OT-Security 2026: 119 Ransomware-Gruppen greifen gezielt Industrieanlagen an
8 Min. Lesezeit
119 aktive Ransomware-Gruppen greifen gezielt Industrieanlagen an. 49 Prozent mehr als im Vorjahr. Dragos hat drei neue Angreifergruppen identifiziert die sich auf operative Technologie spezialisieren: Sylvanite, Azurite und Pyroxen. Gleichzeitig meldete Forescout einen Rekord von 508 ICS-Advisories mit 2.155 Schwachstellen im Jahr 2025. Für Betreiber kritischer Infrastrukturen ist OT-Security keine Kür mehr, sondern Überlebensfrage.
Das Wichtigste in Kürze
- 🏭 119 Ransomware-Gruppen mit Industrie-Fokus, +49 Prozent gegenüber Vorjahr (Dragos, 2025).
- ⚠️ 508 ICS-Advisories mit 2.155 Schwachstellen in 2025. Absoluter Rekord (Forescout).
- 🔍 3 neue OT-Angreifergruppen identifiziert: Sylvanite, Azurite, Pyroxen (Dragos).
- 💥 60+ Hacktivist-Gruppen innerhalb von Stunden nach geopolitischen Eskalationen aktiv.
- 🛡️ IT-zu-OT-Pivoting ist der wachsende Hauptangriffsvektor. Netzwerk-Konvergenz ohne Schutz.
Die Bedrohungslage: Mehr Gruppen, mehr Schwachstellen, mehr Angriffe
Der aktuelle OT/ICS-Report von Dragos zeichnet ein alarmierendes Bild. Die Zahl der Ransomware-Gruppen die gezielt Industrieunternehmen angreifen ist auf 119 gestiegen. Das sind 49 Prozent mehr als im Vorjahr. Es sind keine Amateure: Die drei neu identifizierten Gruppen Sylvanite, Azurite und Pyroxen zeigen eine Professionalisierung die selbst erfahrene OT-Security-Experten beunruhigt. Ein passender Anschluss dazu: OT-Security 2026.
Sylvanite konzentriert sich auf Energieversorger in Westeuropa. Azurite zielt auf Fertigungsunternehmen mit vernetzten SCADA-Systemen. Pyroxen hat sich auf Logistik- und Transportinfrastruktur spezialisiert. Alle drei nutzen IT-Netzwerke als Einstiegspunkt und bewegen sich dann lateral in die OT-Umgebung. Das Muster ist immer gleich: Kompromittierter VPN-Zugang oder Phishing in der IT, dann Pivot über ungesicherte Übergänge in die Produktionssteürung.
„Die Konvergenz von IT und OT schafft Effizienz, aber auch eine Angriffsfläche die viele Industrieunternehmen noch nicht verstanden haben. Der Übergang zwischen beiden Welten ist oft der schwächste Punkt.“
Dragos OT/ICS Year in Review, 2025
IT-zu-OT-Pivoting: Warum klassische Segmentierung nicht reicht
Die meisten Industrieunternehmen haben irgendwann eine Firewall zwischen IT und OT installiert und das Thema für erledigt erklärt. Die Realität sieht anders aus: Fernwartungszugänge von Maschinenherstellern, Historian-Server die Produktionsdaten in die Cloud streamen, ERP-Anbindungen an die Fertigungssteürung. Jeder dieser Übergänge ist ein potenzieller Angriffsvektor.
Das Purdue-Modell (die klassische Referenzarchitektur für OT-Segmentierung) sieht eine strikte Trennung in Ebenen vor: Enterprise (Level 4-5), DMZ (Level 3.5), Manufacturing Operations (Level 3), Control (Level 2), Field (Level 0-1). In der Praxis haben die meisten Unternehmen diese Trennung nie sauber implementiert oder über die Jahre aufgeweicht.
Forescout berichtet, dass 38 Prozent der OT-Schwachstellen in Level 3 und 4 liegen, also in der Zone die eigentlich als DMZ fungieren sollte. Das bedeutet: Selbst Unternehmen die OT-Segmentierung haben, schützen oft genau die Schicht nicht die als Puffer zwischen IT und OT dient.
