OT-Systeme im Visier staatlicher APT-Gruppen

Cyber-physische Systeme im Visier von APT-Gruppen Wie staatlich unterstützte Angreifer OT-Systeme ins Visier nehmen

18.11.2025 Ein Gastbeitrag von Thorsten Eckert 4 min Lesedauer

Anbieter zum Thema

fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)

Staatlich geförderte Angreifer greifen zunehmend industrielle Steuerungs- und OT-Systeme an. Gruppen wie Sandworm oder Volt Typhoon kombinieren politische Ziele mit hochentwickelten Taktiken. Wer kritische Infrastrukturen betreibt, braucht deshalb eine durchgängige Bedrohungserkennung über IT, OT und IoT hinweg, inklusive klarer Priorisierung, Netzwerksegmentierung und Echtzeit-Transparenz.

Staatlich geförderte Cyberkriminelle richten ihren Fokus verstärkt auf OT-Umgebungen und cyber-physische Systeme.(Bild: © BillionPhotos.com - stock.adobe.com) — Staatlich geförderte Cyberkriminelle richten ihren Fokus verstärkt auf OT-Umgebungen und cyber-physische Systeme.
(Bild: © BillionPhotos.com - stock.adobe.com)

Die Zeiten sind vorbei, als staatlich unterstützte Angreifer und Cyberkriminelle nur größere Unternehmen und öffentliche Einrichtungen ins Visier genommen haben. Mittlerweile hat sich nicht nur der Fokus in Bezug auf die Unternehmensgröße erweitert, sondern auch auf die zugrunde liegende Technologie: Mehr und mehr werden auch cyber-physische Systeme (CPS) und Betriebstechnik (OT) erfolgreich angegriffen.

So führte der mit Russland assoziierte Bedrohungsakteur Sandworm im Jahr 2022 einen mehrdimensionalen Angriff auf die kritische Infrastruktur der Ukraine durch, der weitreichende Stromausfälle verursachte. Bei dieser Kampagne kamen vor allem „living-off-the-land“-Techniken zum Einsatz, bei denen die Angreifer Prozesse und Funktionen einsetzen, die bereits in den Systemen des Opfers vorhanden sind. Dies erschwert eine Entdeckung maßgeblich.

Das Aufkommen von staatlich unterstützten Angreifern wie Sandworm, VoltTyphoon und CyberAv3ngers macht eines deutlich: Cyberangriffe haben längst eine politische Funktion. Sie zielen darauf ab, kritische Infrastrukturen zu schwächen, Misstrauen in Regierungen zu säen und Zweifel an der Fähigkeit von Behörden zu wecken, Bedrohungen abzuwenden und für Sicherheit zu sorgen. Dies gilt insbesondere in Krisenzeiten. Daher ist es für Unternehmen wichtiger denn je, über eine robuste Strategie zur Erkennung von Cyber-Bedrohungen zu verfügen.

Der „State of CPS Security 2025“-Report von Claroty zeigt: Staatlich unterstützte Akteuere nutzen unsichere Verbindungen in Produktion, Transport und Logistik für Angriffe aus. (Bild: Dall-E / KI-generiert)

Worauf es bei einer modernen Bedrohungserkennung ankommt

Für eine effektive Bedrohungserkennung muss die komplette digitale Umgebung, also Netzwerke, Endpunkte, Server, Cloud-Ressourcen und Anwendungen, kontinuierlich überwacht werden. Auf diese Weise lassen sich verdächtige Aktivitäten, Schwachstellen und potenzielle Cyberangriffe frühzeitig erkennen, bevor sie größeren Schaden verursachen oder gar die öffentliche Sicherheit gefährden. Darüber hinaus sollte die Bedrohungserkennung auch proaktiv nach Anomalien, Abweichungen vom normalen Netzwerkverhalten und Indikatoren für eine Kompromittierung (Indicators of Compromise, IoCs) suchen.

Der Schutz von Unternehmen vor hochentwickelten Bedrohungen erfordert eine gut durchdachte, kohärente Strategie zur Erkennung von Cyber-Bedrohungen. Diese sollte folgende Komponenten aufweisen:

Identifizierung und Eindämmung von Cyber-Bedrohungen: An erster Stelle steht eine tiefe Transparenz in das eigene Netzwerk. Dabei wird das Netzwerkverhalten auf granularer Ebene analysiert. Idealerweise sollte die eingesetzte Lösung in der Lage sein, ein breites Spektrum an proprietären Protokollen zu überwachen, für die IT-zentrierte Tools blind sind. Auf diese Weise können Abweichungen des normalen Datenverkehrs identifiziert werden, was insbesondere bei der Abwehr von „living-off-the-land“-Angriffen entscheidend ist.

