Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Der Dragos 2026 Report: Warum dieser alles verändert

Der Dragos 2026 Report: Warum dieser alles verändert

von Patrick Spencer updated Februar 26, 2026 Cybersecurity-Risikomanagement
Lesezeit: 11 Minuten

Einige Cybersecurity-Berichte bestätigen lediglich Bekanntes. Dieser dokumentiert jedoch etwas Neues.

Der OT/ICS Cybersecurity Report 2026 von Dragos, veröffentlicht am 17. Februar 2026, markiert das neunte Jahr der umfassenden Analyse von Bedrohungen für industrielle und kritische Infrastrukturen durch das Unternehmen. Doch die diesjährigen Erkenntnisse sind nicht nur inkrementell – sie stehen für einen strukturellen Wandel in der Herangehensweise von Angreifern an Operational-Technology-Umgebungen und zeigen, was das für Datensicherheit, Datenschutz und Compliance bedeutet.

Die zentrale Erkenntnis ist klar und alarmierend: Angreifer begnügen sich nicht mehr damit, Zugang zu erlangen und abzuwarten. Sie kartieren aktiv Steuerungsschleifen, analysieren industrielle Abläufe und positionieren sich gezielt, um physische Auswirkungen hervorzurufen.

Das ist keine bloße Aufklärung mehr. Das ist Vorbereitung auf operative Störungen.

5 wichtige Erkenntnisse

  1. Angreifer wechseln von Aufklärung zu Steuerungsschleifen-Kartierung. Der Dragos-Report 2026 dokumentiert einen grundlegenden Wandel im Vorgehen von Bedrohungsakteuren in industriellen Umgebungen. KAMACITE kartierte 2025 systematisch Steuerungsschleifen in der US-Infrastruktur, während ELECTRUM gezielt verteilte Energiesysteme in Polen angriff, um operative Assets zu beeinflussen. Angreifer verschaffen sich nicht mehr nur Zugang – sie lernen, wie Befehle entstehen, wie sie sich durch Systeme bewegen und wo physische Effekte ausgelöst werden können. Das zeigt eine Entwicklung vom passiven Fußfassen hin zum aktiven operativen Verständnis.
  2. Drei neue Bedrohungsgruppen sind entstanden – und sie agieren als koordinierte Ökosysteme. Dragos identifizierte 2025 drei neue Bedrohungsgruppen: SYLVANITE, PYROXENE und AZURITE. Besonders bemerkenswert: SYLVANITE fungiert als Access Broker, nutzt Schwachstellen in Ivanti-, F5-, SAP- und ConnectWise-Produkten blitzschnell aus und übergibt etablierte Zugänge an VOLTZITE für tiefere OT-Eindringversuche. PYROXENE setzte in regionalen Konflikten zerstörerische Wiper-Malware gegen kritische Infrastrukturen ein. AZURITE zeigte operative Überschneidungen mit Flax Typhoon und führte anhaltende Operationen in den USA, Europa und dem asiatisch-pazifischen Raum durch. Das Ökosystem-Modell – Spezialisten verschaffen Zugang für noch fähigere Angreifer – ist nun das vorherrschende Operationsmuster.
  3. Ransomware-Gruppen mit OT-Reichweite stiegen um 49 % im Jahresvergleich. Ransomware-Angriffe auf Industrieunternehmen stiegen 2025 um 49 % und betrafen weltweit 3.300 Organisationen. Doch das eigentliche Thema ist die operative Störung. Ransomware betrifft längst nicht mehr „nur die IT“ – sie verursacht mehrtägige Ausfälle, die OT-spezifische Wiederherstellung erfordern. Unternehmen unterschätzen weiterhin massiv die Reichweite von Ransomware in operative Umgebungen, da sie Vorfälle als reine IT-Probleme einstufen und die Auswirkungen auf Produktionssysteme, Sicherheitskontrollen und physische Prozesse übersehen.
  4. Transparenz ist der entscheidende Unterschied – 5 Tage vs. 42 Tage Erkennungszeit. Unternehmen mit umfassender OT-Transparenz erkannten und begrenzten OT-Ransomware-Vorfälle im Schnitt nach 5 Tagen. Der branchenweite Durchschnitt? 42 Tage. Das ist kein marginaler Fortschritt – das ist der Unterschied zwischen einem eingedämmten Vorfall und einer Katastrophe. Die Reife der Erkennung korreliert direkt mit dem Erfolg der Reaktion, doch weniger als 10 % der OT-Netzwerke verfügen über die nötige Transparenz, um Aufklärung, laterale Bewegungen und Datenexfiltration zu erkennen, bevor Angreifer ihre Ziele erreichen.
  5. VOLTZITE erreichte Stufe 2 der ICS Cyber Kill Chain. Dragos stufte VOLTZITE auf Stufe 2 der ICS Cyber Kill Chain hoch, nachdem die Gruppe beobachtet wurde, wie sie Engineering-Workstation-Software manipulierte, um Konfigurationsdateien und Alarmdaten zu extrahieren. Die Gruppe untersuchte gezielt, welche Betriebsbedingungen Prozessabschaltungen auslösen würden. In einem Fall kompromittierte VOLTZITE Sierra Wireless Airlink Mobilfunk-Gateways, um Zugang zu US-Pipeline-Betrieben zu erhalten, und wechselte dann zu Engineering-Workstations. VOLTZITE weist technische Überschneidungen mit Volt Typhoon auf – jener Gruppe, vor der US-Geheimdienste wegen möglicher Störungen kritischer Infrastrukturen warnen.