Hacktivismus: Wenn Geopolitik zur Betriebsstörung wird
Ein neuer Vektor verschärft die Lage: Hacktivismus gegen Industrieanlagen. Dragos dokumentiert, dass innerhalb von Stunden nach geopolitischen Eskalationen über 60 Hacktivist-Gruppen aktiv werden. Ihre Ziele: SCADA-Systeme, Wasserwerke, Energieversorger. Die Angriffe sind technisch oft simpel (Default-Credentials, exponierte HMIs), aber die Wirkung ist real: Betriebsstörungen, Datenexfiltration, öffentliche Blamage.
Für deutsche Industrieunternehmen ist das relevant weil Hacktivismus nicht nach Unternehmensgröße oder Branchenzugehörigkeit fragt. Ein mittelständischer Zulieferer mit einer ungeschützten SPS-Steuerung im Internet kann genauso zum Ziel werden wie ein DAX-Konzern. Das KRITIS-Dachgesetz und NIS2 verschärfen die Haftung: Betreiber kritischer Infrastrukturen müssen nachweisen, dass sie angemessene Schutzmaßnahmen umgesetzt haben.
Was Industrieunternehmen jetzt tun müssen
Schritt 1: Asset-Inventar der OT-Umgebung (sofort). Sie können nicht schützen was Sie nicht kennen. Erfassen Sie alle Geräte in der OT-Umgebung: SPS, HMIs, Historian-Server, Netzwerk-Switches, Fernwartungszugänge. Tools wie Claroty, Nozomi Networks oder Dragos Platform scannen OT-Netzwerke passiv, ohne den Betrieb zu stören.
Schritt 2: IT/OT-Übergänge absichern (diese Woche). Jeder Datenpfad zwischen IT und OT muss durch eine dedizierte Firewall mit Whitelist-Regeln geschützt sein. Keine „Any-to-Any“-Regeln. Fernwartungszugänge nur über Jump Hosts mit MFA. VPN-Zugänge von Maschinenherstellern auditieren und zeitlich begrenzen.
Schritt 3: OT-spezifisches Monitoring aufbauen (1-3 Monate). Standard-IT-SIEM erkennt OT-Protokolle (Modbus, S7, DNP3) nicht. Implementieren Sie OT-Monitoring mit Anomalie-Erkennung. Claroty, Nozomi und Dragos bieten Lösungen die industrielle Protokolle verstehen und ungewöhnliche Kommunikationsmuster erkennen.
Schritt 4: Incident Response Plan für OT (1-3 Monate). Ein IT-Incident-Response-Plan hilft nicht wenn die Produktionslinie steht. OT-IR hat andere Prioritäten: Produktionssicherheit vor Datensicherheit. Definieren Sie wer den Notfall-Stopp auslöst, wie die Produktion manuell weiterläuft und wie Sie die Steuerungssysteme aus sauberen Backups wiederherstellen.
Die Gegenposition: OT-Security ist teuer und bremst die Produktion
In vielen Industrieunternehmen herrscht Widerstand gegen OT-Security-Projekte. Die Argumente: Passive Scans können trotzdem Steuerungen stören. Firewalls zwischen IT und OT verlangsamen Datenflüsse. Und die Kosten für OT-Monitoring-Plattformen (50.000 bis 200.000 Euro pro Jahr) sind für Mittelständler erheblich.
Die Antwort auf diese Bedenken ist einfach: Was kostet ein Produktionsausfall? ThyssenKrupp bezifferte die Kosten seines Cyber-Vorfalls 2022 auf einen zweistelligen Millionenbetrag. Norsk Hydro verlor 2019 über 70 Millionen Euro durch Ransomware in der Fertigung. Die Investition in OT-Security ist ein Bruchteil des Schadenpotenzials. Und passive Monitoring-Lösungen beeinflussen den Produktionsbetrieb nachweislich nicht.
