Autor: Kai Thomsen, Director of Global Incident Response Services bei Dragos
 

Im Year in Review 2025 untersucht Dragos die Entwicklung von Malware, die gezielt auf industrielle Steuerungssysteme (ICS) abzielt. Im Mittelpunkt stehen dabei die Erkenntnisse aus bekannten Vorfällen des vergangenen Jahres. Ein Beispiel ist die im Jahr 2024 von der Hacktivistengruppe BlackJack veröffentlichte Schadsoftware Fuxnet. Sie gilt nicht wegen technischer Raffinesse als besonders relevant, sondern weil sie deutlich macht, wie gefährlich fehlende Grundsicherheit sein kann. Vor allem der Einsatz von Standardpasswörtern zählt laut Dragos weiterhin zu den häufigsten Schwachstellen in industriellen Systemen.


ICS-spezifische Malware: Maßgeschneidert, aber begrenzt
Fuxnet zählt zu den insgesamt neun öffentlich dokumentierten Malware-Familien, die 2024 auf industrielle Steuerungssysteme abzielten. Laut Dragos ist das ein neuer Höchststand. Die Schadsoftware steht in einer Reihe mit Varianten wie FrostyGoop und macht deutlich, dass gezielte Angriffe zunehmend an Bedeutung gewinnen. Diese Attacken betreffen oft nur bestimmte Regionen oder technische Umgebungen.


Im Fall von Fuxnet waren nach Angaben der Hacktivistengruppe BlackJack ausschließlich russische Systeme betroffen. Dragos hat die Malware selbst untersucht, stützt seine Einschätzung jedoch mit hoher Zuverlässigkeit auf die veröffentlichten Informationen der Gruppe. Der Vorfall zeigt exemplarisch, wie präzise Malware heute entwickelt und eingesetzt wird. Im Vergleich zu komplexen Bedrohungen wie PIPEDREAM ist Fuxnet technisch relativ einfach aufgebaut. Trotzdem verdeutlicht der Vorfall, dass auch einfache Malware erhebliche Risiken mit sich bringen kann. Entscheidend ist letztlich, wie anfällig die angegriffene Umgebung konfiguriert ist.


Standardpasswörter: Ein bekanntes Problem
Ein zentrales Ergebnis des Berichts betrifft die Verwendung von Standardpasswörtern. In 25 aller von Dragos durchgeführten Penetrationstests wurden sie als Schwachstelle identifiziert. Bei Architekturüberprüfungen war das nur in sechs Prozent der Fälle der Fall. Diese Differenz zeigt, wie groß die Lücke zwischen theoretischem Design und tatsächlicher Umsetzung ist. Laut Dragos entsteht hier häufig der Ausgangspunkt für gezielte Angriffe, wie es bei Fuxnet der Fall war.
Der Bericht macht außerdem deutlich, dass die meisten Cyberangriffe auf Betriebstechnologie keine ausgeklügelten Zero-Day-Lücken ausnutzen. Stattdessen zielen sie auf bekannte Schwachstellen ab. Dazu gehören fehlerhafte Konfigurationen, fehlende Netzwerksegmentierung oder veraltete Zugriffskontrollen. Fuxnet steht exemplarisch für diesen Trend und spiegelt viele der im Jahr 2024 beobachteten Angriffsmuster wider.


Im konkreten Fall richtete sich Fuxnet gegen Moskollektor. Die Organisation ist in Russland unter anderem für die Versorgung und Überwachung von Wasser-, Gas- und Abwassersystemen zuständig. Nach Einschätzung von Dragos bestand durch den Angriff keine unmittelbare Gefahr für Systeme außerhalb dieses Bereichs, etwa in Deutschland. Auch wenn die Folgen überschaubar blieben, zeigt der Vorfall, wie gefährlich einfache Schwachstellen sein können. Ungeschützte Schnittstellen und fest vergebene Zugangsdaten reichen oft aus, um kritische Systeme zu gefährden.


Weniger Komplexität, mehr Konsequenz
Auch wenn Fuxnet außerhalb des eigentlichen Ziels keine direkten Schäden verursacht hat, zeigt der Vorfall deutlich, wie gefährlich operative Schwachstellen sein können. Besonders dann, wenn sie mit gezielten Angriffen zusammenkommen. Der Bericht von Dragos nennt genau das als eine der wichtigsten Erkenntnisse aus dem vergangenen Jahr.
Auf Grundlage der Analyse ergeben sich mehrere konkrete Maßnahmen, um industrielle Steuerungssysteme besser zu schützen. Dazu gehören:

  • die konsequente Umsetzung der fünf kritischen Maßnahmen nach dem SANS-Modell für OT-Sicherheit
  • die Identifikation und Absicherung von Systemen, die noch mit Standardkonfigurationen arbeiten,
  • sowie die stärkere Einbindung von OT-spezifischer Bedrohungsanalyse in übergreifende Sicherheitsstrategien.

Fazit
Fuxnet enthält keine außergewöhnlich fortschrittliche Technik. Dennoch gilt der Fall im Jahresbericht von Dragos als besonders relevant. Er zeigt, an welchen Stellen Industrieunternehmen ansetzen sollten, um ihre Systeme besser zu schützen. Der Year in Review 2025 macht deutlich, dass viele erfolgreiche Angriffe nicht auf komplexen Technologien beruhen. Vielmehr nutzen sie bekannte Schwachstellen, die sich oft leicht vermeiden lassen. Der Schlüssel zur OT-Sicherheit liegt daher vor allem in der konsequenten Umsetzung grundlegender Schutzmaßnahmen

Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“