askformore@bittnet.ro
Geplante Kurse

Neue Angreifergruppen zielen im Jahr 2025 auf kritische ICS/OT-Infrastrukturen ab.

Das Jahr 2025 markiert eine deutliche Zunahme böswilliger Aktivitäten, die sich gegen kritische Infrastrukturen richten, wie zum Beispiel ICS (Industrielle Steuerungssysteme) si OT (Operationelle Technologie)Aktuelle Daten von Dragos, einem der weltweit führenden Anbieter von ICS-Sicherheit, zeigen, dass drei neue Angreifergruppen in die fortgeschrittene Bedrohungslandschaft eingetreten sind und die Angriffsfläche für Unternehmen, die komplexe industrielle Netzwerke betreiben, erheblich vergrößern. Das Auftreten dieser Gruppen deutet auf eine Weiterentwicklung des Angreifer-Ökosystems hin, das sich von klassischen IT-Operationen hin zu spezialisierten Angriffen auf industrielle Protokolle und Systeme mit direkten Auswirkungen auf die physische Welt verlagert.

Die Bedrohungslandschaft für ICS und OT im Jahr 2025

Mit der zunehmenden Digitalisierung der globalen Industrie vernetzen sich ICS- und OT-Systeme immer stärker mit traditionellen IT-Infrastrukturen. Diese Konvergenz eröffnet zwar erhebliche Optimierungsmöglichkeiten, aber auch neue Angriffsvektoren für versierte Gruppen. Laut einer Analyse von Dragos wird die Aktivität von Gruppen, die direkt an der Kompromittierung industrieller Systeme interessiert sind, bis 2025 um über 40 % steigen. Die weltweite Expansion industrieller Netzwerke, der Druck zur raschen Modernisierung und fehlende Sicherheitsupdates in vielen Anlagen tragen zu diesem systemischen Risiko bei.

3 neue ICS-OT-Gruppen im Jahr 2025 identifiziert

Dragos identifizierte drei neue Gruppen, die ihren Fokus auf industrielle Infrastruktur und Betriebssysteme richten. Obwohl sich diese Gruppen noch in der Anfangsphase befinden, zeigen sie deutliche Absichten, fortgeschrittene Fähigkeiten zur Kompromittierung von ICS-Netzwerken zu entwickeln, technische Informationen zu sammeln und dauerhaften Zugriff auf Produktionsketten und kritische Anlagen zu erlangen. Darüber hinaus setzen diese Gruppen zunehmend modulare Techniken ein, die sich leicht an verschiedene industrielle Umgebungen anpassen lassen. Dies deutet auf ein ausgereiftes Angreifer-Ökosystem und ein gesteigertes Interesse an Sabotageakten hin.

1. GRITBLEND

GRITBLEND zählt zu den vielversprechendsten neuen Gruppen im Jahr 2025. Ihr operatives Profil ist durch das Sammeln technischer Informationen und den Erstzugang zu Netzwerken mit modernen ICS-Systemen gekennzeichnet. Die Gruppe scheint besonders an den Sektoren Energie und Transport interessiert zu sein und versucht, Netzwerktopologien, Konfigurationen industrieller Systeme und Listen kritischer OT-Anlagen zu erlangen. Ihre Methodik basiert auf gezieltem Spear-Phishing und der Ausnutzung versehentlich offengelegter Schwachstellen in DMZs. Dies ermöglicht ihnen einen unauffälligen Zugang, ohne offensichtliche Warnmeldungen auszulösen.

GRITBLEND nutzt eigens entwickelte Tools zur passiven Netzwerkaufklärung und Kartierung von SPS- und SCADA-Systemen. Dieses Vorgehen deutet darauf hin, dass die Gruppe ein technisches Arsenal für potenzielle zukünftige Störungen oder Sabotageakte aufbaut, insbesondere in stark abhängigen industriellen Produktionsabläufen. Darüber hinaus sehen die Experten von Dragos Ähnlichkeiten zwischen den Taktiken von GRITBLEND und traditionellen Techniken, die von staatlichen Unternehmen im asiatisch-pazifischen Raum angewendet werden, auch wenn es dafür noch keine formale Zuordnung gibt.

