Cyberphysische Systeme (CPS) werden mehr und mehr zu einem bevorzugten Ziel opportunistischer Angreifer. Dabei sind viele der Attacken von geopolitischen Ereignissen beeinflusst und technisch nicht besonders ausgefeilt. Zu diesem und weiteren Ergebnissen kommt der neue Report „Analyzing CPS Attack Trends” von Claroty, Spezialist für die Sicherheit von cyberphysischen Systemen (CPS). Die Sicherheitsforscher haben hierfür mehr als 200 Angriffe von über 20 Hackergruppen von Januar bis Dezember 2025 analysiert.
82 Prozent der Angriffe auf cyberphysische Systeme erfolgen über VNC (Virtual-Network-Computing)-Protokoll-Clients, um aus der Ferne auf exponierte, mit dem Internet verbundene Ressourcen zuzugreifen. Bei zwei Drittel (66 %) der Vorfälle wurden Mensch-Maschine-Schnittstellen (HMI) oder SCADA-Systeme kompromittiert. Diese beiden Geräteklassen überwachen und steuern industrielle Prozesse in Echtzeit. Jeder unrechtmäßige Zugriff oder jede Manipulation kann äußerst schwerwiegende Folgen für das Unternehmen und die Bevölkerung haben. Diese reichen von Betriebsunterbrechungen über physische Schäden an Anlagen bis hin zur Gefährdung von Arbeitnehmern und Umwelt. Viele dieser Angriffe sind zudem ausgesprochen niedrigschwellig und erfordern weder Schwachstellen noch umfassende Kenntnisse der genutzten Geräte oder Protokolle.
Die Analyse ergab zudem, dass die Attacken auf die kritischen Infrastrukturen größtenteils durch politische oder gesellschaftliche Ziele motiviert waren, die mit den Motiven staatlich-unterstützter Angreifer übereinstimmen. Angesichts der seit langem bestehenden geopolitischen Spannungen im Nahen Osten und des Krieges zwischen Russland und der Ukraine führten die Sicherheitsforscher viele der Vorfälle auf mit Russland und dem Iran verbundene Bedrohungsakteure zurück:
- 81 Prozent der von iranischen Gruppen durchgeführten Angriffe richteten sich gegen Einrichtungen in den USA und Israel.
- 71 Prozent der von russischen Gruppen durchgeführten Angriffe richteten sich gegen Unternehmen in Ländern der Europäischen Union (EU).
- Die am häufigsten von Russland angegriffenen EU-Länder waren Italien (18 %), Frankreich (11 %) und Spanien (9 %).
„Unsere Untersuchungen zeigen eine erhebliche Zunahme der Angriffe auf die grundlegenden Systeme, die den täglichen Ablauf unserer Gesellschaft gewährleisten, von der Fertigung über die Wasser- und Abfallwirtschaft bis hin zur Stromerzeugung und zum Gesundheitswesen. Wir sehen vor allen immer mehr opportunistische Drive-by-Angriffe auch in diesem Bereich, der ja zuvor eher von gezielten Angriffen geprägt war“, erklärt Thorsten Eckert, Regional Vice President Sales Central von Claroty. „Dabei nutzen die Angreifer relativ einfache technische Mittel, um kritische Sektoren anzugreifen, deren Störung schwerwiegende und teilweise gefährliche Folgen haben kann. Der Report zeigt einen klaren Bedarf, die Sicherheitsmaßnahmen für CPS zu verstärken. Laxe Sicherheitspraktiken und eine mangelnde Cyberhygiene sind angesichts der sich im Vergleich zum letzten Jahr nochmals verschärften geopolitischen Situation nicht mehr hinnehmbar.“
Um ihre cyberphysischen Systeme besser zu schützen und ihre Resilienz zu erhöhen, sollten Unternehmen folgende Maßnahmen ergreifen:
- Mit dem Internet verbundene Geräte schützen: Sicherheitsverantwortliche sollten die Konfigurationen von Betriebstechnik (OT), smarten Geräten und vernetzten Medizingeräten (IoMT) überprüfen. Zudem müssen Vorkehrungen getroffen werden, um eine Enumeration dieser Geräte zu verhindern, da diese zunehmend mit dem Internet verbunden sind.
- Unsichere Standardkonfigurationen beheben: Sicherheitsverantwortliche müssen Standard- oder schwachen Anmeldedaten erkennen und diese proaktiv ändern, wenn Geräte online eingesetzt werden. Sie müssen weitere unsichere Konfigurationen identifizieren, bewerten und beheben können, bevor die Geräte vernetzt werden.
- Unsichere Protokolle aktualisieren: Bei vielen der untersuchten Angriffe wurden unsichere Protokolle wie VNC und Modbus genutzt. Diesen fehlen grundlegende Sicherheitsfunktionen wie Authentifizierung und Verschlüsselung. Deshalb sollten Sicherheitsverantwortliche ihre kritischsten verbundenen Ressourcen inventarisieren und auf sicherere Kommunikationsprotokolle umsteigen.
- Den Gegner kennen: Es ist wichtig, die Motive und Taktiken von (politisch motivierten) Hackergruppen zu verstehen. Auf diese Weise lassen sich deren nächste Schritte antizipieren, etwa nächste Ziele innerhalb einer bestimmten Branche. Zudem kann so erkannt werden, welche cyber-physischen Systeme bereits bei anderen Einrichtungen kompromittiert wurden, um entsprechende Gegenmaßnahmen zu priorisieren.
Info: Der komplette Report „Analyzing CPS Attack Trends” mit den vollständigen Ergebnissen, einer detaillierten Analyse und gezielten Empfehlungen kann hier heruntergeladen werden.
#Claroty
