Internet bleibt größte Bedrohung für industrielle Automatisierungssysteme

24. Juni 2025

Neuer Bericht von Kaspersky beleuchtet weltweite Cybersicherheitslage im ersten Quartal 2025

Die Digitalisierung industrieller Prozesse schreitet voran – doch mit ihr wachsen auch die Risiken. Laut einem aktuellen Bericht von Kaspersky ICS CERT, der am 10. Juni 2025 veröffentlicht wurde, bleibt das Internet die zentrale Bedrohungsquelle für industrielle Automatisierungssysteme (IAS) weltweit.

Im ersten Quartal 2025 waren laut Kaspersky Security Network (KSN) 21,9 Prozent aller weltweit eingesetzten Computer in industriellen Steuerungssystemen (ICS) mit schädlichen Objekten konfrontiert – ein stabiler Wert im Vergleich zum Vorquartal. Besonders brisant: In allen untersuchten Regionen gilt das Internet als Hauptangriffsvektor auf die Betriebstechnologie (OT).

Weltweites Gefahrenpotenzial durch Internetbasierte Angriffe

Der Bericht führt die Bedrohung durch das Internet auf den Zugang von ICS-Computern zu kompromittierten Webseiten sowie auf Schadsoftware zurück, die über Messenger-Dienste, Cloud-Plattformen und Content Delivery Networks (CDNs) verbreitet wird.

Afrika führt mit einem Anteil von 29,6 % betroffener ICS-Systeme die Liste der gefährdeten Regionen an, während Nordeuropa mit 10,7 % den niedrigsten Wert verzeichnet. Die Unterschiede offenbaren deutliche Lücken in der regionalen Cybersicherheits-Infrastruktur und mangelhafte Investitionen in Schutzmaßnahmen und Schulungen.

Besonders betroffen von internetbasierten Angriffen sind Afrika (12,76 %), Südostasien (12,32 %) und Zentralasien (9,5 %). Häufige Angriffsformen sind bösartige Skripte, Phishing-Seiten, Spyware, Web-Miner und Angriffe auf ungepatchte Systeme.

Weitere Angriffspfade: E-Mails, Wechselmedien und Netzwerkfreigaben

Auch E-Mail-Clients bleiben ein relevantes Einfallstor. Phishing-Kampagnen mit infizierten Dokumenten und Skripten trafen besonders Südeuropa (6,76 %), den Nahen Osten (5,17 %) und Lateinamerika (4,55 %).

Wechselmedien – etwa USB-Sticks – spielen vor allem in Afrika (2,44 %) und Südasien (1,08 %) eine Rolle bei der Verbreitung veralteter Schadprogramme wie polymorphen Würmern und Kryptowährungs-Minern.

Weniger verbreitet, aber nicht minder gefährlich, sind Angriffe über offene Netzwerkordner – besonders in Ostasien (0,27 %). Diese Angriffsform weist auf mangelhafte Segmentierung und fehlende Sicherheitsmaßnahmen in internen Netzwerken hin.

Spyware und Kryptominer auf dem Vormarsch

Ein alarmierender Trend ist die zunehmende Verbreitung von Spyware, die häufig als Vorbote für Ransomware-Attacken dient. Besonders stark betroffen sind Afrika (7,05 %) und Südeuropa (6,52 %). In Ostasien ist Ransomware bereits deutlich häufiger im Einsatz (0,32 %).

Kryptominer, die über Webseiten oder Windows-Programme verbreitet werden, verzeichnen global einen Anstieg um das 1,4- bzw. 1,1-Fache. Angreifer nutzen dabei zunehmend dateilose Techniken wie PowerShell-Skripte oder tarnen ihre Tools als legitime Software – etwa den Open-Source-Miner XMRig.

Russland und Zentralasien verzeichnen einen signifikanten Zuwachs an internetbasierten Bedrohungen und Mining-Aktivitäten – ein Indikator für unzureichende Cybersicherheitsstrategien in der Region.

Appell an die Industrie

Der Bericht macht deutlich: Ohne gezielte Maßnahmen wie verbesserte Netzwerkisolation, robuste Perimeter-Schutzlösungen und gezielte Mitarbeiterschulungen bleibt die OT-Infrastruktur angreifbar.

Kaspersky sieht die Industrie in der Pflicht, Cybersicherheit als strategische Priorität zu behandeln. Nur durch Investitionen in moderne Sicherheitstechnologien und umfassende Sensibilisierung lassen sich industrielle Systeme gegen die zunehmend raffinierten Angriffsformen schützen.

