5 harte OT-Cybersicherheitslektionen, die uns das Jahr 2025 gelehrt hat (und was Sie dagegen tun sollten)

Herzlichen Glückwunsch, wir haben es bis November geschafft und 3i Atlas hat noch nichts getan, das unsere planetaren Verteidigungen ausgelöst hat. Obwohl es die Farbe ändert und einige bemerkenswerte Dinge tut, hat der interstellare Reisende uns bisher noch keine Sonden oder Rover gezeigt. Also gibt es noch keinen Grund zur Sorge, oder so können wir annehmen.

Da wir uns dem Endspurt des Jahres 2025 nähern, ist es Zeit für einen schnellen Gesundheitscheck. Wenn 2024 das Jahr war, in dem wir öffentlich über OT-Sicherheit zu sprechen begannen, war 2025 das Jahr, in dem es ernst wurde – und wir haben immer noch einen ganzen Monat vor uns.

Erinnern Sie sich an die einfachen, theoretischen Bedrohungen, vor denen wir auf Konferenzen gewarnt wurden? Sie sind nicht mehr theoretisch. In diesem Jahr fielen die Handschuhe mehr oder weniger. Wir beobachteten, wie Angreifer alarmierend schnell reagierten, indem sie das Verhalten der Mitarbeiter manipulierten – von einfachen IT-Netzwerkverletzungen bis zu realen, physischen Störungen.

Was ist also die größte Lektion, die wir aus 2025 gelernt haben? Wenn ich es zusammenfassen muss, sind hier die zwei umfassenden Lektionen.

·         Sie müssen wissen, was in Ihren OT-Netzwerken passiert (einschließlich dessen, was Ihre Assets tun), und

·         Das Bewusstsein der Mitarbeiter für OT-Sicherheit ist kein ritualisiertes Bedürfnis mehr.

Das Überraschende ist, dass die Raffinesse von Malware in diesem Jahr nicht außergewöhnlich gestiegen ist (im Gegensatz zu 2024, wo KI-codierte Malware und Varianten schneller eingeführt wurden als Gammastrahlenemissionen eines Neutronensterns). Dennoch wurden viele Eigentore geschossen, dank einiger Sicherheitslücken. Wir müssen wissen, was diese sind und handeln, um sie zu beheben, damit wir für 2026 gerüstet sind.

Seien wir ehrlich. Gehen wir in die Tiefe. Hier sind die fünf größten Lektionen, die wir alle in diesem Jahr lernen mussten.

Bevor wir eintauchen, vergessen Sie nicht, unseren vorherigen Blog über das Warum NERC CIP-015-1 für interne Netzwerksicherheit ein Muss für ICS-Verteidigung ist zu lesen.

Die IT/OT-Firewall ist ein Märchen und ein löchriger Sieb.

Jahrelang arbeiteten wir mit einer einfachen (und geradezu gefährlichen) Annahme: Sichern Sie das IT-Netzwerk, und das OT-Netzwerk mit seinen Altsystemen und PLCs wird sich selbst erregen.

Die Lektion von 2025: Diese Mauer hat sich schon lange aufgelöst, ähnlich wie ein hochflüchtiger Stoff bei Zündung sublimiert. Angreifer bemühen sich nicht mehr, einen seltenen Zero-Day-Exploit für einen drei Jahrzehnte alten Controller zu identifizieren. Warum sollten sie? Sie phishen einfach einen Mitarbeiter oder ziehen Anmeldedaten aus einem allgemeinen Tresor für das VPN und schwenken dann vom Abrechnungssystem (IT) direkt in das HMI der Werkshalle (OT).

Die diesjährigen Berichte, einschließlich des neuesten von Shieldworkz, bestätigten unsere schlimmsten Befürchtungen: Die meisten OT-bezogenen Vorfälle nahmen ihren Ursprung in der IT-Umgebung.

• Fallbeispiel: Bedrohungsgruppen nutzen aktiv IT-zentrierte Fernzugriffstools, wie standardmäßige Unternehmens-VPNs, als ihren primären Einstiegspunkt (Quelle 1.1, 3.4). Dieses VPN, das Sie für einen Drittanbieterlieferanten eingerichtet haben? Das ist jetzt Ihr weichster Unterbauch.

