site-logo
site-logo
site-logo
Shieldworkz-Berichte

Bericht

Überblick zur globalen OT-Bedrohungslage: Cyber Threat Intelligence Advisory H1 2026

Keine Registrierung erforderlich!

Aktuelle Bedrohungslage, betriebliche Risiken und defensive Prioritäten für Betreiber Kritischer Infrastrukturen (KRITIS) 

Die Maschinen, die Ihr Stromnetz, Ihre Wasseraufbereitungsanlage, Ihre Fertigungslinie oder Ihre Pipeline betreiben, wurden nie dafür konzipiert, den heutigen Bedrohungsakteuren standzuhalten. Staatliche Akteure mit militärischem Hintergrund, Ransomware-Gruppen mit industriespezifischen Playbooks und Hacktivisten, die bereit sind, physische Prozesse zu manipulieren – sie alle sondieren derzeit aktiv OT-Umgebungen, und die Daten zeigen, dass sie erfolgreicher sind als je zuvor.


Shieldworkz hat diese Entwicklung in Echtzeit über mehr als 70 globale Honeypots und Sensoren, operative Incident-Response-Einsätze sowie verifizierte Erkenntnisse von Partnern weltweit verfolgt. Was unsere Analysten für das erste Halbjahr 2026 bestätigt haben, ist kein theoretisches Risiko, sondern eine aktive, sich beschleunigende operative Realität.

Warum dieser Bericht wichtig ist 

Der OT-Cyber-Threat-Intelligence-Bericht für das erste Halbjahr 2026 ist kein generischer Branchenüberblick. Es handelt sich um praxisnahe Erkenntnisse aus der operativen Ebene, die auf bestätigten Vorfällen, beobachteten Malware-Familien und dokumentiertem Verhalten von Bedrohungsakteuren basieren – speziell verfasst für die Verantwortlichen, die für den kontinuierlichen Betrieb kritischer Infrastrukturen (KRITIS) einstehen müssen.

Die folgenden Entwicklungen zeigen auf, warum sich dieser Zeitraum drastisch von allen vorherigen unterscheidet:

Ein Anstieg der Cyber-Sicherheitsvorfälle auf Betriebsstättenebene um 77 % im Jahr 2025. Dies ist kein Rundungsfehler. Es spiegelt eine grundlegende Verschiebung der Absichten der Bedrohungsakteure wider – weg von der unauffälligen Vorpositionierung in industriellen Netzwerken hin zu gezielten, störenden Aktionen mit realen physischen Auswirkungen. 

Nationalstaatliche Angriffe mit nachgewiesenen physischen Auswirkungen haben sich verdreifacht. Die DynoWiper-Kampagne von Sandworm im Dezember 2025 richtete sich gegen rund 30 dezentrale Energieanlagen in Polen – dies war der erste koordinierte Großangriff auf dezentrale Energieressourcen (Distributed Energy Resources, DER). Diese Kampagne breitet sich auch heute noch schleichend und unbemerkt in der Energieinfrastruktur der EU und der USA aus. 

im Jahr 2025 nahmen 119 Ransomware-Gruppen gezielt Industrieunternehmen ins Visier, verglichen mit 80 im Vorjahr. Weltweit waren mehr als 3.300 Industrieunternehmen betroffen. Auf das verarbeitende Gewerbe entfiel mehr als ein Drittel aller OT-Ransomware-Opfer. Eine einzige Stunde Produktionsausfall kann Kosten in Höhe von 100.000 bis zu 1 Million US-Dollar oder mehr verursachen. Die Akteure hinter den Ransomware-Angriffen verstehen diesen Hebel besser als die meisten IT-Sicherheitsteams. 

Die mit China verknüpfte Gruppierung VOLTZITE (Volt Typhoon) hielt im gesamten ersten Halbjahr 2026 eine dauerhafte Präsenz in kritischen Infrastrukturen (KRITIS) der USA aufrecht. Die dem Iran zugerechnete Gruppe BAUXITE kompromittierte Wasserversorger-PLCs in den USA, Israel und Mexiko. Dies sind keine theoretischen Angriffspfade – es handelt sich um dokumentierte Einbrüche mit bestätigten Auswirkungen auf den Betrieb. 

