Eine aktuelle Honeypot-Analyse von Forescout zeigt, dass Netzwerkperimeter-Geräte in Industrieumgebungen deutlich häufiger angegriffen werden als die eigentlichen OT-Systeme. Neue Botnets und gezielte Aufklärungskampagnen setzen Betreiber kritischer Infrastrukturen unter Druck.
Eine Honeypot-Analyse von Forescout zeigt: Zwei Drittel aller OT-Angriffe richten sich gegen Netzwerkperimeter-Geräte wie industrielle Router und Firewalls.
Die Sicherheit von Operational Technology steht vor einem Paradigmenwechsel. Während Unternehmen traditionell den Schutz von Steuerungssystemen priorisieren, verlagern Angreifer ihren Fokus auf die vorgelagerte Infrastruktur. Eine 90-tägige Honeypot-Analyse des Forschungsteams Vedere Labs von Forescout offenbart beunruhigende Erkenntnisse über die aktuelle Bedrohungslage.
Die Forscher betrieben ein „Adversary Engagement Environment“ mit verschiedenen OT-Gerätetypen. Das Setup umfasste industrielle WLAN-Router, eine Industrie-Firewall, mehrere speicherprogrammierbare Steuerungen sowie ein Human Machine Interface. Insgesamt registrierten elf Geräte über den Untersuchungszeitraum mehr als 60 Millionen verdächtige Anfragen.
Die Verteilung der Angriffe zeichnet ein klares Bild. Zwei Drittel aller Attacken richteten sich gegen Netzwerkperimeter-Geräte wie Router und Firewalls, während nur ein Drittel auf exponierte OT-Systeme wie SPSen oder HMIs abzielte. Diese Erkenntnis hat weitreichende Implikationen für Sicherheitsstrategien in Industrieumgebungen. Wer sich ausschließlich auf den Schutz der eigentlichen Produktionssysteme konzentriert, übersieht die tatsächlichen Eintrittspunkte für Angreifer.
Bei der Protokollanalyse der Angriffe auf Perimeter-Geräte zeigt sich eine deutliche Dominanz von Fernzugriffsprotokollen. Rund 72 Prozent aller Anfragen erfolgten über SSH und Telnet, wobei es sich überwiegend um Brute-Force-Angriffe mit Standardpasswörtern handelte. Die verwendeten Zugangsdaten entstammen dabei größtenteils einer Liste mit IoT-Standardpasswörtern, die seit 2016 im Internet kursiert und von zahlreichen Botnets genutzt wird.
HTTP und HTTPS machten etwa 24 Prozent der Anfragen aus. Hier fanden die Forscher knapp 3.000 Anfragen, die konkreten Exploit-Versuchen zugeordnet werden konnten und darauf abzielten, Schadsoftware von externen Servern nachzuladen. Die verbleibenden vier Prozent verteilten sich auf diverse Protokolle wie SIP, DNS, TFTP und industrielle Protokolle wie Modbus.
RondoDox und ShadowV2 expandieren rasant
Die Analyse der HTTP-basierten Angriffe ermöglichte die Zuordnung zu verschiedenen Malware-Familien. Mit einem Anteil von 59 Prozent dominierte das Botnet RondoDox die Statistik, gefolgt vom Kryptominer Redtail mit 21 Prozent und dem neu identifizierten Botnet ShadowV2 mit sechs Prozent.
RondoDox wurde erstmals im Mai 2025 beobachtet und hat seitdem sein Exploit-Arsenal rapide erweitert. Mittlerweile nutzt das Botnet über 50 verschiedene Schwachstellen in IoT-Geräten aus, einige davon ohne zugewiesene CVE-Kennung. Dieser aggressive Ansatz erwies sich als erfolgreich, da RondoDox im Beobachtungszeitraum das mit Abstand aktivste Botnet war. Sollten die Betreiber bekannte Schwachstellen für industrielle Edge-Geräte in ihr Portfolio aufnehmen, könnte dies für Betreiber kritischer Infrastrukturen schnell zum Problem werden.
ShadowV2 ist noch jünger und wurde erst im Juni 2025 erstmals dokumentiert. Trotz seines kurzen Bestehens belegt es bereits Platz drei unter den häufigsten Botnets in der Analyse. Derzeit konzentriert sich ShadowV2 vorwiegend auf Consumer-Router von D-Link und TP-Link, doch die schnelle Entwicklung mahnt zur Wachsamkeit.
Besonders aufmerksam beobachteten die Forscher einen Aktivitätscluster, den sie Chaya_005 tauften. Anders als typische DDoS-Botnets scheint diese Kampagne primär auf Aufklärung ausgerichtet zu sein. Die Angreifer sendeten HTTP-POST-Anfragen an industrielle Router, wobei die Payloads eine charakteristische Signatur trugen, die Zeitstempel und Informationen über die verwendete Angriffsmethode kodierte.