Fazit: OT-Security ist die nächste Pflichtdisziplin
119 Ransomware-Gruppen, 2.155 ICS-Schwachstellen, drei neue Angreifergruppen die sich auf Industrieziele spezialisiert haben. Die Bedrohungslage für operative Technologie ist so ernst wie nie. NIS2 und das KRITIS-Dachgesetz machen OT-Security zur Geschäftsführer-Pflicht. Wer heute kein Asset-Inventar hat, keine IT/OT-Segmentierung betreibt und kein OT-Monitoring im Einsatz hat, läuft sehenden Auges in den nächsten Vorfall. Der erste Schritt kostet nichts: Eine Liste aller Geräte und Verbindungen in der OT-Umgebung erstellen. Der zweite Schritt: Die Fernwartungszugänge auditieren. Beides ist in einer Woche machbar.
Häufige Fragen
Wir sind kein KRITIS-Betreiber. Betrifft uns OT-Security trotzdem?
Ja. Ransomware-Gruppen unterscheiden nicht zwischen KRITIS und Nicht-KRITIS. Wenn Sie eine vernetzte Produktion betreiben, sind Sie ein Ziel. Zudem erweitert NIS2 den Kreis der betroffenen Unternehmen erheblich: Viele Zulieferer und Dienstleister fallen jetzt unter die Pflichten, auch wenn sie selbst keine kritische Infrastruktur betreiben.
Kann passives OT-Monitoring wirklich die Produktion nicht stören?
Korrekt. Passive Monitoring-Lösungen (Claroty, Nozomi, Dragos) analysieren den Netzwerk-Traffic über Mirror-Ports (SPAN) oder Network TAPs. Sie senden keine Pakete ins OT-Netzwerk und können daher keine Steuerungen beeinflussen. Aktive Scans (wie Nmap oder Nessus) sollten in OT-Umgebungen dagegen nie eingesetzt werden, da sie SPS-Steuerungen zum Absturz bringen können.
Was kostet ein OT-Security-Einstieg für ein Unternehmen mit 3 Produktionsstandorten?
Die Asset-Inventarisierung können Sie mit Bordmitteln durchführen (Netzwerk-Scans, Dokumentation). Dedizierte OT-Monitoring-Plattformen kosten ab 15.000 Euro pro Standort und Jahr für die Basislizenz. Für drei Standorte rechnen Sie mit 50.000 bis 80.000 Euro jährlich. Dazu kommen einmalige Implementierungskosten von 20.000 bis 40.000 Euro. Dem gegenüber stehen durchschnittliche Vorfallkosten von 1,8 Millionen Euro (Sophos) bis 70 Millionen Euro (Norsk Hydro).
Unsere Maschinenhersteller fordern Fernwartungszugriff. Wie sichern wir das ab?
Fernwartung ist der häufigste Angriffsvektor in OT-Umgebungen. Drei Sofortmaßnahmen: Erstens, alle Fernwartungszugänge über einen zentralen Jump Host routen (kein direkter Zugriff auf SPS). Zweitens, MFA für jeden Fernwartungszugang erzwingen. Drittens, zeitliche Begrenzung: Fernwartungssitzungen nur auf Anfrage freischalten (kein Always-on-VPN). Dokumentieren Sie jede Sitzung inklusive Zeitstempel und durchgeführter Aktionen.
Wie hängen KRITIS-Dachgesetz und NIS2 bei OT-Security zusammen?
Das KRITIS-Dachgesetz regelt physische Sicherheit und Resilienz kritischer Infrastrukturen. NIS2 regelt die Cybersicherheit. Beide zusammen bedeuten: Betreiber müssen sowohl physische als auch digitale Risiken managen, die Geschäftsleitung haftet persönlich, und das BSI kann Audits durchführen. Für OT-Umgebungen heißt das konkret: Netzwerksegmentierung, Monitoring, Incident Response und regelmäßige Tests sind keine Empfehlungen mehr, sondern Pflichten.
Weiterführende Lektüre im Netzwerk
- → Zero-Trust-Netzwerksegmentierung: Warum flache Netzwerke das größte Risiko sind (SecurityToday)
- → DORA und NIS2 gleichzeitig: Compliance-Doppelpack meistern (SecurityToday)
- → KRITIS-Dachgesetz in Kraft: Was Betreiber bis Juli umsetzen müssen (SecurityToday)
Mehr aus dem MBF Media Netzwerk
- → TLS-Zertifikate 2026: 200-Tage-Limit (cloudmagazin)
- → Cybersecurity-Budget: Was der CFO hören muss (Digital Chiefs)
Quelle Titelbild: Pexels
