuvor.
   Der nächste Schritt bestehe darin, dieses Wissen flächendeckend anzuwenden. „Dafür braucht es klare Zuständigkeiten, entschlossenes Handeln und eine Zusammenarbeit, die nicht an Abteilungsgrenzen endet!“, betont Thomsen.
   Dragos bietet nach eigenen Angaben effektive OT-Cybersicherheitstechnologie für industrielle und Kritische Infrastrukturen, um seine globale Mission zu verwirklichen: „Die Zivilisation zu schützen.“ Dragos habe fast zehn Jahre praktische Erfahrung im Umgang mit schwerwiegenden Angriffen auf OT-Netzwerke und kenne die Komplexität und Risiken industrieller Umgebungen. Diese verfügten häufig über ein enormes Ausmaß, stützen sich auf einzigartigen Systemen, unterlägen hohen Anforderungen an die Verfügbarkeit und ließen sich nicht durch Lösungen zur IT- Cybersicherheit schützen.

Weitere Informationen zum Thema:

DRAGOS
Dragos Makes Defense Doable / Build your cybersecurity program with the platform, threat intelligence, and services designed for how OT works

DRAGOS
Kai Thomsen: Director, Global Incident Response Services

datensicherheit.de, 11.11.2014
Stuxnet: Kaspersky Lab identifiziert die ersten fünf Opfer / Neue Analyse: Infizierung über Lieferkette / Erste Attacke nicht via USB-Stick

datensicherheit.de, 28.11.2010
Stuxnet als ernstzunehmende Bedrohung: Infrastrukturbetreiber sollten Gefahr nicht unterschätzen / Norwegischer IT-Security-Spezialist Norman warnt vor künftiger Verbreitung über Laptops oder Mobilgeräte

datensicherheit.de, 18.10.2010
Abwehr von Stuxnet-Angriffen durch Sicherheitszone für die Produktionsabteilung / GeNUA Fernwartungs-Appliance „GeNUBox“ verhindert einseitige Zugriffe von außen

datensicherheit.de, 03.10.2010
ENISA-Chef Dr. Udo Helmbrecht: Stuxnet stellt Paradigmenwechsel dar / Jüngste Attacke sei als „first strike“ gegen kritische Informationsinfrastruktur zu werten

[datensicherheit.de, 04.10.2025] „Die Ransomware-Lage in Deutschland und Europa bleibt angespannt“, unterstreicht Abdulrahman H. Alamri, „Principal Threat Intelligence Analyst“ bei Dragos, in seiner aktuellen Stellungnahme und verweist auf die nun vorliegende „Dragos Industrial Ransomware Analysis Q2 2025“ – demnach wurden im zweiten Quartal 2025 weltweit 657 Angriffe auf Industrieunternehmen registriert. Damit liege diese Zahl zwar leicht unter dem Niveau des Vorquartals (708 Angriffe), in Europa habe sich jedoch das Gegenteil gezeigt: „Die dokumentierten Fälle stiegen von 135 auf 173. Keine andere Region verzeichnete einen vergleichbar starken Anstieg.“ Besonders stark betroffen seien Deutschland, Großbritannien und Italien. „Dort treffen die Angriffe vor allem Branchen, die das industrielle Rückgrat der Wirtschaft bilden!“, warnt Alamri.

Foto: Dragos

Abdulrahman H. Alamri rät Unternehmen, sich bei ihren Verteidigungsstrategien an den „5 kritischen Maßnahmen“ des SANS Institute zu orientieren

Ransomware nimmt Kernbranchen der Industrie ins Visier

Die 173 Angriffe auf europäische Industrieunternehmen machten rund 26 Prozent aller weltweiten Ransomware-Vorfälle im zweiten Quartal 2025 aus. „Besonders betroffen sind Industriezweige, die in Deutschland eine zentrale Rolle spielen.“

• Die Bauindustrie habe weltweit 110 Angriffe verzeichnet, im Maschinen- und Anlagenbau seien 63 Fälle dokumentiert worden. In der Automobilindustrie seien es 38 Angriffe gewesen, in der Chemie 20. Insgesamt sei das produzierende Gewerbe mit 428 Angriffen weltweit am stärksten ins Visier geraten – „und stand damit für 65 Prozent aller dokumentierten Fälle“.

