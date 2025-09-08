Angreifer heute sind vielfältiger, spezialisierter und aggressiver denn je. Sie kombinieren nationalstaatliche Ressourcen, Cyberkriminalitäts-Innovationen und hacktivistischen Opportunismus. Ihre Strategien entwickeln sich ständig weiter, wobei neuere Gruppen und Allianzen sich mit etablierten Akteuren zusammenschließen, um kritische Infrastrukturen weltweit zu bedrohen.

Bedrohungsakteure, die operative Störungen verursachen wollen, zielen auf ein schmales Spektrum von Schwachstellen ab, die vor allem Geräte wie VPN-Konzentratoren, Remote-Desktop-Gateways und OT-Protokollkonverter im Perimeter betreffen. Nach ihrer Aktivierung erlauben diese CVEs Angreifern die Ausführung von nicht authentifiziertem Remote-Code, die Kontrolle über Geräte auf Root-Ebene und häufig die direkte Umgehung veralteter Authentifizierungs- und Zugriffskontrollmechanismen. Die betrieblichen Auswirkungen werden verstärkt, da viele dieser Schwachstellen in kritischen Umgebungen aufgrund von Anforderungen an die Betriebszeit der Geräte, Verzögerungen bei Anbieter-Patches oder Lücken in der Asset-Transparenz ungepatcht bleiben.

Darüber hinaus haben die Konvergenz von IT und OT, die Verbreitung von Remote-Management-Tools und die Integration von Drittanbietern neue Wege für Angreifer geschaffen. Kompromittierte Lieferkettenpartner oder externe Integratoren werden als vertrauenswürdige Einstiegspunkte genutzt. Exponierte Remote-Zugriffsdienste von Anbietern sowie falsch konfigurierte Firewalls untergraben die statische Segmentierung zusätzlich. Angreifer nutzen vertrauenswürdige IT/OT-Brücken, ungesicherte Feldgeräte und sogar Wartungslaptops, um direkten Zugriff auf Prozessleitsysteme und Sicherheitssysteme zu erlangen. Diese sich entwickelnde Angriffsfläche macht herkömmliche Perimeter-Sicherheitsmodelle unzureichend und unterstreicht die Notwendigkeit einer dynamischen Netzwerküberwachung, kontinuierlicher Asset-Erkennung und bedrohungsinformierter Architektur.

Daten aus der X-Force Vulnerability Database zeigen, dass im ersten Halbjahr 2025 670 Schwachstellen gemeldet wurden, die OT-Umgebungen betreffen könnten. Von diesen haben 11 % einen CVSS-Schweregrad von „kritisch“ (CVSS-Wert zwischen 9,0-10,0). Außerdem gibt es für ein Fünftel (21 %) der kritischen Schwachstellen öffentlich zugänglichen Exploit-Code.