Steuerungsschleifen-Kartierung: Die Bedrohung verstehen

Um zu verstehen, warum die Kartierung von Steuerungsschleifen relevant ist, muss man wissen, was eine Steuerungsschleife ist.

In industriellen Umgebungen ist eine Steuerungsschleife die Kombination aus Geräten und Software, die eine physikalische Größe – Temperatur, Druck, Durchfluss, Füllstand – erfassen, den Wert mit einem Sollwert vergleichen und Geräte ansteuern, um den Prozess zu verändern. Ein Thermostat, der eine Heizung steuert, ist eine einfache Steuerungsschleife. Eine Raffinerie mit hunderten Prozessen hat tausende davon.

Wenn Angreifer Steuerungsschleifen kartieren, lernen sie die Betriebslogik einer Anlage kennen. Sie identifizieren, welche Sensoren welche Steuerungen versorgen. Sie verstehen, welche Schwellenwerte Alarme oder automatische Abschaltungen auslösen. Sie entdecken, wie sie Messwerte oder Befehle manipulieren können, um gezielte physische Effekte zu erzielen.

KAMACITE hat 2025 genau das in der US-Infrastruktur getan. ELECTRUM griff gezielt verteilte Energiesysteme in Polen an, um operative Assets zu beeinflussen. VOLTZITE extrahierte Konfigurationsdateien und Alarmdaten aus Engineering-Workstations und untersuchte gezielt, welche Bedingungen Prozessabschaltungen auslösen würden.

Das ist keine theoretische Fähigkeit. Es ist dokumentierte operative Aktivität.

Sie vertrauen darauf, dass Ihr Unternehmen sicher ist. Aber können Sie es auch nachweisen?

Jetzt lesen

Das Ökosystem-Modell: Spezialisten übergeben an Spezialisten

Einer der wichtigsten Befunde im Dragos-Report ist das Entstehen koordinierter Bedrohungsökosysteme, in denen Gruppen sich auf verschiedene Phasen eines Angriffs spezialisieren.

SYLVANITE steht exemplarisch für dieses Modell. Die Gruppe konzentriert sich auf die schnelle Ausnutzung von Schwachstellen in internet-exponierten Systemen – Ivanti, F5, SAP, ConnectWise. In einem Fall nutzte SYLVANITE Ivanti-VPN-Schwachstellen innerhalb von 48 Stunden nach Bekanntwerden aus. Die Gruppe setzt Standardtools wie Cobalt Strike und Sliver ein, etabliert Persistenz und übergibt dann den Zugang an VOLTZITE für tiefere OT-Eindringversuche.