Interessanterweise verwendeten die Angreifer dabei häufig fehlerhafte Exploits gegen die falschen Gerätetypen. So wurde etwa ein Exploit für DrayTek-Router gegen einen Sierra Wireless LS300 eingesetzt. Die Forscher interpretieren dies als systematisches Abtasten von Zielsystemen. Erfolgreiche Anfragen würden in den Logs der Angreifer verzeichnet und könnten später für gezielte Angriffe genutzt werden, etwa zum Einschleusen von Botnets, Kryptominern oder Proxy-Software.
Die Rückverfolgung der Aktivitäten ergab, dass Chaya_005 seit mindestens zwei Jahren aktiv ist. Nur in einem Fall gelang ein erfolgreicher Exploit gegen eine bereits 2018 gepatchte Schwachstelle in Sierra Wireless Routern. Dennoch warnen die Forscher, dass diese Geräte nach wie vor häufig mit exponierter Weboberfläche im Internet zu finden sind.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Eine zentrale Erkenntnis der Studie betrifft die zunehmende Konvergenz von IT- und OT-Bedrohungen. Automatisierte Angriffswerkzeuge differenzieren nicht zwischen klassischen IT-Systemen und industriellen Anlagen. Auf den OT-Geräten wurden zahlreiche Brute-Force-Versuche mit typischen IT-Credentials beobachtet. Umgekehrt haben frühere Analysen gezeigt, dass IoT-Botnets zunehmend auch OT-spezifische Zugangsdaten in ihre Wörterbücher aufnehmen.
Die Forscher verweisen auf die Mirai-Botnet-Infektionen im dänischen Energiesektor 2024 als mahnendes Beispiel. Damals mussten mehrere Energieversorger in den Inselbetrieb wechseln, nachdem Zyxel-Firewalls am OT-Perimeter kompromittiert wurden. Die Vorstellung, Bedrohungen als reine IT- oder OT-Probleme kategorisieren zu können, erweist sich angesichts der vernetzten Realität als gefährliche Vereinfachung.
Handlungsempfehlungen für Betreiber
Die Absicherung industrieller Umgebungen erfordert einen mehrschichtigen Ansatz. Zunächst müssen alle vernetzten Geräte identifiziert werden, einschließlich ihrer offenen Ports und Zugangsdaten. Standardpasswörter sind konsequent durch starke Authentifizierung zu ersetzen, ungenutzte Dienste zu deaktivieren.
Die direkte Exposition von OT-Geräten im Internet ist grundsätzlich zu vermeiden. Netzwerksegmentierung muss IT-, IoT- und OT-Bereiche voneinander isolieren. Monitoring-Lösungen sollten IoT- und OT-spezifische Protokolle verstehen und verdächtige Aktivitäten wie die Verwendung von Blacklist-Credentials erkennen.
Die Studie macht deutlich, dass die Sicherung des OT-Perimeters mindestens ebenso wichtig ist wie der Schutz der dahinterliegenden Steuerungssysteme. Angesichts der rapiden Expansion neuer Botnets und gezielter Aufklärungskampagnen können es sich Betreiber kritischer Infrastrukturen nicht leisten, industrielle Router und Firewalls als nachrangige Sicherheitsprioritäten zu behandeln.
Über den Autor: Daniel dos Santos ist Senior Director und Leiter der Forescout Research Vedere Labs.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b8/8c/b88c9a0aab945495440412ada3fe9929/0130446469v2.jpeg "Eine Honeypot-Analyse von Forescout zeigt: Zwei Drittel aller OT-Angriffe richten sich gegen Netzwerkperimeter-Geräte wie industrielle Router und Firewalls. (Bild: © vladimircaribb - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/b7/62b73ef026d142356b893c09bb73bb71/0130515032v2.jpeg "Die Hackergruppe TeamPCP führte jüngst Supply‑Chain‑Angriffe auf Trivy und PyPI‑Pakete durch, um Zugangsdaten zu stehlen und Ransomware zu platzieren. (Bild: © Studenkova - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c7/13/c713c4f0e73512c3178a7d03f1fd4e3a/0130524374v2.jpeg "Iranische Cyberkriminelle sollen Regierungsbehörden sowie Anlagen der Wasserversorgung und des Energiesektors in den USA angegriffen haben. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/34/9d/349d5930b76b72de20d09e4474c67a02/0130522416v2.jpeg "Über die Sicherheitslücke EUVD-2023-55046 / CVE-202350224 konnten Hacker des russischen Geheimdienstes tausende TP-Link-Router weltweit kompromittieren. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5c/e0/5ce060d4d2f8c718ecc850759b1b7c4d/0126593157v1.jpeg "External Attack Surface Management (EASM) ist die Verwaltung und Absicherung der von außen zugänglichen digitalen Assets und externen Angriffsflächen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/cf/5d/cf5da0043082855d2d1a704fc9398cb6/0129551486v1.jpeg "Confidential Computing: Hardwaregestützte Cloud-Enklaven schützen sensible Daten und KI-Modelle selbst vor privilegierten Plattformzugriffen. (Bild: © Ico Maker - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3b/66/3b6610f1aa9da16409d908ef6d2e9135/0130374406v1.jpeg "Eine Standard-Recovery reicht heute nicht mehr aus. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e2/bf/e2bf035b1d8de78f564ef0671e54160a/0130522449v1.jpeg "Noch bis zum 15. April 2026 können Sie sich als Speaker bei der MCTTP bewerben. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/fc/e2/fce2aa6d9c7883d3e8b72999eb1d2711/0130120519v1.jpeg "Axians Katalog mit SAP-Add-ons umfasst 24 spezialisierte Lösungen. (Bild: Axians)")
