OT-Vorfallsreaktion: Die hart erlernten und gelernten Lektionen von 2025
Prayukth KV
OT-Vorfallsreaktion: Die hart erarbeiteten und gelernten Lektionen von 2025
Einer der größten Wahrheiten, die das Jahr 2025 enthüllt hat, ist, dass OT- (Operational Technology) Umgebungen nicht länger sekundäre Ziele sind. Da kritische Infrastrukturen und die Fertigung eine echte IT/OT-Konvergenz einsetzen, werden die kinetischen Konsequenzen eines Cyberangriffs häufiger, störender und schwerwiegender. Auch wenn spezifische Details jedes einzelnen Vorfalls oft geheim gehalten werden, erzählen die Trends großer Sicherheitsverletzungen in Branchen wie Luftfahrt, Fertigung und Lieferkette eine klare Geschichte.
Die zentrale Lektion von 2025 ist, dass ein Vorfall in Ihrem IT-Netzwerk einfach ein Vorfall vor einem Vorfall für Ihre OT-Umgebung sein könnte.
Entdecken Sie unseren früheren Blogbeitrag zur Absicherung von Unterstationen hier.
Wichtige Cybervorfalltrends von 2025
Die einflussreichsten Cyberereignisse im OT-Bereich 2025 zeigen einen eindeutigen Fokus von Gegnern auf die Ausnutzung weniger kritischer Schwächen (im menschlichen Verhalten und in Netzwerken):
Schwenk zu Störungen
Gegner konzentrieren sich jetzt nicht mehr nur auf die Verschlüsselung und den Verkauf von Daten, sondern haben sich auf Aktionen verlegt, die eine maximale betriebliche Störung über einen längeren Zeitraum sicherstellen. Beispielsweise erlebte ein großer Lebensmittelgroßhändler einen lähmenden Angriff, der elektronische Bestell- und Liefersysteme lahmlegte und sofort zu realen Engpässen führte. Während Bedrohungsakteure früher eine Politik der verbrannten Erde verfolgten, konzentrieren sie sich jetzt darauf, maximale Störungen in allen Bereichen, einschließlich Betrieb, Vorfallwiederherstellung, Daten- und Reputationsverlust und Lieferkettenstörungen, sicherzustellen.
Angriffe, die auf Fertigungssysteme abzielen (die oft ältere, ungepatchte Software oder sogar neue, aber ungepatchte Systeme aus Angst vor Betriebsunterbrechungen betreiben), sorgten dafür, dass physische Produktionslinien zum Stillstand kamen, manuelle Operationen erforderlich machten und zu erheblichen Einnahmeverlusten führten. Das Ziel des Angreifers war nicht nur die Erpressung einer Lösegeldzahlung, sondern die garantierte Einstellung des Geschäfts. Die Idee ist, dass solche Störungen den Angreifern helfen, die späteren Erpressungskreisläufe durch eine verstärkte Angst schneller abzuschließen.
Ausnutzung des IT-zu-OT-Sprungs
Wir haben oft gelesen, dass 90 % der Angriffe, die zu einem physischen Einfluss auf OT-Systeme führten, durch das Kompromittieren (in einigen Fällen) des weniger gehärteten IT-Netzwerks begannen. Eine einfache Schwachstelle in einer kritischen Geschäftsanwendung oder eine einzelne schwache Remote-Zugangsanmeldeinformation verschaffte dem Bedrohungsakteur den notwendigen Zugangspunkt, um in das Produktionsgelände überzugehen.
Vorfälle im Segment Strom- und Wasserversorgung begannen oft mit einer Sicherheitsverletzung im Unternehmensnetzwerk, wobei der Bedrohungsvektor lateral durch flache oder schlecht segmentierte Netzwerke wanderte, um Zugang zu Mensch-Maschine-Schnittstellen (HMIs) oder SCADA-Systemen zu erlangen.
