OT-Malware ist der Sammelbegriff für Schadsoftware, die nicht primär Daten, sondern reale Prozesse ins Visier nimmt. Sie zielt auf Steuerungen in Fabriken, Kraftwerken, Wasserwerken, Pipelines und auf alles, was die physische Infrastruktur einer Gesellschaft am Laufen hält.

 

Definition

Hinweis zur Begriffsbildung

Eine offiziell standardisierte Definition von OT-Malware existiert nicht. Weder NIST noch ENISA noch ISO haben den Begriff normativ festgelegt. Die maßgeblichen Akteure der OT-Cybersicherheit verwenden unterschiedliche, teils konkurrierende Bezeichnungen:

  • Dragos bevorzugt "ICS malware" und "ICS-specific malware".
  • Mandiant und Google Threat Intelligence nutzen häufiger "OT malware" oder "OT-focused malware".
  • CISA verwendet meist die Doppelbezeichnung "OT and ICS".
  • ENISA spricht in ihren Berichten überwiegend von "ICS/SCADA threats".
  • NIST (z. B. SP 800-82) hat keinen festen Begriff, sondern beschreibt Bedrohungen funktional.

Auch die Zählung bekannter Malware-Familien variiert: Dragos zählt neun ICS-spezifische Familien, Forescout zählt zehn (inklusive CosmicEnergy), community-gepflegte Listen (z. B. awesome-ics-malware auf GitHub) führen über zwanzig Einträge, weil sie auch indirekte und verwandte Bedrohungen aufnehmen.

Über den Kern der Definition besteht dennoch Einigkeit: Schadsoftware, die gezielt OT-Komponenten, OT-Protokolle oder physische Steuerungsprozesse adressiert. Unterschiede bestehen vor allem an den Rändern, etwa bei der Frage, ob Ransomware mit OT-Bezug (z. B. EKANS), Wiper in OT-Umgebungen (z. B. DynoWiper) oder reine Spionage-Backdoors mitgezählt werden. Die folgende Definition orientiert sich am dominanten Verständnis von Dragos, Mandiant und CISA.

Arbeitsdefinition

OT-Malware (Operational Technology Malware), oft synonym als ICS-Malware (Industrial Control System Malware) bezeichnet, ist Schadsoftware, die gezielt auf Systeme zur Steuerung und Überwachung physischer Prozesse abzielt. Im Unterschied zu klassischer IT-Malware, die primär Daten stiehlt, verschlüsselt oder Systeme stört, hat OT-Malware das Potenzial, reale physische Auswirkungen zu verursachen.

Die Bandbreite reicht von Produktionsausfällen über Sachschäden an Anlagen bis hin zur Gefährdung von Menschen und Umwelt. Damit gehört OT-Malware zu den gravierendsten Bedrohungskategorien der Cybersicherheit, nicht wegen ihrer Häufigkeit, sondern wegen ihres Schadenspotenzials in der physischen Welt.

Zu den betroffenen Systemen zählen:

  • Speicherprogrammierbare Steuerungen (SPS bzw. PLC)
  • SCADA-Systeme
  • Distributed Control Systems (DCS)
  • Human Machine Interfaces (HMI)
  • Safety Instrumented Systems (SIS)
  • Engineering-Workstations
  • Gebäudeleittechnik, medizinische Geräte und industrielle IoT-Komponenten

 

2. Merkmale

Eine Schadsoftware wird als OT- oder ICS-Malware eingeordnet, wenn sie mindestens eines der folgenden Merkmale aufweist.

2.1 OT-Protokolle

Sie beherrscht oder manipuliert OT-spezifische Kommunikationsprotokolle wie:

  • Modbus (RTU und TCP)
  • DNP3
  • IEC 60870-5-101 / -104
  • IEC 61850
  • S7comm (Siemens)
  • OPC DA / OPC UA
  • EtherNet/IP (CIP)

OT-Hardware und -Software

Sie zielt auf herstellerspezifische OT-Komponenten ab, etwa:

  • Steuerungen von Siemens, Schneider Electric, Allen-Bradley, Hitachi, Mikronika
  • Engineering-Tools wie Siemens TIA Portal oder Rockwell Studio 5000
  • Firmware von Sicherheitssteuerungen (z. B. Schneider Triconex)
  • Remote Terminal Units (RTUs), HMIs, Schutzrelais

Physische Wirkungsabsicht

Sie verfolgt das Ziel einer physischen Wirkung, etwa:

  • Manipulation von Prozesswerten (Sollwerte, Sensorwerte)
  • Veränderung oder Löschung von Steuerlogik
  • Aushebeln von Sicherheitsfunktionen
  • Beschädigung oder Bricken von Geräten via Firmware-Manipulation

 

Abgrenzung zu IT-Malware mit OT-Auswirkung

Wichtig: Nicht jede Schadsoftware, die OT-Betrieb stört, ist automatisch OT-Malware.

