Startseite > Security > Versteckte Risiken im digitalen Nervensystem

Warum KRITIS-Betreiber umdenken müssen

Versteckte Risiken im digitalen Nervensystem

21. Juli 2025, 10:15 Uhr | Autorin: Beverly McCann / Redaktion: Diana Künstler

Cyberangriffe auf kritische Infrastrukturen nehmen zu – oft über kaum beachtete Schwachstellen. Diese IT-Fallen lauern im Verborgenen und gefährden Gesundheit, Sicherheit und Versorgung. Warum jetzt schnelles Umdenken gefragt ist.

Kritische Infrastrukturen sind das Rückgrat moderner Gesellschaften – genau deshalb sind sie zunehmend Ziel von Cyberangriffen. Mit der zunehmenden Vernetzung von Informationstechnologie (IT), Betriebstechnologie (OT), dem Internet der Dinge (IoT) und dem Internet der medizinischen Dinge (IoMT) wächst die potenzielle Angriffsfläche erheblich. Häufig sind sich Betreiber dieser Risiken nicht bewusst oder verfügen nicht über die nötigen Ressourcen, um alle Schwachstellen wirksam zu managen. Es ist an der Zeit, dass Organisationen ihre Schutzstrategien überdenken – insbesondere im Bereich kritischer Infrastrukturen.

In den letzten Jahren sind kritische Infrastrukturen zu einem immer attraktiveren Ziel geworden – nicht nur für staatlich gesteuerte Akteure, sondern auch für finanziell motivierte Gruppen. Diese Entwicklung ist unter anderem auf die zunehmende Vernetzung von Systemen und Lieferketten zurückzuführen, insbesondere in Bereichen wie dem Gesundheitswesen, was mehr Angriffsflächen für Störungen und Erpressung schafft.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Hochrisikogeräte und warum sie im Verborgenen bleiben

Viele der risikoreichsten Geräte in heutigen Netzwerken laufen seit Jahren unbemerkt im Hintergrund: Router, Zutrittskontrollsysteme, medizinische Arbeitsstationen oder Netzwerkspeicherlösungen. Gerade weil sie stabil laufen und selten auffallen, werden sie in Sicherheitsstrategien oft vernachlässigt – mit potenziell katastrophalen Folgen. Diese Systeme geraten zunehmend ins Visier professioneller Angriffe, da sie direkten Zugang zum digitalen Kern kritischer Organisationen bieten.

Moderne Cyberbedrohungen nutzen Schwachstellen in Geräten aus, die eigentlich Schutz bieten sollen – etwa Firewalls oder Domain-Controller. Andere Systeme wie IP-Kameras oder Kassensysteme (PoS) sind aufgrund offener Schnittstellen und fehlender Segmentierung besonders leichte Ziele. Die Realität zeigt: Nicht nur klassische Endgeräte, sondern vor allem Netzwerk- und Spezialgeräte stehen im Fokus von Angreifern.

Unsichere Protokolle: Die Rückkehr alter Schwächen

Besonders besorgniserregend ist der zunehmende Einsatz unsicherer Verwaltungsprotokolle wie Telnet – insbesondere in staatlichen und behördlichen Netzwerken. Obwohl moderne Alternativen wie SSH oder HTTPS verfügbar sind, setzen viele Systeme weiterhin auf veraltete, unverschlüsselte Kommunikationskanäle. Dieses Phänomen tritt häufig bei eingebetteten Systemen und spezialisierten Betriebssystemen auf, die sich nur schwer auf aktuelle Sicherheitsstandards aktualisieren lassen.

Zudem erreichen selbst moderne Betriebssysteme wie Windows 10 bald das Ende ihres Lebenszyklus. Viele Unternehmen stehen dann vor der Herausforderung, innerhalb kurzer Zeit große Mengen an Geräten ersetzen oder aufrüsten zu müssen – oft mit erheblichen Kosten. Aus Budgetgründen ist dies häufig nicht realisierbar. Das Ergebnis: noch mehr veraltete Systeme und noch mehr potenzielle Angriffsflächen.

IoMT und OT: Wenn Technologie zur Lebensgefahr wird

Im medizinischen Umfeld kommt eine besonders sensible Komponente ins Spiel: menschliches Leben. Systeme wie Infusionspumpen, bildgebende Geräte oder diagnostische Arbeitsstationen laufen oft mit veralteter Software und sind direkt mit Krankenhausnetzwerken verbunden. Ein aktueller Darktrace-Bericht zur Cybersicherheit im Gesundheitswesen zeigt, dass einige Geräte weiterhin auf nicht unterstützten Systemen wie Windows 7 oder XP laufen – weil sie an teure Geräte gebunden sind, wie zum Beispiel ein „Millionen-Dollar-Mikroskop“. Der Begriff beschreibt hochpreisige medizinische Geräte, die aufgrund ihrer Komplexität oder Kosten nicht ersetzt werden, selbst wenn sie mit veralteter Software betrieben werden. Dies schafft kritische Schwachstellen, die von Angreifern gezielt ausgenutzt werden. Angriffe auf solche Geräte sind längst keine Theorie mehr. In einem Fall beobachteten Analysten eine laterale Bewegung von einem infizierten CT-/Röntgengerät aus, das Malware im Krankenhausnetzwerk verbreitete. Die Gefahr besteht nicht nur im Datenverlust – sondern in der Patientensicherheit.