Der verstärkende Einfluss auf Lieferketten
Angreifer zielten ständig auf weiche Bauchhersteller und Drittanbieter, um "vertrauenswürdigen Zugriff" auf nachgelagerte kritische Infrastrukturen zu erhalten. Wenn ich einen Cent für jedes Mal hätte, als das passierte, hätte ich jetzt einige Hundert Bitcoins. Ein einziges Kompromittieren bei einem Software- oder Hardwareanbieter könnte leicht auf Dutzende kompromittierter OT-Umgebungen übergreifen. Die zu stellende Frage lautet: Wer sorgt für die Sicherheit der Lieferkette?
Berichte über Sicherheitsverletzungen in von Anbietern verwalteten Remote-Zugriffswerkzeugen oder kompromittierte Komponenten, die in der Lieferkette mit Malware eingebettet sind, gaben staatlichen Akteuren und organisierter Kriminalität einen stillen, langfristigen Zugang zu hochsicheren Einrichtungen. Sie werden überrascht sein, wie einfach es ist, in sichere Lieferketten einzudringen (das werden wir für einen anderen Tag aufschieben).
Kommen wir nun zum Kernthema dieses Beitrags.
OT-Vorfallsreaktionslektionen für 2026
Um 2026 zu einem sichereren Jahr zu machen, müssen wir diese hart gewonnenen Lektionen in sofortige, umsetzbare Änderungen in unseren OT-Sicherheitsprogrammen umsetzen.
Fokus auf Sichtbarkeit, insbesondere bei Level 0/1/2
Man kann nicht verteidigen, was man nicht sieht. Die reifsten Organisationen im Jahr 2025 haben gezeigt, dass vollständige Sichtbarkeit der Schlüssel zu einer schnellen Reaktion ist.
Lernen: Traditionelles Monitoring (Netzwerkprotokolle, Firewalls) ist unzureichend. Verteidiger benötigen Sichtbarkeit bis zur physikalischen Prozessebene (Purdue-Modell Level 0 und 1). Dies beinhaltet das Überwachen von E/A-Punkten, Steuerungslogik und physikalischen Zustandsänderungen, um schädliche Manipulationen zu erkennen, bevor sie Schaden verursachen.
Maßnahme für 2026: Einsatz von OT-spezifischen Asset-Inventar- und Netzwerküberwachungswerkzeugen wie Shieldworkz, die industrielle Protokolle verstehen und Anomalien im Controller-Verhalten erkennen können (z. B. unautorisierte Codeänderungen oder physische Prozessvariablen, die vom Basiswert abweichen).
Durchsetzung des Zero-Trust-Prinzips der funktionalen Isolation
Das Versagen einfacher Firewalls, IT-zu-OT-Bewegungen seitwärts zu verhindern, war ein wiederkehrendes Thema. Echte Netzwerksegmentierung ist nicht verhandelbar.
Lernen: Eine einzige Firewall zwischen IT und OT ist nicht ausreichend. Implementieren Sie Micro-Segmentierung im OT-Netzwerk (z. B. Trennung von HMIs von Controllern und kritischen Zonen von weniger kritischen), um eine Sicherheitsverletzung sofort nach Erkennung einzudämmen.
Maßnahme für 2026: Behandeln Sie alle Verbindungen, intern oder extern, mit einer Zero-Trust-Mentalität. Begrenzen Sie remote Zugriff strikt, erzwingen Sie multifaktorielle Authentifizierung (MFA) überall und nutzen Sie sichere Gateways oder Daten-Dioden für strikt unidirektionale Kommunikation, wo möglich.
Anheben und Integrieren der Vorfallreaktionsplanung
Im Jahr 2025 wurden Verzögerungen bei der Schadensregulierung (manchmal über Wochen oder Monate) häufig durch Unklarheiten über Rollen und Entscheidungsbefugnisse zwischen IT-, OT- und Engineering-Teams verursacht.
Lernen: Klarheit des Kommandos ist unerlässlich bei einem OT-Vorfall. Die Person mit der Befugnis, eine Produktionslinie zu schließen, um physische Sicherheit zu gewährleisten, muss vor dem Angriff identifiziert werden.
