ICS-/OT-Angriffe nehmen zu, während die Bedrohungslage eskaliert
In den letzten zwei Jahren haben sich Angriffe auf industrielle Steuerungssysteme und Betriebstechnologie von einem theoretischen Risiko zur operativen Realität gewandelt. Nationalstaaten beschränken sich nicht mehr darauf, sich in kritischen Infrastrukturen zu positionieren. Sie schlagen zu. Wiper-Programme haben Ransomware als bevorzugtes Mittel staatlich geförderter Akteure, die es auf OT-Umgebungen abgesehen haben, abgelöst. Ein einziges Muster verbindet fast jeden größeren Vorfall: Eine schädliche Datei hat eine Vertrauensgrenze überschritten, die von niemandem überprüft wurde.
Dieser Artikel bietet einen Überblick über die Bedrohungslage im Bereich ICS/OT von 2024 bis Anfang 2026 – nicht als Auflistung von APT-Bezeichnungen und CVE-Nummern, sondern als narrative Darstellung. Wir beginnen mit dem Gesamtbild: Was ist wann geschehen? Anschließend untersuchen wir, wer dahintersteckt und wie die Angreifer vorgegangen sind. Abschließend beleuchten wir einen Vorfall im Detail, um zu veranschaulichen, wie ein moderner ICS-Wiper-Angriff von innen aussieht.
Kennzahlen
- Im Jahr 2025 griffen 119 Ransomware-Gruppen gezielt OT-Umgebungen an, was einem Anstieg von 49 % gegenüber den 80 Gruppen im Jahr 2024 entspricht
- Mehr als zwei Drittel aller Opfer von OT-Ransomware waren Hersteller – die am stärksten betroffene Branche
- Volt Typhoon war mehr als 300 Tage lang unentdeckt im OT-Netzwerk eines US-amerikanischen Stromversorgers aktiv
- Allein in den Jahren 2024–2025 richteten sich sechs Wiper-Kampagnen gegen ICS-/OT-Ziele – mehr als in jedem anderen vergleichbaren Zeitraum
Übersicht über den zeitlichen Ablauf des ICS/OT-Vorfalls
Bevor wir untersuchen, wer hinter diesen Angriffen steckt oder wie sie funktionieren, ist es hilfreich, sie auf einer Zeitachse zu betrachten. Die folgende Tabelle listet alle bedeutenden ICS-/OT-Vorfälle aus diesem Zeitraum auf – geordnet nach Branche, Angreifer und Region –, damit Sie sich einen Überblick verschaffen können, bevor Sie sich näher mit dem Thema befassen.
Datum | Vorfall | Sektor | Schauspieler | Geografie |
April 2026 | Iranische APT nutzt Rockwell-SPSen aus – und stört den Betrieb in der gesamten US-kritischen Infrastruktur | Energie Wasser Regierung | IRGC-CEC / CyberAv3ngers-Cluster | Vereinigte Staaten |
März 2026 | „Handala Wiper“ legt Stryker lahm – angeblich wurden über 200.000 Geräte in 79 Ländern gelöscht | Gesundheitswesen | Handala / Void Manticore (MOIS) | Weltweit (79 Länder) |
2025 | DynoWiper zielt auf das polnische Stromnetz und dezentrale erneuerbare Energiequellen ab | Energie | Sandwurm / ELECTRUM (GRU) | Polen (NATO) |
2025 | PathWiper gegen kritische Infrastruktur in der Ukraine eingesetzt | Kritische Infrastruktur | Russland-Bezug | Ukraine |
2025 | BAUXITE / BlueWipe-SewerGoo Wischlappen-Kampagne | Energiespeicherung | BAUXIT (IRGC-CEC) | Israel |
2025 | PYROXENE-Wiper zielt auf Regierungsstellen und kritische Infrastruktur ab | Regierung Kritische Infrastruktur | PYROXEN (IRGC-CEC / APT35) | Israel, Albanien |
2025 | SYLVANITE → VOLTZITE: Eingriffe in die Lieferkette | Energie Wasser | mit dem chinesischen Staat verbunden | Vereinigte Staaten |
2025 | KAMACITE scannt industrielle Ziele in den USA | Herstellung | Russland (mit Verbindungen zum GRU) | Vereinigte Staaten |
