Die Bedrohung kritischer Infrastrukturen wie Energie- oder Industrieanlagen nimmt zu. Deswegen muss der OT-Sicherheit mehr Beachtung geschenkt werden. (Bild: Stock.Adobe.com - Pramanth)
Häufig ausgenutzte Schwachstellen und Sicherheitslücken (CVEs) im Fertigungssektor haben bereits erhebliche Schäden verursacht – und werden die Unternehmenssicherheit auch 2025 und darüber hinaus herausfordern. Angreifer nutzen dabei oft legitime System-Tools und -Prozesse für den Erstzugriff, die Erweiterung von Berechtigungen und das Aufrechterhalten der Kontrolle. So können Bedrohungsakteure ihre Aktivitäten in reguläre Systemabläufe einbetten und bleiben dadurch häufig unentdeckt.
Die Komplexität von Fertigungsumgebungen erschwert die Sicherung dieser Systeme. OT-Umgebungen und industrielle IoT-Geräte vergrößern in der Regel die Angriffsfläche, verfügen jedoch nicht über die erforderlichen nativen Funktionen zu ihrer Überwachung und zum Schutz. Ransomware und Advanced Persistent Threats (APTs) sind ebenfalls immer raffinierter geworden, um diese anfälligen Ressourcen anzugreifen.
Automation NEXT Conference
Entdecken Sie die Zukunft der Automatisierung auf der Automation NEXT Conference. Diese Veranstaltung am 18. November 2025 in Ludwigsburg bringt Branchenexperten zusammen, um über neueste Trends und Technologien in der Automatisierung zu diskutieren.
Die Themenbereiche umfassen Künstliche Intelligenz, Industrie 4.0, Cybersicherheit, Edge Computing, Robotik und nachhaltige Automatisierungslösungen. Die Veranstaltung bietet eine einzigartige Plattform für Wissensaustausch, Netzwerken und Inspiration für Fachleute aus der Automatisierungsbranche.
Für weitere Informationen besuchen Sie bitte Automation NEXT Conference.
Laut einer aktuellen Studie von Armis bestätigen 85 Prozent der globalen IT-Führungskräfte, dass offensive Techniken regelmäßig ihre Verteidigungsmaßnahmen umgehen. Die Erfahrung zeigt, dass Schwachstellen in der Cybersicherheit häufig mit Defiziten in der Compliance einhergehen.
Ein proaktiver Ansatz für Cybersicherheit und Compliance erfordert das Verständnis der Komplexität der Angriffsfläche und das Ergreifen entsprechender Verteidigungsmaßnahmen. KI-unterstützte Lösungen können Verhaltensanalysen nutzen, um unbefugten Zugriff und die verdächtige Verwendung legitimer Tools zu erkennen, sodass Unternehmen diese Schwachstellen aufdecken und geeignete Maßnahmen ergreifen können.
Erstzugriff: Der Weg des geringsten Widerstands
Angreifer wissen, dass eine Kette nur so stark ist wie ihr schwächstes Glied. Daher nutzen sie häufig Zero-Day-Exploits bisher unbekannter Schwachstellen, um Abwehrmaßnahmen zu umgehen. Wenn diese Geräte mit dem Internet verbunden sind, können Angreifer sie relativ leicht identifizieren und für opportunistische Angriffe nutzen.
Tatsächlich suchen viele APTs gezielt nach Netzwerkgeräten wie Firewalls und Routern, um deren Schwachstellen auszunutzen. CVE-2024-12856 beispielsweise ist eine Schwachstelle in industriellen Routern von Four-Faith, die es Angreifern ermöglicht, Betriebssystembefehle auszuführen. Schätzungen zufolge ist jedes zehnte Fertigungsunternehmen dieser Schwachstelle ausgesetzt, wobei etwa 15.000 mit dem Internet verbundene Geräte gefährdet sind.
Auch Schwachstellen in der Lieferkette stellen ein großes Risiko für Unternehmen dar. CVE-2023-21554 ist eine Schwachstelle in den Microsoft Messaging Queuing-Diensten, die industrielle Geräte von Mitsubishi Electric betrifft. Schätzungen zufolge sind mehr als die Hälfte aller Unternehmen weiterhin anfällig für diese CVE.
