Die CISA-Warnung markiert einen Wendepunkt in der Bedrohungslage für industrielle Kontrollsysteme. Während Cyberangriffe auf ICS (Industrial Control Systems) und OT-Umgebungen (Operational Technology) kein neues Phänomen sind, zeigt die aktuelle Kampagne eine bemerkenswerte Eskalation: Angreifer greifen nicht nur auf Daten zu, sondern manipulieren die logischen Prozesse, die physische Systeme steuern.
Laut den Expertenaussagen ist das Kernproblem eine grundlegende Designschwäche: Zu viele kritische SPS-Systeme sind direkt aus dem Internet erreichbar. Die Attacke exploitiert das Vertrauen in legitime Tools – Rockwell hält etwa 35-40 Prozent des US-PLC-Marktes. Die Angreifer nutzen kompromittierte IP-Adressen aus dem Ausland, um sich in exponierte Geräte einzuwählen und dort Engineering-Software einzusetzen, um die Kontrolllogik zu manipulieren.
Das Tückische an dieser Taktik: Wenn ein Wasseraufbereitungsanlage-Operator falsche Daten auf seinem Dashboard sieht – etwa normale Chemikalien-Dosierung statt der tatsächlich manipulierten Werte – trifft er operative Entscheidungen auf Basis falscher Informationen. Dies führt zu Geräteschäden oder Sicherheitszwischenfällen.
Mehre Sicherheitsexperten warnen zudem davor, sich auf das Rockwell-Branding nicht täuschen zu lassen. Die IOCs (Indicators of Compromise) zeigen, dass auch Port 102 (S7comm-Siemens-Protokoll), Port 44818 (EtherNet/IP) und Port 502 (Modbus) attackiert werden – dies sind Standards über Hersteller hinweg. Das bedeutet: Siemens-, Schneider Electric- und andere PLC-Systeme sind genauso gefährdet.
Die Gegenmaßnahmen sind technisch nicht komplex, werden aber oft nicht umgesetzt: SPS-Systeme dürfen niemals direkt internetexponiert sein. Sie müssen hinter segmentierten OT-Netzwerk-Zonen mit überwachten Firewall-Grenzen zwischen IT- und OT-Umgebungen sitzen. Multi-Faktor-Authentifizierung ist obligatorisch. Besonders kritisch: CISA empfiehlt VPNs für Remote Access – eine Empfehlung, die Experten ablehnen, da VPNs als unsicher gelten. Bessere Ansätze sind Zero-Trust-Architekturen mit Just-in-Time-Zugriff und Mikro-Segmentierung.
Ein weiterer Punkt: Viele Organisationen aktualisieren ihre SPS-Firmware nicht regelmäßig, da dies Betriebsunterbrechungen verursacht. Dies macht Offline-Schutzmaßnahmen – strikte Zugriffskontrolle, physische Isolierung, Monitoring – unverzichtbar.
Für deutsche Infrastrukturbetreiber ist diese Warnung hochrelevant. Wenn amerikanische Wasser- und Energieversorger exponierte Systeme haben, ist zu befürchten, dass auch europäische Kritische Infrastruktur ähnliche Schwachstellen aufweist. Die Experten sind sich einig: Das Zeitfenster für Notfall-Maßnahmen ist eng.