2025 | Z-PENTEST kompromittiert die HMI eines norwegischen Staudamms | Wasser/Staudamm | Z-PENTEST (pro-russisch) | Norwegen |
Januar 2024 | FrostyGoop stört die Fernwärmeversorgung in Lemberg über Modbus TCP | Energie/Heizung | mit Russland verbunden | Ukraine |
2024 | Volt Typhoon / VOLTZITE – über 300 Tage im Einsatz bei einem US-Energieversorger | Energie Wasser | VR China (Volt Typhoon) | Vereinigte Staaten |
2024 | Der „AcidPour“-Wiper zielt auf die ukrainische Telekommunikationsinfrastruktur ab | Telekommunikation | Sandwurm (GRU) | Ukraine |
2024 | Sandworm Spring – Angriff auf die Lieferkette im Energie- und Wassersektor | Energie Wasser | Sandwurm (GRU) | Ukraine |
August 2024 | Halliburton von RansomHub getroffen – Schaden in Höhe von 35 Millionen Dollar | Öl und Gas | RansomHub | Vereinigte Staaten |
2024 | Fuxnet zerstört die Sensorinfrastruktur der Moskauer Versorgungsbetriebe | Versorgungsunternehmen | BlackJack (mit Verbindungen zur Ukraine) | Russland |
September 2024 | Ransomware-Angriff auf die Wasseraufbereitungsanlage in Arkansas City, Kansas | Wasser | Hazard-Ransomware | Vereinigte Staaten |
2023–24 | CyberAv3ngers / IOCONTROL – Über 75 Geräte in Wasserversorgungsanlagen in den USA kompromittiert | Wasser | IRGC (Iran) | Vereinigte Staaten, Israel |
Januar 2024 | Überlauf des Wassertanks in Muleshoe, Texas, über eine freiliegende HMI | Wasser | CyberArmyofRussia_Reborn | Vereinigte Staaten |
Zunehmende Wiper-Kampagnen und immer mehr OT-Ziele
Das Tempo nimmt zu. Allein im Jahr 2025 gab es mehr gezielte Wiper-Angriffe auf ICS/OT als in jedem Jahr zuvor. Die geografische Ausbreitung hat sich ausgeweitet und reicht nun über den Konfliktbereich zwischen der Ukraine und Russland hinaus bis in NATO-Mitgliedstaaten wie Polen, nach Westeuropa einschließlich Norwegen und in den Nahen Osten einschließlich Israel. Auch die Branchenvielfalt hat sich über die Energie- und Wasserversorgung hinaus auf das Gesundheitswesen, die Telekommunikation und das verarbeitende Gewerbe ausgeweitet.
Diese Angriffe treffen verschiedene Länder, Branchen und Opfer – doch sie beginnen alle auf dieselbe Weise: mit einer Datei, die unbemerkt durchgerutscht ist. Sobald man nur eine davon ausführt, wird sofort klar, dass sie darauf ausgelegt ist, Schaden anzurichten.
Nationalstaaten und Hacktivisten-Gruppen Drive Angriffe Drive
Die obige Zeitleiste ist zwar dicht, aber nicht zufällig. Die Vorfälle konzentrieren sich auf eine kleine Anzahl von Akteursgruppen, von denen jede ihre eigenen Motive, Fähigkeiten und bevorzugten Ziele hat.
Russland – nach wie vor die größte Bedrohung für ICS-Systeme
Auf Akteure mit Verbindungen zu Russland entfällt in diesem Zeitraum der größte Anteil der Angriffe auf industrielle Steuerungssysteme (ICS); sie agieren über mehrere Gruppen mit unterschiedlichen Aufgabenbereichen.
Sandworm (ELECTRUM) gilt nach wie vor als der weltweit fähigste auf industrielle Steuerungssysteme (ICS) spezialisierte Angreifer. Ihre Kampagne vom Dezember 2025 gegen das polnische Stromnetz richtete sich gegen etwa 30 dezentrale Energieanlagen, darunter Kraft-Wärme-Kopplungsanlagen und Regelungssysteme für erneuerbare Energien wie Wind- und Solarkraft. Dies war der erste große koordinierte Cyberangriff, der in großem Umfang auf dezentrale Energiequellen abzielte.
