NIS2UmsuCG

Warum gibt es so wenig Cyberangriffe auf die OT?

Anne Grätz
Teamlead BDM
2.12.2025
3 min

Die kommunizierten Risiken in der OT stehen der Anzahl dokumentierter Cyberangriffe auf industrielle Netzwerke diametral entgegen. Ist das also viel Lärm um Nichts? Oder sitzen wir einem Missverständnis auf, dass sich aus der IT-Sicherheit in die OT projiziert?

Wir selbst werden nicht müde, darauf hinzuweisen, dass OT-Netze dringend Sichtbarkeit und eine Angriffserkennung benötigen, weil:

  • die Netze, Komponenten, Protokolle und Systeme nie mit Cybersicherheit im Sinn entwickelt wurden, sondern immer mit Fokus auf Verfügbarkeit und dass die Maschine läuft.
  • weitaus mehr Menschen (intern, extern) mit unterschiedlichsten Rollen (Technologie, Produktion, Maschinenführung, OEM, Instandhaltung, Servicedienstleister) mitunter ziemlich weitreichende Privilegien in der OT besitzen.
  • grundlegende Sicherheitsmechanismen wie Multi-Faktor-Authentifizierung, Access Management, Verschlüsselung, starkes Passwortmanagement, konsistentes Patch-Management und Segmentierung oftmals nicht existieren.

Zugleich ist die Statistik der OT-Cyberangriffe im Vergleich mit der Anzahl der Angriffe auf IT-Netze vernachlässigbar – zumindest, wenn man sich auf die bekannt gewordenen Vorfälle verlässt.

Vertrauen vs Beweise

Die Diskussion zwischen zwei großen Namen in der OT-Sicherheit-Community, Dale Peterson und Robert M. Lee, im Oktober 2025 verdeutlicht diese Irritation, die zwischen der Statistik und dem Warnen besteht.

Dale Peterson fordert seit langem Beweise für Cyberangriffe auf die OT. Er selbst ist trotz seiner Autorität Außenstehender in diesem Aspekt. Er sagt selbst, dass er in den Bereich tatsächlicher OT-Angriffe keinerlei Einblick hat, sich schlicht wundert, dass so wenig Daten dazu vorliegen.

Robert M. Lee dagegen kommt aus der Praxis, quasi von der Front. Er versichert: es gibt immer mehr Angriffe auf OT-Netze. Details – und somit Beweise – dafür dürfe er, nach eigenen Aussagen, jedoch nicht liefern, weil NDAs, nationale Sicherheit und andere Geheimhaltungsinteressen dies verbieten. Er plädiert dafür, ihm aus seiner Expertise heraus zu vertrauen.

Die Katze beißt sich hier in den Schwanz.

Die IT bringt Geld

Vielleicht sitzen wir aber auch einer falschen Erwartungshaltung auf, die sich aus dem vertrauten Blickwinkel der IT-Sicherheit – und im speziellen der omnipräsenten Ransomware-Angriffe – speist.  

In der IT-Sicherheit geht es immer um Datenschutz. Kein Wunder, denn Cyberkriminelle und staatlich gesteuerte Geheimdienstaktivitäten suchen vor allem eins: wertvolle Informationen, die:

  • weiterverkauft werden können,
  • für weitere Ziele genutzt werden können,
  • es wert sind, für deren Entschlüsselung ein ordentliches Lösegeld zu zahlen und
  • zu fast 100 % in der IT liegen.

In der IT geht es somit in den meisten Fällen entweder um Geld oder um verwertbare Informationen (die oftmals auch in Geld verwandelt werden können).  

Die OT bringt Destabilisierung

In der OT dagegen geht es um den Schutz der Verfügbarkeit, Kontinuität, Menschen und Umwelt. Den Angreifenden auf die OT geht es weniger um schnelle gewinnbringende Kampagnen, die wie klassische Ransomware-Vorfälle einmal durch die Infrastruktur rauschen. In der OT geht es um Disruption als strategisches Instrument im Rahmen geopolitischer Konflikte und hybrider Kriegsführung. Disruption als Mittel der Destabilisierung von Lieferketten, Grundversorgung und Gesellschaft.

Diese Zielsetzung bedingt, dass diese Angriffe anderen Zeitleisten und Abläufe folgen. Bei IT-Angriffe geht es darum, möglichst schnell die Assets zu identifizieren und zuzuschlagen. Vom initialen Angriff bis zur Datenextraktion und der Verschlüsselung der IT-Systeme vergehen mitunter nur wenige Wochen.