Die Unterscheidung verläuft entlang der Frage, ob die Malware für OT entwickelt wurde, oder ob sie OT-Betrieb zufällig beeinträchtigt.

  • Beispiel Colonial Pipeline (2021): Die eingesetzte Ransomware (DarkSide) hatte keinerlei OT-spezifische Funktionen. Sie verschlüsselte Windows-Systeme im IT-Netz. Colonial Pipeline schaltete die Pipeline aus eigener Vorsicht ab, weil die Abrechnungssysteme ausgefallen waren. Streng genommen war das keine OT-Malware, hatte aber massive OT-Auswirkungen.
  • Gegenbeispiel Stuxnet (2010): Speziell für Siemens-SPS und bestimmte Frequenzumrichter geschrieben. Klar OT-Malware.

Diese Abgrenzung ist deshalb wichtig, weil Schutzmaßnahmen sich daran orientieren: Gegen IT-Malware mit OT-Impact helfen primär Netzsegmentierung und IT-Hygiene, gegen echte OT-Malware braucht es OT-Detection, Asset-Visibility und Protokollüberwachung.

 

Bekannte Familien

Stand 2025 zählt der Industrie-Cybersecurity-Spezialist Dragos neun OT-spezifische Malware-Familien. Diese Liste umfasst nur Schadsoftware, die tatsächlich OT-spezifische Funktionalität besitzt, also OT-Protokolle spricht, herstellerspezifische OT-Komponenten kennt oder gezielt Steuerlogik manipuliert.

Stuxnet (2010)

  • Aliase: -
  • Zugeschrieben: USA und Israel
  • Ziel: Urananreicherungsanlage Natanz, Iran
  • Beschreibung: Die erste bekannte OT-Malware. Sabotierte iranische Urananreicherungszentrifugen durch gezielte Manipulation von Siemens-SPS und Frequenzumrichtern. Gilt bis heute als das technisch ausgefeilteste Sample der Geschichte.

Havex (2013)

  • Aliase: Backdoor.Oldrea
  • Zugeschrieben: DragonFly / Energetic Bear (Russland)
  • Ziel: Energieunternehmen in Europa und Nordamerika
  • Beschreibung: Sammelte über das OPC-Protokoll Informationen aus industriellen Netzen. Eingesetzt in einer breit angelegten Spionagekampagne.

BlackEnergy2 (2015)

  • Aliase: -
  • Zugeschrieben: Sandworm (Russland, GRU)
  • Ziel: Ukrainisches Stromnetz
  • Beschreibung: Erster bekannter erfolgreicher Cyberangriff auf ein nationales Stromnetz. Führte zu einem mehrstündigen Stromausfall für rund 230.000 Haushalte in der Westukraine.

Industroyer (2016)

  • Aliase: CrashOverride
  • Zugeschrieben: Sandworm (Russland, GRU)
  • Ziel: Stromnetz Kiew, Ukraine
  • Beschreibung: Erstes modulares OT-Framework, das vier verschiedene Stromnetz-Protokolle direkt sprechen konnte (IEC 60870-5-101, IEC 60870-5-104, IEC 61850, OPC DA). Setzte einen neuen Standard für OT-Angriffsfähigkeiten.

Triton (2017)

  • Aliase: Trisis, HatMan
  • Zugeschrieben: XENOTIME (Russland zugeordnet)
  • Ziel: Petrochemische Anlage, Saudi-Arabien
  • Beschreibung: Griff Schneider-Triconex-Sicherheitssteuerungen (SIS) an. Besonders alarmierend, weil es genau die Schutzebene ins Visier nahm, die im Notfall katastrophale Schäden verhindern soll.

Industroyer2 (2022)

  • Aliase: -
  • Zugeschrieben: Sandworm (Russland, GRU)
  • Ziel: Ukrainisches Energieunternehmen
  • Beschreibung: Weiterentwicklung des Originals, im Kontext des Ukraine-Kriegs eingesetzt. Vereinfachte Konfiguration auf das Protokoll IEC 60870-5-104, schneller anpassbar an konkrete Ziele.

PIPEDREAM (2022)

  • Aliase: Incontroller
  • Zugeschrieben: CHERNOVITE
  • Ziel: Multi-Sektor (vor Einsatz entdeckt)
  • Beschreibung: Modulares Toolkit, das mehrere gängige industrielle Protokolle und Geräte angreifen kann (Modbus, OPC UA, CODESYS). Gilt als bisher umfassendstes und gefährlichstes OT-Angriffsframework. Wurde vor einem realen Einsatz entdeckt.

