Die Bedrohungslage für kritische Infrastrukturen spitzt sich weiter zu. Bislang waren vor allem IT-Systeme das Ziel von Cyberangriffen und gezielte Störungen der Betriebstechnologie (Operational Technology, OT) wurden meist staatlichen Akteuren zugeschrieben. Diese Trennung löst sich jedoch zunehmend auf. Was früher primär die IT betraf, betrifft heute auch OT-Umgebungen.  Im Visier stehen dabei Branchen mit hoher Systemkritikalität, denn die Auswirkungen auf Produktion, Energieversorgung oder Logistik machen OT-Umgebungen auch für finanziell motivierte Cyberkriminelle zu attraktiven Zielen.

© B4LLS/GettyImages

Laut dem 2024 State of Operational Technology and Cybersecurity Report von Fortinet gaben 31 Prozent der Befragten an, im vergangenen Jahr sechs oder mehr erfolgreiche Angriffe auf ihre OT-Systeme verzeichnet zu haben – ein drastischer Anstieg gegenüber elf Prozent im Jahr 2023. Unterstützt durch detaillierte Aufklärungsdaten verfeinern die Angreifer ihre Methoden und gestalten ihre Angriffsvektoren zunehmend präzise und wirksam. Angreifer nutzen gezielt Schwachstellen in veralteten OT-Infrastrukturen aus – häufig vermittelt durch sogenannte Initial Access Broker, die sich Zugang zu Netzwerken verschaffen und diesen an Ransomware-Gruppen oder andere Akteure weiterverkaufen. Herkömmliche Cybersecurity-Strategien, die sich ausschließlich auf Indicators of Compromise (IoCs) stützen, reichen hier nicht mehr aus.

Cybercrime-as-a-Service auf dem Vormarsch

Cyberkriminelle agieren heute professioneller und oft ähnlich organisiert wie legale Unternehmen. Dies wird durch sogenannte „Crime-as-a-Service“-Modelle (CaaS) ermöglicht, die ein florierendes Ökosystem für Cyberkriminalität geschaffen haben. Innerhalb dieser Strukturen existieren spezialisierte „Dienstleister” für Bereiche wie Geldwäsche, Malware-Entwicklung oder gezielte Phishing-Kampagnen. Dadurch sinken die Einstiegshürden erheblich: Selbst technisch wenig versierte Akteure können hochspezialisierte und disruptive Angriffe mit vergleichsweise geringem Aufwand durchführen.

Besonders besorgniserregend ist der Trend zu „Reconnaissance-as-a-Service“: Dabei kartieren Angreifer potenzielle Zielnetzwerke im Voraus, bereiten die gewonnenen Informationen professionell auf und verkaufen sie. Durch den verstärkten Einsatz von künstlicher Intelligenz (KI) werden diese Cyber-Ausspähungen zunehmend automatisiert und präzisiert, was eine Skalierung von Angriffskampagnen in bislang ungekanntem Ausmaß ermöglicht.

KI als Beschleuniger von Cyberangriffen

© NanoStockk/GettyImages

Künstliche Intelligenz entwickelt sich zu einem der mächtigsten Werkzeuge für Cyberkriminelle und eröffnet völlig neue Angriffsmöglichkeiten. Während frühere Cyberattacken meist auf vorprogrammierte oder automatisierte Abläufe wie Netzwerkscans, Enumeration oder einfache Exploits setzten, bedienen sich heutige Angreifer KI-gesteuerter, mehrstufiger Angriffsketten, die sich dynamisch und in Echtzeit an ihre Umgebung anpassen.

Generative KI kommt insbesondere bei der Aufklärung und beim Social Engineering zum Einsatz, beispielsweise bei der automatisierten Auswertung von Netzwerkinformationen oder der Erstellung überzeugender, täuschend echter Phishing-Inhalte. Besonders alarmierend ist die Fähigkeit, hochgradig personalisierte Phishing-Kampagnen in lokalen Sprachen zu generieren, was die Erfolgswahrscheinlichkeit deutlich erhöht. Darüber hinaus nutzen Cyberkriminelle KI für fortschrittliche Tarntechniken: Sie verschleiern schädliche Aktivitäten gezielt mit legitimen Systemprozessen, um herkömmliche Erkennungsmechanismen zu umgehen.

In der nächsten Entwicklungsstufe ist mit KI-gesteuerten Angriffen zu rechnen, bei denen operative Entscheidungen automatisiert und in Echtzeit getroffen werden. Klassische Verteidigungsstrategien stoßen hier zunehmend an ihre Grenzen. Der Übergang von automatisierten zu intelligenten Angriffsketten zwingt Unternehmen dazu, ihre Security-Architektur auf ein vergleichbar hohes technologisches Niveau zu heben – mit adaptiven, lernfähigen Abwehrmechanismen als strategische Notwendigkeit.

Vom Threat Intelligence zur wirksamen OT-Verteidigung

© gorodenkoff/GettyImages

Eine Threat-Informed-Defense-Strategie bedeutet mehr, als nur Bedrohungsdaten zu sammeln: Sie müssen kontinuierlich analysiert und in konkrete Cybersecurity-Maßnahmen übersetzt werden.

Das von MITRE etablierte dynamische Modell für Threat-Informed Defense beschreibt einen kontinuierlichen Kreislauf aus Aufklärung, Test, Analyse und Anpassung. Dabei informiert jede Phase die nächste: Die Bedrohungsinformationen steuern die Tests, die Tests validieren die Verteidigungsmaßnahmen und die Ergebnisse dieser Tests fließen zurück in die Verbesserung der Bedrohungsanalyse.

Aufbauend auf diesem Modell bilden vier zentrale Elemente das operative Rückgrat einer effektiven Threat-Informed-Defense-Strategie:

1. Cyber Threat Intelligence:
   Kontextualisierte Bedrohungsdaten helfen, Taktiken, Techniken und Verfahren (TTPs) frühzeitig zu erkennen – und gezielt auf Risiken in der eigenen OT-Landschaft zu reagieren.
2. Testing & Evaluation:
   Red-, Blue- und Purple-Teaming simulieren realistische Angriffe, testen die Abwehrmechanismen und zeigen auf, wo Anpassungsbedarf besteht.
3. Detection Engineering:
   Anpassung und Optimierung von Detection-Rules – auch für schwer erkennbare Techniken und OT-spezifische Angriffsvektoren.
4. Automatisierte Abwehr:
   Durch KI-gestützte Tools wie SOAR und EDR/XDR lassen sich Reaktionsprozesse beschleunigen und übergreifende Verteidigungsmaßnahmen orchestrieren.

Ein integrierter Plattformansatz unterstützt die Umsetzung einer solchen Strategie auf technischer Ebene. Die Fortinet OT Security Plattform vereint alle essenziellen Komponenten einer Threat-Informed Defense in einer modularen, durchgängigen Security-Architektur für industrielle Umgebungen. Sie erfasst Bedrohungsinformationen systematisch, analysiert sie mithilfe von KI und überführt sie in Echtzeit in automatisierte Schutzmaßnahmen. Durch die Konsolidierung unterschiedlicher Funktionen reduziert die Plattform die Komplexität, schafft umfassende Transparenz und bietet eine proaktive Verteidigung gegen aktuelle und zukünftige Bedrohungen.

So können Unternehmen ihre OT-Umgebungen effektiv schützen, flexibel auf neue Risiken reagieren und ihre Cybersecurity-Strategie zukunftssicher gestalten.