Diese Arbeitsteilung hat erhebliche Auswirkungen. Sie bedeutet, dass Erstzugang und OT-Operationen heute getrennte Spezialisierungen sind. Sie bedeutet, dass die Abwehr des ersten Einbruchs das Risiko nicht eliminiert – eine andere Gruppe kann den Zugang übernehmen. Und sie erschwert die Zuordnung, da die Gruppe mit Zugang nicht zwangsläufig die ist, die operativen Schaden anrichtet.

Der Vorfall im Mai 2025 bei einem US-Versorger verdeutlicht das Modell: SYLVANITE nutzte Schwachstellen im Ivanti Endpoint Manager Mobile aus, um LDAP-Benutzerdetails und Office-365-Tokens aus der Backend-Datenbank zu extrahieren. Diese Zugangsdaten wurden intern für laterale Bewegungen verwendet. Der Access Broker etablierte den Fuß in der Tür; fähigere Akteure nutzten ihn aus.

49% mehr Ransomware-Angriffe auf OT-Umgebungen

Ransomware-Angriffe auf Industrieunternehmen stiegen 2025 im Jahresvergleich um 49 % und betrafen weltweit 3.300 Organisationen. Dragos verfolgte 119 Ransomware-Gruppen mit nachgewiesener Fähigkeit, operative Umgebungen zu beeinträchtigen.

Doch die reine Anzahl ist nicht das eigentliche Thema. Entscheidend ist die operative Störung.

Industrielle Ransomware-Vorfälle führten 2025 immer häufiger zu mehrtägigen Ausfällen, die OT-spezifische Wiederherstellung erforderten. Wird eine Engineering-Workstation durch Ransomware verschlüsselt, reicht es nicht, das System einfach neu aufzusetzen. Es muss geprüft werden, ob Steuerungskonfigurationen verändert wurden. Es muss sichergestellt werden, dass Sicherheitssysteme korrekt funktionieren. Produktionsprozesse müssen vor der Wiederinbetriebnahme validiert werden.

Hier wird die Beobachtung von Dragos-CEO Robert Lee entscheidend: „Industrieunternehmen unterschätzen massiv die Reichweite von Ransomware in OT-Umgebungen, weil sie denken, es sei ‚nur IT‘.“

Das Problem der Fehleinstufung ist systemisch. Wenn Incident Responder ohne OT-Expertise einen Ransomware-Angriff untersuchen, erkennen sie die operativen Auswirkungen oft nicht. Sie stellen IT-Systeme wieder her und erklären den Vorfall für erledigt, übersehen aber, dass Produktionsdaten beschädigt, Engineering-Workstations kompromittiert oder Sicherheitssysteme verändert wurden.

Die von Dragos genannte durchschnittliche Erkennungszeit von 42 Tagen in der Branche ist nicht nur ein Erkennungsproblem. Es ist ein Transparenzproblem. Unternehmen können nur erkennen, was sie sehen – und die meisten OT-Netzwerke verfügen nicht über das Monitoring, die Asset-Inventarisierung und Telemetrie, um Kompromittierungen vor operativen Auswirkungen zu identifizieren.

Die Transparenzlücke: Was den meisten Unternehmen fehlt

Weniger als 10 % der OT-Netzwerke verfügen über umfassende Transparenz und Monitoring.

Diese Zahl allein erklärt, warum die durchschnittliche Erkennungszeit in der Branche 42 Tage beträgt, während Unternehmen mit umfassender OT-Transparenz Vorfälle in 5 Tagen eindämmen. Der Unterschied liegt nicht im Talent oder in der Technologiepräferenz. Entscheidend ist, ob Sie sehen, was in Ihrer Umgebung passiert.

Der Dragos-Report nennt mehrere Datenkategorien, auf die es Angreifer in OT-Umgebungen abgesehen haben:

Engineering-Projektdateien: CAD-Zeichnungen, Konstruktionsspezifikationen und Systemarchitekturen, die zeigen, wie Anlagen aufgebaut sind und wie Prozesse zusammenhängen.

Alarmdaten und Schwellenwerte: Informationen darüber, welche Bedingungen Alarme, automatische Abschaltungen oder Sicherheitsaktivierungen auslösen – essenzielles Wissen für Angreifer, die Prozesse manipulieren wollen, ohne entdeckt zu werden.

