OT-Malware (ICS-Malware)
OT-Malware ist Schadsoftware mit physischer Wirkungsabsicht. Sie greift die Systeme an, die Maschinen steuern: SPS, RTUs, HMIs, Sicherheitssteuerungen. Das Ziel ist die Anlage selbst. Die Zentrifuge, der Generator, das Schutzrelais. Statistisch sind solche Angriffe selten. Das Schadenspotenzial reicht aber vom Produktionsausfall bis zur Gefährdung von Menschen und Umwelt.
Die meisten Angriffe auf OT, die wir in unseren Projekten sehen, sind allerdings keine echten OT-Malware-Vorfälle. Es sind IT-Angriffe, die OT-Schäden verursachen, weil die Trennung zwischen den Netzen nicht hält oder weil generische Wiper auf Windows-Hosts in der OT laufen. Der polnische Energiesektor-Vorfall im Dezember 2025 ist dafür ein lehrbuchreifes Beispiel. Beide Welten sauber zu unterscheiden, ist die Grundlage für sinnvolle Schutzmaßnahmen. Genau dort fängt diese Seite an.
Was OT-Malware ist
Eine offizielle Definition gibt es nicht. NIST, ENISA und ISO haben den Begriff bisher nicht normativ festgelegt. In der Praxis verwenden die relevanten Akteure unterschiedliche Bezeichnungen: Dragos spricht von "ICS-specific malware", Mandiant und Google von "OT malware", CISA von "OT and ICS", ENISA von "ICS/SCADA threats". Auch die Zählung variiert. Dragos kommt im Year-in-Review 2026 auf neun OT-spezifische Familien, Forescout zählt zehn, community-gepflegte Listen wie awesome-ics-malware auf GitHub führen über zwanzig Einträge, weil sie auch indirekte und verwandte Bedrohungen aufnehmen.
Über den Kern besteht trotzdem Einigkeit. Eine Software wird als OT-Malware eingeordnet, wenn sie mindestens eines der folgenden Merkmale mitbringt:
- Sie spricht OT-Protokolle wie Modbus, DNP3, S7comm, IEC 60870-5-101/-104, IEC 61850, OPC DA/UA oder EtherNet/IP (CIP).
- Sie kennt herstellerspezifische OT-Komponenten. Typische Ziele: Steuerungen von Siemens, Schneider Electric, Allen-Bradley, Hitachi, Mikronika; Engineering-Tools wie TIA Portal oder Studio 5000; Sicherheitssteuerungen wie Schneider Triconex.
- Sie hat physische Wirkungsabsicht. Das heißt: Manipulation von Prozesswerten, Veränderung oder Löschung von Steuerlogik, Aushebeln von Sicherheitsfunktionen, Bricken von Geräten via Firmware.
Die folgende Übersicht orientiert sich am Verständnis von Dragos, Mandiant und CISA.
Was OT-Malware nicht ist
Nicht jede Schadsoftware, die OT-Betrieb stört, ist OT-Malware. Die Unterscheidung verläuft entlang einer einzigen Frage: wurde die Malware für OT geschrieben, oder trifft sie OT zufällig?
Colonial Pipeline 2021 ist das bekannte Negativbeispiel. Die eingesetzte DarkSide-Ransomware hatte keine OT-Funktionen. Sie verschlüsselte Windows-Server im Abrechnungssystem. Der Betreiber schaltete die Pipeline aus Vorsicht ab, weil ohne funktionierende Abrechnung kein Verkauf möglich war. Keine OT-Malware. Trotzdem sechs Tage Pipeline-Stillstand und Treibstoffmangel an der US-Ostküste.
Stuxnet 2010 ist die Gegenseite. Geschrieben für bestimmte Siemens-SPS und Frequenzumrichter, mit gefälschten Sensorwerten an die HMI, damit die Sabotage über Monate unentdeckt blieb. Klar OT-Malware.
Dazwischen liegt das interessante Feld. DynoWiper aus dem Polen-Vorfall 2025 ist ein generischer Datei-Wiper, läuft auf Windows-Hosts in OT-Umgebungen, hat aber keine OT-Funktionalität. ESET klassifiziert ihn als Win32/KillFiles.NMO, also als allgemeinen File-Killer. Trotzdem traf er gezielt HMIs und Engineering-Workstations. Die OT-spezifischen Aktionen (Firmware überschreiben, Schutzrelais resetten) haben die Angreifer dabei manuell ausgeführt, über RDP, VNC und legitime Engineering-Tools. Das OT-Wissen lag beim Angreifer, nicht in der Malware.