• Die Erkenntnis: Ein IT-Verstoß ist ein OT-Verstoß. Ihr Sicherheitsprofil ist nur so stark wie die Verbindung zwischen Ihrem Unternehmensnetzwerk und Ihren Steuerungssystemen. Netzwerksegmentierung ist keine Empfehlung; es ist die kritischste Verteidigung, die Sie haben. Sie müssen davon ausgehen, dass sie bereits im IT-Netzwerk sind, und daran arbeiten, ihre lateralen Bewegungen zu stoppen.

"Stufe 2.5" ist hier und sie haben Zugang zu den Maschinen

Dies ist ein wenig unheimlich. Lange Zeit machten Angreifer, die in OT-Netzwerke eindrangen, nur Aufklärungsarbeit. Sie schauten sich um, schnappten sich etwas und zogen weiter.

Cybersicherheitslektionen 2025: "Stufe 2.5"-Angriffe – bei denen Angreifer Maßnahmen ergreifen, um physische Konsequenzen zu verursachen – sind nicht mehr selten. Das Ziel hat sich von Spionage zu Sabotage verschoben.

Physische Störungen nehmen jetzt schneller zu, da Bedrohungsakteure versuchen, Dinge in einer Weise zu zerstören, die die Wiederherstellung erschwert.

• Die Erkenntnis: Ihr Erkennungsplan darf nicht einfach nach Malware suchen. Er muss nach Prozessanomalien suchen. Warum hat sich dieses Ventil morgens um 3 Uhr ohne Planung geöffnet? Warum läuft der Motor mit 20% Übergeschwindigkeit? Sie brauchen Einblick in den Prozess selbst, nicht nur in den Netzwerkverkehr.

Ihre Infrastruktur könnte eine geopolitische Arena sein

Wenn Ihre Organisation Teil der kritischen Infrastruktur, Energie, Wasser, Lebensmittel, Transport ist, sind Sie nicht mehr nur ein finanzielles Ziel. Sie sind auch ein politisches.

Cybersicherheitslektionen 2025: Nationalstaaten und politisch motivierte Hacktivisten haben nun ständig Ihr OT-Umfeld im Visier, und es liegt nicht daran, dass sie etwas gegen Sie haben. Das Motiv ist nicht Lösegeld; es ist, Angst, Störung und psychologischen Druck zu erzeugen.

• Fallbeispiel: Wir sahen es bei einem großen Verstoß, bei dem eine Bedrohungsgruppe behauptete, mit dem Wasseraufbereitungs-HMI manipuliert worden zu sein. Wir sahen es bei Angriffen, die auf PLCs in kleinen Wasserwerken und darüber hinaus zielten. Es hört nicht auf und die Bedrohungsakteure sind jetzt nicht erschöpft.

• Die Erkenntnis: Dies sind keine hochentwickelten Angriffe auf hohem Niveau. Sie sind oft geringfügig qualifiziert, aber hochwirksam, und dazu gedacht, eine hybride "psychologische Operation" zu erstellen, um maximalen Druck auszuüben und möglicherweise eine Intervention durch die Regierung hervorzurufen. Sie wollen, dass Sie und Ihre Kunden ständig befürchten, dass das Wasser nicht sicher ist. Ihr BCP muss jetzt alle Arten von Szenarien für politisch motivierte Störungen berücksichtigen, nicht nur Ransomware.

Ihre größte Angriffsfläche

Sie können das sicherste Netzwerk der Welt haben, aber es könnte nichts bedeuten, wenn Ihr HVAC-Anbieter, Ihr Lebensmittelgroßhändler oder Ihr Drittanbieterdienstleister kompromittiert wird.

Cybersicherheitslektionen aus 2025: Die Lieferkette ist zweifellos unser schwächstes Glied. Der 2025-Ausblick des Weltwirtschaftsforums nannte es das Nummer eins Ökosystem-Cyber-Risiko (Quelle 5.2). Und wir sahen, warum.

• Fallbeispiel: Einige der lähmendsten Cyberangriffe kamen von einem Lieferantensystem oder hatten dort ihren Ursprung.

