Bericht
Gefährdung von OT-Infrastrukturen durch Akteure mit Bezug zum Iran
Update für Betreiber der Sektoren Wasser & Energie
Keine Registrierung erforderlich!
Bedrohungsakteure mit Verbindungen zum Iran befinden sich bereits in Wasser- und Energienetzen. Ist Ihre OT-Umgebung ausreichend geschützt?
Dies ist kein theoretisches Risiko. Mit Stand Juni 2026 bewertet Shieldworkz die im Iran verorteten Angriffsaktivitäten auf Wasser- und Energieinfrastrukturen in Nordamerika und dem Golf-Kooperationsrat (GCC) als eine aktive, andauernde Kampagne und nicht als eine kriegsbedingte Anomalie, die mit dem Ende des Raketenbeschusses aufhört. Eine von Regierungsbehörden veröffentlichte Sicherheitswarnung (Advisory) hat bereits reale betriebliche Beeinträchtigungen bei US-amerikanischen Wasser- und Energieversorgungsanlagen bestätigt. Ein separater, vielbeachteter Vorfall bei einem großen kalifornischen Wasserversorger rückte zudem GNSS-nahe Infrastrukturen als neuen und weitgehend ununtersuchten Einstiegspunkt in OT-nahe Umgebungen in den Fokus.
Das Shieldworkz Iran-Linked OT Threat Update für Wasser- und Energieversorger ist eine strukturierte Bedrohungsanalyse (Intelligence Advisory), die von unserem OT-Threat-Intelligence-Team erstellt wurde. Sie basiert auf behördlichen Sicherheitswarnungen, forensischer Attribution und Vorfallsanalysen, nicht auf wiederverwerteten Schlagzeilen. Wenn Sie für die Sicherheit von Wasser-, Abwasser-, Strom-, Öl- und Gas-, Entsalzungs-, Transport- oder Fertigungsinfrastrukturen (KRITIS) in Nordamerika oder der GCC-Region verantwortlich sind, ist dieses Advisory für Sie verfasst worden.
Warum diese BSI-Sicherheitsempfehlung/Cyber-Sicherheitswarnung gerade jetzt von kritischer Bedeutung ist
Der Iran-Krieg von 2026 endete weder mit dem Waffenstillstand vom 8. April noch mit dem Memorandum von Islamabad vom 17. Juni, durch das dieser Waffenstillstand um 60 Tage verlängert wurde. Die den Konflikt treibenden Streitfragen – das iranische Atomprogramm, Sanktionserleichterungen, der Zugang zur Straße von Hormus sowie die parallele Front zwischen Israel und der Hisbollah – bleiben ungelöst. Es ist davon auszugehen, dass Cyber-Operationen gegen die Kritischen Infrastrukturen (KRITIS) westlicher Staaten und der GCC-Staaten während dieses Waffenstillstandsfensters mit erhöhter Intensität fortgesetzt werden, unabhängig von der kinetischen Lage vor Ort.
Drei konvergierende Faktoren machen dies zu einem besonders gefährlichen Zeitpunkt für Betreiber in den Sektoren Wasser und Energie:
Mit dem Iran verbundene Akteure nutzen ein dementierbares Proxy-Modell. Als Hacktivisten getarnte Personas wie Handala, die unter dem Namen Void Manticore agieren, und Ababil von Minab bieten eine öffentlichkeitswirksame Tarnung für Einheiten, die dem Nachrichtendienstministerium (MOIS) und den IRGC nahestehen. Beide Gruppen wurden forensisch oder offiziell staatlichen iranischen Operationen zugeordnet. Dies bestätigt, dass „Hacktivismus-Behauptungen“ gegen westliche kritische Infrastrukturen in der Praxis staatlich gesteuerte Aktivitäten unter anderem Namen darstellen.
Eine staatlich zugeschriebene Kampagne hat bereits zu bestätigten Beeinträchtigungen der Betriebstechnologie (OT) geführt. Die gemeinsame Sicherheitswarnung von CISA, FBI, NSA, EPA und DOE vom April 2026 (AA26-097A) dokumentiert, dass mit dem Iran in Verbindung stehende Akteure über mit dem Internet verbundene SPS-Steuerungen (PLC) von Rockwell Automation/Allen-Bradley konkrete betriebliche Störungen, HMI/SCADA-Datenmanipulationen, Konfigurationslöschungen sowie Sensormanipulationen in den Sektoren Wasser, Energie und öffentliche Verwaltung verursacht haben. Dies ist eine bestätigte Tatsache, keine reine Behauptung.
