Thought Leadership
Cyberbedrohungen für industrielle Anlagen und kritische Infrastrukturen haben im Jahr 2025 deutlich an Intensität und Professionalität gewonnen.
Zu diesem Ergebnis kommt der aktuelle Jahresbericht des US-Sicherheitsunternehmens Dragos. Die Analyse zeigt, dass Angreifer längst nicht mehr nur Informationen sammeln, sondern gezielt operative Störungen herbeiführen – mit potenziell physischen Folgen für Energieversorgung, Produktion und öffentliche Infrastruktur.
Von der Aufklärung zur gezielten Sabotage
Laut dem Bericht beobachten die Analysten eine strategische Weiterentwicklung vieler Gruppen. Statt einzelne Geräte ins Visier zu nehmen, erfassen Angreifer zunehmend komplette industrielle Steuerungssysteme. Dabei analysieren sie detailliert, wie Prozesse gesteuert werden, welche Komponenten miteinander verbunden sind und an welchen Punkten sich physische Effekte auslösen lassen.
Ein Beispiel dafür sind Angriffe auf Energieanlagen in Osteuropa sowie systematische Erkundungen von Industrieumgebungen in den USA. Gruppen wie ELECTRUM und KAMACITE haben demnach nicht nur IT-Systeme kompromittiert, sondern gezielt Regelkreise, Steuerungseinheiten und Kommunikationsmodule untersucht. Ziel ist es offenbar, operative Eingriffe vorzubereiten.
Neue Akteure auf dem Spielfeld
Dragos identifizierte 2025 drei zusätzliche OT-Angreifergruppen und verfolgt nun weltweit insgesamt 26 relevante Akteure. Einige dieser Gruppen agieren arbeitsteilig: Während eine Einheit erste Zugänge beschafft, übernehmen spezialisierte Teams die weitere Ausbreitung in operative Netzwerke.
So fungiert SYLVANITE als sogenannter Initial Access Broker und verschafft Dritten Zugang zu sensiblen Umgebungen. AZURITE konzentriert sich auf langfristige Spionage in industriellen Netzwerken und stiehlt unter anderem technische Dokumentationen und Prozessdaten. PYROXENE wiederum kombiniert Lieferkettenangriffe mit Social Engineering und brachte in einem regionalen Konflikt sogar zerstörerische Wiper-Malware zum Einsatz.
Ransomware trifft die Industrie besonders hart
Neben staatlich oder geopolitisch motivierten Akteuren bleibt Ransomware die größte Bedrohung für Industrieunternehmen. Dragos beobachtete 2025 einen deutlichen Anstieg der aktiven Gruppen. Weltweit waren tausende Organisationen betroffen, insbesondere aus der Fertigungsbranche.
Auffällig ist die lange Verweildauer solcher Angriffe in OT-Umgebungen. Im Durchschnitt blieben Schadprogramme mehrere Wochen unentdeckt. Ein Grund dafür ist laut Bericht die verbreitete Fehleinschätzung, OT-Vorfälle seien primär IT-Probleme, insbesondere wenn betroffene Systeme wie Engineering-Workstations auf Windows basieren.
Positiv bewertet Dragos, dass Unternehmen mit umfassender Transparenz in ihren OT-Netzen deutlich schneller reagieren konnten. Wer über kontinuierliche Überwachung und klare Erkennungsmechanismen verfügt, konnte Vorfälle erheblich früher eindämmen als der Branchendurchschnitt.
Gleichzeitig warnt das Unternehmen vor wachsenden Risiken durch neue Technologien. Der Ausbau dezentraler Energiesysteme, Batteriespeicher oder KI-gestützter Steuerungen vergrößere die Angriffsfläche erheblich, wenn keine durchgängige Überwachung etabliert ist.
Schwachstellenmanagement mit Defiziten
Ein weiteres Problemfeld ist die Bewertung industrieller Schwachstellen. Ein erheblicher Teil der veröffentlichten Sicherheitsmeldungen wies laut Analyse fehlerhafte Risikobewertungen auf oder enthielt keine konkreten Abhilfemaßnahmen. Nur ein sehr kleiner Anteil der bekannten ICS-Schwachstellen erforderte tatsächlich sofortiges Handeln – was eine präzise Priorisierung umso wichtiger macht.
Besonders kritisch stuft Dragos frei erreichbare Industriekomponenten ein, etwa internetzugängliche Energiespeicher oder Wechselrichter mit hoher Leistungskapazität. Solche Systeme können im Extremfall direkte Auswirkungen auf Stromnetze haben.
Für Betreiber kritischer Infrastrukturen und Industrieunternehmen bedeutet das: Ohne kontinuierliche Transparenz in OT-Umgebungen und klare Priorisierung von Risiken wächst die Gefahr, dass digitale Angriffe reale, physische Folgen nach sich ziehen.