Zusätzlich seien 77 Angriffe auf Transport- und Logistikunternehmen gezählt worden. Im Bereich Industrielle Steuerungssysteme und „Engineering“hätten die Analysten 75 Attacken registriert – „mehr als doppelt so viele wie im ersten Quartal“. Besonders dieser Anstieg betreffe zahlreiche, in diesem Sektor international führende deutsche Unternehmen.

„Qilin“ als aktivste Gruppe der Ransomware-Unterwelt

„Im zweiten Quartal 2025 entwickelte sich ,Qilin’ zur aktivsten Ransomware-Gruppe im Industriesektor“, berichtet Alamri. Die Angreifer hätten 101 dokumentierte Attacken verübt und seien damit für rund 15 Prozent der weltweit bekannten Vorfälle verantwortlich. Im ersten Quartal 2025 habe die Zahl noch bei 21 gelegen. „Qilin“ habe sich damit als führender Akteur nach dem Rückgang etablierter Gruppen wie „LockBit“ und „RansomHub“ positioniert.

• Diese Gruppe betreibe eine Ransomware-as-a-Service-Plattform, über die sie erfahrene „Affiliates“ rekrutiere und unterstütze. „Teil des Angebots sind juristische Beratungsdienste, die Partner bei Verhandlungen stärken, sowie interne Medien- und PR-Teams, die gezielt den öffentlichen Druck auf betroffene Organisationen erhöhen.“

Auch technisch hebe sich „Qilin“ deutlich ab: „Die Gruppe nutzt automatisierte ,Tools’, um gezielt Schwachstellen in Fortinet-Produkten auszunutzen, etwa ,CVE-2024-21762‘ und ,CVE-2024-55591‘.“ Darüber gelinge rascher Zugriff auf interne Netzwerke, was tiefgreifende Angriffe ermögliche. „Für Unternehmen, die stark auf Fortinet-Systeme setzen, entsteht daraus ein erhebliches Risiko!“

Ransomware-Bedrohungslage verschärft sich weiter

Alamri führt aus: „Im März 2025 wurde ,Qilin’ operativ von der nordkoreanischen, staatlich unterstützten Hacker-Gruppe ,Moonstone Sleet’ übernommen. Seitdem steht nicht mehr nur finanzielle Erpressung im Vordergrund.“ Deren Aktivitäten zeigten zunehmend geopolitische Ausrichtung und zielten verstärkt auf Kritische Infrastrukturen (KRITIS).

• Die Zahl der Ransomware-Angriffe in Europa nehme weiter zu und Deutschland sei als industrialisiertes Land besonders häufig betroffen. „Stark im Fokus stehen Angriffe auf zentrale Industriezweige wie Bauwesen, Maschinenbau, Automobilindustrie, Chemie, Logistik und Industrielle Steuerungssysteme.“ Mit „Qilin“ habe sich zudem eine Ransomware-Gruppe etabliert, welche sowohl technisch als auch organisatorisch neue Maßstäbe setze.

Angesichts dieser Entwicklung reiche es nicht aus, sich auf etablierte Standards zu verlassen. Alamri gibt abschließend zu bedenken: „Unternehmen sollten sich bei ihren Verteidigungsstrategien an den ,5 kritischen Maßnahmen’ des SANS Institute orientieren!“ Dieser Rahmen helfe dabei, „Incident Response“, Architektur, Sichtbarkeit, Fernzugriff und Schwachstellen-Management systematisch umzusetzen. „So entsteht bereits in frühen Reifegraden eine belastbare Grundlage für Resilienz gegenüber Bedrohungen, die zunehmend industrielle Schlüsselbranchen und Kritische Infrastrukturen ins Visier nehmen.“

Weitere Informationen zum Thema:

DRAGOS
Our Mission: “To safeguard civilization from those trying to disrupt the industrial infrastructure we depend on every day.“

DRAGOS
Abdulrahman H. Alamri / Abdulrahman H. Alamri is a Senior Intel Analyst II at Dragos. He holds a master’s degree in Cybersecurity and previously worked with the Saudi National Cybersecurity Authority (NCA) as a tactical threat intelligence team lead.