:quality(80)/p7i.vogel.de/wcms/77/0c/770c05f35154712fdfd26d88a5456606/0126493215v2.jpeg "Die nächste Verhandlung über die „Regulation to Prevent and Combat Child Sexual Abuse“ (CSAR) findet am 12. September 2025. Am 14. Oktober 2025 soll dann final über eine neue EU-Verordnung abgestimmt werden. (© growth.ai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ce/56/ce56058111b56b9e7e7210d9845af641/0129566793v1.jpeg "Das Authentifizierungsverfahren NT LAN Manager basiert auf einem Challenge-Response-Verfahren ohne gegenseitige Authentifizierung. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ad/af/adaf72bc5bbfa64f7a6b3b1da3fe08d3/0130450412v2.jpeg "Delegated Managed Service Accounts (dMSA) in Windows Server 2025 ersetzen statische Kennwörter durch gerätegebundene Kerberos-Anmeldungen und ermöglichen automatisierte Schlüsselrotation ohne Betriebsunterbrechung. (Bild: © monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/e5/13e52ba754a65049c995146bac2f5426/0130048944v2.jpeg "Das US-Außenministerium hat sechs Männer sanktioniert, die zu CyberAv3ngers gehören. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/43/d2/43d2604538d6ae5a50d26cccc98cb9e6/0130112281v1.jpeg "IT-Governance ist ein wesentlicher Bestandteil der Unternehmensführung und bildet einen Ordnungsrahmen für die IT. (Bild: @indypendenz via Canva: Visual Suite for Everyone)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/dc/d0/dcd02b0e224172de8ca49e81daacbcbf/0129856210v2.jpeg "Die Eskalation zwischen Iran, Israel und den USA wirkt laut Unit 42 auch in Europa nach: Während komplexe Angriffe aus Iran kurzfristig erschwert sein könnten, würden Aktivitäten von Hacktivisten zunehmen. Europäische Organisationen müssen daher mit mehr Phishing-, DDoS- und Hack-and-Leak-Angriffen sowie opportunistischen Kampagnen rechnen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a1/17/a11776aa5970b8f9cdc54e83ba976cca/0124885184v2.jpeg "Kritische Schwachstellen in Solaranlagen, Router-Botnetze und staatlich gelenkte Hacktivisten zeigen 2025 deutlich: Vernetzte Infrastrukturen stehen zunehmend im Fokus geopolitisch motivierter Cyberangriffe. (Bild: © Viks_jin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/b5/c4b5f9ba2c6a913088a84b641e36de3f/0124266663v2.jpeg "Versorgungsunternehmen müssen davon ausgehen, dass es zu Sicherheitsverletzungen kommen wird. Ist man darauf vorbereitet werden auch die Reaktionszeiten auf Cyber-Bedrohungen kürzer. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d2/f3/d2f36438bf20929068e40aeaef2a3a31/0127820650v2.jpeg "Der wirksame Schutz von kritischen Infrastrukturen erfordert eine konsequent segmentierte, mehrschichtige Sicherheitsstrategie mit starker Authentifizierung, begrenzten Fernzugriffen, kontinuierlicher Überwachung und klar getrennten IT-, OT- und IoT-Netzwerken. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/fc/83/fc83bba1b67d90af1745e8328b971468/0121432866v2.jpeg "KRITIS-Betreiber sollen gemäß BSI bei Systemen zur Angriffserkennung den Umsetzungsgrad der Stufe 4 erreichen, hier ist aber oft noch sehr viel zu tun. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/17/a11776aa5970b8f9cdc54e83ba976cca/0124885184v2.jpeg "Kritische Schwachstellen in Solaranlagen, Router-Botnetze und staatlich gelenkte Hacktivisten zeigen 2025 deutlich: Vernetzte Infrastrukturen stehen zunehmend im Fokus geopolitisch motivierter Cyberangriffe. (Bild: © Viks_jin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/f3/d2f36438bf20929068e40aeaef2a3a31/0127820650v2.jpeg "Der wirksame Schutz von kritischen Infrastrukturen erfordert eine konsequent segmentierte, mehrschichtige Sicherheitsstrategie mit starker Authentifizierung, begrenzten Fernzugriffen, kontinuierlicher Überwachung und klar getrennten IT-, OT- und IoT-Netzwerken. (Bild: gemeinfrei)")