Bei der im Rahmen dieses Angriffs eingesetzten Malware „DynoWiper“ handelte es sich um einen Windows-PE-Wiper, der gegen die Energieinfrastruktur eingesetzt wurde. Er löschte Windows-basierte Rechner an Standorten dezentraler Energieerzeuger (DER) und setzte einige OT- und ICS-Geräte irreparabel außer Betrieb. Zwar kam es zu keinen Stromausfällen, doch verschafften sich die Angreifer Zugang zu Betriebstechnologiesystemen, die für den Netzbetrieb von entscheidender Bedeutung sind.
Zuvor hatten sie im Rahmen ihrer „PathWiper“-Kampagne kritische Infrastruktur in der Ukraine angegriffen, wobei sie einen VBScript-Dropper in Verbindung mit einem PE-Wiper einsetzten, der den MBR und MFT zerstört MFT Dateien auf allen Laufwerken überschreibt. Im Jahr 2024 setzten sie „AcidPour“, einen Linux-ELF-Wiper, gegen die ukrainische Telekommunikationsinfrastruktur ein und orchestrierten einen Angriff auf die Lieferkette, der auf Energie- und Wasserversorgungssysteme abzielte.
KAMACITE fungiert als grundlegende Infrastruktur-Ebene. Im Jahr 2025 wurde beobachtet, wie diese mit dem GRU verbundene Gruppe Aufklärungsscans von industriellen Zielen in den USA durchführte; dies stellt eine Vorbereitungsmaßnahme dar, die in der Vergangenheit stets den zerstörerischen Operationen von ELECTRUM vorausging.
China – geduldig, tiefgründig und mit wachsender Reichweite
Chinas Vorgehensweise unterscheidet sich grundlegend von der Russlands. Während russische Akteure zerstören, halten chinesische Akteure an ihren Zielen fest.
VOLTZITE (Volt Typhoon) wurde über 300 Tage lang im OT-Netzwerk eines US-amerikanischen Stromversorgers nachgewiesen, wo es GIS-Daten und Konfigurationen des OT-Systems abgriff. Dabei handelte es sich nicht um Spionage um der Spionage willen. Das Muster der Vorbereitungsmaßnahmen deutet auf die Vorbereitung künftiger Störungen der US-amerikanischen Strominfrastruktur hin.
Im Jahr 2025 nutzte der Initial-Access-Broker „SYLVANITE“ Schwachstellen in Ivanti-VPN-Geräten, F5-Geräten und anderer Edge-Infrastruktur zügig aus. Diese Einfallstore wurden anschließend in die „VOLTZITE“-Pipeline eingespeist, um tiefere Eingriffe in die OT-Infrastruktur zu ermöglichen. Das Zielspektrum wurde auf Strom- und Wasserversorger ausgeweitet.
AZURITE, eine im Jahr 2025 erstmals identifizierte Gruppe, steht für eine Eskalation der Angriffe auf OT-Systeme mit Verbindungen zu China. AZURITE greift aktiv OT-Engineering-Arbeitsplätze in den Bereichen Fertigung, Verteidigung und Automobilindustrie in den USA, Australien und Europa an. Die Gruppe konzentriert sich auf das Abgreifen von Netzwerkdiagrammen, Alarmdaten und Prozesskonfigurationen.
Iran – die Grenze zur physischen Gewalt überschreiten
Staatlich geförderte Akteure aus dem Iran vollzogen in dieser Zeit einen entscheidenden Wandel: Sie gingen von opportunistischen Angriffen zu gezielten Angriffen auf physische Prozesse über.
CyberAv3ngers (BAUXITE / IRGC) kompromittierten zwischen 2023 und 2024 mehr als 75 Geräte in verschiedenen US-amerikanischen Wasserversorgungsanlagen, darunter die direkte Übernahme einer SPS in einer Druckerhöhungsstation in Pennsylvania. Ihre Malware „IOCONTROL“, eine Linux-Binärdatei mit MQTT-basierter Befehls- und Kontrollfunktion, die in Firmware-Update-Pakete für Geräte eingebettet war, wurde speziell für die Kompromittierung von OT-Geräten entwickelt. Im Jahr 2025 setzte die BAUXITE-Gruppe Varianten des BlueWipe-SewerGoo-Wiper gegen israelische Energie- und Speicherinfrastruktur ein.