Konfigurationsdateien und Backups: HMI/SCADA-Konfigurationen, SPS-Programmierungen und System-Backups, die die Betriebslogik industrieller Prozesse enthalten.

Operator-Informationen: Benutzeranmeldedaten, Schichtpläne, Zugriffsrechte und Aktivitätsprotokolle, die für Social Engineering, Rechteausweitung oder zur Planung des optimalen Angriffszeitpunkts genutzt werden können.

GIS- und Netzwerktopologien: Geografische und logische Darstellungen der Systemvernetzung – entscheidend für die Planung lateraler Bewegungen und zur Abschätzung des Schadenspotenzials.

Diese Daten bewegen sich ständig zwischen Systemen. Engineering-Teams teilen Designs mit der Produktion. Dienstleister erhalten technische Spezifikationen für Wartungsarbeiten. Qualitätsdaten fließen zwischen Produktionsnetzwerken und Unternehmenssystemen. Die Kanäle für diese Daten – oft veraltete SFTP-Server, E-Mail-Anhänge und ungesicherte Fileshares – werden zu Einfallstoren für Angreifer.

Hacktivismus entwickelt sich zur operativen Bedrohung

Der Dragos-Report dokumentiert einen weiteren besorgniserregenden Trend: Hacktivistengruppen entwickeln sich von symbolischen Angriffen zu operativ fähigen Kampagnen.

BAUXITE setzte während des Iran-Israel-Konflikts im Juni 2025 zwei maßgeschneiderte Wiper-Malware-Varianten gegen israelische Ziele ein. Das war eine Eskalation von bloßem Zugang und Störung hin zu destruktiver Absicht. Die Gruppe beschränkte sich nicht auf das Verunstalten von Webseiten oder Datendiebstahl. Sie setzte Malware ein, die auf irreversiblen Datenverlust und operative Störung ausgelegt war.

Hacktivistengruppen verbinden zunehmend ideologische Botschaften mit staatlich ausgerichteten Operationen. Sie attackieren internet-exponierte HMIs, falsch konfigurierte Engineering-Workstations und offene Feldprotokolle wie Modbus/TCP und DNP3. Die technische Raffinesse variiert, aber das Ziel bleibt gleich: Digitaler Zugang soll reale Auswirkungen haben.

Für Betreiber kritischer Infrastrukturen ist die Schlussfolgerung eindeutig: Die Bedrohungslage umfasst nicht mehr nur staatliche Akteure und finanziell motivierte Kriminelle, sondern auch ideologisch getriebene Gruppen mit nachgewiesener Operationsfähigkeit. Die Angriffsfläche – internet-exponierte Geräte, Fernzugriffssysteme und IT/OT-Grenzsysteme – bleibt unabhängig vom Angreifer identisch.

Datensicherheit in Industrieumgebungen: Die Auswirkungen

Die Dragos-Erkenntnisse haben direkte Auswirkungen darauf, wie Industrieunternehmen Datensicherheit angehen sollten.

Die angegriffenen Daten sind operativ, nicht nur personenbezogen. Klassische Datensicherheit konzentriert sich auf den Schutz personenbezogener Informationen, Finanzdaten und geistigen Eigentums. Die OT-Bedrohungslage erweitert dies um eine neue Kategorie: operative Daten, mit denen physische Prozesse gestört werden können. Engineering-Dateien, Alarmkonfigurationen und Dokumentationen von Steuerungssystemen sind nun hochkarätige Ziele, die Schutzmaßnahmen entsprechend ihrem Risikoprofil erfordern.

IT/OT-Konvergenz schafft Schwachstellen beim Datenaustausch. Industrieunternehmen stehen vor einem Paradox: OT-Systeme müssen zur Sicherheit und Zuverlässigkeit isoliert sein, gleichzeitig müssen operative Daten zwischen IT- und OT-Umgebungen für Geschäftsprozesse fließen. Engineering-Designs werden mit Lieferanten geteilt. Qualitätsdaten werden global ausgetauscht. Dienstleister erhalten Spezifikationen für Updates. Diese Datenflüsse erfolgen über Kanäle, die Angreifer systematisch ausnutzen. Das Management dieses Supply-Chain-Risikos erfordert Governance für jeden Datenaustausch – nicht nur Schutz des Netzwerk-Perimeters.

