Hohes Angriffsvolumen auf ICS-Computer im Jahr 2025
- Zunehmende Nutzung von Supply-Chain-, Trusted-Relationship- und KI-gestützten Angriffen
- Mehr Störungen globaler Logistik- und Hightech-Lieferketten sowie Angriffe auf neue Zielumgebungen erwartet
Laut Kaspersky-Telemetrie lag der Anteil der ICS-Computer, auf denen Malware-Angriffe blockiert wurden, im ersten Quartal dieses Jahres bei rund 22 Prozent und sank bis zum dritten Quartal moderat auf 20 Prozent. Dies deutet auf leichte Fortschritte der Unternehmen in puncto Cybersicherheit hin, allerdings haben sich die Taktiken der Angreifer kontinuierlich weiterentwickelt.Basierend auf den Erkenntnissen und ihrer Expertise stellen die Kaspersky-Experten ihre Prognosen und Trends für das Jahr 2026 vor [1]: Sie rechnen mit einem Anstieg von Supply-Chain- und Trusted-Relationship-Angriffen sowie mit einem verstärkten Einsatz von KI durch Cyberkriminelle. Zudem erwarten sie mehr Vorfälle, die globale Logistikketten und Hightech-Lieferketten betreffen, sowie vermehrt Angriffe auf bislang weniger im Fokus stehende Sektoren wie intelligente Transportsysteme, den öffentlichen Nahverkehr, Smart Buildings oder satellitengestützte Kommunikationssysteme.
Die Telemetriedaten von Kaspersky zeigen, dass das Angriffsvolumen 2025 durchgehend hoch blieb. So wurden im ersten Quartal auf etwa 22 Prozent aller ICS-Computern schädliche Objekte blockiert. Auch wenn der Wert im dritten Quartal leicht auf 20 Prozent sank, deutet dies weiterhin auf eine hohe Belastung hin.
Zudem sahen die Kaspersky-Experten in diesem Jahr einige Trends im Bereich Cyberbedrohungen: So setzten Angreifer verstärkt auf Supply-Chain- und Trusted-Relationship-Angriffe. Besonders im Visier standen dabei lokale Dienstleister und Auftragnehmer sowie Betreiber geschäftskritischer Infrastrukturen wie beispielsweise Telekommunikationsunternehmen, die immer häufiger als Einstiegspunkt genutzt wurden, um klassische Schutzmechanismen zu umgehen.
Weiterhin dazu nutzten Angreifer in diesem Jahr zunehmend KI für ihre schädlichen Aktivitäten. Die Bandbreite reichte von KI-gestützten Verschleierungstechniken für Malware bis hin zu ersten agentenbasierten, teilautonomen Angriffen auf industrielle Netzwerke.
Zudem häuften sich Angriffe auf internetfähige OT-Geräte. Besonders attraktiv für Cyberkriminelle waren hierbei dezentrale Standorte, die auf OT-Firewalls angewiesen sind, die nicht für die Abwehr moderner internetbasierter Bedrohungen ausgelegt sind.
Prognosen für 2026: Globale Logistik unter Druck, neue Zielumgebungen im Fokus
Basierend auf den Trends des Jahres 2025 und ihrer Expertise erwarten die Kaspersky-Experten für das Jahr 2026:
- mehr Vorfälle, die globale Logistik- und Hightech-Lieferketten treffen.
- einen Anstieg von Angriffen auf bisher weniger beachtete Sektoren wie intelligente Transportsysteme, Schiffe, Züge, öffentlichen Nahverkehr, Smart Buildings oder satellitengestützte Kommunikationssysteme.
- dass Bedrohungsakteure – wie etwa APT-Gruppen, regionale Gruppierungen, Hacktivisten und Ransomware-Gruppen – ihre Aktivitäten voraussichtlich verstärkt in Richtung Asien, Nahost und Lateinamerika verlagern.
- dass KI-Agenten und autonome Orchestrierungs-Frameworks die Einstiegshürde für breit angelegte Kampagnen weiter senken, die sich zielgerichtet gegen industrielle Umgebungen richten.
„Industrieorganisationen stehen einer Bedrohungslandschaft gegenüber, in der Angriffe schneller, intelligenter und asymmetrischer geworden sind“, erklärt Evgeny Goncharov, Head of Kaspersky ICS CERT. „In diesem Jahr haben wir etwa Kampagnen wie ‚Salmon Slalom‘ gesehen, die produzierende Unternehmen, Telekommunikationsanbieter und Logistikunternehmen über fortgeschrittenes Phishing und DLL-Sideloading ins Visier nahmen, sowie die Spionagekampagne ‚Librarian Ghouls‘, die Ingenieurhochschulen und industrielle Designumgebungen kompromittierte. Diese Angriffe zeigen, dass sowohl globale Lieferketten als auch lokale technische Ökosysteme gefährdet sind und dass jedes Industrieunternehmen davon ausgehen muss, ein potenzielles Ziel zu sein, und dementsprechend entsprechend handeln sollte.“
Kaspersky-Empfehlungen zum Schutz von ICS- und OT-Umgebungen
Regelmäßige Sicherheitsüberprüfungen der OT-Systeme durchführen, um Schwachstellen und Fehlkonfigurationen frühzeitig zu erkennen und zu beheben.
- Kontinuierliche Schwachstellenbewertung und -priorisierung als Grundlage eines wirksamen Vulnerability Managements etablieren; entsprechende Lösungen wie Kaspersky Industrial CyberSecurity [2] unterstützen hierbei, indem sie die kontextbezogenen Informationen zu OT-spezifischen Bedrohungen bereitstellen.
- Zeitnahe Updates und Patches für kritische Komponenten installieren, soweit technisch möglich; andernfalls geeignete kompensierende Maßnahmen einführen, um das Risiko schwerwiegender Vorfälle zu reduzieren.
- EDR-Lösungen wie Kaspersky Next EDR Expert [3] implementieren, die Bedrohungen frühzeitig erkennen und blockieren können.
- Kompetenzen im Bereich Incident Response und OT-Security ausbauen, indem Mitarbeiter sowohl im IT- als auch im OT-Bereich spezialisierte OT-Sicherheitstrainings [4] erhalten.
Weitere Informationen sind verfügbar unter https://lp.kaspersky.com/global/ksb2025-ics-cert-trends-and-predictions/
[1] https://lp.kaspersky.com/global/ksb2025-ics-cert-trends-and-predictions/
[2] https://www.kaspersky.de/enterprise-security/industrial-cybersecurity
[3] https://www.kaspersky.de/next
[4] https://www.kaspersky.de/enterprise-security/cyber-security-training#ics
Nützliche Links:
- Kaspersky Security Bulletin: https://lp.kaspersky.com/global/ksb2025-ics-cert-trends-and-predictions/
- Kaspersky Industrial CyberSecurity: https://www.kaspersky.de/enterprise-security/industrial-cybersecurity
- Kaspersky Next: https://www.kaspersky.de/next
- Kaspersky Cybersecurity Training: https://www.kaspersky.de/enterprise-security/cyber-security-training#ics