PYROXENE (IRGC-CEC, mit Überschneidungen zu APT35) griff im Jahr 2025 kritische Infrastrukturen und Regierungsnetzwerke in Israel und Albanien an. Die Gruppe nutzte eine Kombination aus Social Engineering und Kompromittierung der Lieferkette, um PE-Wiper-Nutzlasten zu verbreiten.
Handala steht für die verschwimmende Grenze zwischen Hacktivismus und staatlich gelenkter Zerstörung. Die Gruppe, die von mehreren Bedrohungsanalyseunternehmen als Tarnorganisation eines Akteurs namens „Void Manticore“ eingestuft wird, der vom iranischen Ministerium für Geheimdienst und Sicherheit unterstützt wird, trat Ende 2023 in Erscheinung und führt seitdem anhaltende Wiper-Operationen gegen israelische Ziele durch.
Ihr Toolkit ist technisch ausgefeilt. Phishing-E-Mails, die oft in flüssigem Hebräisch verfasst sind, enthalten ein NSIS-Installationsprogramm, das ein AutoIT-Skript startet, um den Wiper in einen legitimen Windows-Prozess einzuschleusen. Die endgültige Payload überschreibt Dateien mit zufälligen Daten, erweitert die Berechtigungen mithilfe eines anfälligen Treibers und exfiltriert Systeminformationen über API sie die Daten vernichtet.
Dieser Installer besteht aus vielen einzelnen Komponenten – Dateien werden aufgeteilt, mit falschen Namen versehen und Befehle während der Ausführung zusammengesetzt. Aber jeder Schritt besteht im Grunde nur darin, dass eine weitere Datei abgelegt und gestartet wird. Wenn man das Beispiel ausführt, wird die gesamte Abfolge sichtbar, bevor der Wiper irgendetwas löscht.
Im März 2026 griff Handala Stryker an, einen in der Fortune-500-Liste geführten Hersteller medizinischer Geräte, und löschte Daten auf Geräten in 79 Ländern, indem er Microsoft Intune, die Endgeräte-Verwaltungsplattform des Unternehmens, missbrauchte. Für die zerstörerische Phase war keine eigens entwickelte Malware erforderlich. Der Zugriff auf Intune mit Administratorrechten bot einen zentralen Kill-Switch für die registrierten Geräte.
Im April 2026 warnte eine gemeinsame Mitteilung von sechs US-Behörden, dass dieselbe iranische Hackergruppe seit mindestens März 2026 aktiv mit dem Internet verbundene Rockwell-SPSen in Bereichen der Regierung, der Wasserversorgung und der Energieversorgung gestört habe. Die Angreifer nutzten legitime Rockwell-Engineering-Software, um SPS-Projektdateien zu manipulieren und Bedieneranzeigen zu verfälschen, indem sie eine bekannte Sicherheitslücke zur Umgehung der Authentifizierung (CVE-2021-22681) ausnutzten. Dies war eine aktive Störung industrieller Prozesse auf amerikanischem Boden.
Hacktivisten – bis hin zur physikalischen Ebene
Pro-russische Hacktivisten-Gruppen haben in dieser Zeit eine neue Schwelle überschritten. Z-PENTEST gelang es 2025, sich mithilfe eines schwachen Passworts Zugang zu einer mit dem Internet verbundenen HMI an einem norwegischen Staudamm zu verschaffen und so die physischen Wassersteuerungssysteme zu manipulieren. CyberArmyofRussia_Reborn verschaffte sich Zugang zu einer HMI in Muleshoe, Texas, und verursachte das Überlaufen eines Wassertanks, bevor das Personal auf manuellen Betrieb umstellte.
Es handelt sich hierbei nicht um ausgeklügelte Angriffe. Sie sind einfach, opportunistisch und haben zunehmend schwerwiegende Folgen. Die Hürde, physische Störungen in OT-Umgebungen zu verursachen, ist niedriger, als viele Betreiber annehmen.
Dateibasierte Angriffe, Wiper-Programme und Pivoting zwischen IT und OT prägen Angriffe auf ICS- und OT-Systeme
Bei all diesen Vorfällen, an denen unterschiedliche Akteure, Sektoren und Regionen beteiligt sind, lassen sich durchgängige Muster erkennen.
