Kritische Infrastruktur unter Beschuss: ICS/SCADA-Notfall
6 Min. LesezeitKRITISCHE DRINGLICHKEIT
Zusammenfassung
Die CISA gibt eine Notfalldirektive heraus, da kritische Schwachstellen in Siemens- und Schneider Electric-SPSen Stromnetze und Fertigungsanlagen bedrohen. Wasseraufbereitungsanlagen in drei US-Bundesstaaten melden verdächtige Netzwerkaktivitäten. Das FBI warnt vor einer koordinierten Cyberkampagne gegen den Energiesektor im Vorfeld von Winterstürmen.
⚡ Fazit: Wenn Sie ICS/SCADA-Systeme betreiben, isolieren Sie betroffene Geräte innerhalb von 48 Stunden gemäß CISA-Notfalldirektive 26-01.
Eine kritische Schwachstelle in Siemens SIMATIC S7-1500 SPSen ermöglicht nicht authentifizierte Remote Code Execution über das Netzwerk. Diese SPSen steuern kritische Prozesse in der Stromerzeugung, Fertigung, Wasseraufbereitung und in Chemieanlagen. Die CISA hat die Notfalldirektive 26-01 herausgegeben, die Bundesbehörden verpflichtet, betroffene Systeme innerhalb von 48 Stunden zu isolieren.
Auswirkung
Beschreibung
Prozessstörung
Abschaltung industrieller Prozesse
Sicherheitssysteme
Mögliche Umgehung von Sicherheitsverriegelungen
Physische Schäden
Geräteschäden durch bösartige Befehle
Kaskadenausfälle
Voneinander abhängige Infrastruktur betroffen
Handlungsempfehlungen
Betroffene SPSen sofort vom IT-Netzwerk isolieren
Siemens-Sicherheitsupdate SSA-434535 einspielen
Netzwerksegmentierung zwischen IT und OT implementieren
Protokollierung des gesamten OT-Netzwerkverkehrs aktivieren
CVE-2026-24903 — Schneider Electric Modicon M340 Authentication Bypass
Warum es wichtig ist
Eine Authentifizierungsumgehung in Schneider Electric Modicon M340 SPSen ermöglicht es Angreifern, Kontaktplanlogik und Prozessparameter ohne Anmeldedaten zu ändern. Diese Geräte sind weit verbreitet in der Energieerzeugung und -verteilung im Einsatz.
⚙️
Unautorisierte Änderungen
Angreifer können industrielle Prozesse ohne Authentifizierung manipulieren
👁️
Verschleierungsmöglichkeiten
Bösartige Änderungen können vor Bedienern verborgen werden
⚠️
Sicherheitsmanipulation
Potenzielle Manipulation von Sicherheitssystemen
🔓
Persistenter Zugriff
Langfristiger persistenter Zugriff auf OT-Umgebungen
Handlungsempfehlungen
Netzwerkzugriff auf Modicon M340 Geräte einschränken
Schneider-Patch SEVD-2026-038-01 einspielen
Application Whitelisting auf Engineering-Workstations implementieren
Änderungserkennung für SPS-Programme aktivieren
Backup-/Wiederherstellungsverfahren für SPS-Konfigurationen überprüfen
💧
Aktiver Angriff
Einbrüche in Wasseraufbereitungsanlagen entdeckt
Warum es wichtig ist
FBI und CISA bestätigen verdächtige Netzwerkaktivitäten in Wasseraufbereitungsanlagen in Texas, Florida und Pennsylvania. Angreifer verschafften sich über exponierte Unitronics-SPSen Zugang (ähnlich dem Pennsylvania-Vorfall von 2023) und versuchten, Parameter der Chemikaliendosierung zu verändern.
Kritische Warnung: Dies ähnelt dem Angriff auf die Wasseraufbereitung in Aliquippa von 2023. Anlagen mit Unitronics-SPSen müssen davon ausgehen, dass sie im Visier sind.
Handlungsempfehlungen
Internet-Exposition aller HMI-/SPS-Systeme sofort überprüfen
Standard-Anmeldedaten auf Unitronics und allen OT-Geräten ändern
Multi-Faktor-Authentifizierung für den Fernzugriff implementieren
Alarmierung bei Prozessparameteränderungen aktivieren
Abstimmung mit WaterISAC für Bedrohungsinformationen
🎯
Zuordnung
Energiesektor-Kampagne: „VOLTZITE"
Warum es wichtig ist
Threat-Intelligence-Firmen ordnen die jüngsten Einbrüche im Energiesektor VOLTZITE zu, einem mutmaßlich staatlichen Akteur mit Fähigkeiten ähnlich SANDWORM. Die TTPs umfassen Living-off-the-Land-Techniken und langfristige Persistenz in OT-Netzwerken.
Handlungsempfehlungen
Nach VOLTZITE-IOCs in IT- und OT-Umgebungen suchen
PowerShell- und WMI-Nutzung in OT-nahen Systemen überprüfen
Netzwerkfluss-Monitoring an IT-/OT-Grenzen implementieren
USB-Gerätekontrolle in OT-Umgebungen aktivieren
Tabletop-Übung für OT-Incident-Response durchführen
📡
Veröffentlichung
Smart-Grid-AMI-Schwachstellen offengelegt
Warum es wichtig ist
Forscher haben Schwachstellen in Advanced Metering Infrastructure (AMI)-Systemen mehrerer Hersteller offengelegt, die es Angreifern ermöglichen könnten, einzelne Kunden vom Stromnetz zu trennen oder Verbrauchsdaten zu fälschen.
Handlungsempfehlungen
Netzwerksegmentierung der AMI-Systeme überprüfen
AMI-Head-End-Systeme auf neueste Versionen aktualisieren
Verschlüsselung für Zählerkommunikation aktivieren
Auf anomale Zählerbefehlsmuster überwachen
ICS/SCADA-Sicherheits-Checkliste
Sofort (24–48 Stunden)
KRITISCH: Siemens S7-1500 SPSen vom IT-Netzwerk isolieren