DRAGOS, Abdulrahman H. Alamri & Lexie Mooney, 14.08.2025
Dragos Industrial Ransomware Analysis: Q2 2025

DIGITAL BUSINESS, Stefan Girschner, 15.05.2025
Cyberangriffe Angriffstechniken: Die fünf gefährlichsten Vektoren

datensicherheit.de, 02.10.2025
Acronis: Ransomware dominiert Bedrohung im European Cybersecurity Month 2025 / Die Notwendigkeit des „European Cybersecurity Month“ unterstreichen laut Acronis aktuelle eigene Erkenntnisse – in der ersten Jahreshälfte 2025 blieb Ransomware weltweit die dominierende Bedrohung…

datensicherheit.de, 13.08.2025
Laut Veeam-Ransomware-Bericht für das zweite Quartal 2025 Zunahme der Attacken und Lösegeldzahlungen / Das zweite Quartal 2025 markiert einen Wendepunkt bei Ransomware, da gezieltes Social-Engineering und Datenexfiltration bei Hackern nun die methodische Erstwahl sind

datensicherheit.de, 02.03.2025
Darktrace Threat Report 2024: Malware-as-a-Service eine zunehmende Bedrohung / Malware-as-a-Service inzwischen für mehr als die Hälfte aller Cyber-Angriffe auf Unternehmen verantwortlich

[datensicherheit.de, 18.08.2025] „Industrieanlagen und Kritische Infrastrukturen stehen weltweit vor einer massiven, oft unterschätzten Gefahr“, warnt Kai Thomsen, „Director of Global Incident Response Services“ bei Dragos, in seiner aktuellen Stellungnahme und bezieht sich auf den nun vorliegenden „2025 OT Security Financial Risk Report“ von Dragos und Marsh McLennan: Dieser zeigt demnach erstmals mithilfe statistischer Modelle berechnet das finanzielle Risiko von OT-Cybervorfällen auf – und welche Sicherheitsmaßnahmen den größten Schutz auch gegen finanzielle Schäden bieten. „Er ist damit ein zentrales Werkzeug für Unternehmensleitungen, Versicherer und Sicherheitsteams.“

Foto: Dragos

Kai Thomsen: „2025 OT Security Financial Risk Report“ ist ein zentrales Werkzeug für Unternehmensleitungen, Versicherer und Sicherheitsteams

70% der Schäden als indirekte Folgen wie Produktionsausfälle oder gestörte Lieferketten

„Dem Bericht zufolge entfallen bis zu 70 Prozent der Schäden auf indirekte Folgen wie Produktionsausfälle oder gestörte Lieferketten“, berichtet Thomsen. Diese Faktoren würden in klassischen Risikomodellen meist nicht berücksichtigt.

In einem extremen, aber plausiblen Szenario (ein „1-in-250-Jahre-Ereignis“) könnte das weltweite finanzielle Risiko 329,5 Milliarden US-Dollar betragen, davon 172,4 Milliarden allein durch Betriebsunterbrechungen.

SANS-Maßnahmen: 3 Schritte mit größter Wirkung zur Minimierung von Risiken und Vermeidung von Schäden

Mit der Zunahme spezialisierter OT-Malware und verschärfter Vorschriften wie der EU-Richtlinie NIS-2 wachse der Handlungsdruck. Die „kritischen Maßnahmen“ des SANS Institute böten eine erprobte Grundlage, um Investitionen gezielt und messbar risikosenkend einzusetzen. Diese seien bei Versicherern, „Compliance“-Teams und Entscheidungsträgern anerkannt.

Die Analyse nennt drei besonders wirkungsvolle Schritte zur Risikoreduktion:

• „Incident Response“-Plan: bis zu 18,5 %
• Verteidigungsfähige Architektur: 17,09 %
• Netzwerksichtbarkeit und -überwachung für „Industrial Control Systems“ (ICS): 16,47 %

Fehlende Kennzahlen hemmen Investitionen

Trotz steigender Angriffszahlen und wachsender Aufmerksamkeit auf Führungsebene gelinge es vielen Organisationen branchenübergreifend nicht, OT-spezifische Cyberrisiken wirksam zu managen oder abzusichern.

Der Bericht erkenne dabei drei zentrale Herausforderungen: Unklare finanzielle Folgen, nicht messbarer ROI und fehlende Priorisierungsgrundlagen. „Der Bericht schließt diese Lücken, indem er reale Finanzdaten mit OT-spezifischen Sicherheitskontrollen verknüpft und so eine gemeinsame Entscheidungsbasis für Führungskräfte, Risikomanager und Versicherer schafft“, kommentiert Thomsen abschließend.