File-Transfer-Infrastruktur ist ein primärer Angriffsvektor. Der Dragos-Report und branchenweite Analysen identifizieren Managed File Transfer und SFTP-Systeme als besonders attraktive Ziele. Diese Systeme bündeln sensible Daten aus verschiedenen Quellen und verbinden oft ansonsten getrennte Netzsegmente. Bei Kompromittierung bieten sie Zugang zu konzentrierten Repositorien operativer Daten und Wege in OT-Umgebungen. Veraltete SFTP-Server ohne Audit-Logging, Zugriffskontrollen oder Anomalieerkennung sind besonders exponiert.

Transparenzlücken führen zu Compliance-Risiken. Wenn Unternehmen nicht sehen, was in ihren OT-Umgebungen passiert, können sie keine Compliance mit regulatorischen Anforderungen nachweisen. Sie können keine Audit-Trails vorlegen, die zeigen, wer auf welche Daten zugegriffen hat. Sie können Verstöße nicht fristgerecht melden. Die durchschnittliche Erkennungszeit von 42 Tagen verlängert Meldefristen und erhöht die regulatorische Haftung.

Datenschutz in OT: Die übersehene Dimension

Der Dragos-Report fokussiert auf operative Sicherheit, doch die betroffenen Datentypen haben erhebliche Datenschutzimplikationen.

Operator-Informationen – einschließlich personenbezogener Verhaltensdaten, Schichtplänen, Fehlerhistorien und Sicherheitsvorfällen – gelten laut DSGVO, CCPA und neuen Datenschutzgesetzen als sensible personenbezogene Daten. Von Hacktivistengruppen veröffentlichte Credential-Dumps und Aktivitätsprotokolle machen persönliche Identifikatoren weltweit öffentlich.

Organisationen klassifizieren operative Daten meist nicht als personenbezogene Informationen. Doch sobald Meldepflichten greifen, stellen sie fest, dass sie sensible personenbezogene Daten gespeichert haben, die sie nie inventarisiert oder geschützt haben.

Die Kombination aus operativem Kontext und personenbezogenen Identifikatoren schafft regulatorische Risiken, die die meisten Industrieunternehmen nicht auf dem Schirm haben. Datenschutz-Folgenabschätzungen, die für IT-Systeme konzipiert wurden, erfassen die in OT-Umgebungen eingebetteten personenbezogenen Daten oft nicht.

Was Unternehmen jetzt tun sollten

Der Dragos-Report endet mit einer klaren Botschaft: Die bestehenden Lücken sind gravierend, und umfassende OT-Transparenz ist jetzt entscheidend.

Transparenz hat oberste Priorität. Der Unterschied zwischen 5 und 42 Tagen Erkennungszeit beweist, dass Monitoring-Fähigkeit der entscheidende Faktor ist. Unternehmen benötigen Asset-Inventare, Netzwerküberwachung und Telemetrie, die OT-Umgebungen abdecken – nicht nur IT-Netzwerke. SIEM-Integration, die OT-Telemetrie gemeinsam mit IT-Logs auswertet, schließt die Transparenzlücke, die Angreifern wochenlanges Verweilen ermöglicht. Das ist keine optionale Verbesserung, sondern die Grundlage für alles Weitere.

Sichern Sie die IT/OT-Grenze. Die an der IT/OT-Grenze stattfindenden Datenflüsse – Engineering-Dateien, Konfigurationsdaten, Dienstleister-Spezifikationen – sind die Einfallstore für Angreifer. Diese Kanäle benötigen Governance beim Datenaustausch mit Verschlüsselung, Zugriffskontrollen, Audit-Logging und Anomalieerkennung. Veraltete SFTP-Server und E-Mail reichen für Daten, die operative Störungen ermöglichen, nicht aus. Eine speziell entwickelte Managed-File-Transfer-Plattform mit Audit-Trails und DLP-Kontrollen bietet den gesteuerten Kanal, den Legacy-Tools nicht leisten können.