Die in diesem Bericht genannten Bedrohungsakteure (Threat Actors) wurden identifiziert. Ihre TTPs (Taktiken, Techniken und Vorgehensweisen) sind dem MITRE ATT&CK for ICS Framework zugeordnet. Ihre Angriffsziele, Einstiegspunkte und Absichten sind detailliert dokumentiert. Falls Ihr Sektor in dieser Warnmeldung aufgeführt ist – was höchstwahrscheinlich der Fall ist –, müssen Sie dringend wissen, wie diese Akteure vorgehen und wie Sie diese effektiv abwehren können.

Warum der Download dieses Berichts wichtig ist 

Diese Sicherheitsempfehlung (Advisory) richtet sich an CISOs, OT-Sicherheitsverantwortliche, SOC- und CTI-Teams, Risikoentscheider auf Vorstandsebene sowie an die Ingenieure und Betreiber, die den reibungslosen Betrieb industrieller Systeme gewährleisten. Dies ist keine Vertriebsbroschüre, sondern handlungsrelevante Cyber-Threat-Intelligence, die darauf ausgelegt ist, konkrete Entscheidungen im Sinne des Standes der Technik zu steuern.

Wenn Sie sich eine dieser Fragen stellen, liefert Ihnen dieser Bericht die Antworten: 

Haben sich staatlich gelenkte Akteure bereits in meinem OT-Netzwerk eingenistet, ohne dass Alarme ausgelöst wurden?

Welche Schadsoftware-Familien sind gezielt darauf ausgelegt, industrielle Protokolle wie Modbus, DNP3 oder OPC-UA zu kompromittieren?

Wie schnell kann sich Ransomware in einem flachen Netzwerk von einer Phishing-E-Mail bis zu einem SCADA-System auf der Produktionsebene ausbreiten?

Wie sieht ein 30-tägiger CISO-Sprint aus, um die kritischsten OT-Schwachstellen jetzt umgehend zu schließen?

Welche Fragen sollte unser Vorstand stellen – und wie sehen überzeugende Antworten im Detail aus?

Über reine Bedrohungsanalysen (Threat Intelligence) hinaus bietet dieser Bericht einen vollständigen Leitfaden für eine defensive Sicherheitsarchitektur: Priorisierungen für die Segmentierung von OT-Netzwerken, Härtung von Fernzugriffen, Implementierung passiver Überwachung (Passive Monitoring), Anforderungen an die Isolierung von Sicherheitssystemen (SIS) sowie Benchmarks für OT-SOC-Kapazitäten. Zudem enthält er eine sektorspezifische Risiko-Heatmap für die Bereiche verarbeitendes Gewerbe, Energie, Öl und Gas, Wasser, Chemie, Transport, Schifffahrt, Telekommunikation, Rüstungsindustrie, Pharmazeutika, Lebensmittel und Getränke sowie Bergbau – jeweils mit dokumentierten Bedrohungsakteuren, spezifischen Angriffspfaden und Sofortmaßnahmen mit höchster Priorität.

Wichtige Erkenntnisse aus dem Global OT Cyber Threat Intelligence Advisory - Halbjahresbericht H1 2026 

Wiper-Malware hat sich zu einer standardmäßigen Waffe staatlicher Akteure entwickelt. Allein im ersten Halbjahr 2026 sind mindestens sechs verschiedene Wiper-Kampagnen gegen Industrieanlagen und Kritische Infrastrukturen aktiv u2013 DynoWiper, PathWiper, AcidPour, BAUXITE-Wiper, PYROXENE und Handala. Die Wiederherstellung nach solchen Angriffen erfordert oft eine vollständige Systemüberarbeitung. Prävention ist weitaus kostengünstiger als die Schadensbehebung. 

Living-off-the-land (LOTL)-Techniken dominieren mittlerweile bei OT-Intrusionen. Angreifer wie VOLTZITE bewegen sich durch OT-nahe Netzwerke, indem sie legitime administrative Werkzeuge wie PowerShell, WMI, netsh sowie native OS-Utilities nutzen und Engineering-Software sowie den Zugriff auf Datenhistoriker (Historian) missbrauchen. Signaturbasierte Erkennung versagt in diesen Szenarien. Verhaltensanalysen und die Definition von Protokoll-Baselines sind daher mittlerweile essenziell und keine bloße Option mehr. 