Regionen nach Prozentsatz der ICS-Computer, auf denen schädliche Objekte blockiert wurden, 1. Quartal 2025

Regionen und die Welt. Veränderungen des Anteils der angegriffenen ICS-Computer im ersten Quartal 2025

Prozentualer Anteil der ICS-Computer, auf denen die Aktivität bösartiger Objekte aus verschiedenen Kategorien blockiert wurde

Veränderungen beim Prozentsatz der ICS-Computer, auf denen schädliche Dokumente blockiert wurden, 1. Quartal 2025

Veränderungen des Prozentsatzes der ICS-Computer, auf denen Web-Miner blockiert wurden, 1. Quartal 2025

Veränderungen des Prozentsatzes der ICS-Computer, auf denen Miner in Form von ausführbaren Dateien für Windows blockiert wurden, 1. Quartal 2025

Grafiken: Quelle Kaspersky 

Neben „klassischen“ Minern – Anwendungen, die in .NET, C++ oder Python geschrieben und für das heimliche Schürfen von Kryptowährungen entwickelt wurden – wenden Angreifer neue Techniken an. Bedrohungsakteure, darunter auch solche, die Kryptowährungs-Miner auf ICS-Computern einsetzen, nutzen weiterhin beliebte dateilose Ausführungsmethoden.
Ein erheblicher Teil der auf ICS-Computern entdeckten Miner für Windows waren Archive mit Namen, die legitime Software-Dateinamen imitierten. Diese Archive enthielten keine tatsächliche Software, sondern eine Windows-LNK-Datei, besser bekannt als Verknüpfung. Das Ziel (oder der Pfad), auf das die LNK-Datei verwies, war jedoch keine reguläre Anwendung, sondern ein Befehl, der in der Lage war, bösartigen Code auszuführen, beispielsweise ein PowerShell-Skript. Angreifer verwenden zunehmend PowerShell, um bösartigen Code (einschließlich Cryptominer) auszuführen, der in Befehlszeilenargumenten direkt im Speicher eingebettet ist, d. h. ohne Dateien. Die dateilose Ausführung von Minern trägt dazu bei, ihre Erkennung durch Sicherheitslösungen zu minimieren.

Beispiel für eine Kill Chain: Dateilose Ausführung bei Cryptomining-Angriffen

Eine weitere gängige Methode zum Einsatz von Minern in OT-Infrastrukturen ist die Verwendung legitimer Kryptowährungs-Mining-Software wie XMRig, NBMiner, OneZeroMiner und anderer. Diese Miner sind zwar nicht von Natur aus bösartig, werden jedoch von Sicherheitssystemen als RiskTools klassifiziert. Angreifer nutzen diese Miner, indem sie sie mit angepassten Konfigurationsdateien kombinieren, die es ermöglichen, die Aktivitäten des Miners vor dem Benutzer zu verbergen.

Beispiel für eine Kill Chain: Verwendung legitimer Mining-Tools bei Cryptomining-Angriffen

Osteuropa

Aktuelle Bedrohungen

Aktuelle Bedrohungen In Osteuropa liegt der Prozentsatz der ICS-Computer, auf denen schädliche Objekte aus E-Mail-Clients blockiert wurden, deutlich über dem globalen Durchschnitt. Im ersten Quartal 2025 lag der regionale Prozentsatz um das 1,4-Fache über dem globalen Durchschnitt. Osteuropa rangiert bei diesem Indikator unter den Regionen an vierter Stelle. E-Mail-Clients sind die primäre Quelle für die Verbreitung schädlicher Dokumente. In der Region liegt der Prozentsatz für diese Bedrohungskategorie um das 1,3-Fache über dem globalen Durchschnitt. Auch bei diesem Indikator liegt Osteuropa auf Platz vier der Regionen (wie bei E-Mail-Clients). Im ersten Quartal 2025 stieg der Anteil der ICS-Computer, auf denen schädliche Dokumente blockiert wurden, um den Faktor 1,2, womit Osteuropa in dieser Kategorie das stärkste Wachstum aller Regionen verzeichnete. Bedrohungsakteure nutzen schädliche Dokumente, um gezielte Malware wie Spyware und Ransomware zu verbreiten. Der Anteil der ICS-Computer, auf denen Ransomware in der Region blockiert wurde, stieg im ersten Quartal 2025 um den Faktor 1,3.