Diese Unterscheidung bestimmt, was gegen den jeweiligen Angriff hilft. Gegen IT-Malware mit OT-Auswirkung helfen Netzsegmentierung und IT-Hygiene. Gegen echte OT-Malware braucht es OT-Detection, Asset-Visibility und Protokollüberwachung.
Die neun bekannten OT-Malware-Familien
Stand Dragos Year-in-Review 2026 (veröffentlicht am 17. Februar 2026, deckt das Jahr 2025 ab): neun OT-spezifische Familien. Trotz des Polen-Vorfalls wurde keine neue aufgenommen. Der Angriff lief überwiegend mit generischen Wipern und manueller Bedienung der OT-Komponenten. Die neun Familien in chronologischer Reihenfolge.
Stuxnet (2010)
Die erste öffentlich bekannte OT-Malware. Sabotierte Zentrifugen in der iranischen Urananreicherungsanlage Natanz, indem sie Siemens S7-300/S7-400 SPS und Frequenzumrichter von Vacon und Fararo Paya manipulierte. Die HMI-Daten liefen währenddessen mit gefälschten Werten weiter, sodass die Sabotage über Monate unerkannt blieb. Vier Zero-Days und gestohlene Code-Signing-Zertifikate in einer einzigen Malware-Familie hat seitdem keine andere ICS-Schadsoftware mehr gezeigt. Zugeschrieben USA und Israel.
Havex (2013)
Sammelte über das OPC-Protokoll Informationen aus industriellen Netzen. Zielgruppe: Energieunternehmen in Europa und Nordamerika. Eingesetzt von DragonFly / Energetic Bear (Russland) in einer breit angelegten Spionagekampagne. Kein direkter Sabotagefall. Aber der erste belastbare Beleg dafür, dass russische Gruppen in OT-Netzen gezielt nach Informationen suchen.
BlackEnergy2 (2015)
Sandworm (GRU) gegen das ukrainische Stromnetz. Etwa 230.000 Haushalte in der Westukraine fielen für mehrere Stunden aus. Erster öffentlich bekannter erfolgreicher Cyberangriff auf ein nationales Stromnetz. BlackEnergy selbst war zu dem Zeitpunkt schon ein älteres Werkzeug. Das OT-spezifische war die Kombination aus dem KillDisk-Wiper und der gezielten Anwendung auf SCADA-Systeme.
Industroyer / CrashOverride (2016)
Erstes modulares OT-Framework mit nativer Unterstützung für vier Stromnetz-Protokolle: IEC 60870-5-101, IEC 60870-5-104, IEC 61850 und OPC DA. Konnte ohne Engineering-Tools direkt Schaltbefehle an Schutzrelais und RTUs senden. Eingesetzt von Sandworm gegen ein Umspannwerk in Kiew. Der Stromausfall war kürzer als 2015, technisch war der Angriff eine andere Liga.
Triton / Trisis / HatMan (2017)
Schneider-Triconex-Sicherheitssteuerung (SIS) in der petrochemischen Anlage Petro Rabigh in Saudi-Arabien. Zugeschrieben XENOTIME mit russischer Verbindung. Der Angriff scheiterte technisch: die SIS erkannte einen inkonsistenten Zustand und löste den Safe State aus. Wäre er erfolgreich gewesen, hätte er die Sicherheitsfunktion außer Kraft gesetzt, mit Risiko von Brand, Explosion und Personenschäden. Triton ist bis heute der einzige öffentlich bekannte Angriff auf die SIS-Ebene und hat die Branche bei der Trennung von BPCS und SIS spürbar in Bewegung gebracht.
Industroyer2 (2022)
Sandworm gegen ein ukrainisches Energieunternehmen im April 2022, kurz nach Beginn des russischen Angriffskriegs. Vereinfachte Variante des Originals, fokussiert auf IEC 60870-5-104, schneller anpassbar an konkrete Ziele. Wurde durch ESET und CERT-UA gestoppt, bevor die geplante Schaltsequenz ablaufen konnte.
PIPEDREAM / Incontroller (2022)
Modulares Toolkit gegen mehrere industrielle Protokolle (Modbus, OPC UA, CODESYS), adressiert Schneider Electric Modicon und Omron-SPS sowie OPC-UA-Server allgemein. Zugeschrieben CHERNOVITE. Wurde von Dragos vor einem realen Einsatz entdeckt und gemeinsam mit CISA, FBI und NSA als Capability veröffentlicht. Das Besondere: PIPEDREAM ist generisch genug, um auf viele Anlagen anwendbar zu sein, nicht spezifisch auf ein einzelnes Ziel zugeschnitten wie Stuxnet oder Triton. Damit ändert sich die Skalierung möglicher OT-Angriffe.
