Die Gefahr für kritische Infrastrukturen hat sich dramatisch verschärft. Das zeigt der neue Jahresbericht des Cybersicherheits-Unternehmens Dragos. Demnach haben sich drei neue Hacker-Gruppen auf Angriffe gegen Industrieanlagen spezialisiert. Gleichzeitig explodieren Ransomware-Attacken.
Spezialisierte Banden dringen in Steuerungssysteme ein
Die Experten von Dragos identifizierten 2025 drei neue Bedrohungsgruppen – Azurite, Pyroxene und Sylvanite. Insgesamt verfolgt das Unternehmen nun 26 solcher OT-spezifischen Gruppen. Ihre Arbeitsweise zeigt eine gefährliche Professionalisierung.
Sylvanite agiert als „Initial Access Broker“. Die Gruppe nutzt neu bekannt gewordene Sicherheitslücken in Randgeräten innerhalb von 48 Stunden aus und verkauft den Zugang an andere Hacker. Azurite und Pyroxene hingegen operieren tief in bereits kompromittierten OT-Netzwerken. Sie spionieren sensible Betriebsdaten aus – von Alarmanlagen über Konfigurationsdateien bis hin zu Ingenieur-Arbeitsplätzen.
„Diese gestohlene Information liefert den Angreifern die Baupläne, um physikalische Industrieprozesse zu verstehen und potenziell zu manipulieren“, warnt der Bericht. Andere Sicherheitsfirmen bringen die Aktivitäten dieser Gruppen mit staatlich unterstützten Akteuren in Verbindung.
Ransomware-Angriffe auf Industrie verdoppeln sich
Die Bedrohung kommt nicht nur von hochspezialisierten Staatshackern. Ransomware ist zum Hauptverursacher von Betriebsausfällen geworden. Die Angriffe haben 2025 explosionsartig zugenommen.
Laut Dragos attackierten 119 verschiedene Erpresserbanden Industrieunternehmen – ein Anstieg von 49 Prozent gegenüber 2024. Über 3.300 Organisationen waren betroffen, fast doppelt so viele wie im Vorjahr. Am häufigsten traf es den Fertigungssektor (über zwei Drittel aller Vorfälle), gefolgt von Transportwesen, Energie und Kommunikation.
Ein typischer Angriffsweg ist der Missbrauch legitimer Anmeldedaten. Diese erbeuten Hacker durch Phishing oder Infostealer-Malware. Über VPN-Portale oder Firewall-Oberflächen dringen sie zunächst in IT-Netzwerke ein, um dann in die sensibleren OT-Umgebungen vorzustoßen.
Wer sich gegen Phishing, gestohlene Zugangsdaten und die Folgen von Ransomware wappnen will, findet praktische Hilfe in einem kostenlosen Branchen‑Report. Das E‑Book erklärt, welche Prioritäten IT‑ und Produktionsverantwortliche jetzt setzen müssen – von stärkeren Zugriffskontrollen über Mitarbeiter‑Awareness bis zu operativen Maßnahmen zum Schutz von OT. Jetzt kostenlosen Cyber‑Security‑Report herunterladen
Hacker kartieren Steuerkreise für physische Zerstörung
Die alarmierendste Entwicklung ist eine strategische Neuausrichtung mehrerer Bedrohungsgruppen. Sie betreiben nun gezielt „Control-Loop Mapping“ – das geht weit über passive Spionage hinaus.
Angreifer studieren aktiv, wie physikalische Prozesse funktionieren. Sie identifizieren Ingenieur-Arbeitsplätze und analysieren Konfigurationsdateien. So verstehen sie, wie Befehle durch das Steuerungssystem laufen und wo physische Effekte ausgelöst werden können.
„Diese detaillierte Kartierung beseitigt eine entscheidende Barriere“, erklärt Dragos-CEO Robert M. Lee. „Angreifer müssen nicht mehr raten, wie ein komplexer Industrieprozess funktioniert.“ Die Folge: Der Schritt vom Netzwerkzugang zur tatsächlichen physischen Störung wird deutlich kürzer.
Handlungsfenster für Verteidiger schließt sich schnell
Die Konvergenz aus spezialisierten Bedrohungsakteuren, profitgierigen Ransomware-Banden und auf Betriebsstörung ausgerichteten Gegnern stellt Industrieunternehmen vor immense Herausforderungen. Die Geschwindigkeit und Raffinesse der Angriffe nehmen zu – der Zeitvorteil kippt zugunsten der Angreifer.
Aktuelle Warnungen von Behörden wie der US-Cybersicherheitsbehörde CISA unterstreichen die Gefahr. Erst am 16. Februar wies CISA auf kritische Schwachstellen in ZLAN-Industriegeräten hin – solche Lücken sind ideale Einstiegspunkte für Attacken.
Experten drängen auf grundlegende Cybersicherheitsmaßnahmen in OT-Umgebungen. Dazu gehören ein vollständiges Asset-Inventar, robuste Netzwerküberwachung mit Kenntnis der ICS-Protokolle und die Absicherung aller Fernzugangswege. Ingenieur-Arbeitsplätze und andere Systeme an der IT/OT-Grenze müssen als hochwertige Assets behandelt werden.
Die Integration von OT-Sicherheit in die betriebliche Risikostrategie ist keine Option mehr, sondern essenziell. Nur so lassen sich katastrophale Betriebsausfälle verhindern, während Gegner weiter innovieren und kooperieren.
