Für den Scan setzte Comparitech das Open-Source-Werkzeug Masscan ein und markierte zunächst 311 mögliche offene Modbus-Geräte. Nach Ausschluss von Systemen, die Anzeichen eines Honeypots zeigten, blieben 179 Geräte übrig, die das Modbus-Protokoll über den Standardport 502 ohne Authentifizierung freigaben.
Sasnauskas hält die Zahl für konservativ: Würde der Scan ein breiteres Spektrum an Protokollen einbeziehen, ließen sich weit mehr unsichere und ans Internet angebundene ICS-Geräte finden. „Das sind keine 179 exponierten Webserver – es sind Industriesteuerungen ohne Authentifizierung, die jeder im Internet auslesen und potenziell auch beschreiben kann", sagt er.
Das US-Heimatschutzministerium warnte, dass mit dem Iran verbundene Angreifer speicherprogrammierbare Steuerungen (PLCs) ins Visier nehmen – OT-Geräte, die einzelne Funktionen in kritischen Industriesystemen wie Wasser- und Abwasseraufbereitungsanlagen oder Energieerzeugungsanlagen automatisieren. Bei einem Cyberangriff im Dezember 2025 wurde Polens dezentrale Wind- und Solarenergie-Infrastruktur kompromittiert, ohne dass die Stromversorgung für Zivilisten unterbrochen wurde; mehrere Analysten brachten den Angriff mit Russland-nahen Akteuren in Verbindung. Zudem hätten alle Hauptakteure aktueller Konflikte – Iran, Israel, Russland, Ukraine und die USA – IP-Kameras genutzt, um Informationen über Zielorte zu gewinnen.
Das direkte Angreifen exponierter OT-Geräte sei keine theoretische Gefahr mehr, sagt Liz Martin, Senior Director für Threat Hunting beim OT-Sicherheitsanbieter Dragos: Es geschehe mit einer Präzision, die auf eine Absicht zur Beeinträchtigung von OT noch vor dem eigentlichen Einsatz schließen lasse. Jeff Macre, OT-Sicherheitsarchitekt bei Darktrace, ergänzt, dass internetexponierte Steuerungskomponenten, unsichere Fernzugriffe, Standard-Zugangsdaten und schlecht geschützte Randgeräte weiterhin direkte Wege in industrielle Umgebungen schüfen. Der Weg über IT-Systeme in die OT bleibe in vielen Vorfällen dominant, doch die direkte Exponierung sei eine der klarsten und am leichtesten vermeidbaren Risikoquellen.
Austin Warnick von Flashpoint warnt davor, die eigene Sicherheitsreaktion an geopolitische Ereignisse zu koppeln. Zwar seien staatliche Akteure derzeit die treibende Kraft hinter Angriffen auf PLCs in Sektoren wie Wasser und Energie, doch opportunistische Gruppen griffen solche Ziele unabhängig von zwischenstaatlichen Beziehungen an. Die Grenze zwischen Staatsakteuren und opportunistischen Stellvertretern verschwimme zunehmend; diese behandelten Waffenstillstände oft als bloße Formalität.
Unternehmen sollten ihre Systeme intern wie extern selbst nach verwundbaren Geräten absuchen. Laut Dragos verfügen weltweit weniger als 10 Prozent der OT-Netze über Transparenz und Überwachung. Diese Lücke erschwerte laut dem Bericht „2026 OT Cybersecurity Year in Review" die Erkennung in fast der Hälfte der Architekturprüfungen (46 Prozent) und in der überwiegenden Mehrheit der Planspiele (88 Prozent); rund 30 Prozent der Vorfälle begannen mit einer unerklärten Betriebsstörung statt mit einer erkannten Anomalie. Externe Scans erfassten zudem nur Sichtbares und verfehlten Geräte hinter NAT, Firewalls oder mobilfunkangebundener OT, so Martin.