Fuxnet (2024)
BlackJack, pro-ukrainische Hacktivistengruppe, gegen Moskollektor, das Moskauer Sensornetz für Gas, Wasser und Abwasser. Überschrieb die Firmware tausender Sensor-Gateways und nutzte Meter-Bus-Flooding zur Sabotage. Enthielt zusätzlich eine Linux-Wiper-Komponente. Achte ICS-spezifische Familie laut Dragos. Hacktivisten als Akteur sind die neue Komponente. Die technische Tiefe lässt sich nicht mehr klar von staatlich finanzierten Operationen abgrenzen.
FrostyGoop / BUSTLEBERM (2024)
Erste OT-Malware, die direkt Modbus TCP über Port 502 nutzt. Im Januar 2024 gegen ein Fernwärmeunternehmen in Lwiw eingesetzt. Über 600 Wohngebäude blieben fast zwei Tage bei Minustemperaturen ohne Heizung. Zielte auf ENCO-Steuerungen mit exponiertem Modbus-Port. Geschrieben in Go, von den meisten Antivirenlösungen nicht erkannt. FrostyGoop zeigt, wie wenig nötig ist: ein Standardprotokoll, ein erreichbarer Port, ein paar passend formulierte Schreibbefehle.
Verwandte Bedrohungen
Schadsoftware, die in OT-Kontexten eine Rolle spielt, nach den oben genannten Kriterien aber nicht als OT-Malware-Familie zählt. Für Defender trotzdem relevant.
| Name | Jahr | Kategorie | Kurzbeschreibung |
|---|---|---|---|
| VPNFilter | 2018 | Router-Malware | Mit dediziertem Modul zum Mitschneiden und Manipulieren von Modbus-Verkehr. Indirekte OT-Bedrohung. |
| EKANS / SNAKE | 2020 | Ransomware | Beendet gezielt OT-bezogene Windows-Prozesse, bevor sie verschlüsselt. Keine OT-Malware im engeren Sinn, aber explizit auf industrielle Umgebungen zugeschnitten. |
| AcidRain | 2022 | Wiper | Zerstörte ViaSat-Modems beim Beginn des russischen Angriffskriegs gegen die Ukraine. Indirekter OT-Impact: u. a. fiel die Fernsteuerung von Windkraftanlagen in Deutschland aus. |
| CosmicEnergy | 2023 | OT, nur theoretisch | Russland zugeschriebene OT-Malware, auf VirusTotal gefunden, nicht in einem realen Vorfall beobachtet. Adressiert IEC 60870-5-104. Wegen Unreife teils kontrovers eingestuft. |
| IOCONTROL | 2024 | IoT/OT-Backdoor | Backdoor für IoT- und OT-Geräte, mit Iran in Verbindung gebracht. Zielte u. a. auf Wasserdrucküberwachung und Kraftstoffsysteme in den USA und Israel. |
| ZionSiphon | 2025 | OT, unvollständig | Wahrscheinlich unvollständige, LLM-generierte OT-Malware. Soll über Modbus Wasser- und Entsalzungsanlagen in Israel sabotieren. Mehr zu Zionsiphon . |
| DynoWiper | 2025 | Wiper, gegen OT-Hosts | Im Polen-Vorfall gegen Windows-Hosts in OT-Umgebung eingesetzt (Mikronika-HMIs, Engineering-Workstations, CHP-Netzwerk). CERT Polska sieht zu geringe Ähnlichkeit zu früheren Sandworm-Wipern für eine direkte Zuordnung. |
| LazyWiper | 2025 | PowerShell-Wiper | Im selben Polen-Vorfall opportunistisch gegen ein Industrieunternehmen eingesetzt. Überschreibt Dateien mit pseudozufälligen Bytes. Vermutlich teilweise mit LLM-Unterstützung entwickelt. |
Vier Vorfälle, die das Spektrum zeigen
Familien beschreiben das Werkzeug. Vorfälle zeigen den Angriff im Kontext: Initial Access, Lateral Movement, Wirkung. Vier Fälle aus unterschiedlichen Sektoren, Akteursarten und Wirkungsdimensionen.
Ukraine, Stromnetz (Dezember 2015 und Dezember 2016)
Akteur: Sandworm (GRU)
Werkzeuge: BlackEnergy2 mit KillDisk (2015), Industroyer / CrashOverride (2016)
Wirkung: 2015 fielen rund 230.000 Haushalte für mehrere Stunden ohne Strom. 2016 wurde ein Umspannwerk in Kiew gezielt manipuliert.