Ebenso kritisch sind sogenannte Historian-Systeme oder Gateways in Industrieanlagen, die OT-Systeme mit der Unternehmens-IT verbinden. Diese Systeme dienen – ähnlich wie medizinische IoT-Gateways – als Einstiegspunkte für Angreifer und ermöglichen laterale Bewegungen im Netzwerk. Ein aktuelles Beispiel aus dem Gesundheitswesen ist der Ransomware-Angriff auf den NHS-Zulieferer Synnovis im Jahr 2024, der diagnostische Dienste lahmlegte und zu massenhaften Terminabsagen führte.

Ob im Gesundheitswesen oder in der Industrie – das Risiko ist dasselbe: Wenn veraltete, exponierte Systeme kompromittiert werden, kann das lebensbedrohliche Konsequenzen haben.

Warum Asset-Transparenz und signaturbasierte Erkennung allein nicht ausreichen

Viele Organisationen setzen stark auf Asset-Transparenz – also die Erfassung aller vernetzten Geräte – und auf signaturbasierte Bedrohungserkennung als primäre Verteidigung. Doch allein zu wissen, welche Geräte vorhanden sind, sagt wenig darüber aus, ob diese sicher oder bereits kompromittiert sind. Signaturbasierte Systeme sind grundsätzlich reaktiv: Sie erkennen nur bekannte Bedrohungen. Das ist in hochvernetzten OT-, IoT- und IoMT-Umgebungen problematisch, in denen neuartige und ausgeklügelte Angriffe zunehmend üblich sind. Daher ist es entscheidend, kontinuierliche Anomalieerkennungsmethoden einzusetzen, die das Netzwerkverhalten in Echtzeit überwachen und ungewöhnliche Aktivitäten sowie bisher unbekannte Bedrohungen erkennen, bevor sie Schaden anrichten können.

Wie intelligente Systeme Angriffe eigenständig neutralisieren können

Moderne Sicherheitsstrategien setzen auf automatisierte Reaktionen, um verdächtige Verhaltensmuster in Echtzeit zu erkennen und zu blockieren. Wenn ein System etwa erkennt, dass ein medizinisches Gerät – beispielsweise ein PACS-Server, der medizinische Bilder speichert und verteilt – plötzlich große Datenmengen an eine unbekannte IP-Adresse außerhalb des Krankenhausnetzwerks sendet, kann eine automatisierte Reaktion sofort die Netzwerkverbindung trennen oder den betroffenen Port deaktivieren. Ähnliche automatische Maßnahmen können in industriellen Steuerungssystemen wie SCADA ausgelöst werden – etwa bei der Erkennung ungewöhnlicher Befehle, die auf eine Manipulation von Prozessdaten hinweisen, wie bei einem potenziellen Spoofing-Angriff auf eine speicherprogrammierbare Steuerung (SPS).

Der Einsatz verhaltensbasierter Analyseplattformen auf Basis von maschinellem Lernen oder künstlicher Intelligenz ist empfehlenswert. Diese Systeme analysieren nicht nur bekannte Signaturen, sondern lernen das „normale“ Verhalten jedes einzelnen Geräts im Netzwerk. Wenn ein Gerät plötzlich davon abweicht – etwa durch ungewöhnliche Protokolle, Zugriffsmuster oder Datenflüsse –, kann die Anomalie automatisch erkannt und bei Bedarf gestoppt werden.

Allerdings ist es wichtig, diese Automatisierung kontrolliert zu orchestrieren: Unternehmen sollten der Technologie nicht blind vertrauen, sondern sogenannte „Playbooks“ definieren – abgestimmte Reaktionsszenarien für verschiedene Vorfälle. Diese lassen sich bereits mit modernen SOAR-Plattformen abbilden.

Gleichzeitig ist es entscheidend, auf agentenlose Technologien zu setzen, da viele spezialisierte Geräte keine herkömmlichen Sicherheitsagenten unterstützen. Cyberangreifer werden immer ausgeklügelter und setzen zunehmend auf Techniken, um agentenbasierte Sicherheitslösungen zu umgehen oder zu deaktivieren – etwa sogenannte EDR-Killer. Deshalb ist es unerlässlich, auch netzwerkbasierte Erkennungstechnologien im Sinne eines „Defence-in-Depth“-Ansatzes einzusetzen. Gerade in spezialisierten Umgebungen ist der Einsatz agentenbasierter Technologien oft nicht möglich – entweder wegen fehlender Betriebssystemunterstützung oder weil diese Systeme auf Cloud-Hosting angewiesen sind, was in luftdichten Infrastrukturen (Air-Gap) nicht realisierbar ist.

Keine Sicherheit ohne Transparenz

Die Bedrohungslage für Betreiber kritischer Infrastrukturen hat sich verändert. Die Schwachstellen liegen heute nicht mehr nur in Bürorechnern oder Webservern, sondern in Steuergeräten, medizinischen Geräten und Zugangspunkten – also Systemen, die nie für ein „Internet der Bedrohungen“ konzipiert wurden.

Die zentrale Erkenntnis lautet daher: Nur wer weiß, was sich im eigenen Netzwerk befindet, kann es auch schützen.