Fuxnet (2024)

  • Aliase: -
  • Zugeschrieben: BlackJack (pro-ukrainische Hacktivisten)
  • Ziel: Moskollektor, Moskauer Sensornetze (Gas, Wasser, Abwasser)
  • Beschreibung: Überschrieb die Firmware tausender Sensor-Gateways und nutzte Meter-Bus-Flooding zur Sabotage. Enthielt zusätzlich eine Linux-Wiper-Komponente. Achte ICS-spezifische Malware-Familie laut Dragos.

FrostyGoop (2024)

  • Aliase: BUSTLEBERM
  • Zugeschrieben: Russland-nahe Akteure
  • Ziel: Fernwärmeunternehmen in Lwiw, Ukraine
  • Beschreibung: Erste OT-Malware, die direkt Modbus TCP über Port 502 nutzt. Im Januar 2024 eingesetzt. Über 600 Wohngebäude blieben fast zwei Tage bei Minustemperaturen ohne Heizung. Geschrieben in Go, von den meisten Antivirenlösungen nicht erkannt. Zielte auf ENCO-Steuerungen mit exponiertem Modbus-Port.

Verwandte Bedrohungen

Schadsoftware, die in OT-Kontexten relevant ist, aber nicht zu den klassisch gezählten OT-spezifischen Familien gehört.

NameJahrKategorieKurzbeschreibung
DynoWiper2025Wiper, in OT-Umgebung eingesetztIm Polen-Vorfall gegen Mikronika-HMI-Computer und CHP-Netzwerk genutzt. Generischer Datei-Wiper ohne OT-spezifische Funktionalität, aber gezielt gegen OT-Hosts ausgerollt. Mindestens vier Varianten. Bislang nicht offiziell als OT-Malware-Familie gezählt.
LazyWiper2025PowerShell-WiperIm selben Polen-Vorfall opportunistisch gegen ein Industrieunternehmen eingesetzt. Überschreibt Dateien mit pseudozufälligen Bytes. Vermutlich teilweise mit LLM-Unterstützung entwickelt.
CosmicEnergy2023OT, theoretischRussland zugeschriebene OT-Malware, auf VirusTotal gefunden, nicht in einem realen Vorfall beobachtet. Adressiert IEC 60870-5-104. Wegen Unreife teils kontrovers eingestuft.
IOCONTROL2024IoT/OTBackdoor für IoT- und OT-Geräte, mit Iran in Verbindung gebracht. Zielte u. a. auf Wasserdrucküberwachung und Kraftstoffsysteme in den USA und Israel.
EKANS / SNAKE2020RansomwareBeendet gezielt OT-bezogene Windows-Prozesse, bevor sie verschlüsselt. Keine OT-Malware im engeren Sinn, aber explizit auf industrielle Umgebungen zugeschnitten.
VPNFilter2018Router-MalwareMit dediziertem Modul zum Mitschneiden und Manipulieren von Modbus-Verkehr. Indirekte OT-Bedrohung.
AcidRain2022WiperZerstörte ViaSat-Modems beim Beginn des Ukraine-Kriegs. Indirekter OT-Impact (u. a. Steuerung von Windkraftanlagen in Deutschland gestört).

 

Bemerkenswerte Vorfälle

OT-Malware-Familien beschreiben das Werkzeug. Vorfälle beschreiben den Angriff im Kontext: Initial Access, Lateral Movement, Wirkung. Drei Fälle, die das Spektrum gut abdecken.

Ukraine, Stromnetzangriffe (Dezember 2015 und Dezember 2016)

  • Akteur: Sandworm (GRU)
  • Werkzeuge: BlackEnergy2 (2015), Industroyer / CrashOverride (2016)
  • Wirkung: 2015 fielen für mehrere Stunden rund 230.000 Haushalte ohne Strom. 2016 wurde ein Umspannwerk in Kiew gezielt manipuliert.
  • Bedeutung: Erste öffentlich bekannte erfolgreiche Cyberangriffe auf ein nationales Stromnetz. Markierten die Ankunft staatlicher OT-Sabotage als Routinewerkzeug geopolitischer Konflikte.

Colonial Pipeline (Mai 2021, USA)

  • Akteur: DarkSide (kriminelle Ransomware-Gruppe)
  • Werkzeug: DarkSide-Ransomware (reine IT-Malware)
  • Wirkung: Pipeline-Betrieb für sechs Tage gestoppt, Treibstoffmangel an US-Ostküste.
  • Bedeutung: Klassisches Beispiel für IT-Malware mit OT-Auswirkung. Die Ransomware betraf nur das IT-Netz, doch der Betreiber stellte die OT vorsorglich ab. Zeigte die Verwundbarkeit kritischer Infrastruktur durch IT-OT-Konvergenz.