Das Ökosystem-Modell berücksichtigen. Die Abwehr des Erstzugangs eliminiert das Risiko nicht, wenn Gruppen wie SYLVANITE Zugänge an fähigere Akteure übergeben. Sicherheitsstrategien müssen davon ausgehen, dass bereits ein Kompromiss existiert, und sich auf die Erkennung lateraler Bewegungen, Rechteausweitung und Zugriff auf operative Daten konzentrieren, bevor es zu Auswirkungen kommt. Zero-trust-Prinzipien – Least Privilege, explizite Verifizierung, Assume Breach – gelten auch für OT-Umgebungen.

Die Fehleinstufungslücke schließen. Incident-Response-Pläne müssen von Anfang an OT-Expertise einbinden. Wenn jeder Vorfall als „nur IT“ eingestuft wird, erkennen Unternehmen die operativen Auswirkungen erst, wenn Prozesse abweichen. Detection- und Response-Teams benötigen Kontext, um zu erkennen, wann ein IT-Kompromiss OT-Folgen hat.

Auf regulatorische Prüfung vorbereiten. Die angegriffenen operativen Daten – Engineering-Dateien, Alarmkonfigurationen, Operator-Informationen – lösen Compliance-Pflichten aus, die Unternehmen oft nicht bedacht haben. Audit-Trails, Meldefähigkeit bei Datenschutzverstößen und Nachweise für „angemessene Sicherheit“ müssen auch OT-Umgebungen abdecken, nicht nur IT-Systeme. Frameworks wie NIST 800-53, NERC CIP und ISA/IEC 62443 verlangen nachweisbare Kontrollen darüber, wie operative Daten abgerufen, übertragen und geschützt werden.

Der Dragos-Report 2026 dokumentiert eine Bedrohungslage, in der Angreifer industrielle Abläufe auf Prozessebene verstehen und dieses Wissen nutzen, um von der bloßen Kompromittierung zur gezielten operativen Störung überzugehen. Die Verteidigungsstrategie ist eindeutig: Transparenz, Asset-Kontext und ICS-spezifische Erkennung sind unverzichtbar.

Unternehmen, die in diese Fähigkeiten investieren, erkennen Bedrohungen, bevor physische Schäden entstehen. Wer das nicht tut, erfährt von Kompromittierungen erst, wenn Prozesse abweichen – und dann ist der Schaden womöglich bereits eingetreten.

Erfahren Sie, wie Kiteworks Sie unterstützen kann, und vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Managed File Transfer und SFTP-Systeme sind in OT-Umgebungen aus zwei Gründen besonders attraktive Ziele: Sie bündeln sensible operative Daten aus verschiedenen Quellen und verbinden häufig ansonsten getrennte Netzsegmente. Engineering-Projektdateien, Alarmkonfigurationen, Dienstleister-Spezifikationen und Qualitätsdaten fließen durch diese Systeme – ein einziger Kompromiss verschafft Zugang zu konzentrierten Repositorien operativer Informationen und einen Weg tiefer in OT-Netzwerke. Veraltete SFTP-Installationen ohne Audit-Logging, Zugriffskontrollen oder Anomalieerkennung sind besonders exponiert. Der Dragos-Report zeigt, dass File-Transfer-Infrastrukturen systematisch ausgenutzt werden – das unterstreicht, warum Governance dieser Kanäle für OT-Datensicherheit essenziell ist.

Die IT/OT-Konvergenz führt zu einem kontinuierlichen Fluss hochwertiger operativer Daten über die Grenze zwischen Unternehmens- und Produktionsnetzwerken: Engineering-Designs für externe Lieferanten, Qualitätsdaten zwischen globalen Standorten, Dienstleister-Spezifikationen für Wartung und Konfigurations-Backups für Unternehmenssysteme. Diese Daten sind sowohl für geistigen Eigentumsdiebstahl als auch für die Vorbereitung operativer Angriffe wertvoll – Angreifer mit Zugang zu Engineering-Dateien und Alarm-Schwellenwerten kennen eine Anlage gut genug, um Störungen zu planen, ohne entdeckt zu werden. Der Schutz dieser Datenflüsse erfordert gesteuerte File-Transfer-Kanäle mit Verschlüsselung, DLP-Kontrollen und unveränderbaren Audit-Trails – statt veralteter SFTP-Server oder E-Mail-Anhänge, die keine forensische Nachvollziehbarkeit bieten.