Weitere Informationen zum Thema:

DRAGOS
About Dragos

DRAGOS
The 2025 OT Security Financial Risk Report / A first-of-its-kind analysis by Marsh McLennan reveals operational technology (OT) cyber threats pose hundreds of billions in annual financial risk globally and delivers industry-by-industry insights on which sectors are most at risk.

DRAGOS
Kai Thomsen – Director, Global Incident Response Services

SANS
About SANS Institute

datensicherheit.de, 22.04.2025
Neue Bundesregierung in der Pflicht: KRITIS müssen jetzt geschützt werden / TÜV NORD nimmt Stellung und erinnert an das „KRITIS-Dachgesetz“

datensicherheit.de, 20.04.2025
Kritische Infrastrukturen: Jede zweite Organisation unzureichend vor Cyber-Attacken in der Lieferkette geschützt / Erkenntnisse aus aktueller „DNV Cyber-Studie“ legen verstärkten Fokus auf Lieferanten nahe

datensicherheit.de, 11.02.2025
KRITIS immer öfter im Visier Cyber-Krimineller / Frank Lange: Höchte Zeit für einen strategischen Ansatz in der KRITIS-Cyber-Sicherheit

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

datensicherheit.de, 26.11.2024
Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen / Holger Fischer erörtert Schutz vor nur vermeintlich simpler Angriffsmethode per USB

datensicherheit.de, 07.11.2024
KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf / Laut Bitkom in Fragen der Sicherheit keine Trendwende – 86 Prozent der KRITIS-Unternehmen in den vergangenen zwölf Monaten von analogen oder digitalen Angriffen betroffen

[datensicherheit.de, 11.07.2025] Offenkundig gehört Ransomware inzwischen zu den häufigsten, folgenschwersten und hartnäckigsten Bedrohungen, mit denen Unternehmen weltweit konfrontiert werden. „Die Angreifer gehen heute immer gezielter, ausdauernder und strategischer vor“, berichtet Abdulrahman H. Alamri, „Principal Threat Intelligence Analyst“ bei Dragos. Das wachsende Risiko betreffe besonders Industrieunternehmen auf der ganzen Welt. Die „Industrial Ransomware Analysis Q1“ von Dragos liefere nun fundierte Einblicke in diese anhaltenden Gefahren und zeige wichtige Entwicklungen, regionale Besonderheiten sowie jene durch die weltweite Bedrohungsbeobachtung erkannten Schwachstellen einzelner Branchen auf.

Deutschland weiterhin ein Ransomware-Hauptziel in Europa

Im ersten Quartal 2025 beobachtete Dragos demnach 708 Ransomware-Angriffe auf Industrieunternehmen weltweit. „Das entspricht einem deutlichen Anstieg im Vergleich zu rund 600 Fällen im vierten Quartal 2024. Nordamerika bleibt mit 413 gemeldeten Vorfällen, was etwa 58 Prozent aller weltweiten Aktivitäten ausmacht, die am stärksten betroffene Region.“ Europa folge mit 102 bis 135 Angriffen (etwa 19%), wobei Deutschland weiterhin zu den Hauptzielen zähle.

• Dieser Anstieg verdeutliche die zunehmende Häufigkeit und Komplexität von Ransomware-Angriffen, welche vor allem Branchen wie Fertigung, Transport, Industrielle Steuerungssysteme (ICS) und Maschinenbau träfen. Alamri führt aus: „Auch wenn viele der eingesetzten Techniken nicht neu oder besonders ausgefeilt sind, fallen Ransomware-Angriffe aufgrund ihrer gezielten Vorgehensweise, ihrer nachhaltigen Wirkung und ihrer wachsenden Verbreitung durch immer raffiniertere Akteure klar in die Kategorie der sogenannten ,Advanced Persistent Threats’ (APT).“

Mit 68 Prozent sei der Fertigungssektor im ersten Quartal 2025 weiterhin am stärksten betroffen gewesen, auch wenn der Anteil leicht unter den 70 Prozent im vierten Quartal 2024 liege. „Industrieunternehmen, die eine Schlüsselrolle in globalen Lieferketten und Infrastrukturen spielen, sind besonders gefährdet, da Ransomware-Gruppen ihre Taktiken stetig weiterentwickeln“, warnt Alamri.