Südeuropa

Aktuelle Bedrohungen

Obwohl Südeuropa gemessen am Anteil der ICS-Computer, auf denen schädliche Objekte blockiert wurden, auf Platz neun der Regionen rangiert, ist die Bedrohungslage in der Region in mancher Hinsicht nicht so günstig, wie es den Anschein hat.

• Südeuropa liegt weltweit an erster Stelle, gemessen am Anteil der ICS-Computer, auf denen Bedrohungen aus E-Mail-Clients blockiert wurden. Dieser Wert ist 2,4-mal höher als der weltweite Durchschnitt.
• E-Mails spielen eine wichtige Rolle bei der Verbreitung von Bedrohungen in der Region.
• Im ersten Quartal 2025 lag Südeuropa an erster Stelle unter den Regionen, gemessen am Prozentsatz der ICS-Computer, auf denen bösartige Skripte und Phishing-Seiten blockiert wurden. In dieser Region liegt dieser Prozentsatz 1,4-mal höher als der weltweite Durchschnitt.
• Südeuropa liegt auch an erster Stelle unter allen Regionen, gemessen am Prozentsatz der ICS-Computer, auf denen bösartige Dokumente blockiert wurden, wobei dieser Prozentsatz den weltweiten Durchschnitt um das 2,2-Fache übersteigt.
• Südeuropa liegt an zweiter Stelle unter allen Regionen, gemessen am Prozentsatz der ICS-Computer, auf denen Spyware blockiert wurde. Der Prozentsatz der Region ist 1,6-mal höher als der weltweite Durchschnitt. Im ersten Quartal 2025 lag die Region an erster Stelle hinsichtlich des Wachstums dieses Indikators.
• Ein weiterer hoher Indikator in der Region ist der Prozentsatz der ICS-Computer, auf denen Ransomware blockiert wird, der 1,5-mal höher ist als der weltweite Durchschnitt. Diese Kategorie von Malware wird häufig über Spyware verbreitet. Im ersten Quartal 2025 lag Südeuropa an zweiter Stelle hinsichtlich des Wachstums dieses Indikators.
• Im ersten Quartal 2025 lag Südeuropa an erster Stelle aller Regionen hinsichtlich des Wachstums des Anteils der ICS-Computer, auf denen Würmer und Malware für AutoCAD blockiert wurden, und an dritter Stelle hinsichtlich des Wachstums des Indikators für die Erkennung von Viren.

Westeuropa

Aktuelle Bedrohungen

Dies ist eine der weltweit cybersichersten Regionen.

Insgesamt

Westeuropa liegt weltweit auf Platz 12, gemessen am Prozentsatz der ICS-Computer, auf denen schädliche Objekte blockiert wurden.

Dieser Prozentsatz gehört zu den niedrigsten weltweit und liegt deutlich unter dem globalen Durchschnitt. Im ersten Quartal 2025 stieg er um 0,2 Prozentpunkte.

Im Vergleich zum globalen Durchschnitt weist Westeuropa deutlich niedrigere Prozentsätze an ICS-Computern auf, auf denen verschiedene Bedrohungen in allen Bedrohungskategorien blockiert wurden.

Bedrohungsquellen

Die Prozentsätze für alle Bedrohungsquellen in Westeuropa liegen deutlich unter den entsprechenden globalen Durchschnittswerten.

Die größten Zuwächse gegenüber dem Vorquartal wurden bei den Prozentsätzen der ICS-Computer beobachtet, auf denen die folgenden Kategorien von schädlichen Objekten blockiert wurden:

• Web Miner – um den Faktor 2,4.

• Viren – um den Faktor 1,2.

• Spyware, schädliche Dokumente, Würmer und Miner in Form von ausführbaren Dateien für Windows – ein Anstieg um das 1,1-Fache in jeder Kategorie.

Gemessen am Wachstum des Anteils im Zusammenhang mit Spyware liegt Westeuropa an zweiter Stelle unter allen Regionen.

Branchen

Unter den in diesem Bericht analysierten Branchen ist die Gebäudeautomation der Sektor, der in der Region am häufigsten von Bedrohungen betroffen ist.

In allen Branchen Westeuropas liegt der Prozentsatz der ICS-Computer, auf denen schädliche Objekte blockiert wurden, weiterhin deutlich unter dem entsprechenden globalen Durchschnitt.

Nordeuropa

Aktuelle Bedrohungen

Dies ist die Region mit der weltweit höchsten Cybersicherheit, die traditionell den letzten Platz in Bezug auf den Prozentsatz der ICS-Computer einnimmt, auf denen schädliche Objekte blockiert werden.

Im ersten Quartal 2025 lag die Region jedoch weltweit an fünfter Stelle beim prozentualen Anstieg der Ransomware-Infektionen, mit einer Zunahme um das 1,6-Fache.

Gesamtsituation

Nordeuropa belegt den 13. Platz unter allen Regionen, gemessen am Prozentsatz der ICS-Computer, auf denen schädliche Objekte blockiert wurden.

Dieser Prozentsatz liegt deutlich unter dem globalen Durchschnitt.

Im ersten Quartal 2025 stieg der Prozentsatz der ICS-Computer, auf denen schädliche Objekte blockiert wurden, in Nordeuropa auf 10,7 %, was den niedrigsten Wert unter allen Regionen darstellt.

---

Methodik zur Erstellung der Statistiken

Dieser Bericht enthält die Ergebnisse der Analyse von Statistiken, die mit Hilfe des Kaspersky Security Network (KSN) erhoben wurden. Die Daten wurden von KSN-Benutzern bereitgestellt, die der anonymen Weitergabe und Verarbeitung zu den in der KSN-Vereinbarung für das auf ihrem Computer installierte Kaspersky-Produkt beschriebenen Zwecken zugestimmt haben.

Zu den Vorteilen einer Teilnahme am KSN für unsere Kunden zählen eine schnellere Reaktion auf bisher unbekannte Bedrohungen und eine allgemeine Verbesserung der Erkennungsqualität ihrer Kaspersky-Installation durch die Verbindung zu einem cloudbasierten Repository mit Malware-Daten, das aufgrund seiner Größe und der Menge der verwendeten Ressourcen nicht vollständig an den Kunden übertragen werden kann.

Die vom Benutzer weitergegebenen Daten umfassen ausschließlich die in der entsprechenden KSN-Vereinbarung beschriebenen Datentypen und -kategorien. Diese Daten tragen in erheblichem Maße zur Analyse der Bedrohungslage bei und sind eine Voraussetzung für die Erkennung neuer Bedrohungen, einschließlich gezielter Angriffe und APTs¹.

Die im Bericht dargestellten statistischen Daten stammen von ICS-Computern, die mit Kaspersky-Produkten geschützt waren und von Kaspersky ICS CERT als OT-Infrastruktur von Unternehmen klassifiziert wurden. Zu dieser Gruppe gehören Windows-Computer, die einem oder mehreren der folgenden Zwecke dienen:

• Server für Überwachungssteuerung und Datenerfassung (SCADA)
• Server für Gebäudeautomation
• Server für Datenspeicherung (Historian)
• Datengateways (OPC)
• Stationäre Arbeitsplätze von Ingenieuren und Bedienern
• Mobile Arbeitsplätze von Ingenieuren und Bedienern
• Mensch-Maschine-Schnittstelle (HMI)
• Computer zur Verwaltung von Technologie- und Gebäudeautomationsnetzwerken
• Computer von ICS/PLC-Programmierern

Die Computer, die uns Statistiken zur Verfügung stellen, gehören zu Unternehmen aus verschiedenen Branchen. Am häufigsten sind die chemische Industrie, die Metallurgie, ICS-Design und -Integration, Öl und Gas, Energie, Transport und Logistik, die Lebensmittelindustrie, die Leichtindustrie und die Pharmaindustrie vertreten. Dazu gehören auch Systeme von Ingenieur- und Integrationsunternehmen, die mit Unternehmen aus verschiedenen Branchen zusammenarbeiten, sowie Gebäudemanagementsysteme, physische Sicherheit und biometrische Datenverarbeitung.

Wir betrachten einen Computer als angegriffen, wenn eine Kaspersky-Sicherheitslösung während des Berichtszeitraums eine oder mehrere Bedrohungen auf diesem Computer blockiert hat: einen Monat, sechs Monate oder ein Jahr, je nach Kontext, wie in den obigen Diagrammen dargestellt. Um den Prozentsatz der Maschinen zu berechnen, deren Malware-Infektion verhindert wurde, nehmen wir das Verhältnis der Anzahl der während des Berichtszeitraums angegriffenen Computer zur Gesamtzahl der Computer in der Auswahl, von denen wir im gleichen Zeitraum anonymisierte Informationen erhalten haben.

---

Bild/Quelle: https://depositphotos.com/de/home.html