Ja – und das ist eine der am meisten übersehenen Compliance-Dimensionen in der Industriesicherheit. Operator-Informationen, die routinemäßig in OT-Umgebungen erhoben werden – personenbezogene Schichtpläne, Zugriffshistorien, Fehlerprotokolle, Sicherheitsvorfälle – gelten als personenbezogene Daten nach DSGVO und CCPA. Die meisten Industrieunternehmen klassifizieren diese Daten nicht als personenbezogene Informationen und haben sie daher weder inventarisiert noch entsprechend geschützt. Kommt es zu einem Verstoß – und der Dragos-Report dokumentiert, dass Hacktivistengruppen Credential-Dumps und Aktivitätsprotokolle veröffentlichen – stehen Unternehmen vor Meldepflichten, mit denen sie nicht gerechnet haben. Datenschutz-Folgenabschätzungen müssen explizit auf OT-Umgebungen ausgeweitet werden, um diese Risiken zu erfassen, bevor ein Regulator sie aufdeckt.

Lange Verweildauer erhöht sowohl das operative als auch das regulatorische Risiko. Auf der Compliance-Seite schreiben die meisten wichtigen Frameworks – DSGVO, HIPAA für Healthcare-OT und branchenspezifische Vorgaben wie NERC CIP – Meldefristen vor, die sich in Stunden oder Tagen messen, nicht in Wochen. Eine durchschnittliche Erkennungszeit von 42 Tagen bedeutet, dass Unternehmen diese Fristen routinemäßig verpassen und dadurch Meldepflichtverletzungen zusätzlich zum eigentlichen Vorfall riskieren. Außerdem können sie die von Regulatoren geforderten forensischen Zeitabläufe nicht liefern: Wer hat wann auf welche Daten zugegriffen und über welche Systeme? Weniger als 10 % der OT-Netzwerke verfügen über die nötige Monitoring-Infrastruktur, um diese Fragen zu beantworten – das heißt, die meisten Unternehmen tragen verdeckte Compliance-Risiken zusätzlich zu ihren operativen Risiken.

Industrieunternehmen agieren in einem vielschichtigen Compliance-Umfeld, das von klassischen IT-Sicherheitsprogrammen oft nicht vollständig abgedeckt wird. NERC CIP gilt für Betreiber von Stromnetzen und verlangt Zugriffskontrollen, Sicherheitsmonitoring und Audit-Logging für Cyber-Assets, die die Netzstabilität beeinflussen. ISA/IEC 62443 ist der international anerkannte Standard für industrielle Cybersicherheit und fordert Netzwerksegmentierung, Identitäts- und Zugriffsmanagement sowie dokumentierte Sicherheitszonen. NIST 800-53 und das NIST Cybersecurity Framework gelten breit, auch für Betreiber kritischer Infrastrukturen. Wo OT-Systeme personenbezogene Daten verarbeiten – Operator-Records, Healthcare-Produktion, Wasserversorgung – greifen DSGVO und branchenspezifische Datenschutzgesetze. Allen Frameworks gemeinsam ist die Forderung nach nachweisbaren Kontrollen, dokumentiert in Audit-Trails, die auch die OT-Umgebung selbst umfassen – nicht nur das darüberliegende IT-Netzwerk.

Weitere Ressourcen

  • Blogbeitrag Zero Trust Architecture: Never Trust, Always Verify
  • Video Microsoft GCC High: Nachteile, die Verteidigungsunternehmen zu intelligenteren Lösungen bewegen
  • Blogbeitrag Wie Sie klassifizierte Daten nach DSPM-Erkennung absichern
  • Blogbeitrag Vertrauen in Generative AI mit einem Zero-Trust-Ansatz aufbauen
  • Video Der definitive Leitfaden zur sicheren Speicherung sensibler Daten für IT-Leiter

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks