Operational Technology : Kampfschwimmer im Aquarium : Wie xIoT-Brückenköpfe und Router-Schwachstellen die OT-Segmentierung aushebeln

Kompromittierte Perimeter

Bevor ein Angreifer* sich lateral im Netz seines Opfers bewegen kann, benötigt er einen ersten Zugang (Initial Access). Während hier traditionell VPN-Zugänge oder Phishing im Fokus standen, lässt sich mittlerweile eine massive Verschiebung hin zur Ausnutzung von Schwachstellen in Edge-Geräten selbst beobachten – also genau jenen Systemen, die das Netzwerk eigentlich schützen sollen.

Im Jahr 2024 deckten die Forescout Vedere Labs eine massive Ransomware-Kampagne auf, die DrayTekRouter ins Visier nahm [2]. Was diesen Vorfall für OTSicherheitsverantwortliche relevant macht, ist nicht die Ransomware selbst, sondern die Methodik: Die Angreifer – konkret eine Koalition aus den Gruppen „Monstrous Mantis“, „Ruthless Mantis“ und LARVA-15 – haben mutmaßlich Zero-Day-Exploits in der Web-Oberfläche (mainfunction.cgi) von End-of-Sale-Geräten ausgenutzt, um dort Root-Zugriff zu erlangen.

Das perfide Detail: Die Angreifer missbrauchten diese Zugriffsmöglichkeit nicht sofort für eine Ransomware-Verschlüsselung. Stattdessen extrahierten sie Zugangsdaten aus dem Speicher, entschlüsselten diese und richteten die Router als permanente Brückenköpfe ein. Die Geräte wurden so zu „Shadow-Proxies“, die es den Angreifern ermöglichten, getunnelten Datenverkehr tief in die internen Netze zu leiten – vorbei an Firewall-Regelwerken, die nur auf eingehenden Traffic von unbekannten IPs achten.

Dass dies kein Einzelfall ist, belegt auch die Analyse des Chaya_005-Clusters von Ende 2025 [3]: Dabei hatten Angreifer gezielt nach „Sierra Wireless“ Industrie-Routern gescannt. Interessanterweise nutzten sie dabei Payloads, die spezifische Signaturen (beginnend mit „S“ für Shell oder „B“ für BusyBox, gefolgt von einem Hex-Timestamp) enthielten, aber keine Malware nachluden. Das deutet auf eine großangelegte „Pre-Positioning“- Kampagne hin: Angreifer kartografieren verwundbare OT-Perimeter-Geräte, um im Konfliktfall sofortigen Zugriff zu haben.

Im „Fog of War“: Gezielte Attacke oder Kollateralschaden?

Die Komplexität der Bedrohungslage wird dadurch verschärft, dass Security-Operations-Centre-(SOC)- Teams kaum noch in Echtzeit zwischen einer gezielten Advanced-Persistent-Threat-(APT)-Kampagne und dem „Rauschen“ von Botnetzen zu unterscheiden. Ein Phänomen der Unwägbarkeit, das sich in Anlehnung an den militärischen Begriff als „Nebel des Krieges“ (Fog of War) bezeichnen lässt.

Ein markantes Beispiel hierfür lieferten die Angriffe auf die dänische Energieinfrastruktur im Mai 2023 [4]: Zunächst sah es so aus, als ob die berüchtigte russische Sandworm-Gruppe gezielt Zyxel-Firewalls dänischer Energieversorger angegriffen hatte, was einige Betreiber dazu zwang, in den sogenannten Inselbetrieb (Island Mode) zu wechseln.

Die forensische Analyse der Payloads und C2- Kommunikation zeigte jedoch ein differenzierteres Bild: Während die erste Angriffswelle durchaus gezielte Züge aufwies, war die zweite, massivere Welle Teil einer breiten Botnet-Kampagne (Mirai-Varianten), die wahllos ungepatchte Firewalls weltweit infizierte. Die C2-Infrastruktur überschnitt sich lediglich zufällig mit IPs, die historisch „Sandworm“ zugeordnet wurden, was zu Fehlalarmen führte.

Für OT-Sicherheitsverantwortliche ist die Unterscheidung akademisch, die Auswirkung identisch: Ob durch einen staatlichen Akteur oder ein Botnetz – wenn die Firewall am Übergabepunkt zur OT kompromittiert wird, ist die Segmentierung hinfällig. Die Lehre daraus ist, dass Perimeter-Geräte genauso streng überwacht (und gepatcht) werden müssen wie die Assets, die sie schützen sollen. Ein „Deploy and Forget“ ist im aktuellen Bedrohungsklima auch bei VPN-Gateways oder Firewalls fahrlässig.

Brückenköpfe im IoT

Ist der Perimeter erst einmal überwunden – oder wird, was häufiger vorkommt, ein Gerät innerhalb des Perimeters kompromittiert – beginnt die Phase der lateralen Bewegung. Hier ist die größte Innovation auf Angreiferseite zu beobachten: die Nutzung von IoT-Geräten als Sprungbrett, um klassische IT-Security-Stacks zu umgehen.