Maßnahme für 2026: Führen Sie vierteljährliche, szenario-basierte Tabletop-Übungen durch, die sowohl IT- als auch OT-Personal einbeziehen, und konzentrieren Sie sich auf Entscheidungspunkte, wie das Isolieren von Systemen oder das Wechseln zu manuellen Operationen. Dokumentieren und weisen Sie deutlich ICS/OT-spezifische Reaktionsrollen zu.
Die Lieferkette stärken und Verantwortlichkeit durchsetzen
Externe Verbindungen erwiesen sich als der einfachste Zugang. Dieser Angriffsvektor wird mit dem Aufstieg von KI-gesteuerten Lieferkettenangriffen nur noch weiter zunehmen.
Lernen: Der Sicherheitsposture eines Anbieters zu vertrauen, war nie eine Option. Die Sicherheit muss ausschließlich vom Asset-Eigentümer verwaltet werden.
Maßnahme für 2026: Implementieren Sie strikte Audits und Zugang mit minimalen Privilegien für alle Drittanbieter-Verbindungen. Fordern Sie, dass Anbieter Ihre sicheren Zugangsplattformen statt ihrer eigenen verwenden. Bestehen Sie auf einer Software-Stückliste (SBOM) für alle Industriesoftware, um kompromittierte Komponenten schnell zu identifizieren.
Einige weitere wichtige Maßnahmen:
· Sichern Sie die Daten-Backups
· Mitarbeiter sollten Vorfallreaktionstests mit eskalierenden Szenarien durchlaufen
· Wartungsfenster sollten hinsichtlich Sicherheitsaspekten getestet werden
Ein Blick Richtung 2026
Da wir in das Jahr 2026 eintreten, bedeutet die Konvergenz von KI-gesteuerten Angriffen, zuvor durchsickerten Daten, mangelnder Aufmerksamkeit der Mitarbeiter und anhaltender geopolitischer Spannungen, dass die Bedrohungen für OT-Umgebungen häufiger und ausgefeilter werden. Über diese unmittelbare Bedrohung hinaus müssen Unternehmen auch in der Lage sein, Regulierungsbehörden mit Nachweisen (Audit-Trail) zu belegen, dass sie alles getan haben, um ihre Systeme vor einer Sicherheitsverletzung zu schützen.
Im Jahr 2026 müssen sich OT-Sicherheitsteams auf die Cyber-Resilienz ausdehnen.
Der Weg zu einem sichereren 2026 erfordert drei wesentliche Verpflichtungen Ihres Unternehmens: Ingenieurszentrierte Asset- und Netzwerksichtbarkeit, aggressive Netzwerktrennung und führungsgesteuerte Vorfallsbereitschaft. Indem Sie diese Lektionen in Ihre OT-Sicherheitsstrategie integrieren, können Sie sicherstellen, dass zukünftige Vorfälle im Bereich geringfügiger Störungen bleiben und nicht zu katastrophalen Ausfällen werden.
Erhalten Sie eine kostenlose Beratung zu OT-Sicherheitsbest-Practices von Shieldworkz.
Werden Sie von 0 auf NIS2 konform in 5 Wochen.
Sehen Sie unsere erstklassige OT-NDR-Lösung in Aktion
Wöchentlich erhalten
Ressourcen & Nachrichten
Dies könnte Ihnen auch gefallen.
Die 15 größten Herausforderungen beim Schutz von CPS und wie OT-Teams ihnen begegnen können
Team Shieldworkz
IEC 62443 Security Levels SL1-SL4 für die KRITIS-Absicherung verständlich aufbereitet
Team Shieldworkz
Der gescheiterte Angriff: Lehren aus Schwedens Beinahe-Vorfall im OT-Bereich
Prayukth K V
NERC CIP-015 & Interne Netzwerk-Sicherheitsüberwachung (INSM)
Team Shieldworkz
Handalas nächster Schachzug: Von „Hack-and-Leak“ zur „kognitiven Belagerung"
Prayukth K V
HMI-Schwachstellen in Venedig: Eine tiefgehende Analyse des San-Marco-Pumpenvorfalls
Prayukth K V