Scheibenwischer haben sich zum vorherrschenden zerstörerischen Werkzeug entwickelt
Dies ist der bedeutendste Trend bei den Bedrohungsaktivitäten im Bereich ICS und OT. Allein in den Jahren 2024–2025 richteten sich mindestens sechs verschiedene Wiper-Kampagnen gegen industrielle und kritische Infrastrukturumgebungen: DynoWiper gegen den polnischen Energiesektor, PathWiper gegen kritische Infrastruktur in der Ukraine, AcidPour gegen die ukrainische Telekommunikation, BAUXITE oder BlueWipe-SewerGoo gegen den israelischen Energiesektor, PYROXENE gegen Regierungsstellen und kritische Infrastruktur in Israel und Albanien sowie Handala gegen das globale Gesundheitswesen.
Die Löschprogramme werden immer gezielter eingesetzt. DynoWiper wurde speziell gegen die Energieinfrastruktur in Polen eingesetzt, wobei Windows-basierte Rechner an dezentralen Energieversorgungsstandorten gelöscht und einige OT-Geräte unwiederbringlich außer Betrieb gesetzt wurden. PathWiper zerstört den MBR und MFT es Dateien überschreibt, um eine Wiederherstellung so schwierig wie möglich zu machen. AcidPour zielt auf eingebettete Linux-Geräte ab und löscht UBI-Volumes sowie Device-Mapper-Partitionen, die in OT-Geräten verwendet werden.
Der Angriff auf Stryker durch Handala zeigte eine andere Art der Weiterentwicklung. Anstatt maßgeschneiderte Malware in großem Umfang einzusetzen, missbrauchten die Angreifer ein legitimes Unternehmensverwaltungstool namens Microsoft Intune, um gleichzeitig einen Befehl zum massenhaften Löschen aller registrierten Geräte auszulösen. Dadurch wurde die eigene Infrastruktur des Unternehmens effektiv zur Waffe. Es handelt sich hierbei nicht um Allzweck-Tools, die für die OT umfunktioniert wurden. Sie wurden speziell für die Umgebungen entwickelt oder angepasst, auf die sie einwirken.
ICS-spezifische Malware wird immer ausgefeilter
FrostyGoop verdient als Meilenstein besondere Beachtung. Die im Januar 2024 gegen das Fernwärmesystem von Lemberg eingesetzte Malware war die erste, die das Modbus-TCP-Protokoll in einer Produktionsumgebung direkt ausnutzte. Sie wurde in Go geschrieben und als Windows-PE-Binärdatei kompiliert und gelangte über das Technikernetzwerk in das System, wobei sie durch eine Dateiübertragung die Grenze von der IT zur OT überschritt. Der Angriff führte dazu, dass mehr als 600 Wohnhäuser bei Minustemperaturen zwei Tage lang ohne Heizung auskommen mussten.
FrostyGoop ist von Bedeutung, da Modbus TCP weltweit in industriellen Umgebungen weit verbreitet ist. Die Malware hat gezeigt, dass Angreifer sich nicht mehr nur auf Windows-Arbeitsstationen in der Nähe von OT-Systemen konzentrieren. Sie schreiben nun Code, der direkt mit industriellen Protokollen kommuniziert.
Der Zweck von FrostyGoop liegt direkt im Code, den es lädt – die Bibliotheken, die es importiert, dienen nur einem einzigen Zweck: der Kommunikation mit industriellen Steuerungen
Jeder OT-Verstoß hat einen Eintrag in seiner Angriffskette
Das ist der gemeinsame Nenner. Bei jedem Vorfall in der Zeitleiste, unabhängig von Akteur, Branche oder geografischem Standort, hat eine schädliche Datei an irgendeinem Punkt der Angriffskette eine Vertrauensgrenze überschritten:
- Die Wiper wurden als ausführbare PE-Dateien, VBScript-Dropper und Linux-ELF-Binärdateien bereitgestellt.
- Bei den Angriffen auf die Lieferkette wurden mit Trojanern infizierte Installationspakete und Software-Updates verwendet.
- Im Rahmen von Spear-Phishing-Angriffen wurden manipulierte Dokumente versendet, darunter Excel-Dateien mit VBA-Makros und OneNote-Dateien mit eingebetteten Schadcodes.