Bereits 2022 hat Forescout mit „Ransomware for IoT“ (R4IoT, [5]) ein Proof-of-Concept vorgestellt, bei dem eine kompromittierte IP-Kamera als Einstiegspunkt diente (vgl. Abb. 1). Von dort aus breitete sich die Malware nicht nur auf andere IoT-Geräte aus, sondern nutzte auch die Kamera selbst, um IT-Assets anzugreifen und schließlich OT-Prozesse wie Gebäudesteuerung oder Fertigungslinien zu stören.

Was damals lediglich eine Warnung war, wurde 2025 zur bitteren Realität: In einem dokumentierten Fall nutzte die Akira-Ransomware-Gruppe eine Schwachstelle in einer Linux-basierten Webkamera, die im Unternehmensnetzwerk hing. Der entscheidende taktische Vorteil: Auf der Kamera lief „natürlich“ kein EDR-Agent.

Die Angreifer nutzten die Kamera nicht, um Bilder auszuleiten, sondern als SMB-Client. Sie mounteten Netzwerkfreigaben von Windows-Servern auf das Dateisystem der Kamera und starteten den RansomwareVerschlüsselungsprozess von der Kamera aus. Für die vorhandene EDR-Lösung auf dem Windows-Server sah all das aus wie legitimer SMB-Traffic eines authentifizierten Geräts. Der Prozess, der die Dateien verschlüsselte, lief remote auf der Linux-Kamera, fernab jeglicher Überwachung durch Windows Defender oder CrowdStrike.

Dieses Szenario entlarvt eine fundamentale Schwäche vieler Sicherheitsarchitekturen: Zu oft wird darauf vertraut, direkt auf den Endpunkten stets sehen zu können, was vor sich geht. Aber in einer Welt, in der 65% der Geräte keine „Endpunkte“ im klassischen Sinne sind, sondern Drucker, Kameras, VoIP-Telefone oder SPSen, manövriert man in zwei Dritteln der Fälle schlichtweg im Blindflug.

Hacktivisten als HMI-Experten Neben der technischen Raffinesse der Angriffsvektoren ändert sich auch das Profil der Angreifer: Lange Zeit galt die Annahme, OT-Sicherheit sei ein Thema für den Schutz vor nationalstaatlichen Akteuren, da das Know-how für industrielle Protokolle (Modbus, Profinet, CIP usw.) zu speziell für „gewöhnliche“ Cyberkriminelle sei. Diese Annahme muss man mittlerweile zu den Akten legen!

Eine Forescout-Analyse von Honeypots [6] hat 2025 gezeigt, dass auch politisch motivierte Hacktivisten zunehmend Fähigkeiten entwickeln, die früher APTGruppen vorbehalten waren. Ein Beispiel ist der Angriff der pro-russischen Gruppe TwoNet auf einen Honeypot, der ein Wasserwerk simulierte.

Die Forensik des Angriffs zeigte dabei ein erschreckendes Maß an Prozessverständnis und Geduld:

• Initial Access (08:22 Uhr): Zugriff auf das Human-Machine-Interface (HMI) über Standard-Passwörter
• Reconnaissance (08:46 Uhr): Es gibt keine „wilde Verschlüsselung“, sondern gezielte SQL-Injection-Versuche, um die Datenbankstruktur der Steuerung zu verstehen (SELECT t.tablename FROM sys.systables …)
• Persistenz (15:20 Uhr): Erstellung eines neuen Benutzeraccounts („BARLATI“), um den Zugriff zu sichern
• Manipulation (Folgetag): Erst am nächsten Tag loggte sich der Angreifer erneut ein, veränderte Setpoints einer speicherprogrammierbaren Steuerung (SPS), deaktivierte Alarme und löschte Datenquellen, um die Bediener zu blenden.

Parallel wurden zudem Angriffe aus dem Iran beobachtet, die mit spezialisierten Skripten Modbus-Register abfragten (Function-Code 43 für Device-Identification) und gezielt versuchten, sogenannte Coils zu überschreiben, um physische Prozesse zu stoppen.

Das belegt klar, dass das Paradigma der „Security by Obscurity“ auch bei Operational Technology nicht mehr existiert! Angreifer nutzen offene Dokumentationen, Standard-Passwörter und zunehmend automatisierte Skripte, um OT-Protokolle zu „sprechen“. Die Barriere für verheerende Angriffe ist damit dramatisch gesunken.

Schatten-IT und Dual Use

Ein weiteres unterschätztes Risiko ist die Konvergenz von Geräten, die im gegebenen Umfeld als „Dual Use“ zu bezeichnen sind: Ein typisches Beispiel sind Network-Attached-Storage-(NAS)-Systeme, die in vielen OT-Umgebungen dazu dienen, um Backups von SCADA Konfigurationen (Supervisory Control and Data Acquisition) oder Log-Daten zu speichern. Oft werden diese Geräte von Mitarbeitern oder Integratoren ohne Wissen der zentralen IT „mal eben schnell“ ins Netz gestöpselt.