Polen, koordinierter Angriff auf Energieinfrastruktur (29. Dezember 2025)

  • Akteur: Static Tundra (CERT Polska, Berserk Bear / Dragonfly / Ghost Blizzard) bzw. ELECTRUM / Sandworm (Dragos, ESET); klar Russland zugeordnet
  • Werkzeuge: DynoWiper (4 Varianten), LazyWiper (PowerShell)
  • Ziele:
    • Über 30 Wind- und Photovoltaikparks (Netzanschlusspunkte)
    • Ein großes Heizkraftwerk (Versorgung von rund 500.000 Menschen)
    • Ein Industrieunternehmen (opportunistisch)
  • Initial Access: Internet-exponierte FortiGate-Firewalls und VPN-Konzentratoren ohne MFA, mit Default-Credentials und ungepatchter Firmware.
  • Vorgehen:
    • Reconnaissance ab März 2025, Datendiebstahl bis Juli 2025
    • Lateral Movement über RDP und VNC
    • Zielangriff am 29. Dezember 2025 auf RTUs (Hitachi RTU560), Schutzrelais (Hitachi Relion 650), HMIs (Mikronika), Moxa NPort Serial Server
    • Firmware-Überschreibung, Werksreset, Wiper-Ausführung
  • Wirkung:
    • Kein Stromausfall, keine Heizungsunterbrechung, EDR im Heizkraftwerk verhinderte Wiper-Ausführung
    • Aber: Verlust von Fernwirkung und Visibility an mehreren Standorten, teils dauerhaft beschädigte ICS-Geräte
  • Bedeutung: Erster großflächig koordinierter Angriff auf verteilte Energieerzeugung (Distributed Energy Resources). Zeigt, dass OT-Sicherheitsversagen heute weniger an Zero-Days liegt als an Default-Credentials, exponierten Edge-Geräten und fehlender Segmentierung.

CERT Polska, Dragos, ESET und CISA haben den Vorfall in koordinierten Berichten zwischen Januar und Februar 2026 dokumentiert. Das Ereignis gilt als Lehrbuchbeispiel für die Verwundbarkeit dezentralisierter Energieinfrastruktur.

 

Bedrohungslage

OT-Malware ist statistisch selten, aber im Schadenspotenzial einzigartig. Vier Entwicklungen treiben die Bedrohung in den vergangenen Jahren spürbar nach oben.

  1. Konvergenz von IT und OT. Historisch isolierte OT-Netze werden für Fernwartung, Predictive Maintenance und ERP-Integration zunehmend mit IT und Internet verbunden. Die Angriffsfläche wächst.
  2. Veraltete Komponenten. Viele OT-Systeme sind über Jahrzehnte im Einsatz, schwer zu patchen und nicht für moderne Sicherheitsanforderungen entworfen. Default-Passwörter und ungeschützte Protokolle sind verbreitet, wie der Polen-Vorfall 2025 eindrücklich zeigt.
  3. Geopolitische Eskalation. Der Ukraine-Krieg hat OT-Malware zum festen Bestandteil hybrider Konflikte gemacht. Sowohl staatsnahe Akteure als auch Hacktivisten setzen sie ein. 2024 und 2025 wurden mehr OT-Malware-Familien entdeckt als zwischen 2010 und 2017 zusammen.
  4. Niedrigere Einstiegshürde. Standardprotokolle wie Modbus sind dokumentiert und weit verbreitet. FrostyGoop zeigte, dass für massive Wirkung kein hochkomplexer Exploit mehr nötig ist, sondern legitime Protokollnutzung genügt. Der Polen-Vorfall demonstrierte zusätzlich, dass auch klassische IT-Schwachstellen (FortiGate, Default-Credentials) zu massiven OT-Schäden führen können.

 

Quellen

  • Dragos, 8th Annual OT Cybersecurity Year in Review, 2025
  • Dragos, Impact of FrostyGoop ICS Malware on Connected OT Systems, 2024
  • Dragos, ELECTRUM: Cyber Attack on Poland's Distributed Energy Resources, 2026
  • CERT Polska, Energy Sector Incident Report, 29 December 2025, veröffentlicht 30. Januar 2026
  • CISA, Poland Energy Sector Cyber Incident Highlights OT and ICS Security Gaps, Februar 2026
  • ESET, Threat Reports zu DynoWiper und Sandworm, 2026
  • Forescout, ICS Threats: Malware Targeting OT, 2024
  • Mandiant / Google Cloud, Threat Intelligence Reports
  • Claroty Team82, Unpacking the BlackJack Group's Fuxnet Malware, 2024
  • GitHub, awesome-ics-malware (donadelden)
Noch keine Bewertungen vorhanden