- ICS-spezifische Malware kam in Form von kompilierten Go-Binärdateien wie FrostyGoop, Python-Payloads wie Triton und COSMICENERGY sowie benutzerdefinierten PE-Binärdateien wie Industroyer2 und DynoWiper zum Einsatz.
- Selbst „Living-off-the-Land“-Kampagnen wie „Volt Typhoon“ hinterließen digitale Spuren, darunter Web-Shells, Skripte zur lateralen Bewegung und Tools zum Sammeln von Anmeldedaten, die auf den kompromittierten Systemen abgelegt wurden.
- Ransomware-Nutzlasten, die OT-nahe Umgebungen betrafen, wie beispielsweise bei Halliburton und in Arkansas City, wurden über Phishing-Anhänge und kompromittierte Server verbreitet.
Die Dateiformate variieren. Die Übertragungswege variieren. Die Akteure variieren. Das Muster bleibt jedoch immer dasselbe: Eine Datei gelangt in die Umgebung, durchdringt eine Vertrauenszone und wird entweder direkt ausgeführt oder leitet die nächste Phase des Angriffs ein.
Edge-Geräte und exponierte HMIs bilden die neue Peripherie
Sowohl der „Z-PENTEST“-Angriff auf einen Staudamm in Norwegen als auch der Wasserüberlauf in Muleshoe, Texas, nutzten dieselbe Schwachstelle aus: mit dem Internet verbundene HMIs mit schwachen oder standardmäßigen Anmeldedaten. Die „CyberAv3ngers“-Kampagne gegen US-amerikanische Wasserversorgungsanlagen zielte auf Unitronics-SPSen ab, bei denen Standard-Anmeldedaten verwendet wurden. Dabei handelt es sich nicht um Zero-Day-Exploits, sondern um Konfigurationsfehler an der Schnittstelle zwischen OT-Systemen und dem Internet.
An der Schnittstelle zwischen IT und OT finden die Angriffe ihren Ausgangspunkt
In einem Vorfall nach dem anderen findet der Angriffseinstieg an der Schnittstelle zwischen IT und OT statt. Engineering-Workstations, die in beiden Umgebungen angesiedelt sind und Unternehmensnetzwerke mit SPS-Systemen in der Produktion verbinden, sind der häufigste Einstiegspunkt. AZURITE zielt direkt auf sie ab. Volt Typhoon nutzte sie als Einfallstor. Triton erforderte physischen Zugriff auf eine solche Workstation. FrostyGoop wurde über das Engineering-Netzwerk eingeschleust. Der Schutz der Workstation bedeutet den Schutz der Dateien, die dort landen.
Vorausschauende Prognosen und Verhaltensanalysen stoppen OT-Angriffe, bevor sie Schaden anrichten
Erkennung von Zero-Day-Angriffen anhand des Verhaltens mit MetaDefender
Die Muster bei ICS- und OT-Angriffen lassen ein einheitliches Bild erkennen: Unbekannte und schwer zu erkennende Bedrohungen gelangen als Dateien in die Systeme, überwinden Vertrauensgrenzen und werden ausgeführt, bevor herkömmliche Abwehrmaßnahmen reagieren können. Um diese Angriffe zu stoppen, sind sowohl eine gründliche Verhaltensanalyse als auch die Fähigkeit erforderlich, böswillige Absichten bereits vor der Ausführung zu erkennen.
MetaDefender ist die einheitliche Zero-Day-Erkennungslösung OPSWAT, die darauf ausgelegt ist, unbekannte und schwer zu erkennende Bedrohungen aufzudecken, die in Dateien verborgen sind. Sie vereint adaptives Sandboxing, Bedrohungsinformationen, Bedrohungsbewertung und maschinelles Lernen zur Ähnlichkeitssuche in einer einzigen Erkennungs-Pipeline, die für jede Datei ein verlässliches Ergebnis liefert.
Durch das Ausführen von Dateien in einer emulierten Umgebung deckt Aether versteckte Verhaltensweisen auf, wie beispielsweise Ransomware-Logik, Code-Injektion, Anti-Analyse-Techniken und mehrstufige Payloads, die statische Tools nicht erkennen können. Es gleicht diese Erkenntnisse mit Milliarden von Bedrohungsindikatoren ab, um Risiken zu identifizieren, Varianten aufzudecken und Aktivitäten bekannten Angriffstechniken zuzuordnen.