2. SPINNER-GEWOHNHEIT

SPINNER HABIT zeichnet sich durch seinen Fokus auf industrielle Lieferketten und operative Logistikinfrastruktur aus. Die Gruppe zielt gezielt auf Akteure der Transportkette ab, darunter Unternehmen aus den Bereichen Schiene, Schifffahrt und Straße, die OT-Systeme zur Prozessautomatisierung einsetzen. Die Absichten der Gruppe scheinen darauf ausgerichtet zu sein, umfassenden Zugang zur Infrastruktur zu erlangen, privilegierte Zugangsrechte zu erhalten und die Möglichkeit der Störung von Transportströmen durch Manipulation von Kontrollsystemen zu prüfen.

SPINNER HABIT nutzt Techniken des „Lebens ohne Risiko“ und greift auf legitime Werkzeuge aus industriellen Umgebungen zurück, um unentdeckt zu bleiben. Die Gruppe gehört zu den wenigen, die Interesse an mobilitätsspezifischen Industrieprotokollen wie CAN, CIP oder DNP3 gezeigt haben, was auf erhebliche Investitionen in die Entwicklung spezialisierter Fähigkeiten hindeutet. Das letztendliche Ziel scheint die Erlangung umfassender operativer Transparenz zu sein, die als Grundlage für zukünftige Sabotage- oder Erpressungsaktionen dienen kann.

3. SMARAGD-SPECTRE

EMERALD SPECTRE gilt als die geheimnisvollste der drei neuen Gruppen. Sie operiert diskret und konzentriert sich direkt auf den Diebstahl geistigen Eigentums und die Beschaffung fortschrittlicher industrieller Informationen. Die Gruppe zeigt großes Interesse an ICS-Systemen (Integrated Controlled Systems), die im Fertigungssektor und in Präzisionsindustrien eingesetzt werden, darunter die Halbleiterkomponentenproduktion, automatisierte Anlagen und industrielle Sensoren. Verhaltensanalysen deuten darauf hin, dass die Gruppe auf langsame Infiltration und langfristigen Zugriff setzt, ohne Prozesse zu stören.

EMERALD SPECTRE nutzt offenbar eine Reihe hochentwickelter Werkzeuge, von denen viele für den direkten Einsatz auf eingebetteten Systemen und industriellen Steuerungen konzipiert sind. Es gibt Hinweise darauf, dass die Gruppe Firmware-Harvesting einsetzt, um Informationen über die interne Implementierung industrieller Komponenten zu gewinnen. Dieses Vorgehen ist selten und deutet auf einen fortgeschrittenen Akteur hin, möglicherweise staatlich gefördert, der daran interessiert ist, strategische industrielle Infrastrukturen zu replizieren oder zu kompromittieren.

Gründe, warum ICS OT zu strategischen Zielen werden

Das ICS/OT-Ökosystem ist ein Hauptziel für Cyberkriminelle, da es erhebliche physische, finanzielle und geopolitische Auswirkungen haben kann. Im Gegensatz zu herkömmlichen IT-Systemen steuern industrielle Systeme direkt physische Prozesse, die kritische Infrastrukturen auf nationaler Ebene beeinflussen. Angriffe auf diese Systeme können daher zu Stromausfällen, Produktionsstillständen, Umweltkatastrophen oder sogar Gefährdungen der öffentlichen Sicherheit führen. Mit zunehmender Vernetzung steigt auch die Gefährdung, und Angreifer spezialisieren sich darauf, diese Tatsache auszunutzen.

