Threat landscape for industrial automation systems. Q1 2026
Im ersten Quartal 2026 sank der Anteil der ICS-Computer, auf denen bösartige Objekte blockiert wurden, auf einen Dreijahrestiefstwert von 19,6%, obwohl regionale Unterschiede bestehen. Besonders betroffen sind biometrische Systeme und der Fertigungssektor, wobei Internet- und E-Mail-Bedrohungen sowie Spyware zunehmen. Unternehmen sollten ihre Cybersicherheitskontrollen verstärken, insbesondere bei Systemen mit Internetzugang und E-Mail-Nutzung, um sich vor der vielfältigen Malware zu schützen.
Im ersten Quartal 2026 erreichte der Anteil der ICS-Computer, auf denen bösartige Objekte blockiert wurden, einen Dreijahrestiefstwert von 19,6%, obwohl regionale Unterschiede bestehen. Biometrische Systeme und der Fertigungssektor sind besonders betroffen, mit einer Zunahme von Internet-, E-Mail-Bedrohungen und Spyware. Unternehmen sollten ihre Cybersicherheitskontrollen verstärken, insbesondere bei Systemen mit Internetzugang und E-Mail-Nutzung.
Organisationen, die industrielle Steuerungssysteme (ICS) verwenden, insbesondere in den Bereichen biometrische Systeme und Fertigung. Regionen wie Afrika, Südeuropa und Russland sind besonders betroffen.
Obwohl die globale Rate blockierter bösartiger Objekte in ICS-Systemen gesunken ist, bleiben bestimmte Sektoren und Regionen anfällig für Internet-, E-Mail- und Spyware-Bedrohungen. Dies erfordert eine gezielte Stärkung der Cybersicherheitsmaßnahmen, um Betriebsunterbrechungen und Datenlecks zu verhindern.
Ein erfolgreicher Angriff über Internet- oder E-Mail-Vektoren könnte zu einer Kompromittierung von ICS-Systemen führen, was Betriebsunterbrechungen, Produktionsausfälle und potenzielle Sicherheitsrisiken in kritischen Infrastrukturen wie biometrischen Systemen oder der Fertigung zur Folge hätte.
Verstärkung der Cybersicherheitskontrollen, insbesondere für ICS-Systeme mit Internetzugang und E-Mail-Nutzung. Implementierung robuster E-Mail- und Web-Sicherheitslösungen sowie Sensibilisierung der Mitarbeiter für Phishing und bösartige Links.
- ▸Überprüfen Sie die Protokolle von E-Mail-Gateways und Web-Proxys auf verdächtige Aktivitäten, die auf Phishing-Versuche oder den Zugriff auf bösartige Websites hinweisen könnten.
- ▸Führen Sie eine Bestandsaufnahme aller ICS-Systeme durch, die Internetzugang oder E-Mail-Funktionen haben, und bewerten Sie deren aktuelle Sicherheitskonfigurationen.
- ▸Validieren Sie die Wirksamkeit Ihrer Endpunktschutzlösungen auf ICS-Workstations und -Servern, insbesondere im Hinblick auf die Erkennung und Blockierung von Spyware.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1566 Phishing | High | Internet- und E-Mail-Bedrohungen |
| Initial Access | T1190 Exploit Public-Facing Application | Low | Systemen mit Internetzugang |
| Collection | T1056 Input Capture | High | Spyware zunehmen |
- Spezifische Malware-Familien oder CVEs, die in den Angriffen verwendet werden, sind nicht angegeben.
- Die genauen Methoden, wie Spyware in die ICS-Umgebung gelangt, sind nicht detailliert.
- Die Art der biometrischen Systeme, die betroffen sind, ist nicht spezifiziert.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Ja
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Ja
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Ja
Kundenfragen
- Haben wir Active Directory / Entra extern erreichbar?
- Haben wir Windows extern erreichbar?
- Können wir Resource Development detektieren?
- Können wir Initial Access detektieren?