Der Ransomware-Fall Hoya zeigt eindrücklich: In der industriellen Realität scheitern viele Unternehmen nicht an der Technik, sondern an Struktur, Übersicht und Reaktionsfähigkeit. Dieser Beitrag analysiert, wie Angreifer wirklich vorgehen – und was industrielle Sicherheit jenseits von unrealistischen Standardvorgaben leisten muss.
Der Ransomware-Angriff auf Hoya zeigt exemplarisch, wie Angreifer Produktionssysteme lahmlegen und warum Unternehmen mehr als formale Krisenpläne brauchen.
Ransomware trifft Produktion: Der Fall Hoya (2024)
Im April 2024 wurde der japanische Hersteller optischer Komponenten, Hoya Corporation, Opfer eines massiven Ransomware-Angriffs. Die Tätergruppe Hunters International, ein Ableger der früher berüchtigten Hive-Gruppe, forderte 10 Millionen US-Dollar Lösegeld. Insgesamt wurden rund 1,7 Millionen Dateien mit einem Umfang von 2 Terabyte exfiltriert. Die Produktion in mehreren Werken kam zum Erliegen, Kundenbestellungen konnten nicht mehr bearbeitet werden.
Obwohl Hoya selbst keine technischen Details veröffentlichte, lassen sich basierend auf dem bekannten Vorgehen von Hunters International und vergleichbaren Angriffen typische Taktiken rekonstruieren:
1. Initial Access: Die Angreifer nutzen meist öffentlich zugängliche Schwachstellen (z. B. CVE-2020-14644 in Oracle WebLogic Server) oder kompromittierte Zugangsdaten, um in das Unternehmensnetzwerk einzudringen.
2. Lateral Movement: Nach dem Einstieg bewegt sich die Rust-basierte Ransomware seitlich im Netzwerk – z. B. über RDP, SMB oder legitime Admin-Tools wie PsExec.
3. Discovery & Targeting: Produktionsrelevante Systeme wie Engineering-Workstations, zentrale Dateiserver oder SCADA-Datenbanken werden gezielt identifiziert – insbesondere in Umgebungen ohne Segmentierung zwischen IT und OT.
4. Data Exfiltration: Noch vor der eigentlichen Verschlüsselung werden große Datenmengen extrahiert, um zusätzlichen Erpressungsdruck aufzubauen.
5. Encryption & Impact: Systeme werden verschlüsselt, SCADA-Interfaces blockiert, Produktion gestoppt. Die Forderung erfolgt über typische Lösegeldhinweise, mit Fristsetzung und Drohung zur Veröffentlichung sensibler Daten.
Typischer Ablauf eines Ransomware-Angriffs – von der ersten Kompromittierung bis zur Verschlüsselung und Betriebsunterbrechung.
(Bild: Marcel Baschisada)
Der Hoya-Angriff zeigt exemplarisch, wie moderne Ransomware-Akteure – mit mäßigem technischem Aufwand, aber hoher Wirkung – industrielle Produktion ins Visier nehmen. Die Kombination aus unzureichender Netzwerktrennung, fehlender Sichtbarkeit und ungetesteten Reaktionsplänen macht viele Organisationen zu leichten Zielen.
Wenn der Krisenplan versagt: Warum industrielle Reaktionen oft im Chaos enden
Was bei Hoya sichtbar wurde, ist kein Einzelfall – sondern ein Muster, das sich in fast jeder industriellen Krise wiederholt. Nicht wegen Technik. Sondern wegen Menschen, Prozesse – und Illusionen.
Viele Unternehmen verfügen formal über Incident-Response-Pläne – doch im Ernstfall versagen diese. Die Gründe liegen selten in der Technik allein, sondern fast immer in einem fehlenden Zusammenspiel aus Organisation, Klarheit und Training.
In der Krise treffen zwei Kulturen aufeinander, die oft in Silos agieren: Die IT-Abteilung konzentriert sich auf Isolierung, Bekämpfung und forensische Analyse – mit dem Ziel, Bedrohungen einzugrenzen und Spuren zu sichern. Gleichzeitig drängen OT-Teams darauf, den Produktionsbetrieb schnellstmöglich wiederherzustellen, auch wenn dafür Kompromisse in der Sicherheit eingegangen werden müssen. Ohne eine vorher klar abgestimmte Entscheidungsarchitektur – insbesondere bei Beteiligung externer Dienstleister oder internationaler Teams – führt dieser Zielkonflikt fast zwangsläufig zu widersprüchlichem Handeln, Verzögerungen und Fehlentscheidungen.
Kein Überblick, keine Reaktion
In vielen Fällen fehlt es an grundlegender Netzwerktransparenz – etwa durch ein fehlendes oder veraltetes Asset Inventory: Welche Komponenten sind im Einsatz? Welche Systeme sind wirklich kritisch? Wer hat Zugriff – und über welche Schnittstellen? Diese Informationslücken führen im Ernstfall zu Blindflug und Verzögerung.
Denn Stillstand in der Industrie ist mehr als ein IT-Problem: Er kostet Vertrauen, Zeit – und oft Millionen.