Weltweit kommunizieren mehr als 19.000 über das Internet erreichbare ICS-Geräte via Modbus. Die Bedrohungsgruppe BAUXITE sowie hacktivistische Akteure führen systematische Port-Scans auf TCP/502, TCP/102, TCP/20000 und TCP/44818 durch. Sollten sich Ihre HMIs, PLCs oder Engineering-Workstations darunter befinden, werden diese bereits aktiv ausgespäht. 

77 % der OT-Angriffe mit physischen Auswirkungen erfolgen über eine Kompromittierung des IT-Netzwerks. Flache Netzwerkarchitekturen, die es Ransomware ermöglichen, sich innerhalb weniger Stunden von einem geschäftlichen E-Mail-Server auf ein SCADA-System in der Produktionsebene auszubreiten, stellen heute den größten einzelnen strukturellen Risikomultiplikator in industriellen Umgebungen dar. 

Datenmanipulation hat sich als die am häufigsten festgestellte Methode in den OT-Umgebungen der Fertigungsindustrie, des Transportwesens und der Energieversorgung herauskristallisiert – sie tritt dreimal häufiger auf als jede andere Methode. Die lautlose Veränderung von Prozesswerten, Sensorwerten oder Historian-Daten ohne Alarmauslösung stellt den Bedrohungsvektor dar, für dessen Erkennung die meisten KRITIS-Betreiber am am wenigsten gerüstet sind. 

KI hat die Bedrohung durch Social Engineering für das OT-Personal grundlegend verändert. Über 80 % der Phishing-E-Mails nutzen mittlerweile KI-gestützte Generierung. Bedrohungsakteure erstellen psychologische Profile von Schlüsselpersonal in den Anlagen, um Zielpersonen zu identifizieren, die am ehesten Sicherheitsvorkehrungen umgehen oder empfänglich für Social Engineering sind. Ihre Ingenieure und Bediener werden gezielt analysiert. 

Der Fernzugriff für Dienstleister bleibt der führende Vektor für den Erstzugang (Initial Access). Gemeinsam genutzte VPN-Zugangsdaten, private Endgeräte (BYOD) und eine unzureichende Sitzungsüberwachung erzeugen eine dauerhafte Angriffsfläche, die von Bedrohungsakteuren aktiv ausgenutzt wird. Die Erkenntnisse von Shieldworkz aus der Vorfallsreaktion (Incident Response) bestätigen dieses Muster branchenübergreifend und wiederholt. 

Wie Shieldworkz Ihr OT-Sicherheitsprogramm unterstützt 

Shieldworkz wurde gezielt für die Herausforderungen der OT-Sicherheit entwickelt – es handelt sich nicht um ein adaptiertes IT-Sicherheits-Framework. Die in diesem Bericht enthaltenen Erkenntnisse (Threat Intelligence) stammen aus derselben leistungsfähigen Plattform, die auch unsere Dienste zum Schutz von Kundenanlagen und KRITIS-Infrastrukturen sichert.

OT Threat Intelligence Plattform: Echtzeit- und ICS-spezifische Bedrohungsdaten, die aus über 70 globalen Honeypots und Sensoren, Erkenntnissen aus der Vorfallreaktion (Incident Response) sowie geprüften Partner-Intelligence-Quellen gewonnen werden. Diese Bedrohungsdaten sind dem MITRE ATT&CK für ICS-Framework zugeordnet und fließen direkt in die Erkennungsoptimierung Ihres SOCs ein. 

Sichtbarkeit von OT-Assets und passives NDR: Passive Network Detection and Response zur nativen Analyse von OT-Protokollen (Modbus, DNP3, EtherNet/IP, S7comm, IEC 61850, OPC-UA, Profinet) – ohne aktives Scannen und ohne betriebliche Risiken. Nur was sichtbar ist, kann auch geschützt werden; aktives Scannen in OT-Umgebungen führt unweigerlich zu Systemausfällen. 

