Dieser Artikel wurde mit Beiträgen von Jeff Kuo und Kelsey Oliver erstellt.
Die weltweit raffiniertesten Bedrohungsakteure agieren schneller, operieren leiser und zielen auf das Herzstück der modernen Gesellschaft ab: Betriebstechnologie (OT) und kritische Infrastrukturen. Die Fakten sind eindeutig: Viele Ransomware-Angriffe, Advanced Persistent Threats (APTs) und Cyberkriminalitätsgruppen gehen über den Datendiebstahl hinaus und zielen auf physische Störungen und sogar Sabotage ab. Die durch Geschäftsanforderungen bedingte Konvergenz von IT und OT hat eine weitläufige und hochriskante Angriffsfläche geschaffen. Sicherheitslücken (CVEs) werden mit atemberaubender Geschwindigkeit ausgenutzt, oft innerhalb weniger Tage oder Stunden nach ihrer Entdeckung.
In diesem Blog werden Front-Intelligence von IBM X-Force und neue OT-bezogene Datenverletzungen aus der Umfrage zu den Kosten einer Data Breach aus dem Jahr 2025 kombiniert.
Für IBMs Data Breach Kostenreport 2025 haben unsere Forschungspartner am Ponemon Institute mehr als 6.485 Sicherheitsverletzungen untersucht. Von diesen Unternehmen gaben 15 % an, dass der Vorfall ihr OT-Umfeld beeinträchtigt habe. Von dieser Gruppe berichtete fast ein Viertel (23 %), dass der Vorfall zu Schäden an OT-Systemen oder -Equipment geführt habe.
Es ist daher nicht überraschend, dass Unternehmen infolge einer Sicherheitsverletzung Auswirkungen auf ihre OT-Umgebungen erfahren. In den letzten Jahren gab es zahlreiche Beispiele dafür, wie Bedrohungsakteure OT-Störungen in verschiedenen Branchen verursachen:
Die technische Raffinesse und Beharrlichkeit moderner Angreifer schaffen das Potenzial für gleichzeitige, mehrdimensionale Störungen mit kaskadierenden Auswirkungen auf die physische Sicherheit, regulatorische Compliance (z. B. NERC CIP, NIST CSF, IEC 62443), und das öffentliche Vertrauen in kritische Infrastrukturen.
Angreifer heute sind vielfältiger, spezialisierter und aggressiver denn je. Sie kombinieren nationalstaatliche Ressourcen, Cyberkriminalitäts-Innovationen und hacktivistischen Opportunismus. Ihre Strategien entwickeln sich ständig weiter, wobei neuere Gruppen und Allianzen sich mit etablierten Akteuren zusammenschließen, um kritische Infrastrukturen weltweit zu bedrohen.
Bedrohungsakteure, die operative Störungen verursachen wollen, zielen auf ein schmales Spektrum von Schwachstellen ab, die vor allem Geräte wie VPN-Konzentratoren, Remote-Desktop-Gateways und OT-Protokollkonverter im Perimeter betreffen. Nach ihrer Aktivierung erlauben diese CVEs Angreifern die Ausführung von nicht authentifiziertem Remote-Code, die Kontrolle über Geräte auf Root-Ebene und häufig die direkte Umgehung veralteter Authentifizierungs- und Zugriffskontrollmechanismen. Die betrieblichen Auswirkungen werden verstärkt, da viele dieser Schwachstellen in kritischen Umgebungen aufgrund von Anforderungen an die Betriebszeit der Geräte, Verzögerungen bei Anbieter-Patches oder Lücken in der Asset-Transparenz ungepatcht bleiben.
Darüber hinaus haben die Konvergenz von IT und OT, die Verbreitung von Remote-Management-Tools und die Integration von Drittanbietern neue Wege für Angreifer geschaffen. Kompromittierte Lieferkettenpartner oder externe Integratoren werden als vertrauenswürdige Einstiegspunkte genutzt. Exponierte Remote-Zugriffsdienste von Anbietern sowie falsch konfigurierte Firewalls untergraben die statische Segmentierung zusätzlich. Angreifer nutzen vertrauenswürdige IT/OT-Brücken, ungesicherte Feldgeräte und sogar Wartungslaptops, um direkten Zugriff auf Prozessleitsysteme und Sicherheitssysteme zu erlangen. Diese sich entwickelnde Angriffsfläche macht herkömmliche Perimeter-Sicherheitsmodelle unzureichend und unterstreicht die Notwendigkeit einer dynamischen Netzwerküberwachung, kontinuierlicher Asset-Erkennung und bedrohungsinformierter Architektur.
Daten aus der X-Force Vulnerability Database zeigen, dass im ersten Halbjahr 2025 670 Schwachstellen gemeldet wurden, die OT-Umgebungen betreffen könnten. Von diesen haben 11 % einen CVSS-Schweregrad von „kritisch“ (CVSS-Wert zwischen 9,0-10,0). Außerdem gibt es für ein Fünftel (21 %) der kritischen Schwachstellen öffentlich zugänglichen Exploit-Code.
In diesem Jahr wurden bemerkenswerte Beispiele für die Ausnutzung kritischer OT-Schwachstellen beobachtet:
Diese Beispiele zeigen, wie wichtig es ist, Schwachstellen zu kennen, die auf dem Radar von Bedrohungsakteuren liegen. X-Force analysierte verschiedene Online-Foren, Märkte, Telegrammkanäle, Chatrooms und Diskussionen, um die am häufigsten genannten CVEs im ersten Halbjahr 2025 zu identifizieren, die OT/ICS-Umgebungen betreffen. Diese Erkenntnisse unterstützen Unternehmen bei ihren Patch-Management-Strategien.
Von den zehn wichtigsten CVEs, die im ersten Halbjahr 2025 offengelegt wurden und sich potenziell auf OT auswirken könnten, wurden 90 % aktiv ausgenutzt, davon 70 % durch APTs. So wurde beispielsweise die am häufigsten genannte CVE, CVE-2025-0282, Berichten zufolge von UNC5221, einem "mutmaßlichen chinesischen Spionageakteur", ausgenutzt. Diese Schwachstelle ermöglicht es nicht authentifizierten Angreifern, sich einen ersten Zugang zum internen Netzwerk hinter einer anfälligen Connect Secure VPN-Appliance zu verschaffen. Angreifer könnten sich dann lateral im Netzwerk ausbreiten und möglicherweise industrielle Steuerungssysteme beeinträchtigen. Die am zweithäufigsten genannte Schwachstelle CVE-2025-31324 wurde Berichten zufolge aktiv von Chaya_004, „einem chinesischen Bedrohungsakteur“, ausgenutzt. Diese Schwachstelle im SAP NetWeaver Visual Composer könnte einem Angreifer die Möglichkeit geben, Code aus der Ferne auszuführen. Viele Industrieunternehmen nutzen SAP für Enterprise Resource Planning (ERP) und Supply-Chain-Management (SCM), die direkt mit OT-Systemen interagieren oder diese indirekt beeinflussen können.
Das Jahr 2025 gilt als wegweisend für die Sicherheit von OT und kritischer Infrastruktur. Die Konvergenz motivierter staatlicher Angreifern, sich schnell entwickelnder Ransomware-Ökosystemen und die anhaltende Ausnutzung einer kleinen Anzahl hochwirksamer Schwachstellen hat grundlegende Schwächen in herkömmlichen OT-Umgebungen offengelegt. Angreifer umgehen heutzutage routinemäßig traditionelle Perimeterverteidigungen, indem sie die Lieferkettenkompromittierungen, gestohlene privilegierte Zugangsdaten und tiefgreifende laterale Bewegungen nutzen, um geschäftsschädigende und sogar sicherheitskritische Auswirkungen zu erzielen.
Angesichts dieser Bedrohungslage müssen Unternehmen das Management von OT-Risiken grundlegend überdenken. Cybersicherheit muss über Compliance und Kontrollkästchen hinausgehen und zu einem erkenntnisgesteuerten und sektorspezifischen Verteidigungsmodell führen. Überleben bedeutet nicht mehr nur, den ersten Zugriff zu verhindern. Vielmehr erfordert es schnelle Erkennung, wirksame Eindämmung und resiliente Wiederherstellung, unterstützt durch kontinuierliches Engagement der Geschäftsleitung und Governance der Vorstandsebene.
Die operative Resilienz im Jahr 2026 und darüber hinaus wird durch die Fähigkeit eines Unternehmens bestimmt, die richtigen Schwachstellen zu priorisieren, reale Angriffsszenarien zu simulieren, mehrschichtige Kontrollen durchzusetzen und die Verantwortung für Cybersicherheit vom Kontrollraum bis in den Vorstand zu übertragen. Die Einsätze sind existenziell: Servicekontinuität, regulatorische Compliance, physische Sicherheit und öffentliches Vertrauen hängen alle von einer proaktiven, adaptiven OT-Cyberabwehrstrategie ab. Wir legen Unternehmen nahe, die folgenden Empfehlungen zu prüfen:
1. Hyperpriorisieren Sie das Patch-Management
2. Ordnen Sie Bedrohungen Ihrem Sektor zu
3. Führen Sie Red-Team-Übungen durch
4. Setzen Sie auf mehrstufige Verteidigung statt auf „Checkbox-Sicherheit“
5. Holen Sie die Zustimmung des Vorstands ein und führen Sie Tests in der realen Welt durch.