Ransomware-Vorfälle zeigen auf, wie der Betrieb und die Lieferketten von Industrieunternehmen beeinträchtigt werden können

Die zunehmende Vernetzung von IT und OT verstärke die betrieblichen Folgen zusätzlich, da sich IT-Störungen direkt auf operative Prozesse auswirken könnten. Zudem setzten Angreifer vermehrt auf irreführende Erpressungsmethoden, was die Verteidigung zusätzlich erschwere.

• So machten sie häufig unbegründete Behauptungen über angebliche Sicherheitsvorfälle und übten psychologischen Druck aus, etwa durch das erneute Veröffentlichen veralteter oder gefälschter Datenlecks. „Diese Täuschungen behindern nicht nur die Reaktion auf Vorfälle, sondern erschweren auch die Überprüfung und belasten die betroffenen Unternehmen erheblich“, kommentiert Alamri.

Zwar habe Dragos in diesem Zeitraum keine neuen Ransomware-Varianten identifiziert, „die speziell auf ICS-Umgebungen abzielen“, doch schwere Vorfälle wie der Angriff auf Unimicron – einen führenden Hersteller von Leiterplatten – zeigten, wie stark Ransomware den Betrieb und die Lieferketten von Industrieunternehmen beeinträchtigen könne.

Trends, Muster und Beobachtungen zu Ransomware-Gruppen im ersten Quartal 2025

Im ersten Quartal 2025 hätten Ransomware-Gruppen ihre Taktiken weiter verfeinert. „Neben etablierten Akteuren traten auch neue Gruppen in Erscheinung, die unter anderem KI-gestützte Schadsoftware und ausgeklügelte Methoden zur Umgehung von EDR-Systemen einsetzten.“

• Ihre Angriffe hätten sich gezielt gegen Schwachstellen in IT-Infrastrukturen gerichtet, wie etwa in „Cleo“-Dateiübertragungsplattformen, Fernzugriffsanwendungen oder veralteter Software. „Hinzu kamen Versäumnisse beim Schutz von Remote-Zugängen, ein mangelhafter Umgang mit Anmeldedaten und Sicherheitslücken entlang der Lieferkette“, so Alamri. Diese Faktoren hätten zu erheblichen Störungen geführt und eine schnelle und koordinierte Reaktion auf die Angriffe erschwert.

Um dieser dynamischen Bedrohungslage wirksam zu begegnen, brauche es vorausschauende Sicherheitsstrategien, eine schnelle Erkennung verdächtiger Aktivitäten und kontinuierlich weiterentwickelte Schutzmaßnahmen. Dazu zählten der breite Einsatz robuster Multi-Faktor-Authentifizierung (MFA), die kontinuierliche Überwachung sensibler Netzwerkbereiche, zuverlässige Offline-Backups sowie ein sicherer und kontrollierter Fernzugriff.

Eigene Resilienz gegenüber wachsenden Bedrohungen hochentwickelter Ransomware-Gruppen stärken

Abschließend rät Alamri: „Ergänzend sollten Unternehmen ihre Mitarbeitenden gezielt schulen, ihre Netzwerkarchitektur regelmäßig überprüfen und moderne Erkennungssysteme einsetzen, die auch KI-gestützte Angriffsformen erkennen!“

• Er erläutert: „Da sich das Ransomware-Ökosystem zunehmend ausdifferenziert und dynamisch an neue Bedingungen anpasst, gewinnt die frühzeitige Erkennung von Bedrohungen, der zeitnahe Informationsaustausch und eine koordinierte Reaktion auf Angriffe enorm an Bedeutung.“ Nur durch ein entschlossenes und abgestimmtes Vorgehen ließen sich Kritische Infrastrukturen (Kritis) und industrielle Abläufe wirksam schützen.

