Sicherheitsbericht 🔴 Kritisch

Kritische Infrastruktur unter Beschuss: ICS/SCADA-Notfall

6 Min. Lesezeit
KRITISCHE DRINGLICHKEIT

Zusammenfassung

Die CISA gibt eine Notfalldirektive heraus, da kritische Schwachstellen in Siemens- und Schneider Electric-SPSen Stromnetze und Fertigungsanlagen bedrohen. Wasseraufbereitungsanlagen in drei US-Bundesstaaten melden verdächtige Netzwerkaktivitäten. Das FBI warnt vor einer koordinierten Cyberkampagne gegen den Energiesektor im Vorfeld von Winterstürmen.

⚡ Fazit: Wenn Sie ICS/SCADA-Systeme betreiben, isolieren Sie betroffene Geräte innerhalb von 48 Stunden gemäß CISA-Notfalldirektive 26-01.

🔴
Kritisch

CVE-2026-24891 — Siemens SIMATIC S7-1500 Remote Code Execution

Warum es wichtig ist

Eine kritische Schwachstelle in Siemens SIMATIC S7-1500 SPSen ermöglicht nicht authentifizierte Remote Code Execution über das Netzwerk. Diese SPSen steuern kritische Prozesse in der Stromerzeugung, Fertigung, Wasseraufbereitung und in Chemieanlagen. Die CISA hat die Notfalldirektive 26-01 herausgegeben, die Bundesbehörden verpflichtet, betroffene Systeme innerhalb von 48 Stunden zu isolieren.

Auswirkung Beschreibung
Prozessstörung Abschaltung industrieller Prozesse
Sicherheitssysteme Mögliche Umgehung von Sicherheitsverriegelungen
Physische Schäden Geräteschäden durch bösartige Befehle
Kaskadenausfälle Voneinander abhängige Infrastruktur betroffen

Handlungsempfehlungen

  • Betroffene SPSen sofort vom IT-Netzwerk isolieren
  • Siemens-Sicherheitsupdate SSA-434535 einspielen
  • Netzwerksegmentierung zwischen IT und OT implementieren
  • Protokollierung des gesamten OT-Netzwerkverkehrs aktivieren
  • Industrielles IDS einsetzen (Claroty, Dragos, Nozomi)
Kritisch

CVE-2026-24903 — Schneider Electric Modicon M340 Authentication Bypass

Warum es wichtig ist

Eine Authentifizierungsumgehung in Schneider Electric Modicon M340 SPSen ermöglicht es Angreifern, Kontaktplanlogik und Prozessparameter ohne Anmeldedaten zu ändern. Diese Geräte sind weit verbreitet in der Energieerzeugung und -verteilung im Einsatz.

⚙️

Unautorisierte Änderungen

Angreifer können industrielle Prozesse ohne Authentifizierung manipulieren

👁️

Verschleierungsmöglichkeiten

Bösartige Änderungen können vor Bedienern verborgen werden

⚠️

Sicherheitsmanipulation

Potenzielle Manipulation von Sicherheitssystemen

🔓

Persistenter Zugriff

Langfristiger persistenter Zugriff auf OT-Umgebungen

Handlungsempfehlungen

  • Netzwerkzugriff auf Modicon M340 Geräte einschränken
  • Schneider-Patch SEVD-2026-038-01 einspielen
  • Application Whitelisting auf Engineering-Workstations implementieren
  • Änderungserkennung für SPS-Programme aktivieren
  • Backup-/Wiederherstellungsverfahren für SPS-Konfigurationen überprüfen
💧
Aktiver Angriff

Einbrüche in Wasseraufbereitungsanlagen entdeckt

Warum es wichtig ist

FBI und CISA bestätigen verdächtige Netzwerkaktivitäten in Wasseraufbereitungsanlagen in Texas, Florida und Pennsylvania. Angreifer verschafften sich über exponierte Unitronics-SPSen Zugang (ähnlich dem Pennsylvania-Vorfall von 2023) und versuchten, Parameter der Chemikaliendosierung zu verändern.

Kritische Warnung: Dies ähnelt dem Angriff auf die Wasseraufbereitung in Aliquippa von 2023. Anlagen mit Unitronics-SPSen müssen davon ausgehen, dass sie im Visier sind.

Handlungsempfehlungen

  • Internet-Exposition aller HMI-/SPS-Systeme sofort überprüfen
  • Standard-Anmeldedaten auf Unitronics und allen OT-Geräten ändern
  • Multi-Faktor-Authentifizierung für den Fernzugriff implementieren
  • Alarmierung bei Prozessparameteränderungen aktivieren
  • Abstimmung mit WaterISAC für Bedrohungsinformationen
🎯
Zuordnung

Energiesektor-Kampagne: „VOLTZITE"

Warum es wichtig ist

Threat-Intelligence-Firmen ordnen die jüngsten Einbrüche im Energiesektor VOLTZITE zu, einem mutmaßlich staatlichen Akteur mit Fähigkeiten ähnlich SANDWORM. Die TTPs umfassen Living-off-the-Land-Techniken und langfristige Persistenz in OT-Netzwerken.

Handlungsempfehlungen

  • Nach VOLTZITE-IOCs in IT- und OT-Umgebungen suchen
  • PowerShell- und WMI-Nutzung in OT-nahen Systemen überprüfen
  • Netzwerkfluss-Monitoring an IT-/OT-Grenzen implementieren
  • USB-Gerätekontrolle in OT-Umgebungen aktivieren
  • Tabletop-Übung für OT-Incident-Response durchführen
📡
Veröffentlichung

Smart-Grid-AMI-Schwachstellen offengelegt

Warum es wichtig ist

Forscher haben Schwachstellen in Advanced Metering Infrastructure (AMI)-Systemen mehrerer Hersteller offengelegt, die es Angreifern ermöglichen könnten, einzelne Kunden vom Stromnetz zu trennen oder Verbrauchsdaten zu fälschen.

Handlungsempfehlungen

  • Netzwerksegmentierung der AMI-Systeme überprüfen
  • AMI-Head-End-Systeme auf neueste Versionen aktualisieren
  • Verschlüsselung für Zählerkommunikation aktivieren
  • Auf anomale Zählerbefehlsmuster überwachen

ICS/SCADA-Sicherheits-Checkliste

Sofort (24–48 Stunden)
  • KRITISCH: Siemens S7-1500 SPSen vom IT-Netzwerk isolieren
  • KRITISCH: Schneider Modicon M340 Patches einspielen
  • KRITISCH: Internet-Exposition aller OT-Geräte prüfen
  • Standardpasswörter aller SPS-/HMI-Systeme ändern
Diese Woche
  • IT-/OT-Netzwerksegmentierung implementieren
  • OT-spezifische Angriffserkennung einsetzen
  • Fernzugriff auf OT-Umgebungen überprüfen
  • OT-Asset-Inventar durchführen
  • OT-Netzwerkverkehrs-Protokollierung aktivieren
  • Abstimmung mit Sektor-ISACs (E-ISAC, WaterISAC)
  • Incident-Response-Pläne für OT-Szenarien aktualisieren
  • Bediener im Erkennen verdächtigen HMI-Verhaltens schulen

Scannen Sie Ihre OT-Umgebung auf ICS/SCADA-Schwachstellen

🗡️ Systeme scannen →

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home