In der OT dagegen gibt es nicht zwangsläufig eine feste Terminierung für das Zünden der digitalen Bombe. Der Zeitpunkt ist abhängig davon, ob die betroffene Infrastruktur in einem zukünftigen geopolitischen Konflikt von Interesse sein wird. Eine aktive Störung nach einer erfolgreichen Netzwerkkompromittierung ist somit vorerst hypothetisch. Die Angriffe, um dorthin zu kommen, erfolgen jedoch heute.

Warum nur wenige OT-Angriffe bekannt werden

Dementsprechend verlaufen OT-Angriffe sehr langsam, behutsam und langfristig. Primärziel ist, sich in den OT-Netzen an empfindlichen Stellen zu positionieren und zu verfestigen. Diese Strategie der Präpositionierung (Prepositioning) wurde in den letzten Jahren wiederholt von staatlichen APTs wie VoltTyphoon und SaltTyphoon beobachtet. Auch das BSI weist auf mögliche Aktivitäten diesbezüglich in Deutschland hin.

Diese unterschiedlichen Angriffsmotivationen zwischen IT und OT erklären auch den Unterschied der Statistiken. IT-Vorfälle verlaufen schnell, geldgetrieben und mit dem Ziel eines effizienten, lautstarken Impacts. OT-Vorfälle verlaufen langsam, strategisch und mit dem Ziel der stillen Positionierung. (Dabei sind selbstverständlich nicht nur die OT-Netze Ziel, sondern parallel auch die IT-Netze des Zielunternehmens, um Erstzugang, Informationen und weitere Privilegien für die OT zu erhalten.)

Angriffe auf die IT erfolgen vor allem aus dem Feld der klassischen Cyberkriminalität heraus. Angriffe auf die OT erfolgen im Rahmen hybrider Kriegsführung vor allem aus dem Feld der strategisch ausgerichteten staatlichen APTs (auch wenn diese zunehmend auf den Markt cyberkrimineller Dienste zurückgreifen).  

Wie können Unternehmen Ihre OT trotzdem schützen?

Unternehmen und insbesondere Betreiber kritischer Anlagen sollten deshalb ihre OT aufgrund fehlender Hiobsbotschaften nicht per se für sicher und frei von Kompromittierung erachten, sondern sie genauso penibel in ihre Cybersicherheitsstrategie integrieren wie ihre IT.

Die drei folgenden Maßnahmenpakete reduzieren das Risiko, zukünftig Opfer einer Störung der eigenen OT zu werden.

1. Zugang zur OT erschweren

  • Stellen Sie sicher, dass keine Systeme der OT und Gebäudeautomation über das Internet erreichbar sind. Plattformen wie Shodan und Censys ermöglichen eine gezielte Suche.
  • Überwachen und steuern Sie lückenlos Fernzugänge und Direktzugriffe durch OEMs und Dienstleister auf OT-Systeme. Unterbinden Sie nicht-regulierte und -überwachte Privilegien von Systemhersteller und Dienstleister.  
  • Unterbinden Sie direkte Verbindungen zwischen IT und OT. Beide Netze sollten per Firewall und DMZ und ggf. Datendioden klar voneinander segmentiert werden.
  • Ändern Sie IMMER Standard- und Herstellerpasswörter, bevor die OT-Komponente in Betrieb genommen wird.
  • Aktualisieren Sie die Authentifizierung auf aktuelle Methoden. NTLM v1 und v2 gehören NICHT dazu.

2. Laterale Bewegungen in der OT erschweren

  • Segmentieren Sie das OT-Netzwerk entsprechend der Kritikalität, Vulnerabilität und des Vertrauensniveaus (Level of Trust). Je nach Datenflussmodell können auch hier Datendioden eingesetzt werden, um die Kommunikation zwischen unterschiedlichen Vertrauensniveaus zu steuern.
  • Schalten Sie nicht benötigte Dienste, Ports und Protokolle ab. Das betrifft vor allem von den Herstellern standardmäßig aktivierte Broadcast-Dienste.

3. Verdächtige Vorgänge in der OT frühzeitig erkennen

  • Installieren und betreiben Sie ein System zur Angriffserkennung (SzA), um verdächtige, nicht signaturtypische Vorgänge und Kommunikationsmuster frühzeitig zu erkennen. Ein netzbasiertes Intrusion Detection System (NIDS) nutzt dafür ein passives Sicherheitsmonitoring und Anomalieerkennung. In “Wie sieht ein System zur Angriffserkennung in der OT nach IT-SiG 2.0 aus?” erläutern wir die Anforderungen im Detail.