OT-Risikoanalyse: Eine strukturierte Bewertung zur Identifizierung ausnutzbarer Pfade in Ihrer spezifischen OT-Infrastruktur, bevor Angreifer diese ausnutzen können. Zugeschnitten auf Ihre Branche, Ihre Architektur und die Bedrohungsakteure, die am wahrscheinlichsten Ihre Systeme und Prozesse ins Visier nehmen. Erforderlich für die Konformität nach NERC CIP, IEC 62443 und NIS-2 sowie zunehmend von Cyber-Versicherern gefordert. 

OT-Incident-Response-Retainer: Vorab vereinbarte IR-Kapazitäten mit auf Operational Technology (OT) spezialisierten Analysten, die vertraut mit industriellen Prozessen, Sicherheitssystemen (SIS) und den besonderen Bedingungen bei Vorfällen in einer aktiven Produktionsumgebung sind. Herkömmliche IT-IR-Dienstleister verfügen in der Regel nicht über die erforderliche Expertise, wenn ein Prozessleitsystem (DCS) betroffen ist. 

OT-Security-Awareness-Schulung: Rollenspezifische Schulungen für Ingenieure und Bediener, die auf die tatsächlichen Bedrohungen abzielen – KI-gestütztes Spear-Phishing, Social-Engineering-Kampagnen gegen das Anlagenpersonal sowie sichere Praktiken für den Fernzugriff und die Überwachung von Fremdfirmen. 

Unterstützung bei der Einhaltung regulatorischer Vorgaben: Von NERC CIP und IEC 62443 über NIS-2 bis hin zu den TSA-Sicherheitsrichtlinien für Pipelines und CISA-Vorgaben – die Sicherheitsüberprüfungen von Shieldworkz sind darauf ausgelegt, die Compliance-Anforderungen aller wichtigen regulatorischen Rahmenwerke für die OT-Sicherheit lückenlos zu unterstützen. 

Das herkömmliche, IT-zentrierte SOC-Modell ist für OT-Umgebungen grundsätzlich unzureichend. Wenn Ihr aktuelles Security-Operations-Team auf IT-SIEM-Regeln und IT-Playbooks vertraut, um Ihre industrielle Infrastruktur zu schützen, ist Ihr unentdecktes Risiko erheblich. Shieldworkz bietet die zweckgerichtete OT-SOC-Funktionalität, die diese Lücke schließt – im Einklang mit den KRITIS-Standards und BSI-Vorgaben.

Bleiben Sie Bedrohungen einen Schritt voraus, greifen Sie jetzt auf den vollständigen Sicherheitshinweis zu  

Der vollständige globale Lagebericht zur OT-Cyber-Bedrohungslage für das erste Halbjahr 2026 (H1 2026 Global OT Cyber Threat Intelligence Advisory) enthält detaillierte Profile von Bedrohungsakteuren, Analysen bestätigter Malware-Familien, Funktionszuordnungen nach dem MITRE ATT&CK for ICS-Framework, sektorspezifische Risiko-Heatmaps, Indikatoren für eine Kompromittierung (Indicators of Compromise), Empfehlungen für das Threat Hunting, den 30-tägigen CISO-Prioritäten-Sprint, strategische Leitlinien zur Verteidigungsarchitektur sowie den Ausblick für die kommenden 12–24 Monate bis zum Jahr 2027. Dies ist der detaillierteste und am stärksten operativ ausgerichtete Lagebericht zur OT-Bedrohungslage, den Shieldworkz bislang veröffentlicht hat. 


Laden Sie den vollständigen Bericht herunter. Nach dem Download stehen Ihnen unsere OT-Sicherheitsexperten für eine kostenfreie, 30-minütige Erstberatung zur Verfügung, um die für Ihren Sektor relevantesten Erkenntnisse, Ihren aktuellen Sicherheitsstatus sowie Ihre unmittelbaren Prioritäten zu erörtern. Keine standardisierte Präsentation. Unverbindlich. Nur ein direktes Gespräch auf Augenhöhe mit Experten, die Ihre Systemlandschaft verstehen. 

Um ein Briefing zum Global OT Cyber Threat Intelligence Advisory H1 2026 Bericht zu erhalten, buchen Sie bitte noch heute einen Termin mit unseren Experten.