Unternehmen müssten vor allem die Risiken der IT-OT-Konvergenz aktiv angehen, Schwachstellen in der Lieferkette absichern und Meldeprozesse für sicherheitsrelevante Vorfälle weiterentwickeln. „Wer hier systematisch ansetzt, stärkt die eigene Resilienz gegenüber den wachsenden Bedrohungen durch hochentwickelte Ransomware-Gruppen.“

Weitere Informationen zum Thema:

DRAGOS, The Dragos Blog, Abdulrahman H. Alamri & Lexie Mooney, 21.05.2025
Dragos Industrial Ransomware Analysis: Q1 2025

DRAGOS
Abdulrahman H. Alamri / Senior Intel Analyst II

datensicherheit.de, 18.06.2025
Bedrohung durch Ransomware: Sich tot zu stellen kennzeichnet Verlierer / Im Kampf gegen Ransomware-Attacken können es sich Unternehmen nicht mehr leisten, auf der Stelle zu treten

datensicherheit.de, 08.06.2025
Jährlich droht die Ransomware: eco fordert konsequente Cyberresilienz-Strategien / Laut „Bundeslagebild Cybercrime 2024“ des BKA bleibt Ransomware die größte Bedrohung für Unternehmen und KRITIS

datensicherheit.de, 14.05.2025
Ransomware Reloaded: 2025 droht das bisher gefährlichste Jahr zu werden / „Ransomware war noch nie so aggressiv, anpassungsfähig oder trügerisch!“, warnt Marco Eggerling in seinem Kommentar zum diesjährigen „Anti-Ransomware-Tag“

datensicherheit.de, 20.04.2025
Ransomware-Angriffe: Neue Studie zeigt alarmierendes Ausmaß / Object First nimmt Stellung zu Ransomware-Angriffen auf Unternehmen in Nordamerika, Großbritannien und Deutschland

[datensicherheit.de, 07.04.2025] Die Öl- und Gasindustrie ist als Kritische Infrastruktur (KRITIS) offensichtlich auf OT-Systeme angewiesen, um effiziente und sichere Abläufe zu gewährleisten. Doch mit fortschreitender Digitalisierung wächst auch für sie die Gefahr von Cyber-Angriffen. Jan Hoff, „Principal Industrial Incident Responder“ bei Dragos, führt hierzu in seiner aktuellen Stellungnahme warnend aus: „Angreifer entwickeln ständig neue Methoden, um in OT-Umgebungen einzudringen. Ohne effektive Cyber-Sicherheitsmaßnahmen drohen Datenschutzverletzungen, Betriebsunterbrechungen, finanzielle Verluste und sogar Sach- oder Personenschäden.“ Um diesen Risiken zu begegnen und sie gezielt abzuwehren, sollten Unternehmen die größten Cyber-Bedrohungen für die Branche kennen:

1. große Cyber-Bedrohung: Sicherheitsrisiken durch Fernzugriff auf OT-Netzwerke

„Schwachstellen in Fernzugriffstechnologien, wie VPNs und exponierte RDP-Dienste, stellen eine erhebliche Gefahr für OT-Netzwerke dar.“ Angreifer nutzten nämlich unzureichende Sicherheitsmaßnahmen aus, um Systeme zu manipulieren, Daten zu stehlen und Betriebsabläufe zu stören.

Unternehmen sollten daher eine Multi-Faktor-Authentifizierung (MFA) einführen, regelmäßig Updates und Sicherheitspatches durchführen und alle Zugriffsaktivitäten kontinuierlich überwachen. „So lassen sich Bedrohungen frühzeitig erkennen und abzuwehren.“

2. große Cyber-Bedrohung: Ransomware Angriffe

„Ransomware gehört zu den größten Bedrohungen für IT- und OT-Systeme. Während herkömmliche Angriffe Daten verschlüsseln und Lösegeld fordern, zielen neuere Varianten gezielt auf OT-Systeme ab und können den Betrieb beeinträchtigen und Daten extrahieren.“ Ein wirksamer Schutz erfordere einen mehrschichtigen Ansatz: „Unternehmen sollten einen Incident-Response-Plan entwickeln, Wiederherstellungsverfahren testen und Backups sicher speichern.“

Zudem helfe eine strikte Netzwerksegmentierung, die Ausbreitung von Ransomware zwischen IT- und OT-Systemen zu verhindern. Deutschland war demnach neben dem Vereinigten Königreich und Italien eines der am stärksten von Ransomware-Angriffen betroffenen Länder in Europa.