Bedeutung: Die ersten öffentlich bekannten Cyberangriffe auf ein nationales Stromnetz mit messbarer Versorgungswirkung. Seitdem ist OT-Sabotage Bestandteil staatlicher Cyber-Operationen in der russisch-ukrainischen Auseinandersetzung, mit Folgen, die regelmäßig auch andere Länder treffen.
Petro Rabigh, Saudi-Arabien (August 2017)
Akteur: XENOTIME (Russland zugeordnet)
Werkzeug: Triton / Trisis
Wirkung: Notabschaltung der Anlage, kein physischer Schaden. Die Schneider-Triconex-SIS erkannte einen inkonsistenten Zustand und löste den Safe State aus.
Bedeutung: Erster öffentlich bekannter Angriff auf die SIS-Ebene einer Industrieanlage. Ein erfolgreiches Übersteuern hätte die Sicherheitsabschaltungen unterdrückt, mit Risiko von Brand und Explosion. Der Fall hat international die Trennung von BPCS und SIS und die Härtung der SIS-Architektur in Bewegung gebracht.
Colonial Pipeline (Mai 2021, USA)
Akteur: DarkSide (kriminelle Ransomware-Gruppe)
Werkzeug: DarkSide-Ransomware (reine IT-Malware)
Wirkung: Pipeline-Betrieb für sechs Tage gestoppt, Treibstoffmangel an der US-Ostküste.
Bedeutung: Das Standardbeispiel für IT-Malware mit OT-Auswirkung. Die Ransomware betraf nur das IT-Netz. Der Betreiber stellte die OT vorsorglich ab, weil ohne funktionierendes Billing kein wirtschaftlicher Betrieb möglich war. Lehre für jeden Betreiber: die Verbindung zwischen IT und OT muss man kennen, auch wenn sie nicht technisch, sondern organisatorisch ist.
Polen, Energieinfrastruktur (29. Dezember 2025)
Akteur: Static Tundra laut CERT Polska (auch bekannt als Berserk Bear, Dragonfly, Ghost Blizzard), ELECTRUM / Sandworm laut Dragos und ESET. Russland zugeordnet.
Werkzeuge: DynoWiper (vier Varianten, generischer Windows-Datei-Wiper, ESET klassifiziert ihn als Win32/KillFiles.NMO) und LazyWiper (PowerShell). Beide sind keine OT-Malware im Dragos-Sinn. Die OT-spezifischen Aktionen (Firmware-Überschreibung bei Hitachi RTU560, Werksreset bei Hitachi Relion 650 Schutzrelais, Manipulation von Mikronika-HMIs) haben die Angreifer manuell über RDP, VNC und legitime Engineering-Tools ausgeführt.
Ziele: Über 30 Wind- und Photovoltaikparks (Netzanschlusspunkte), ein großes Heizkraftwerk (Versorgung von rund 500.000 Menschen), ein Industrieunternehmen (opportunistisch).
Initial Access: Internet-exponierte FortiGate-Firewalls und VPN-Konzentratoren ohne MFA, mit Default-Credentials und ungepatchter Firmware.
Vorgehen: Reconnaissance ab März 2025, Datendiebstahl bis Juli 2025. Lateral Movement über RDP und VNC. Zielangriff am 29. Dezember 2025 auf RTUs (Hitachi RTU560), Schutzrelais (Hitachi Relion 650), HMIs (Mikronika) und Moxa NPort Serial Server. Firmware-Überschreibung, Werksreset, anschließend Wiper-Ausführung.
Wirkung: Kein Stromausfall, keine Heizungsunterbrechung. Im Heizkraftwerk verhinderte EDR die Wiper-Ausführung. Aber: Verlust von Fernwirkung und Sichtbarkeit an mehreren Standorten, teils dauerhaft beschädigte ICS-Geräte.
Bedeutung: Erster großflächig koordinierter Angriff auf verteilte Energieerzeugung (Distributed Energy Resources). Zeigt die zentralen Schwachstellen heutiger OT-Sicherheit: Default-Credentials auf Firewalls und VPN-Konzentratoren, exponierte Edge-Geräte, fehlende Segmentierung. Zero-Days waren nicht erforderlich.
Was sich verändert hat
Vier Entwicklungen haben das Bedrohungsniveau in den letzten Jahren erhöht. Wir sehen sie alle in unseren Projekten.
