Zielscheibe Fertigungsindustrie: Cyberangriffe durch staatlich geförderte Gruppen und Ransomware-Banden nehmen stark zu

24. Juni 2025

Die Fertigungsbranche ist laut einem aktuellen Bericht von Forescout Technologies im Jahr 2024 verstärkt ins Fadenkreuz von Cyberangriffen geraten. Demnach stieg die Zahl der aktiven Bedrohungsakteure im Vergleich zum Vorjahr um alarmierende 71 Prozent. Insgesamt nahmen zwischen 2024 und dem ersten Quartal 2025 rund 29 Gruppen gezielt Unternehmen aus dem Bereich der kritischen Infrastruktur ins Visier – mit einem klaren Fokus auf Systeme der Betriebstechnologie (OT).

Staatliche Akteure und Spionage im industriellen Maßstab

Besonders besorgniserregend ist das Vorgehen staatlich unterstützter Hackergruppen wie APT28, Volt Typhoon oder Emperor Dragonfly. Diese Akteure setzen zunehmend auf eine Mischung aus Spionage und destruktiven Angriffsmethoden. Im Visier stehen insbesondere industrielle Steuerungssysteme (ICS) sowie komplexe OT-Umgebungen. Der Einsatz moderner Technologien wie 5G, industrielles IoT und Künstliche Intelligenz macht es den Angreifern dabei leichter, unentdeckt zu bleiben und Sicherheitslücken auszunutzen.

Laut Forescout lassen sich die Angriffe durch eine längere Verweildauer in kompromittierten Netzwerken charakterisieren – eine Entwicklung, die das Risiko für Unternehmen erheblich erhöht. Ziel ist es häufig, über Wochen oder Monate hinweg unentdeckt Informationen abzugreifen oder operative Abläufe gezielt zu stören.

Ransomware auf dem Vormarsch – mit geopolitischem Kalkül

Neben klassischer Spionage setzen die Angreifer auch auf Werkzeuge wie die Ransomware „RA World“, um Unternehmen durch erzwungene Betriebsunterbrechungen unter Druck zu setzen. Viele dieser Attacken sind offenbar geopolitisch motiviert und fügen sich in größere strategische Zielsetzungen ein.

Doch nicht nur staatlich gesteuerte Gruppen sind aktiv: Den Großteil der Bedrohungsakteure machen laut Analyse Cyberkriminelle aus, insbesondere Ransomware-Banden, die nach dem Ransomware-as-a-Service-Modell (RaaS) operieren. Sie sind für rund 79 Prozent der identifizierten Gruppen verantwortlich, wobei 45 Prozent direkt mit Ransomware-Aktivitäten in Verbindung gebracht werden.

Cyberbedrohungen im Wandel: Neue Taktiken, raffinierte Angriffe – Forescout warnt vor eskalierender Gefahrenlage

Die Methoden der Cyberkriminellen werden zunehmend ausgefeilter: Laut dem Bericht entwickelt sich RansomHub derzeit zur aktivsten Gruppierung in der Bedrohungslandschaft. Mit insgesamt 78 Angriffen und über 3,3 Terabyte exfiltrierter Daten – darunter geistiges Eigentum sowie sensible personenbezogene Informationen – stellt die Gruppe eine erhebliche Gefahr für Unternehmen dar.

Ransomware trifft auf Aktivismus: Neue Akteure mischen mit

Auch Hacktivisten-Gruppen wie Handala und die Cyber Army of Russia Reborn bedienen sich zunehmend Ransomware-Taktiken, um gezielte Störungen auszulösen und die Komplexität der Bedrohungslage weiter zu verschärfen. Dieser Trend zeigt, wie sich politische und kriminelle Interessen zunehmend überschneiden.

Fortgeschrittene Techniken zur Tarnung und Umgehung

Die Angreifer setzen vermehrt auf maßgeschneiderte Malware – etwa die Betruger-Backdoor von RansomHub – sowie auf sogenannte „Living-off-the-Land“-Strategien, bei denen legitime Systemressourcen zweckentfremdet werden. Besonders brisant: Für die Datenexfiltration kommen auch legale Cloud-Dienste zum Einsatz, um Sicherheitskontrollen zu umgehen.

Ein weiterer besorgniserregender Trend ist der Missbrauch von Fernüberwachungs- und -verwaltungstools (RMM), mit denen sich Angreifer dauerhaft im System verankern. Unterstützt werden diese Maßnahmen durch Tools wie KillAV und TrueSightKiller, die speziell zur Umgehung von Endpunktschutzlösungen (EDR) entwickelt wurden. Die klassische Verschleierung weicht damit zunehmend hochentwickelten Umgehungsstrategien.

Schwachstellen als Einfallstor – Risiko durch Cloud-Fehlkonfigurationen wächst

Die Untersuchung von 17 dokumentierten Vorfällen zeigt deutlich: Schwachstellen in VPNs, Fernzugriffslösungen und Dateiübertragungsanwendungen zählen zu den häufigsten Einstiegspunkten – häufig vermittelt durch sogenannte Initial Access Broker. Parallel dazu steigt mit dem verstärkten Einsatz cloudbasierter Technologien auch das Risiko durch Konfigurationsfehler – insbesondere in Kombination mit bekannten Schwachstellen in OT-Architekturen.

Ausblick: Bedrohung bleibt hoch – Gegenmaßnahmen dringend erforderlich

Forescout prognostiziert eine anhaltend hohe Angriffsdichte. Das florierende Ransomware-as-a-Service-Ökosystem (RaaS) senkt die Einstiegshürden für kriminelle Akteure erheblich, während geopolitische Spannungen dafür sorgen, dass auch staatlich unterstützte und ideologisch motivierte Gruppen ihren Fokus verstärkt auf die Fertigungsbranche legen – insbesondere auf Unternehmen mit Anbindung an kritische nationale Infrastrukturen.

Sicherheitslücken schließen – jetzt handeln

Um dem stetig wachsenden Bedrohungsdruck zu begegnen, empfiehlt Forescout entschlossene Gegenmaßnahmen. Dazu gehören eine lückenlose Inventarisierung aller IT- und OT-Assets, eine klare Netzwerksegmentierung, der Einsatz von Echtzeit-Bedrohungsanalysen sowie die Implementierung unveränderlicher Backups. Ohne diese grundlegenden Sicherheitsvorkehrungen drohen der Branche gravierende betriebliche und finanzielle Schäden – verursacht durch eine neue Generation kompromissloser Angreifer.

 

---