• Die Erkenntnis: "Vertrauen, aber überprüfen" ist tot. Das neue Modell ist Zero Trust. Sie benötigen eine Software-Bill of Materials (SBOM) von Ihren Anbietern. Sie müssen MFA bei allen Drittanbieterzugriffen durchsetzen. Und Sie müssen vertraglich - und technisch - ihren Zugang auf nur das absolut Notwendige beschränken.

Es ist KI gegen KI

Wir alle wussten, dass KI groß werden würde, aber 2025 war das Jahr, in dem sie zu einer greifbaren Kraft auf beiden Seiten des Perimeters wurde.

Cybersicherheitslektionen 2025: Angreifer verwenden KI, um sich auszuweiten und bessere Phishing-Angriffe zu skripten. Aber in der OT ist KI ein Werkzeug, das einen Menschen benötigt, um erfolgreich zu sein.

• Der Angriff: ENISA berichtete vor ein paar Monaten, dass über 80 Prozent der sozialen Ingenieurangriffe jetzt in irgendeiner Form KI nutzen. Das bedeutet hyperrealistische, kontextbezogene Phishing-E-Mails und Vishing (Voice Phishing) Anrufe, die für einen Menschen fast unmöglich zu erkennen sind. Die Rolle der KI geht jetzt noch weiter, indem Bedrohungsakteure sie verwenden, um anfällige Mitarbeiter zu identifizieren und den besten Zeitpunkt für einen Phishing-Angriff mit Musterbestimmungsalgorithmen zu bestimmen.

• Die Verteidigung: Wir verwenden KI, um das schiere Datenvolumen zu verarbeiten, das für eine Echtzeit-Anomalieerkennung erforderlich ist. Tatsächlich ist es das "Gehirn", das diese kleine, anomale Ventiländerung in einem Meer von Daten erkennen kann. Wir können sicherlich daran arbeiten, die Rolle der KI auf den Aufbau deterministischer Angriffsmodelle auszuweiten, die verwendet werden können, um Mitarbeiter zu schulen und „Rote Alarm“ auszulösen, wenn Cyberangriffe am wahrscheinlichsten sind.

• Die Erkenntnis (und vielleicht auch der Haken): Sie können KI nicht einfach auf ein Stromnetz oder eine Raffinerie oder sogar eine Gaspipeline "loslassen". In einem IT-Netzwerk kann ein KI-gestütztes Sicherheitswerkzeug einen Laptop, der sich seltsam verhält, auf eigene Faust isolieren. Wenn es sich um einen Fehlalarm handelt, ist das kein großes Problem, höchstens müssen Sie mit einem missmutigen Mitarbeiter umgehen. In einem OT-Netzwerk könnte eine automatisierte Reaktion auf einen Fehlalarm jedoch bedeuten, dass eine Produktionslinie oder sogar ein Umspannwerk oder eine Turbine abgeschaltet wird. Die Lektion von 2025 ist, dass KI in OT ein menschenzentriertes Modell sein muss. Es sollte einen menschlichen Bediener warnen und informieren, aber die endgültige "rote Knopf"-Entscheidung muss bei einer Person bleiben, die den physischen Prozess kennt.

Unsere Aufgabe für 2026: Von der Sicherheit zur Resilienz wechseln

Also, was ist die eine große Erkenntnis aus 2025?

Nachhaltige Resilienz ist obligatorisch.

Sie können möglicherweise nicht über Nacht eine uneinnehmbare Festung bauen. Sie könnten von einer unwahrscheinlichen Quelle angegriffen werden. Ihr Lieferant wird einen Vorfall haben. Aber mit Defense-in-Depth und Zero Trust kombiniert mit umsetzbarer Mitarbeiterbewusstseinsbildung werden Sie in der Lage sein, die Angriffe schnell zu erkennen und zu unterdrücken.  

Es geht um Sichtbarkeit (schnelles Erkennen, dass sie da sind), Segmentierung (Verhindern, dass sie an die Kronjuwelen gelangen) und Resilienz (einen Plan haben, um die Anlage sicher und schnell wieder online zu bringen).

Wir hatten mehrere Weckrufe. Jetzt beginnt die echte Arbeit.

Planen Sie Ihre nächste OT-Risikoanalyse? Kontaktieren Sie uns.

Interesse an der Verstärkung Ihrer Vorfallreaktion? Wir haben etwas für Sie.