Die Abhängigkeit von GNSS hat sich als ein bisher unterschätzter Expositions- und Angriffsvektor herausgestellt. Derselbe Konflikt, der die Cal Water-Sicherheitsvorfälle verursachte, führte auch zu anhaltendem, operativ folgenschwerem GPS-Jamming und -Spoofing im Bereich der Straße von Hormuz, wovon über 1.100 Schiffe innerhalb eines einzigen 24-Stunden-Zeitraums betroffen waren. Die hierbei genutzten Mechanismen sind für zeitabhängige OT-Umgebungen an Land von direkter Relevanz – und der Einbruchsvektor in diese kritische Anlagenklasse (Asset Class) wurde im Wassersektor bereits erfolgreich demonstriert.
Warum der Download dieses Berichts für Sie wichtig ist
Wenn Sie als CISO, OT-Security-Manager, Werksleiter oder für Risiken verantwortliches Vorstandsmitglied die kritische Infrastruktur (KRITIS) in Nordamerika oder der GCC-Region absichern, bietet Ihnen diese Sicherheitswarnung fundierte Erkenntnisse und operative Handlungsempfehlungen, die weit über öffentlich zugängliche Berichterstattungen hinausgehen.
Dies ist kein allgemeines Briefing mit vagen Aussagen zur Verschärfung geopolitischer Risiken. Es handelt sich um ein strukturiertes Cyber-Analysten-Produkt: Es klassifiziert einen konkreten, namentlich bekannten Vorfall unter Verwendung etablierter Standard-Konventionen für die Vertrauenswürdigkeit von Informationen, gleicht das bestätigte iranische Vorgehen im OT-Bereich mit staatlichen Sicherheitswarnungen ab, identifiziert die aktuell genutzten, spezifischen Expositions- und Angriffsvektoren und übersetzt diese Erkenntnisse in konkrete, priorisierte Abwehrmaßnahmen, die Ihr Team innerhalb von 24 Stunden operativ umsetzen kann.
Entscheider, die diese Sicherheitswarnung herunterladen, erhalten eine fundierte Faktenbasis für die Incident-Response-Planung, Risiko-Briefings auf Vorstandsebene, IEC-62443-konforme Programmplanungen sowie für die Vorbereitung der Krisenkommunikation – basierend auf einer realen Fallstudie statt auf theoretischer Bedrohungsmodellierung.
Wichtige Erkenntnisse aus dem Sicherheitsupdate zu Iran-assoziierten OT-Bedrohungen
Diese Cybersicherheitswarnung analysiert den Vorfall bei Cal Water als Fallstudie innerhalb des weitreichenderen Musters iranisch assoziierter Angriffe während des Iran-Kriegs 2026 und des instabilen Waffenstillstands. Folgende Informationen sind darin enthalten:
Analyse des Vorfalls bei California Water. Eine detaillierte geheimdienstliche Aufbereitung zum Vorfall vom 11. bis 12. Juni 2026 im Zusammenhang mit Ansprüchen von Handala gegen den Betreiber California Water Service: was bestätigt ist, was unklar bleibt, der betroffene Expositionsvektor (ein RTKBase GNSS-Korrekturserver als Pivot-Schnittstelle zu einem Abrechnungssystem) sowie eine mehrschichtige Risiko- und Bedrohungsanalyse im Hinblick auf opportunistische Angriffsvektoren, strategische Signalwirkung, psychologische Operationen (PsyOps) und die tatsächliche Störfähigkeit.
Lagebild der Cyber-Bedrohungslage: Iranische OT-Angriffsmethoden. Eine strukturierte Darstellung iranischer Angriffsziele, gängiger Taktiken und Muster bei der Zielauswahl. Die Analyse basiert auf der CISA-Warnmeldung von April 2026, der CyberAv3ngers-Kampagne 2023–24 sowie den forensisch nachgewiesenen Vorfällen bei LA Metro und Cal Water. Berücksichtigt werden bestätigte Taktiken wie über das Internet erreichbare HMIs/PLCs, unzureichend abgesicherter Fernzugriff, Missbrauch von Zugangsdaten (Credential Abuse) sowie Living-off-the-Land-Techniken.
Vier Bedrohungsszenarien. Opportunistische Angriffe, koordinierte Kampagnen gegen Kritische Infrastrukturen (KRITIS), strategische Vergeltungsoperationen sowie Einflussnahme- und psychologische Operationen – jeweils mit Wahrscheinlichkeits- und Auswirkungsbewertungen, Auslösebedingungen, erwarteten Opferprofilen und Erkennungsmöglichkeiten zur Unterstützung Ihrer eigenen Bedrohungsmodellierung.
Expositionsanalyse für Wasser- und Energieversorger. Eine detaillierte Aufschlüsselung über das Internet erreichbarer OT-Assets (HMIs, SCADA-Gateways, Engineering-Workstations, Fernwartungsinfrastruktur, mobilfunkangebundene Telemetrie) und ein dedizierter Abschnitt zu GNSS-Abhängigkeitsrisiken. Letzterer umfasst die Zeitsynchronisation, Netzsynchronisation, den Pipelinebetrieb sowie Wasserverteilungssysteme, die auf GNSS-gestützten Daten basieren, ohne dass diese bisher als OT-relevant eingestuft wurden.