Echtzeit-Überwachung und Erkennung von Anomalien: Mit Hilfe von Überwachungs- und Erkennungstools lassen sich ungewöhnliche Muster und Anomalien erkennen, die auf bösartige Aktivitäten hindeuten könnten. SIEM-Plattformen eignen sich hervorragend für die Analyse eingehender Daten in Echtzeit, da sie nach Mustern, Korrelationen und Abweichungen von Normalwerten suchen, die auf böswillige Aktivitäten oder Sicherheitsvorfälle hindeuten könnten. Dies ermöglicht eine frühzeitige Erkennung von Bedrohungen und gibt den Sicherheitsverantwortlichen genügend Zeit, diese zu erkennen und abzuwehren.

Integration der Bedrohungserkennung: Die Implementierung neuer spezifischer Tools ist für den effektiven Schutz der kritischen Infrastruktur unumgänglich. Allerdings sollten sie sich nahtlos in die bestehende Infrastruktur wie EDR-, SOAR- und SIEM-Lösungen einfügen. Ein Wildwuchs an Lösungen ist in aller Regel kontraproduktiv, wenn sie nicht miteinander arbeiten und sich gegenseitig ergänzen. Eine Silobildung kostet Zeit und Ressourcen und schwächt so die Cyber-Resilienz.

Kritische Schwachstellen in Solaranlagen, Router-Botnetze und staatlich gelenkte Hacktivisten zeigen 2025 deutlich: Vernetzte Infrastrukturen stehen zunehmend im Fokus geopolitisch motivierter Cyberangriffe. (Bild: © Viks_jin - stock.adobe.com)

Best Practices für die Implementierung

Da kritische Umgebungen außerordentlich sensibel sind, ist es entscheidend, die individuellen Betriebs- und Sicherheitsanforderungen beim Schutz zu berücksichtigen. Dabei kommt es auf folgende Punkte an:

1. Priorisieren Sie Asset-Inventarisierung und Transparenz: Implementieren Sie Erkennungstools, die speziell für OT- und ICS-Umgebungen entwickelt wurden. Nur so kann sichergestellt werden, dass alle vernetzten Geräte im gesamten Netzwerk identifiziert und entsprechend umfassende Profile erstellt werden – bis hin zu Betriebssystem und Firmware-Version.

2. Segmentieren Sie Ihr Netzwerk: Um die Sicherheit nachhaltig zu verbessern, sollten Sie Ihr Netzwerk intelligent segmentieren. Auf diese Weise werden Barrieren geschaffen, die ein Angreifer überwinden muss. Dadurch kann der Schaden einer Attacke deutlich reduziert werden.

3. Erkennen Sie den normalen Netzwerkverkehr: Nachdem alle Assets identifiziert wurden, muss eine Basislinie festgelegt werden, die den „normalen“ Netzwerkverkehr beschreibt. Konzentrieren Sie sich darauf, alle Abweichungen von dieser Basislinie zu identifizieren. Auf diese Weise lässt sich abnormales Verhalten viel leichter erkennen – und bösartige Aktivitäten frühzeitig stoppen.

4. Implementieren Sie granulare Alarme und Priorisierung: Stellen Sie sicher, dass alle Alarme und Erkennungsregeln auf OT/ICS-Umgebungen abgestimmt und kontextabhängig sind. Dadurch werden Fehlalarme deutlich reduziert. Sicherheitsverantwortliche können so den kritischen Systemen Priorität einräumen.

In einer sich ständig weiterentwickelnden Bedrohungslandschaft, in der staatlich geförderte Angreifer cyber-physischen Systemen ernsthaften Schaden zufügen, ist es von entscheidender Bedeutung, vorbereitet zu sein. Unternehmen dürfen bei Cybersecurity nicht mehr ausschließlich an IT-Sicherheit denken, sondern müssen auch cyber-physische Systeme wie OT oder IoT in ihre Security-Strategie integrieren.

Über den Autor: Thorsten Eckert ist Regional Vice President Sales Central von Claroty.

Cyberkriminelle nehmen immer mehr Unternehmen ins Visier und suchen nach neuen Wegen, sich in den legitimen Datenverkehr einzuklinken. (©Sergey Nivens - stock.adobe.com)

(ID:50628378)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.