Sicherheit · OT · Kritische Infrastruktur

AI Ransomware ist „
“ und verändert die Cybersicherheit im Bereich OT
– und zwar nicht zu unseren Gunsten

Wir treten in eine neue Phase der risk im Bereich der Betriebstechnik ein risk eine Phase, in der KI nicht mehr nur den Verteidigern hilft, sondern auch Angreifern neue Möglichkeiten eröffnet. Selbst wenig erfahrene Akteure mit Ransomware-Kits im Wert von 200 Euro nehmen nun Systeme ins Visier, die den Betrieb von Fabriken, Stromnetzen und kritischer Infrastruktur aufrechterhalten.

OT-Ransomware und Sicherheit kritischer Infrastrukturen

Wir treten in eine neue Phase der risk im Bereich der Betriebstechnik ein risk eine Phase, in der KI nicht mehr nur den Verteidigern hilft, sondern auch Angreifern neue Möglichkeiten eröffnet. Die Folgen für Unternehmen, die auf industrielle Abläufe angewiesen sind, sind gravierend.

Aktuelle Untersuchungen von Shieldworkz und Nozomi Networks zeigen eine dramatische Veränderung der Bedrohungslandschaft. Was früher fortgeschrittene Malware-Programmierung und fundierte ICS-Kenntnisse erforderte, kann nun von Akteuren mit geringen Fachkenntnissen mithilfe von AI Ransomware-Kits durchgeführt werden, die für 200 bis 500 Euro erhältlich sind. Tools wie WormGPT, FraudGPT und neue Open-Source-LLMs automatisieren den gesamten Prozess – von der Erkundung bis zur Erstellung der Payload.

Die Zahlen sprechen für sich

46 %Anstieg der OT-Ransomware-Varianten im ersten Quartal 2025
140 %Anstieg der ICS-Ransomware im Vergleich zum Vorjahr
12.000+Neue, AI Ransomware-Varianten im ersten Halbjahr 2025
820.000+IoT-Angriffe pro Tag
6 StundenMedianzeit vom ersten Sicherheitsverstoß bis zu den Auswirkungen auf den Betrieb
50 %+Anstieg der Ransomware-Vorfälle, die auf OT abzielen, im Jahresvergleich 2024–2025

Quellen: Shieldworkz, Nozomi Networks, Honeywell OT/ICS-Studie 2025. Die Zahlen entsprechen Branchenschätzungen.

Was es kostet, wenn das OT ausfällt

Das sind keine theoretischen Zahlen. Sie spiegeln wider, was Hersteller und Industrieunternehmen derzeit konkret erleben:

Fertigung
180.000 € – 840.000 €
Produktionsausfall pro Ausfallstunde
Energiesektor
3,1 Mio. $/Std.
Kosten pro Stunde Betriebsunterbrechung
Verkehr
#1
Der am stärksten betroffene Sektor im Jahr 2025

Ausfälle im Bereich der Betriebstechnik (OT) gehören mittlerweile zu den kostspieligsten Folgen von Cyberangriffen – und die Angreifer wissen das.

AI die gesamte Angriffskette

1
Erkundung – AI automatisieren die Erstellung von Zielprofilen, das Scannen von OT-exponierten Ressourcen und die Identifizierung anfälliger ICS-Endpunkte in großem Maßstab
2
Ausnutzung — AI Exploit-Code zielt mit minimalem manuellem Aufwand auf bekannte OT-Schwachstellen ab
3
Seitliche Bewegung – automatisierte Tools bewegen sich von IT- zu OT-Netzwerken und nutzen dabei Schwachstellen in der Segmentierung aus
4
Übertragung von Schadcode – polymorpher, sich selbst verändernder Code umgeht herkömmliche OT-Abwehrmechanismen, die auf der Erkennung von Signaturen beruhen
5
Erpressung – Ransomware 3.0 verschlüsselt nicht nur Daten. Sie legt den physischen Betrieb lahm – was unmittelbaren Druck in Bezug auf Sicherheit und gesetzliche Vorschriften erzeugt.

Botnetze verändern ihre Payloads mittlerweile in Echtzeit, um einer Erkennung zu entgehen. Polymorpher Code bedeutet, dass die Signatur von gestern heute schon nutzlos ist. Ihre herkömmlichen OT-Abwehrmaßnahmen sind darauf nicht ausgelegt.

Die Lieferkette ist der stille Angriffsvektor

Während Ransomware für Schlagzeilen sorgt, ist der eigentliche Einfallspunkt zunehmend die Lieferkette. Angreifer kompromittieren Drittanbieter – Dienstleister, Integratoren, Partner für Fernwartung und Softwareanbieter –, um privilegierten Zugriff auf die OT-Netzwerke ihrer Kunden zu erlangen.

Diese Angriffe verlaufen heimlich, sind hartnäckig und äußerst schwer zu erkennen, bis die Payload in der Endphase ihre Wirkung entfaltet.

Ihre Umgebung ist nur so sicher wie die Sicherheit jedes einzelnen Anbieters, der mit ihr verbunden ist.

Was die Verteidiger jetzt tun müssen

Setzen Sie ein AI OT-NDR ein – eine Anomalieerkennung in Echtzeit, die Verhaltensabweichungen identifiziert und sich nicht nur auf bekannte Signaturen beschränkt
Segmentierung gemäß IEC 62443 durchsetzen – Standard-Anmeldedaten entfernen und die Netzwerktrennung zwischen IT- und OT-Umgebungen sicherstellen
Testen Sie Ihre IR-Pläne anhand von AI Angriffsszenarien – Ihr Incident-Response-Plan wurde nicht für AI Angriffe konzipiert. Testen Sie ihn unter diesen Bedingungen.
Die Sicherheit bei Lieferanten und in der Lieferkette verbessern – Die Anpassung an NIS2 CRA erfordert risk nachweisbares risk in Bezug auf Dritte, nicht nur Fragebögen
Halten Sie Offline- und unveränderliche Backups bereit – Workflows zur Wiederherstellung nach Betriebsunterbrechungen müssen getestet und validiert werden und dürfen nicht einfach als gegeben vorausgesetzt werden. Ransomware 3.0 zielt auch auf die Backup-Infrastruktur ab.

Das Fazit

Die Bedrohungslage hat sich verändert. AI Ransomware zu einer skalierbaren Waffe für die Betriebstechnik (OT) geworden. Jedes Unternehmen, das auf industrielle Abläufe angewiesen ist – Fertigung, Energie, Transport, Telekommunikation, Versorgungswirtschaft –, ist nun ein Ziel.

Unsere Verteidigungsstrategien müssen sich entsprechend ändern.

Wenn Ihr Unternehmen auf Betriebsverfügbarkeit, Sicherheit und industrielle Automatisierung angewiesen ist, ist es an der Zeit, die Ausfallsicherheit der Betriebstechnik (OT) in einem AI Bedrohungsumfeld neu zu überdenken.

#OTSecurity#ICS#Ransomware#KritischeInfrastruktur#AISicherheitCISONIS2OneCompliant

Ist Ihre OT-Umgebung auf AI Bedrohungen vorbereitet?

OASAT OneCompliant umfasst die OT-Sicherheitslage, die Anfälligkeit gegenüber KI-Bedrohungen, risk in der Lieferkette sowie die Einhaltung NIS2 – und liefert innerhalb von 4 bis 6 Wochen einen nach Prioritäten geordneten Maßnahmenplan.