Seit 2019 kannte die Statistik der OT-Angriffe mit physischen Folgen nur eine Richtung: nach oben. Vor 2018 lag die Zahl jährlich im einstelligen Bereich, dann wuchs sie auf Dutzende und erreichte 2024 mit 76 Vorfällen einen Höchststand. 2025 brach dieser Trend: Waterfall Security Solutions zählte in seinem Jahresbericht nur noch 57 physisch wirksame OT-Angriffe – ein Minus von 25 Prozent.
Für den Rückgang bietet Waterfall drei Erklärungen an. Die erste – bessere Schutzmaßnahmen verschafften den Verteidigern einen Vorteil – hält Ginter selbst für schwer messbar und wenig überzeugend. Er verweist auf einen Vorfall in Italien, bei dem ein Jugendlicher auf ein System stieß, mit dem sich die Routen von Öltankern und Transportschiffen im Mittelmeer ändern ließen. Viele Angreifer fänden offene Mensch-Maschine-Schnittstellen (HMIs) schlicht über Shodan und meldeten sich mit Standard- oder gestohlenen Passwörtern an. Sein Appell: Solche Schnittstellen gehörten nicht ins Internet.
Die zweite Erklärung lautet, dass heute weniger Vorfälle öffentlich gemeldet werden. Zwar zwingen immer mehr Länder Unternehmen zu Meldungen, doch dieser westlich geprägte Trend deckt viele Staaten, in denen OT-Angriffe besonders häufig sind, nicht ab. In Teilen Europas müssen Betreiber kritischer Infrastruktur Vorfälle zwar den Behörden melden, in der Öffentlichkeit erscheinen diese Informationen aber oft anonymisiert und aggregiert.
Am überzeugendsten findet Ginter die dritte These: Es gebe schlicht weniger Ransomware-Angriffe, die Hauptursache schwerer OT-Vorfälle in den 2020er-Jahren. Maßnahmen der Strafverfolgung in den USA und – überraschend – in Russland hätten die Ransomware-Szene gestört, Anreizstrukturen zerschlagen und große Gruppen aufgespalten. Davon habe der OT-Bereich profitiert.
Für 2026 ist Ginter dennoch pessimistisch: Das Ransomware-Ökosystem sei nach seiner Einschätzung zurück, die durch die Strafverfolgung gerissenen Lücken würden von anderen Akteuren gefüllt. Die These lasse sich aber kaum belegen, weil derzeit weniger Details zu Angriffen öffentlich würden. Als Ursache nennt er rechtliche Risiken: Unternehmen, die nach einem Vorfall erste Einschätzungen später korrigieren müssten, drohten Klagen. Als Beispiel verweist er auf den Fall, in dem das Unternehmen Marquis seinen Firewall-Anbieter SonicWall verklagte, weil dieser die Folgen eines Vorfalls anfangs unterschätzt habe. Die Anwälte rieten daher, so wenige Details wie möglich preiszugeben.
Die Angriffe des Jahres 2025 waren laut Ginter auch technisch weniger anspruchsvoll. 2024 seien noch drei neue Arten OT-spezifischer Malware entdeckt und teils eingesetzt worden; 2025 habe man weder neue noch nennenswert alte OT-Malware gesehen. Ausnahmen mit hohem OT-Wissen gebe es rund um den russisch-ukrainischen Krieg, zudem kursierten Gerüchte über Einsätze des US-Militärs gegen Flugabwehrsysteme in Venezuela und im Iran – Belastbares dazu sei aber kaum veröffentlicht.
Obwohl seltener und technisch unauffälliger, waren mehrere Vorfälle schwerwiegend. Der Angriff auf Jaguar Land Rover soll dem Unternehmen rund eine Milliarde Dollar Verlust und der britischen Wirtschaft etwa 2,5 Milliarden Dollar gekostet haben. Russische Akteure verschafften sich zudem weitreichenden Zugang zu Polens Solar- und Windinfrastruktur und legten dabei eine unbekannte Zahl von Automatisierungsgeräten lahm, ohne den Stromfluss zu stören. Trotz des globalen Rückgangs verdoppelten sich laut Waterfall staatliche und hacktivistische Angriffe ohne physische Folgen – die meisten davon gegen kritische Infrastruktur. Gintners Fazit: Die Zahlen gingen zurück, die Schwere aber nicht.
