Die Bedrohungslandschaft der Betriebstechnologie: Erkenntnisse aus IBM X-Force

Betriebstechnologie-Spezialist, der in einem industriellen Fertigungszentrum arbeitet

Dieser Artikel wurde mit Beiträgen von Jeff Kuo und Kelsey Oliver erstellt.

Die weltweit raffiniertesten Bedrohungsakteure agieren schneller, operieren leiser und zielen auf das Herzstück der modernen Gesellschaft ab: Betriebstechnologie (OT) und kritische Infrastrukturen. Die Fakten sind eindeutig: Viele Ransomware-Angriffe, Advanced Persistent Threats (APTs) und Cyberkriminalitätsgruppen gehen über den Datendiebstahl hinaus und zielen auf physische Störungen und sogar Sabotage ab. Die durch Geschäftsanforderungen bedingte Konvergenz von IT und OT hat eine weitläufige und hochriskante Angriffsfläche geschaffen. Sicherheitslücken (CVEs) werden mit atemberaubender Geschwindigkeit ausgenutzt, oft innerhalb weniger Tage oder Stunden nach ihrer Entdeckung. 

In diesem Blog werden Front-Intelligence von IBM X-Force und neue OT-bezogene Datenverletzungen aus der Umfrage zu den Kosten einer Data Breach aus dem Jahr 2025 kombiniert.

Wesentliche Erkenntnisse

  • Unter den im Rahmen des diesjährigen Data Breach Reports untersuchten Unternehmen gaben 15 % an, dass sie Cybersicherheitsvorfälle erlebt haben, die ihre OT-Umgebung beeinträchtigten. Von dieser Gruppe berichtete fast ein Viertel, dass der Vorfall OT-Systeme oder -Equipment beschädigt habe. Diese Vorfälle kosteten im Durchschnitt 4,56 Millionen US-Dollar und lagen damit etwas mehr über dem Weltdurchschnitt (4,44 Millionen US-Dollar).
  • Daten aus der X-Force Vulnerability Database zeigen, dass von den 670 im ersten Halbjahr 2025 bekannt gewordenen Schwachstellen, die Auswirkungen auf OT haben könnten, fast die Hälfte (49 %) eine CVSS-Schweregradbewertung von „kritisch“ oder „hoch“ aufweisen. Bei einem Fünftel (21 %) der als „kritisch“ eingestuften Schwachstellen ist Exploit-Code öffentlich verfügbar.

Die Kosten eines OT-Verstoßes

Für IBMs Data Breach Kostenreport 2025 haben unsere Forschungspartner am Ponemon Institute mehr als 6.485 Sicherheitsverletzungen untersucht. Von diesen Unternehmen gaben 15 % an, dass der Vorfall ihr OT-Umfeld beeinträchtigt habe. Von dieser Gruppe berichtete fast ein Viertel (23 %), dass der Vorfall zu Schäden an OT-Systemen oder -Equipment geführt habe.

Zwei Kreisdiagramme veranschaulichen die Umfrageergebnisse zu Sicherheitsvorfällen in OT-Umgebungen. Das erste Diagramm zeigt, dass 15 % der Unternehmen Vorfälle erlebt haben, während dies bei 85 % nicht der Fall war. Das zweite Diagramm zeigt, dass 23 % der Vorfälle Schäden an OT-Systemen oder Equipment verursachten, während 77 % dies nicht taten. Die grafische Darstellung verwendet violette und blaue Segmente mit eindeutigen numerischen Beschriftungen.

Es ist daher nicht überraschend, dass Unternehmen infolge einer Sicherheitsverletzung Auswirkungen auf ihre OT-Umgebungen erfahren. In den letzten Jahren gab es zahlreiche Beispiele dafür, wie Bedrohungsakteure OT-Störungen in verschiedenen Branchen verursachen:

  • Anhaltende Destabilisierung des Stromnetzes und koordinierte Ausfälle von Umspannwerken:
    Angreifer nutzen erfolgreich ICS-spezifische Malware, Protokollmanipulationen (z. B. der Protokolle IEC 104 und DNP3) und Remote-Access-Exploits, um netzübergreifende Störungen und Blackouts zu erzeugen. Diese Vorfälle erfordern oft eine manuelle Wiederherstellung des Netzes und betreffen Millionen von Energieversorgungskunden.
  • Anhaltende Beeinträchtigung der Wasseraufbereitung, der Energieerzeugung und der Produktionsabläufe:
    Bedrohungsakteure stören zentrale OT-Prozesse durch Manipulation von SCADA- und PLC-Systemen (programmierbare Logiksteuerungen), beeinträchtigen Chemikaliendosierung, Durchflussregelung und automatisierte Sicherheitskontrollen, was zu Produktionsverlangsamungen, Umweltvorfällen oder Gefahrensituationen für das Anlagenpersonal führt.
  • Weitreichende Unterbrechungen globaler Lieferketten und kritischer Logistik:
    Ransomware- und zerstörerische Malware-Kampagnen haben automatisierte Lagerhäuser, Vertriebszentren und Transportmanagementsysteme lahmgelegt. Lieferungen verzögerten sich, die Just-in-Time-Fertigung stoppte und Unternehmen erlitten wirtschaftliche und Reputationsverluste.

Die technische Raffinesse und Beharrlichkeit moderner Angreifer schaffen das Potenzial für gleichzeitige, mehrdimensionale Störungen mit kaskadierenden Auswirkungen auf die physische Sicherheit, regulatorische Compliance (z. B. NERC CIP, NIST CSF, IEC 62443), und das öffentliche Vertrauen in kritische Infrastrukturen.

Die Schwachstellenlandschaft der Betriebstechnologie

Angreifer heute sind vielfältiger, spezialisierter und aggressiver denn je. Sie kombinieren nationalstaatliche Ressourcen, Cyberkriminalitäts-Innovationen und hacktivistischen Opportunismus. Ihre Strategien entwickeln sich ständig weiter, wobei neuere Gruppen und Allianzen sich mit etablierten Akteuren zusammenschließen, um kritische Infrastrukturen weltweit zu bedrohen.

Bedrohungsakteure, die operative Störungen verursachen wollen, zielen auf ein schmales Spektrum von Schwachstellen ab, die vor allem Geräte wie VPN-Konzentratoren, Remote-Desktop-Gateways und OT-Protokollkonverter im Perimeter betreffen. Nach ihrer Aktivierung erlauben diese CVEs Angreifern die Ausführung von nicht authentifiziertem Remote-Code, die Kontrolle über Geräte auf Root-Ebene und häufig die direkte Umgehung veralteter Authentifizierungs- und Zugriffskontrollmechanismen. Die betrieblichen Auswirkungen werden verstärkt, da viele dieser Schwachstellen in kritischen Umgebungen aufgrund von Anforderungen an die Betriebszeit der Geräte, Verzögerungen bei Anbieter-Patches oder Lücken in der Asset-Transparenz ungepatcht bleiben.

Darüber hinaus haben die Konvergenz von IT und OT, die Verbreitung von Remote-Management-Tools und die Integration von Drittanbietern neue Wege für Angreifer geschaffen. Kompromittierte Lieferkettenpartner oder externe Integratoren werden als vertrauenswürdige Einstiegspunkte genutzt. Exponierte Remote-Zugriffsdienste von Anbietern sowie falsch konfigurierte Firewalls untergraben die statische Segmentierung zusätzlich. Angreifer nutzen vertrauenswürdige IT/OT-Brücken, ungesicherte Feldgeräte und sogar Wartungslaptops, um direkten Zugriff auf Prozessleitsysteme und Sicherheitssysteme zu erlangen. Diese sich entwickelnde Angriffsfläche macht herkömmliche Perimeter-Sicherheitsmodelle unzureichend und unterstreicht die Notwendigkeit einer dynamischen Netzwerküberwachung, kontinuierlicher Asset-Erkennung und bedrohungsinformierter Architektur.

Daten aus der X-Force Vulnerability Database zeigen, dass im ersten Halbjahr 2025 670 Schwachstellen gemeldet wurden, die OT-Umgebungen betreffen könnten. Von diesen haben 11 % einen CVSS-Schweregrad von „kritisch“ (CVSS-Wert zwischen 9,0-10,0). Außerdem gibt es für ein Fünftel (21 %) der kritischen Schwachstellen öffentlich zugänglichen Exploit-Code.

Zwei Kreisdiagramme veranschaulichen Daten zu Schwachstellen in OT-Umgebungen. Die erste Grafik kategorisiert Schwachstellen nach CVSS-Bewertung und zeigt die Prozentsätze für niedrige, mittlere, hohe und kritische Schwachstellen. Die zweite Grafik zeigt den Prozentsatz kritischer Schwachstellen mit öffentlich verfügbarem Exploit-Code, der mit 21 % angegeben ist. Die Grafiken verwenden Blau- und Violetttöne zur Unterscheidung.

In diesem Jahr wurden bemerkenswerte Beispiele für die Ausnutzung kritischer OT-Schwachstellen beobachtet:

  • Im Mai 2025 nutzten Bedrohungsakteure eine kritische Remote-Code-Execution-Schwachstelle im Erlang/OTP SSH-Daemon (CVE-2025-32433). Diese ermöglichte nicht authentifizierten Benutzern die Ausführung beliebiger Befehle. Rund 70 % der Angriffsversuche richteten sich gegen OT-Firewalls und Umgebungen
  • Das niederländische NCSC bestätigte, dass Angreifer die schwerwiegende Schwachstelle CVE-2025-6543 in Citrix NetScaler ADC- und Gateway-Produkten bereits seit Anfang Mai 2025 als Zero-Day-Schwachstelle ausgenutzt hatten, also noch vor der öffentlichen Bekanntgabe. Die Angreifer konnten Web-Shells einzusetzen, einen dauerhaften Zugriff herstellen und potenziell VPN- und Remote-Zugriff-Gateways in kritischen Sektoren zu stören.
  • Im Mai 2025 stoppte der Stahlhersteller Nucor nach einem Cybersicherheitsverstoß die Produktion in mehreren Einrichtungen. Der Angriff erfolgte durch unbefugten Zugriff auf interne IT-Systeme, woraufhin vorsorglich die Produktion abgeschaltet wurde. Obwohl der Vorfall als IT-zentriert eingestuft wurde, hatte die Störung direkte Auswirkungen auf den industriellen Betrieb und unterstreicht die enge Verknüpfung zwischen IT- und OT-Bereich.

Diese Beispiele zeigen, wie wichtig es ist, Schwachstellen zu kennen, die auf dem Radar von Bedrohungsakteuren liegen. X-Force analysierte verschiedene Online-Foren, Märkte, Telegrammkanäle, Chatrooms und Diskussionen, um die am häufigsten genannten CVEs im ersten Halbjahr 2025 zu identifizieren, die OT/ICS-Umgebungen betreffen.  Diese Erkenntnisse unterstützen Unternehmen bei ihren Patch-Management-Strategien.

Ein Balkendiagramm, das die zehn am häufigsten genannten CVEs visualisiert, die sich im ersten Halbjahr 2025 auf OT/ICS-Umgebungen auswirken könnten. Die Grafik hebt CVE-Kennungen wie CVE-2025-0228 und CVE-2025-3124 hervor, deren Erwähnungshäufigkeit zwischen 75 und 1830 liegt. Die horizontalen Balken stellen die Anzahl der Nennungen für jede CVE dar und verdeutlichen deren relative Bedeutung.

Von den zehn wichtigsten CVEs, die im ersten Halbjahr 2025 offengelegt wurden und sich potenziell auf OT auswirken könnten, wurden 90 % aktiv ausgenutzt, davon 70 % durch APTs. So wurde beispielsweise die am häufigsten genannte CVE, CVE-2025-0282, Berichten zufolge von UNC5221, einem "mutmaßlichen chinesischen Spionageakteur", ausgenutzt. Diese Schwachstelle ermöglicht es nicht authentifizierten Angreifern, sich einen ersten Zugang zum internen Netzwerk hinter einer anfälligen Connect Secure VPN-Appliance zu verschaffen. Angreifer könnten sich dann lateral im Netzwerk ausbreiten und möglicherweise industrielle Steuerungssysteme beeinträchtigen. Die am zweithäufigsten genannte Schwachstelle CVE-2025-31324 wurde Berichten zufolge aktiv von Chaya_004, „einem chinesischen Bedrohungsakteur“, ausgenutzt. Diese Schwachstelle im SAP NetWeaver Visual Composer könnte einem Angreifer die Möglichkeit geben, Code aus der Ferne auszuführen. Viele Industrieunternehmen nutzen SAP für Enterprise Resource Planning (ERP) und Supply-Chain-Management (SCM), die direkt mit OT-Systemen interagieren oder diese indirekt beeinflussen können.

Jenseits der Erkennung: Verteidigung der nächsten Generation gegen moderne Angreifer

Das Jahr 2025 gilt als wegweisend für die Sicherheit von OT und kritischer Infrastruktur. Die Konvergenz motivierter staatlicher Angreifern, sich schnell entwickelnder Ransomware-Ökosystemen und die anhaltende Ausnutzung einer kleinen Anzahl hochwirksamer Schwachstellen hat grundlegende Schwächen in herkömmlichen OT-Umgebungen offengelegt. Angreifer umgehen heutzutage routinemäßig traditionelle Perimeterverteidigungen, indem sie die Lieferkettenkompromittierungen, gestohlene privilegierte Zugangsdaten und tiefgreifende laterale Bewegungen nutzen, um geschäftsschädigende und sogar sicherheitskritische Auswirkungen zu erzielen.

Angesichts dieser Bedrohungslage müssen Unternehmen das Management von OT-Risiken grundlegend überdenken. Cybersicherheit muss über Compliance und Kontrollkästchen hinausgehen und zu einem erkenntnisgesteuerten und sektorspezifischen Verteidigungsmodell führen. Überleben bedeutet nicht mehr nur, den ersten Zugriff zu verhindern. Vielmehr erfordert es schnelle Erkennung, wirksame Eindämmung und resiliente Wiederherstellung, unterstützt durch kontinuierliches Engagement der Geschäftsleitung und Governance der Vorstandsebene.

Die operative Resilienz im Jahr 2026 und darüber hinaus wird durch die Fähigkeit eines Unternehmens bestimmt, die richtigen Schwachstellen zu priorisieren, reale Angriffsszenarien zu simulieren, mehrschichtige Kontrollen durchzusetzen und die Verantwortung für Cybersicherheit vom Kontrollraum bis in den Vorstand zu übertragen. Die Einsätze sind existenziell: Servicekontinuität, regulatorische Compliance, physische Sicherheit und öffentliches Vertrauen hängen alle von einer proaktiven, adaptiven OT-Cyberabwehrstrategie ab. Wir legen Unternehmen nahe, die folgenden Empfehlungen zu prüfen:

1. Hyperpriorisieren Sie das Patch-Management

  • Patchen Sie so, als hinge Ihr Geschäft davon ab, denn das tut es. Priorisieren Sie Schwachstellen, die aktiv ausgenutzt werden. Nutzen Sie CISAs Known Exploited Vulnerabilities (KEV) Katalog, MITRE, Threat-Intelligence-Feeds und Lieferantenhinweise als Ihre To-Do-Liste.
  • Wenn sich das Patchen verzögert, implementieren Sie Netzwerksegmentierung, Application Allowlisting und verstärken Sie die Überwachung von OT/ICS-Anomalien.

2. Ordnen Sie Bedrohungen Ihrem Sektor zu

  • Erwägen Sie eine strategische Bedrohungsbewertung Ihres Unternehmens, um zu verstehen, welche Bedrohungen Ihre Umgebung voraussichtlich beeinflussen, basierend auf Branche und geografischem Standort.
  • Verwenden Sie die MITRE ATT&CK Matrix für ICS und Sektor-ISAC-Warnungen (z. B. E-ISAC, MFG-ISAC, Water-ISAC), um die für Ihr Unternehmen relevanten TTPs zuzuordnen.

3. Führen Sie Red-Team-Übungen durch

4. Setzen Sie auf mehrstufige Verteidigung statt auf „Checkbox-Sicherheit“

  • Trennen Sie IT und OT, verwenden Sie Firewalls, DMZs und unidirektionale Gateways.
  • Erzwingen Sie MFA, rotieren Sie Zugangsdaten und verbieten Sie gemeinsame Logins auf Engineering-Arbeitsplätzen.
  • Investieren Sie in Anomalieerkennung und passive Deep Packet Inspection (DPI) für OT und erstellen Sie klare Notfallpläne für die Reaktion auf Sicherheitsvorfälle.

5. Holen Sie die Zustimmung des Vorstands ein und führen Sie Tests in der realen Welt durch.

  • Behandeln Sie OT-Sicherheit als eine Priorität der Geschäftsleitung, denn OT-Risiken sind nicht nur ein Problem der IT, sondern betreffen das Kerngeschäft und sind ein Sicherheitsthema. Die Einbindung des Vorstands und die Unterstützung durch die Geschäftsleitung in diesem Bereich sind im Jahr 2025 unabdingbar. Testen Sie Ihr Cyber-Krisenmanagement in immersiven Erfahrung, die auf realen Angriffsszenarien basieren.

