SchwachstellenHackerangriffeCyberkriminalität

Kritische Schwachstellen: Hunderte Industrieanlagen weltweit ohne Authentifizierung erreichbar

Kritische Schwachstellen: Hunderte Industrieanlagen weltweit ohne Authentifizierung erreichbar
Zusammenfassung

Während Konflikte zunehmend ins Cyber-Domäne verlagert werden, zeigt sich eine wachsende Bedrohung für kritische Infrastrukturen: Sicherheitsforscher haben mindestens 179 ältere industrielle Kontrollsysteme identifiziert, die ohne Authentifizierung direkt über das Internet zugänglich sind. Die US-Regierung warnt bereits davor, dass staatliche Akteure – insbesondere aus dem Iran, Russland und der Ukraine – gezielt Programmierbare Logische Steuerungen (PLCs) in Energie- und Wasserversorgungsanlagen angreifen. Besonders kritisch ist, dass diese Geräte das Modbus-Protokoll auf dem Standard-Port 502 offenlegen, während Fachleute betonen, dass dies nur die Spitze des Eisbergs darstellt. Für Deutschland bedeutet dies ein erhebliches Risiko: Das Land betreibt eine komplexe Infrastruktur von Kraftwerken, Wasserwerken und Eisenbahnsystemen, die teilweise ähnlichen Schwachstellen ausgesetzt sein könnten. Deutsche Unternehmen und Behörden müssen dringend ihre OT-Systeme überprüfen und segmentieren, da weniger als zehn Prozent der weltweiten Operativen-Technologie-Netzwerke über angemessene Überwachung verfügen. Die direkte Ausnutzung exponierter Geräte ist nicht mehr theoretisch – sie findet bereits mit präzision statt und könnte physische Konsequenzen für kritische Infrastrukturen haben.

Die neuentdeckten Sicherheitslücken stellen ein fundamentales Problem dar: Hunderte von Industriesteuerungen (sogenannte Programmable Logic Controller, kurz PLCs) sind dauerhaft mit dem Internet verbunden und lassen sich ohne jegliche Anmeldedaten direkt manipulieren. Dies entspricht nicht nur einer theoretischen Gefahr — laut den Sicherheitsexperten werden solche Systeme bereits gezielt angegriffen.

Bei ihrer Analyse nutzte Comparitech das Open-Source-Tool Masscan, um 311 potenziell offene Modbus-Geräte zu identifizieren. Nach Ausschluss von Honeypots — also Ködern für Angreifer — blieben 179 tatsächlich exponierte Systeme übrig, die das Standard-Modbus-Port 502 ohne Authentifizierung öffneten. “Das sind keine 179 exposierten Webserver. Das sind Industriesteuerungen ohne jeglichen Authentifizierungsschutz, die jeder im Internet lesen und potenziell beschreiben kann”, warnt Mantas Sasnauskas, Leiter der Sicherheitsforschung bei Comparitech.

Die Bedrohungslage verschärft sich durch das veränderte Angriffsverhalten von Staatenakteuren. Während Cyberangreifer klassischerweise erst IT-Systeme kompromittieren und dann zu Industrieanlagen pivotieren, greifen sie zunehmend direkt die OT-Systeme (Operational Technology) an. Das US-Ministerium warnte im April vor Iran-gestützten Akteuren, die speziell PLCs in Wasser- und Energieanlagen ins Visier nehmen. Im Dezember 2025 führte ein Cyberangriff zu einer Kompromittierung der dezentralisierten Wind- und Solarenergie-Infrastruktur Polens — Analysten verbinden dies mit russisch-orientierten Akteuren.

Ein kritisches Problem ist die mangelnde Sichtbarkeit: Weniger als 10 Prozent der Operationstechnologie-Netzwerke weltweit verfügen über ausreichende Überwachung. Dies führt zu erheblichen Erkenntnislücken — in 46 Prozent der Architektur-Reviews und in 88 Prozent von Tabletop-Übungen. In fast einem Drittel der Incident-Response-Fälle begannen Untersuchungen mit unerklärten Betriebsproblemen statt erkannten Anomalien.

Experten betonen: Externe Scans zeigen nur oberflächliche Probleme. Die wahren Schwachstellen liegen intern — mangelhafte Netzwerk-Segmentierung, schwache Zugangsdaten für privilegierte Konten und fehlende ICS-Überwachung. Organisationen müssen ihre Systeme regelmäßig intern und extern scannen, um verwundbare Geräte zu finden und zu sichern.

Ähnliche Artikel