Dieser Ansatz ermöglicht es Unternehmen, Zero-Day-Bedrohungen in ausführbaren Dateien, Skripten, Archiven und Patch-Dateien zu erkennen, die nicht bereinigt oder verändert werden können. Er unterstützt zudem Compliance-Anforderungen in regulierten Branchen, in denen eine dynamische Analyse vorgeschrieben ist und die Dateiintegrität gewahrt bleiben muss.
Vorausschauende Erkennung von Bedrohungen vor der Ausführung mit Predictive Alin AI
Ergänzend dazu führt Predictive Alin AI eine Erkennungsschicht ein, die vor der Ausführung am Netzwerkperimeter arbeitet. Anstatt darauf zu warten, dass Dateien Schaden anrichten, analysiert sie strukturelle und verhaltensbezogene Indikatoren, um böswillige Absichten innerhalb von Millisekunden vorherzusagen. So können Unternehmen risikoreiche Dateien blockieren, bevor sie in die Umgebung gelangen oder kritische Systeme erreichen.
Die prädiktive KI von Alin wird kontinuierlich anhand von Zero-Day-Bedrohungen neu trainiert, die von MetaDefender identifiziert werden. Jede bestätigte Bedrohung stärkt die Fähigkeit des Modells, ähnliche Angriffe bereits in einem frühen Stadium der Angriffskette zu erkennen. Dadurch entsteht ein Regelkreis zwischen tiefgreifender Analyse und prädiktiver Erkennung, in dem Aether unbekannte Bedrohungen aufdeckt und Alin diese Erkenntnisse nutzt, um Angriffe der nächsten Generation bereits vor ihrer Ausführung zu stoppen.
Im gemeinsamen Einsatz bieten MetaDefender und Predictive Alin AI sowohl Tiefe als auch Geschwindigkeit. Predictive Alin AI liefert am Perimeter sofortige Bewertungen vor der Ausführung, während MetaDefender eine umfassende Verhaltensanalyse für Dateien durchführt, die einer eingehenderen Überprüfung bedürfen. Dieser mehrschichtige Ansatz reduziert Fehlalarme, beschleunigt die Reaktion des SOC und stellt sicher, dass sowohl bekannte als auch unbekannte Bedrohungen erkannt werden, bevor sie Auswirkungen auf OT-Umgebungen haben können.
Um dateibasierte OT-Angriffe zu verhindern, ist eine mehrschichtige Zero-Day-Erkennung erforderlich
Die Bedrohungslage im Bereich ICS und OT wird nicht mehr durch vereinzelte Vorfälle bestimmt. Sie ist vielmehr von wiederkehrenden Mustern geprägt. Wiper-Angriffe werden immer gezielter, die Angreifer handeln immer schneller, und die Angriffe nutzen durchweg Vertrauensgrenzen als Dreh- und Angelpunkt. In jedem einzelnen Fall gibt es eine Konstante: Eine Datei gelangt in die Umgebung und ermöglicht den Angriff.
Statische Prüfverfahren und signaturbasierte Tools erkennen nicht, was diese Angriffe gemeinsam haben: eine Datei, die mit einer noch nicht erfassten Absicht eine Vertrauensgrenze überschreitet. Um sie zu stoppen, muss diese Datei vor ihrer Ausführung geprüft und vorhergesagt werden, was sie nach ihrer Ausführung tun wird.
Genau dafür wurden MetaDefender und Predictive Alin AI entwickelt. Predictive Alin AI trifft am Perimeter innerhalb von Millisekunden eine Entscheidung; MetaDefender untersucht Fälle, die eine eingehendere Prüfung erfordern, und speist jeden bestätigten Zero-Day-Befund zurück in das Vorhersagemodell ein. Das Ergebnis ist eine mehrschichtige Verteidigung, die mit jeder Datei, die sie an genau der Grenze prüft, an der ICS- und OT-Angriffe beginnen, präziser wird.
Erfahren Sie, wie MetaDefender und Predictive Alin AI den Angriffsweg über Dateien in Ihre OT-Umgebung unterbinden.