Wie LOTL-Angriffe mithilfe legitimer Tools zur Gefahr werden
Sobald sich Angreifer einen Zugang verschafft haben, konzentrieren sie sich darauf, die Kontrolle zu behalten. Dazu zielen sie meist auf ältere Geräte und Fehlkonfigurationen in den Systemen ab und nutzen LOTL-Techniken (Living-off-the-Land). Mit lateralen Bewegungen können Angreifer sich im Netzwerk in Richtung ihres eigentlichen Ziels bewegen. Durch den Erwerb von Administratorrechten auf kompromittierten Systemen können sie ihre Berechtigungen unbemerkt erweitern. Die Fähigkeit zur Persistenz ermöglicht es Cyberkriminellen, selbst nach Systemaktualisierungen, Neustarts oder Passwortänderungen unentdeckt im Netzwerk zu verbleiben.
LOTL-Techniken (Living-off-the-Land) bedienen sich legitimer Administrator-Tools, um herkömmlichen Erkennungsverfahren zu entgehen. Über PowerShell oder die Ausführung von Befehlszeilen können Angreifer beispielsweise schädliche Aktionen durchführen – ohne dabei auf klassische Malware zurückzugreifen. In OT-Umgebungen sind diese Risiken besonders ausgeprägt, da die dort eingesetzten Geräte oft nur eingeschränkt überwacht und nur schwer gepatcht werden können.
Unternehmen müssen ihre Strategien für Cybersicherheit und Compliance auf einen stärker proaktiven Ansatz umstellen – mit dem Ziel, Erstzugriffe, unautorisierte Rechteausweitungen und Persistenzmechanismen frühzeitig zu erkennen und wirksam zu unterbinden. So lassen sich die Auswirkungen möglicher Sicherheitsvorfälle deutlich begrenzen. Auch wenn es dafür klare Handlungsempfehlungen gibt, handelt es sich nicht um ein einmaliges Ziel, sondern um einen kontinuierlichen Prozess.
Die drei Säulen eines robusten OT-Sicherheitskonzepts:
- Die erste dieser Säulen ist die Transparenz – sowohl die Fähigkeit, alle Unternehmensressourcen zu erkennen als auch deren Gerätestatus, z. B. ob sie anfällige Software ausführen.
- Der Kontext ermöglicht es Unternehmen, die Behebung ihrer größten Risiken zu priorisieren, und durch kontinuierliche Überwachung können sie Anzeichen für Kompromittierungen erkennen. KI-fähige Lösungen können diese Verhaltensanalyse unterstützen, um verdächtige Nutzung legitimer Unternehmensressourcen zu erkennen.
- Automatisierung und Orchestrierung können Reaktionsmaßnahmen durchsetzen, beispielsweise die Isolierung gefährdeter Geräte oder die Anforderung einer Multi-Faktor-Authentifizierung. Ebenso ermöglicht die Ausweitung der umfassenden Transparenz und kontinuierlichen Überwachung auf die Compliance Unternehmen, ihre Lücken zu bewerten, kompensierende Kontrollen zu implementieren und sicherzustellen, dass neue Geräte keine neuen Risiken schaffen.
Es ist zu beachten, dass die Verwaltung der Komplexität von IT- und OT-Infrastrukturen möglicherweise auch auf die Lieferkette und Cloud-Computing-Umgebungen ausgeweitet werden muss.
Absichern statt abwarten
Laut der aktuellen Cyberwarfare-Studie von Armis betrachten 81 Prozent der IT-Führungskräfte die Umstellung auf eine proaktive Cybersicherheitsstrategie als eines der zentralen Unternehmensziele für das kommende Jahr. Gleichzeitig räumen jedoch 58 Prozent der Unternehmen ein, derzeit lediglich reaktiv auf Bedrohungen zu reagieren – entweder bei deren Auftreten oder erst nach Eintritt des Schadens.
Besonders kritisch ist, dass viele Angriffe gezielt auf veraltete Geräte abzielen, die häufig unentdeckt bleiben und nicht ausreichend geschützt sind. Auch die Herausforderung, die missbräuchliche Nutzung legitimer Systemprozesse frühzeitig zu erkennen, wird oft unterschätzt. Um solchen Bedrohungen wirksam zu begegnen, braucht es einen proaktiven Ansatz in Cybersicherheit und Compliance – mit dem Ziel, Risiken frühzeitig zu identifizieren, zu verhindern und in Echtzeit darauf zu reagieren.