Viele Tabletop Exercises (TTX) bleiben oberflächlich und generisch. Sie basieren auf Standardabläufen, vermeiden echte Zielkonflikte und fördern kein wirkliches Lernen im Krisenteam. Statt kritische Entscheidungsprozesse unter Zeitdruck zu trainieren und Silos zwischen OT, IT und Management aufzubrechen, verlaufen sie oft als harmlose Planspiele. Das Ergebnis: Reaktionspläne sehen gut aus – scheitern aber unter realem Druck.
In der Übung wirken sie harmlos – im Ernstfall führen sie zu Chaos, Ausfällen und hohen Kosten.
Vom Plan zur Resilienz: Was wirklich funktioniert
Wie gelingt der Wandel vom dokumentierten Krisenplan zu echter industrieller Resilienz? Es sind nicht nur Systeme, die geschützt werden müssen – sondern vor allem Menschen, die in Extremsituationen klare Entscheidungen treffen können. Fünf Hebel machen hier den Unterschied – wenn man sie im Ernstfall abrufen kann.
Realistische Krisenübungen – die nicht nur auf dem Papier bestehen – sind der Prüfstein jedes Sicherheitskonzepts. Wer seine Resilienz verbessern will, muss nicht nur Systeme beobachten, sondern auch Reaktionen trainieren: mit Zeitdruck, Zielkonflikten und echten Entscheidungsmomenten. Nur so wird sichtbar, ob Pläne auch in dynamischen OT-Krisen wirklich tragen.
Die Grundprinzipien für widerstandsfähige industrielle Sicherheit sind bekannt – und werden doch oft vernachlässigt. Der SANS ICS 5 Critical Controls-Rahmen bleibt der praktikabelste Einstieg für Organisationen, die ihre OT-Resilienz ernsthaft verbessern wollen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
1. Incident Response Plan: OT-spezifische Pläne müssen existieren, getestet sein und Szenarien wie verschlüsselte SCADA-Server oder manipulierte PLC-Logik abdecken. Sie sollten regelmäßig durch realistische Tabletop Exercises (TTX) überprüft werden – mit echten Zielkonflikten, Zeitdruck und interdisziplinärer Beteiligung.
2. Defensible Architecture: Netzwerksegmentierung, starke Firewalls und Schutz öffentlicher Schnittstellen (z. B. RDP, VPN) sind essenziell.
3. Visibility and Monitoring: OT-Monitoring muss Protokolländerungen und unnormale Muster erkennen – kombiniert mit Übungen, die das Team auf reale Warnsignale vorbereiten.
4. Secure Remote Access: Ad-hoc-Fernzugriffe ohne Logging oder MFA sind Einfallstore. Einheitliche Zugangskontrollen sind Pflicht.
5. Risk-Based Vulnerability Management: CVE-Bewertung muss branchenspezifisch und priorisiert erfolgen. Kritische Schwächen dürfen nicht ignoriert werden.
Diese Prinzipien sind praxisnah. Wer sie umsetzt, verhindert genau jene Schwächen, die Angreifer ausnutzen. Die nächste Krise kommt ohne Vorwarnung – aber mit Folgen.
Autor: Marcel Baschisada ist Berater für industrielle Cybersicherheit mit Fokus auf Krisensimulationen und Incident-Response-Strategien. Er unterstützt Unternehmen bei der Entwicklung realistischer TTX, praxisnaher Sicherheitskonzepte und strukturierter Vorbereitungsprogramme.
Über den Autor: Marcel Baschisada ist Berater für industrielle Cybersicherheit mit Fokus auf Krisensimulationen und Incident-Response-Strategien. Er unterstützt Unternehmen bei der Entwicklung realistischer TTX, praxisnaher Sicherheitskonzepte und strukturierter Vorbereitungsprogramme.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/c3/61/c36127843f6ceabfe5c7e2b6a7e086d6/0124448088v1.jpeg "Die zunehmend digitalisierte Industrie steht gerade in Deutschland vor erheblichen Risiken durch IoT-Ransomware. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/19/9e/199e074339292c15faa8f14c4532e45a/0125181237v2.jpeg "Risiken minimieren, Fertigung sichern – So funktioniert dynamisches Patchmanagement. (Bild: © Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e1/5e/e15ef7cc34cfe2e457d59ab019b207fe/0124983065v2.jpeg "OT-Systeme stehen gezielt im Visier professioneller Cybercrime-Gruppen und nationalstaatlicher Akteure. Schon ein einziger kompromittierter Fernwartungszugang reicht aus, um Produktionsketten global zu stoppen. (Bild: © tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/38/4b3842a64741d2dbd1f76ec5478ae444/0126170958v1.jpeg "Der Cyber Resilience Act verschiebt Cybersicherheit vom „Nice-to-have“ zur Pflichtvoraussetzung für das CE-Zeichen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c5/cf/c5cfcb9be4f93fad382f7051b6a28ad0/0126746504v2.jpeg "OT-Security schützt vernetzte Produktionsanlagen vor Ransomware und senkt das Risiko kostspieliger Betriebsunterbrechungen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/45/b44566421cbd0fd6b11fc28219b93db8/0126652168v2.jpeg "Ein sicherer Wiederanlauf nach Cyberangriffen wird für ICS und OT mit NIS2, CRA und IEC 62443 verbindlich vorgeschrieben. (Bild: Dall-E / KI-generiert)")