In der R4IoT-Simulation und realen Vorfällen zeigt sich immer wieder, dass NAS-Systeme (häufig QNAP oder Synology) als perfekte Drehscheibe für Attacken dienen: Sie sind oft direkt aus dem Internet erreichbar (für Fernwartung), laufen auf Linux-Varianten mit vielen Schwachstellen und haben gleichzeitig privilegierten Zugriff auf das interne Netzwerk (vgl. Abb. 1).

Ein Angreifer, der ein solches NAS übernimmt, findet dort nicht nur wertvolle Daten, sondern auch eine Plattform, auf der er Python-Skripte oder kompilierte Binaries ausführen kann, um das restliche OT-Netzwerk zu scannen (z.B. nach CVE-2021-31886 in Building-Automation-Controllern) oder Geräte per „Denial of Service“ (DoS) zu sabotieren.

Fazit Die Schlussfolgerung aus diesen Beobachtungen ist unangenehm, aber notwendig: Die klassische perimeterbasierte Sicherheit ist in einer Welt von xIoT und konvergenter IT/OT löchrig geworden – Sichtbarkeit ist die einzige Option zur Verteidigung. Eine vollständige Inventarisierung ist daher Pflicht und keine Kür. Man kann schlichtweg nicht schützen, was man nicht sieht: Fehlen 40% der Geräte in der Asset-Datenbank, operiert die Sicherheit mit einem blinden Fleck, der 40% der eigenen IT-/OT-Landschaft überdeckt.

Die Erkennung muss dabei zwingend passiv erfolgen (Stichwort: Deep-Packet-Inspection), da aktive Scans empfindliche OT-Geräte zum Absturz bringen können. Statt sich allein auf Signaturen zu verlassen, muss der Fokus dabei aber auf einer Verhaltensanalyse liegen. Beispielsweise ist SMB-Traffic von einer Kamera zu einem Server per se verdächtig – unabhängig davon, ob der Payload eine bekannte Malware-Signatur enthält. OT-Sicherheit muss solche Anomalien im Kommunikationsverhalten zuverlässig erkennen.

Ebenso essenziell ist die Härtung der „unmanaged“ Devices, da Standard-Passwörter auf Routern, Kameras und HMIs nach wie vor den häufigsten Initial-Access-Vektor darstellen. Die Durchsetzung starker Credentials und – wo möglich – Multi-Faktor-Authentifizierung (MFA) auf administrativen Zugängen im OTUmfeld ist daher alternativlos. Und schließlich darf das sprichwörtliche Aquarium keinen direkten Weg zur Datenbank haben: Der entscheidende Hebel hierbei ist eine Mikro-Segmentierung.

Moderne Security-Lösungen müssen dafür in der Lage sein, dynamische Segmentierung basierend auf dem Risiko und Verhalten eines Geräts durchzusetzen, statt sich nur statisch an IP-Adressen zu orientieren. Denn Angreifer verwenden die Komplexität unserer Netzwerke gegen uns. Es ist Zeit, diese Komplexität durch radikale Sichtbarkeit wieder beherrschbar zu machen!

Daniel dos Santos ist VP Research bei Forescout Research – Vedere Labs.

Literatur

^{[1] Forescout Research – Vedere Labs, An X-ray of Modern Networks: Understanding and Mitigating IoT Security Risks, Blogbeitrag, November 2025, www.forescout.com/blog/an-x-ray-of-modern-networks-understanding-and-mitigating-iot-securityrisks/}

^{[2] Forescout Research – Vedere Labs, DrayTek Routers Exploited in Massive Ransomware Campaign: Analysis and Recommendations, Blogbeitrag, Dezember 2024, www.forescout.com/blog/an-xray-of-modern-networks-understanding-and-mitigating-iot-security-risks/}

^{[3] Forescout Research – Vedere Labs, OT Network Security Threats: Industrial Routers Under Attack, Blogbeitrag, Dezember 2025, www.forescout.com/blog/ot-network-security-threats-industrial-routersunder-attack/}

^{[4] Jos Wetzels, Clearing the Fog of War – A critical analysis of recent energy sector cyberattacks in Denmark and Ukraine, Forescout Research – Vedere Labs Blog, Januar 2024, www.forescout.com/blog/analysis-of-energy-sector-cyberattacks-in-denmarkand-ukraine/}

^{[5] Forescout Research – Vedere Labs, R4IoT: When Ransomware Meets IoT and OT, Portalseite, www.forescout.com/research-labs/r4iot/}

^{[6] Forescout Research – Vedere Labs, Anatomy of a Hacktivist Attack: Russian-Aligned Group Targets OT/ICS, Blogbeitrag, Oktober 2025, www.forescout.com/blog/anatomy-of-a-hacktivist-attack-russianaligned-group-targets-otics/}