Thought Leadership
Cato Networks deckt globale Cyberangriffe auf industrielle Steuerungen auf. Das veraltete Modbus-Protokoll ermöglicht Hackern den Zugriff auf kritische Anlagen.
Experten von Cato Networks haben über einen Zeitraum von drei Monaten eine koordinierte Welle von Cyberaktivitäten beobachtet, die gezielt auf industrielle Steuercomputer (PLC) abzielen. Zwischen September und November 2025 identifizierten die Forscher Dr. Guy Waizel und Jakub Osmani insgesamt 14.426 angegriffene IP-Adressen in 70 verschiedenen Ländern. Diese Entwicklung ist besonders für hochindustrialisierte Nationen besorgniserregend, da Deutschland in der Liste der am häufigsten attackierten Ziele unter den Top 10 rangiert.
Cyberangriffe: Staudamm über einfachen Laptop manipulieren
Im Mittelpunkt der Bedrohung steht das Modbus-Kommunikationsprotokoll. Ursprünglich wurde dieses Protokoll in den späten 1970er Jahren für isolierte industrielle Umgebungen entwickelt. In einer Zeit vor dem Internet war es für vertrauenswürdige interne Netzwerke konzipiert, was bedeutet, dass Sicherheitsmechanismen wie Verschlüsselung oder Authentifizierung von vornherein fehlten. Wenn ein Modbus-fähiger PLC heute direkt mit dem öffentlichen Internet verbunden wird, entsteht eine gefährliche Angriffsfläche. Jede Person, die das Protokoll beherrscht, kann theoretisch Befehle an die Maschine senden, als wäre sie ein autorisierter Operator.
Um die realen Gefahren zu verdeutlichen, führten die Spezialisten von Cato Networks eine Simulation auf Basis des Open-Source-Projekts Wildcat-Dam durch. Dabei gelang es ihnen, einen Staudamm über einen einfachen Laptop zu manipulieren. Die Hacker konnten zunächst den Hersteller und das Modell des PLCs identifizieren und anschließend Schreibbefehle senden, um die Schwellenwerte für den Wasserstand zu verändern. Das Ergebnis war eine künstliche herbeigeführte Überflutungssituation, da die Steuerlogik des Damms durch die manipulierten Registerwerte außer Kraft gesetzt wurde. Sogar die physischen Tore des Damms ließen sich aus der Ferne öffnen oder schließen, was in der Realität verheerende Auswirkungen auf Mensch und Umwelt hätte.
235.000 Anfragen, Daten zu extrahieren
Die beobachteten Angriffsmuster lassen sich in fünf verschiedene Kategorien unterteilen, die von einfacher Erkundung bis hin zu kritischen Manipulationsversuchen reichen. Ein Großteil der Aktivitäten bestand aus automatisierten Lesevorgängen. Dabei versuchten Hacker, Daten aus den sogenannten Halteregistern zu extrahieren, um Informationen über den Prozesszustand oder die Konfiguration zu erhalten. Über 235.000 solcher Anfragen wurden im Beobachtungszeitraum registriert.
Ein zweites Muster war das sogenannte Fingerprinting. Hierbei nutzen die Hacker Skripte, um gezielt Metadaten wie Anbieter, Produktname und Version des Geräts abzufragen. Sobald diese Informationen vorliegen, können herstellerspezifische Schwachstellen oder bekannte Registerbereiche gezielter attackiert werden. In einigen Fällen beobachteten die Forscher zudem hochfrequente Massenlesevorgänge, die an eine Denial-of-Service-Attacke (DoS) erinnern. Durch die Flutung des PLCs mit Anfragen kann die CPU der Steuerung überlastet werden, was zu Ausfällen in der Prozesssteuerung führt.
Besonders kritisch bewerten die Experten die systematischen Schreibzugriffe. Es wurden über 3.000 Schreibanforderungen identifiziert, die immer bei einer spezifischen Registeradresse begannen. Solche automatisierten Schreibversuche zielen direkt darauf ab, die physische Welt zu beeinflussen, indem sie beispielsweise Motorsteuerungen ändern oder Sicherheitsgrenzwerte löschen. Interessanterweise konnten einige dieser spezialisierten Erkundungsmethoden geografisch nach China zurückverfolgt werden, wobei die genaue Identität der Akteure oft hinter einer rotierenden Infrastruktur aus Proxys oder kompromittierten Hosts verborgen bleibt.
Deutschland weltweit auf Platz 8
Die geografische Verteilung der Ziele zeigt eine klare Konzentration auf Regionen mit hoher Industriedichte. Die USA führen die Liste an, gefolgt von Frankreich und Japan. Zusammen repräsentieren diese drei Länder 61 Prozent der angegriffenen IP-Adressen. Deutschland befindet sich auf Platz 8. Regional betrachtet liegt Amerika mit 48 Prozent vorne, gefolgt von Europa mit 28 Prozent und Asien mit 23 Prozent.
Bei der Analyse der betroffenen Branchen steht die Fertigungsindustrie mit 18 Prozent an der Spitze. Dies ist wenig überraschend, da Modbus-Geräte hier das Rückgrat der Produktion bilden. Aber auch das Gesundheitswesen, das Bauwesen sowie Transport- und Finanzunternehmen wurden Opfer der Sondierungsversuche. Sogar staatliche Einrichtungen, insbesondere Kommunen, gerieten ins Visier. Dies unterstreicht, dass Hacker keine spezifischen Branchen bevorzugen, sondern opportunistisch nach jeder erreichbaren Steuerung suchen, die ohne Schutzmaßnahmen am Netz hängt.
Die Schlussfolgerung der Sicherheitsexperten: Modbus-Geräte dürfen niemals direkt dem öffentlichen Internet ausgesetzt werden. Wo eine Erreichbarkeit aus der Ferne zwingend erforderlich ist, müssen strikte Sicherheitsarchitekturen implementiert werden. Dazu gehört vor allem eine konsequente Netzwerksegmentierung, um die Betriebstechnologie (OT) von der normalen IT-Infrastruktur und dem Internet zu isolieren. Strenge Zugriffskontrollen und moderne Bedrohungsschutzlösungen können zudem dabei helfen, sowohl frühe Sondierungsversuche als auch schädliche Schreibbefehle in Echtzeit zu erkennen und zu blockieren.
