Der neue „State of ICS/OT Security Report“ des SANS Institute legt offen, dass industrielle Cybersicherheitsteams zwar schneller auf Vorfälle reagieren, aber weiterhin mit langen und riskanten Wiederherstellungsphasen kämpfen. Besonders problematisch bleibt der Fernzugriff – und die fehlende Transparenz an der Prozessbasis.
Foto: SANS Institute
Jason D. Christopher, SANS Certified Instructor und Autor der Studie
Die industrielle Cybersicherheit befindet sich im Spannungsfeld zwischen gestiegener Erkennungsgeschwindigkeit und weiterhin langwierigen Recovery-Prozessen. Das zeigt der aktuelle „2025 State of ICS/OT Security Report“ des SANS Institute, für den mehr als 330 Fachleute aus Energie, Fertigung, Chemie, Transport und weiteren KRITIS-Sektoren befragt wurden. Die Ergebnisse verweisen auf eine strukturelle Resilienzlücke, die trotz technischer Fortschritte bestehen bleibt und zunehmend zur operativen Belastung wird.
„Diese Zahlen verdeutlichen den Druck, unter dem industrielle Teams stehen“, sagt Jason D. Christopher, SANS-zertifizierter Ausbilder und Autor des Berichts. „Unternehmen erkennen Probleme schneller. Die Herausforderung besteht allerdings darin, was nach dem Alarm geschieht. Die sichere Wiederherstellung in einer ICS- bzw. OT-Umgebung ist komplex und hängt in hohem Maße von einstudierten Verfahren, verifizierten Zugriffspfaden und koordinierten Entscheidungen ab. Ohne diese Vorbereitung verzögert sich die Wiederherstellung und das Risiko steigt.“
Laut dem Report wurde „fast die Hälfte aller Vorfälle […] innerhalb der ersten 24 Stunden identifiziert“, rund 60 Prozent innerhalb von 48 Stunden eingedämmt. Gleichzeitig dauerte bei 19 Prozent der Fälle die vollständige Behebung mehr als einen Monat. Mehr als jedes fünfte Unternehmen meldete im vergangenen Jahr einen Vorfall, 40 Prozent davon führten zu Betriebsunterbrechungen.
Die Studie zeigt zudem, dass Angreifer häufig über Fernzugriffe eindringen. Unbefugte externe Zugriffe machten die Hälfte aller Cybervorfälle aus – dennoch haben erst 13 Prozent der Unternehmen erweiterte ICS-bewusste Kontrollen wie Session Recording oder Echtzeit-Genehmigungen implementiert.
Ein weiterer Befund betrifft die Sichtbarkeit entlang der ICS Cyber Kill Chain. Nur 13 Prozent der Befragten gaben an, vollständige Transparenz zu besitzen. Die größten Lücken bestehen dort, wo sie besonders kritisch sind: nahe an Steuerungen und Prozessgeräten. Das erschwert es Sicherheitsteams, Veränderungen an kritischen Parametern oder Manipulationen frühzeitig zu erkennen.
Christopher betont die Notwendigkeit einer organisatorischen Weiterentwicklung: „KRITIS können sich nicht allein auf die Erkennung verlassen. Dieser Bericht zeigt auf, wo Teams Fortschritte erzielen und wo noch Lücken bestehen. Die Unternehmen, die über Checklisten hinausgehen und Informationen, Compliance und Übungen in Routinepraktiken umsetzen, sind diejenigen, die Ausfallzeiten reduzieren und ihre Mitarbeiter und Anlagen schützen.“
Regulierte Standorte meldeten zwar ähnlich viele Vorfälle wie nicht regulierte, verzeichneten aber „etwa 50 Prozent weniger finanzielle Verluste und Auswirkungen auf die Sicherheit“. Zudem zeigte sich eine deutliche Korrelation zwischen ICS-spezifischer Threat Intelligence und verbesserten Verteidigungsmaßnahmen: Unternehmen mit operationalisierten Bedrohungsinformationen berichteten von stärkerer Erkennung, erweiterten Überwachungsfunktionen und beschleunigten Segmentierungsänderungen.
Christopher sieht in der Kombination von Daten, Prozessen und kontinuierlicher Übung einen zentralen Hebel: „Unser Ziel ist es, Klarheit und Orientierung zu schaffen. Der Bericht liefert Führungskräften die Daten. Der Webcast hilft ihnen dabei, diese Daten in Entscheidungen umzusetzen, die die Widerstandsfähigkeit von Anlagen, Netzen und Industriestandorten weltweit verbessern.“