Gängige Techniken und Taktiken neuer Gruppen

Die drei analysierten Gruppen wenden eine Reihe gemeinsamer Techniken an, die häufig mit dem MITRE ATT&CK for ICS-Framework übereinstimmen. Diese an industrielle Umgebungen angepassten Taktiken umfassen die Ausnutzung von Schwachstellen in der IT-Seite des Netzwerks, den Wechsel in den OT-Bereich und die Verwendung industrieller Protokolle zur Informationsbeschaffung oder Prozessmanipulation. Solche Techniken zielen auf Persistenz, Tarnung und die Erlangung einer umfassenden Kontrolle über kritische Industriekomponenten ab.

    – Ausnutzung schlecht gesicherter IT-Systeme als Einfallstor in OT-Umgebungen.
    – Tiefgehende Analyse von ICS-Netzwerken zur Abbildung industrieller Stoffströme.
    – Sammlung privilegierter Zugangsdaten zur operativen Steuerung.
    – Ausnutzung industrieller Protokolle für dauerhaften Zugriff.
    – Verwendung legitimer Werkzeuge zur Vermeidung der Entdeckung in OT-Netzwerken.

Die globalen Auswirkungen zunehmender ICS/OT-Angriffe

Der Anstieg von Gruppen, die es auf ICS/OT-Systeme abgesehen haben, stellt eine globale Bedrohung dar, da er kritische Sektoren wie Energie, Transport, Fertigung und die Versorgung mit lebenswichtigen Gütern beeinträchtigt. Angriffe können zu großflächigen Störungen, Gefährdungen der physischen Sicherheit oder sogar zu geopolitischen Konsequenzen führen. Mehrere gemeldete Vorfälle im Jahr 2025 deuten auf ein verstärktes Interesse von Angreifern an der Ausnutzung von Schwachstellen in SCADA- und SPS-Systemen hin, um die Kontrolle über kritische Industrieprozesse zu erlangen.

Verteidigungsstrategien für Organisationen

Der Schutz von ICS/OT-Infrastrukturen erfordert einen multidimensionalen Ansatz, der Technologie, Prozesse und Schulung vereint. Unternehmen müssen ein Sicherheitsmodell einführen, das auf Segmentierung, kontinuierlicher Überwachung und durchgängiger Transparenz industrieller Komponenten basiert. Gleichzeitig ist die Zusammenarbeit mit nationalen Behörden und spezialisierten Anbietern ein Schlüsselfaktor für die Früherkennung verdächtiger Aktivitäten.

    – Umsetzung einer strikten Trennung zwischen IT- und OT-Netzwerken.
    – Überwachung des industriellen Verkehrs auf Verhaltensanomalien.
    – Zyklische Firmware-Updates und Einspielen von Sicherheitspatches.
    – Einsatz spezialisierter ICS-Bedrohungserkennungstechnologien.
    – Kontinuierliche Schulung der OT- und IT-Teams zu neuen Bedrohungen.

Fazit

Das Auftreten der drei von Dragos identifizierten neuen Gruppen bestätigt die rasante Entwicklung der Bedrohungslandschaft im Bereich ICS/OT. Angreifer investieren erhebliche Ressourcen in die Entwicklung von Fähigkeiten zur Manipulation industrieller Prozesse. Dieser Trend verdeutlicht den dringenden Bedarf an einem höheren Reifegrad der industriellen Cybersicherheit. Kritische Infrastrukturen sind ein fundamentaler Dreh- und Angelpunkt für die nationale Stabilität, und Organisationen müssen ihre Verteidigungsstrategien stärken, um Angriffe mit potenziell physischen, betrieblichen und geopolitischen Auswirkungen zu verhindern.

Sie haben sicherlich verstanden, was es Neues im Bereich Cybersicherheit im Jahr 2026 gibt. Wenn Sie Ihr Wissen auf diesem Gebiet vertiefen möchten, laden wir Sie ein, unser Kursangebot zu erkunden, das nach Rollen und Kategorien strukturiert ist. CYBERSECURITY HUB. Egal, ob Sie gerade erst anfangen oder Ihre Fähigkeiten verbessern möchten, wir haben einen Kurs für Sie.