3. große Cyber-Bedrohung: Angriffe auf die OT-„Cloud“

Mit der zunehmenden Migration von Teilen der OT-Systeme in die „Cloud“ steige das Risiko gezielter Cyber-Angriffe: „Angreifer nutzen gezielt Schwachstellen aus, um Zugriff auf sensible Daten und Systeme zu erlangen.“

Unternehmen sollten daher regelmäßige Sicherheitsüberprüfungen durchführen, ihre „Cloud“-Umgebung kontinuierlich überwachen und strenge Zugangskontrollen implementieren. „Eine durchgehende Verschlüsselung sensibler Daten schützt sowohl während der Übertragung als auch bei der Speicherung vor unbefugtem Zugriff.“

4. große Cyber-Bedrohung: Kompromittierung der Lieferkette

Angreifer nutzten Sicherheitslücken in der Lieferkette, um sich über Drittanbieter Zugang zu OT-Netzwerken zu verschaffen. „Kompromittierte Software, unsichere Hardware oder Schwachstellen in der Kommunikation können Kritische Infrastrukturen gefährden, wenn es keine strengen Sicherheitsmaßnahmen für externe Partner gibt.“

Unternehmen sollten daher klare Sicherheitsanforderungen für Lieferanten definieren, regelmäßige Prüfungen durchführen und Zugriffsrechte streng kontrollieren, um unbefugte Aktivitäten zu verhindern.

5. große Cyber-Bedrohung: Cyber-Sicherheitsrisiken bei Joint Ventures

„Gemeinsame Projekte und Kooperationen in der Öl- und Gasindustrie fördern Innovation, können aber auch erhebliche Cyber-Risiken mit sich bringen.“ Ohne strikte Zugriffskontrollen der Partner und eine entsprechende Netzwerksegmentierung könnten Angreifer sich lateral durch verbundene Netzwerke bewegen und sensible Systeme gefährden.

Unternehmen sollten daher klare Vereinbarungen zur Sicherheit haben, Netzwerke segmentieren und durch kontinuierliche Überwachung sowie regelmäßige Prüfungen Anomalien frühzeitig erkennen.

Resilienz von Unternehmen gegen Cyber-Angriffe stärken

Ein umfassendes Verständnis der Bedrohungslage und gezielte Schutzmaßnahmen seien entscheidend, um die Resilienz von Unternehmen gegen Cyber-Angriffe zu stärken. „Durch proaktive Bedrohungsanalysen, ein effektives Schwachstellen-Management und mehr Transparenz über die eigenen OT-Ressourcen können Öl- und Gasunternehmen das Risiko von Angriffen erheblich reduzieren.“

Der „Global Oil and Gas Threat Perspective“-Bericht von Dragos WorldView soll tiefgehende Einblicke in aktuelle Bedrohungen für den Öl- und Gassektor sowie konkrete Handlungsempfehlungen liefern: Er steht vollständig zum Download bereit und enthält weiterführende Informationen sowie detaillierte Handlungsempfehlungen.

Weitere Informationen zum Thema:

DRAGOS
THREAT REPORT: Global Oil & Gas Threat Perspective

DRAGOS
Cyber Threat Intelligence / OT cyber threats are rising as digitalization expands the attack surface. OT-specific threat intelligence is crucial since IT security alone doesn’t address OT’s unique vulnerabilities and threats.

DRAGOS, Abdulrahman H. Alamri & Lexie Mooney, 12.17.2024
Dragos Industrial Ransomware Analysis: Q3 2024

datensicherheit.de, 30.03.2025
ICS/OT Cybersecurity Budget Report 2025: Über 50 Prozent der Befragten fühlen sich bedroht / Neue ICS/OT-Studie von OPSWAT und SANS Institute zeigt auf, dass trotz steigender Security-Budgets Investitionen auf traditionelle Geschäftssysteme fokussiert bleiben

datensicherheit.de, 27.03.2025
OT/ICS-Cybersicherheit: Wachsende Bedrohungslandschaft für Unternehmen weltweit / Annual Report 2024 von TXOne Networks veröffentlicht / Dringende Maßnahmen zum Schutz der industriellen Abläufe

datensicherheit.de, 25.02.2025
Dragos: Starker Anstieg von OT/ICS-Cyberbedrohungen / Gründe sind geopolitischer Konflikte und wachsende Anzahl von Ransomware-Angriffen / Die achte jährliche Ausgabe des Year in Review Reports stellt zwei neue OT-Cyberbedrohungsgruppen vor