Regionale Expositionsbewertung. Spezifische Risikoprofile für Nordamerika (Fragmentierung, veraltete Legacy-Technologie, chronischer Ressourcenmangel) und die GCC-Region (konzentrierte Abhängigkeit von Entsalzungsanlagen, direkte kinetische Angriffe auf Energieinfrastrukturen sowie die Interdependenz zwischen Wasser und Energie, die Übertragungsnetze de facto zu einem Ziel für die Wassersicherheit macht).
Ein strukturierter defensiver Maßnahmeplan. Taktische, operative und strategische Maßnahmen, organisiert für die nächsten 24 Stunden, 7 Tage und 30 Tage – von der Abfrage von Firewall-Protokollen bezüglich GNSS-/Abrechnungsexpositionsrisiken bis hin zur Beauftragung einer vollständigen Expositionsanalyse und dem Neuaufbau der IT/OT-Sicherheitsgrenzen (Governance-Grenzen).
Wie Shieldworkz Betreiber von Wasser- und Energieversorgungsstrukturen unterstützt
Shieldworkz is ein spezialisiertes OT-, ICS- und IIoT-Cybersicherheitsunternehmen mit operativer Präsenz in Nordamerika und der Golfregion. Unsere Arbeit geht über die reine Beratung hinaus: Wir führen praxisnahe OT-Sicherheitsaudits durch, implementieren passive Netzwerk-Monitoring-Plattformen und unterstützen kritische Infrastrukturbetreiber (KRITIS) in den Sektoren Wasser, Energie, Petrochemie, maritime Wirtschaft und Produktion bei der Vorfallreaktion (Incident Response).
Mit der Beauftragung von Shieldworkz arbeiten Sie mit einem Team zusammen, das reale OT- und OT-nahe Umgebungen aus erster Hand analysiert hat. Wir wissen genau, wie Schwachstellen und blinde Flecken hinsichtlich GNSS, Abrechnungssystemen und Telemetrie in der Praxis aussehen – und wie ein priorisierter Sanierungsfahrplan (Remediation Roadmap) für Organisationen ausgearbeitet sein muss, die hochverfügbare, produktive Industrieumgebungen betreiben.
Unsere Unterstützungsleistungen im Zusammenhang mit den Erkenntnissen dieses Lageberichts umfassen: den „Internet-Exposed OT Exposure Assessment“ zur Kartierung Ihrer externen Angriffsfläche aus Sicht eines Angreifers (mittels netzweiter Scans und Protokoll-Fingerprinting der in der CISA-Meldung AA26-097A genannten spezifischen Geräteklassen); den „GNSS Dependency Exposure Assessment“, ein maßgeschneidertes Prüfungsverfahren für Zeitsteuerungskopplungen, Spoofing-Erkennungsfähigkeiten und terrestrische Redundanzoptionen; Programme zur Härtung von Engineering Workstations und zur OT-Asset-Inventarisierung; Richtlinien für den Drittanbieter-Zugriff (Vendor Access Governance) und Just-in-Time-Zugriffsarchitekturen; die Vorbereitung auf die OT-Incident-Response, einschließlich Krisenstabübung (Tabletop Exercise) modelliert nach dem konkreten „Cal Water“-Szenario (Claim-before-Confirmation); sowie OT-Cyber-Risiko-Briefings für den Vorstand, basierend auf aktuellen, regionalen Bedrohungslagen anstelle von globalen Durchschnittswerten.
Wir bieten keine generische IT-Sicherheit an, die lediglich auf OT-Umgebungen übertragen wird. Jedes Projekt orientiert sich präzise an den spezifischen Technologien, betrieblichen Rahmenbedingungen und individuellen Bedrohungen Ihrer Industrieumgebung.
Bedrohungen immer einen Schritt voraus sein – Laden Sie jetzt die vollständige Sicherheitsempfehlung herunter
Der Shieldworkz-Bedrohungsbericht zu Iran-assoziierten OT-Akteuren für Betreiber im Wasser- und Energiesektor steht qualifizierten Betreibern kritischer Infrastrukturen und Entscheidungsträgern kostenlos zum Download zur Verfügung.
Laden Sie den Bericht herunter (keine Registrierung erforderlich).
Sie haben zudem die Möglichkeit, eine unverbindliche
30-minütige Beratung mit einem Shieldworkz-OT-Sicherheitsspezialisten zu buchen, um die Ergebnisse des Berichts im Hinblick auf Ihren spezifischen Sektor, Ihre Infrastruktur und Ihr aktuelles Sicherheitsniveau detailliert zu erörtern.
Um zu verstehen, wie sich neue, mit dem Iran in Verbindung gebrachte Cyberbedrohungen auf Ihre OT-Umgebung auswirken können, buchen Sie noch heute ein Threat Intelligence Briefing mit unseren Experten.