OT-Netze sind heute selten noch isoliert. Fernwartung, Predictive Maintenance, ERP-Anbindung. Die Verbindungen sind da, oft historisch gewachsen und schlecht dokumentiert. In OT-Pentests finden wir regelmäßig Verbindungen, die laut Netzwerkdokumentation nicht existieren sollten. Manchmal sind es Provisorien aus einem Wartungseinsatz von vor sieben Jahren, die niemand zurückgebaut hat.
Viele OT-Komponenten sind 15 bis 30 Jahre alt. Patches gibt es nicht oder sind nicht einspielbar, weil der Hersteller den Support eingestellt hat oder weil ein Produktionsstillstand für ein Firmware-Update nicht vertretbar ist. Default-Passwörter und ungeschützte Protokolle sind verbreitet. Der Polen-Vorfall hat das in Reinform gezeigt.
Geopolitik treibt die Aktivität. Der Ukraine-Krieg hat OT-Malware zum festen Bestandteil staatlicher Cyber-Operationen gemacht. 2024 und 2025 wurden mehr OT-spezifische Familien entdeckt als zwischen 2010 und 2017 zusammen. Mit Fuxnet sind erstmals Hacktivisten in eine technische Liga vorgedrungen, die früher Staaten vorbehalten war.
Die Einstiegshürde sinkt. FrostyGoop hat gezeigt: legitime Protokollnutzung reicht, wenn die Geräte erreichbar sind. Keine Zero-Days, kein Custom-Exploit. Ein Modbus-TCP-Port, der vom Internet aus erreichbar ist, und ENCO-Steuerungen, die unauthentifizierte Schreibbefehle akzeptieren. Mehr nicht.
Was wir bei Yekta IT damit machen
Die Schwachstellen, an denen die letzten OT-Vorfälle gescheitert sind oder fast gescheitert wären, sind die gleichen, die wir bei OT-Projekten regelmäßig finden. Default-Credentials, exponierte Edge-Geräte ohne MFA, fehlende oder nur formale Segmentierung zwischen Office-IT und OT, Engineering-Workstations mit direkter Internetanbindung über VPN. Wir adressieren das in zwei Formaten.
OT Risk Assessment. Strukturiert, ohne offensive Aktionen. Asset-Inventur, Netzwerkanalyse, Prüfung der Zugangswege, Bewertung der Erreichbarkeit kritischer OT-Komponenten aus dem IT-Netz. Ergebnis: eine Risikolandkarte und ein priorisierter Maßnahmenplan. Passt für Betreiber, die noch nicht wissen, wie es um ihre OT steht, oder die einen belastbaren Ausgangspunkt für NIS-2 oder IEC 62443 brauchen.
OT-Penetrationstest. Das offensive Pendant. Wir prüfen aktiv die Segmentierung, testen Default- und Schwachpasswörter auf RTUs, HMIs und Engineering-Tools, manipulieren Protokolle in einem zuvor mit Ihnen abgestimmten Scope. Passt für Betreiber, die wissen wollen, was ein realistischer Angreifer in ihrer Umgebung tatsächlich tun kann.
Beide Formate folgen dem BSI-Praxisleitfaden für Penetrationstests und dem IEC-62443-Rahmen für die OT-spezifischen Aspekte. Welcher Einstieg der bessere ist, hängt davon ab, was bei Ihnen zur OT-Sicherheit schon existiert. Das besprechen wir am besten in einem Erstgespräch.
Quellen
- Dragos, 8th Annual OT/ICS Cybersecurity Year in Review, Februar 2025
- Dragos, 9th Annual OT/ICS Cybersecurity Year in Review, Februar 2026
- Dragos, Impact of FrostyGoop ICS Malware on Connected OT Systems, 2024
- Dragos, ELECTRUM: Cyber Attack on Poland's Distributed Energy Resources, 2026
- CERT Polska, Energy Sector Incident Report, 29 December 2025, veröffentlicht 30. Januar 2026
- CISA, Poland Energy Sector Cyber Incident Highlights OT and ICS Security Gaps, Februar 2026
- ESET, Threat Reports zu DynoWiper und Sandworm, 2026
- Elastic Security Labs, DYNOWIPER: Destructive Malware Targeting Poland's Energy Sector, 2026
- Forescout, ICS Threats: Malware Targeting OT, 2024
- Mandiant / Google Cloud, Threat Intelligence Reports
- Claroty Team82, Unpacking the BlackJack Group's Fuxnet Malware, 2024
- GitHub, awesome-ics-malware (donadelden)