[datensicherheit.de, 19.12.2024] Im Jahr 2025 wird die Cyber-Sicherheit auf dem Gebiet der „Operational Technology“ (OT) nach Einschätzung von Phil Tonkin, „Field CTO“ von Dragos, eine Schlüsselrolle beim Schutz Industrieller Umgebungen und Kritischer Infrastrukturen (KRITIS). In seiner aktuellen Stellungnahme warnt er: „Die zunehmende Vernetzung durch die Digitale Transformation legt Sicherheitslücken in OT-Systemen offen, die oft ohne Berücksichtigung moderner Bedrohungen entwickelt wurden.“

Foto: Dragos

Laut Phil Tonkins Prognose wird 2025 voraussichtlich die Cyber-Sicherheit der OT als unverzichtbarer Standard in der Industrie etabliert

Zunahme der Bedrohungen für OT-Systeme

Tonkin erläutert hierzu: „Bedrohungen wie die ,FrostyGoop’-Malware, die Heizsysteme in der Ukraine außer Gefecht setzte, oder ,PIPEDREAM’, eine skalierbare ICS-Malware, verdeutlichen die Risiken.“

Anders als auf dem Gebiet der regulären IT, wo es um den Schutz von Daten gehe, konzentriere sich die OT-Sicherheit auf die Aufrechterhaltung physischer Prozesse und die Vermeidung von Ausfällen.

OT-Sicherheits-Strategien für eine resilientere Zukunft

Unternehmen würden zunehmend die Notwendigkeit spezialisierter Ansätze erkennen. In diesem Zusammenhang benennt Tonkin zentrale Maßnahmen für 2025:

Entwicklung eines Incident-Response-Plans für ICS (Internal Control System)
Dieser Plan sollte zentrale Kontakte, die Kompetenzen der Mitarbeiter an den jeweiligen Standorten sowie Eskalationsrichtlinien und Handlungsschritte für verschiedene Szenarien enthalten. Anschließend könne der Plan durch „Tabletop“-Simulationen verfeinert werden.

Verteidigungsfähige Architekturen
Segmentierte Netzwerke und sichere Protokolle schützten OT-Systeme vor Angriffen und ermöglichten eine schnelle Wiederherstellung im Falle von Vorfällen, wodurch die Angriffsfläche effektiv minimiert werde.

ICS-Netzwerktransparenz
Die vollständige Transparenz aller Geräte und Aktivitäten in OT-Netzwerken helfe, Anomalien frühzeitig zu erkennen. Transparenz sei entscheidend, um Sicherheitslücken zu schließen.

Sicherer Fernzugriff
Der Hauptfokus sollte auf den Verbindungen in und aus dem OT-Netzwerk liegen und nicht auf dem internen Netzwerkverkehr – beispielsweise mit Multi-Faktor-Authentifizierung (MFA).

Risikobasiertes Schwachstellenmanagement
Ein effektives Programm zum Schwachstellenmanagement in OT-Netzwerken sorge für eine rechtzeitige Erkennung relevanter Schwachstellen, genaue Risikobewertungen und Strategien zur Risikominderung, um die Gefährdung zu minimieren und gleichzeitig den Betrieb aufrechtzuerhalten.

OT- wie IT-Sicherheit als Führungsaufgabe

Tonkin betont abschließend: „Cyber-Sicherheit ist mehr als nur eine technische Herausforderung – sie erfordert das aktive Engagement der Unternehmensführung. Wer OT-Sicherheit priorisiert, stärkt die Resilienz seines Betriebs und bleibt wettbewerbsfähig.“

2025 werde voraussichtlich das Jahr, in dem die Cyber-Sicherheit der OT „als unverzichtbarer Standard in der Industrie etabliert wird“. Unternehmen, welche frühzeitig handelten, profitierten von erhöhter Sicherheit, wirtschaftlicher Stabilität und einem langfristigen Wettbewerbsvorteil.

Weitere Informationen zum Thema:

datensicherheit.de, 03.12.2024
Industrie-Umgebungen: Cyber-Sicherheit trotz OT mit Alt-Systemen / Alt-Systeme in OT-Umgebungen weisen zwar Schwachstellen auf, können aber dennoch geschützt werden

datensicherheit.de, 26.11.2024
Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen / Holger Fischer erörtert Schutz vor nur vermeintlich simpler Angriffsmethode per USB