Cyberangriffe können für Hersteller schwerwiegende Folgen haben. Sie können Lieferketten unterbrechen, zu Ausfallzeiten führen, die Produktivität beeinträchtigen und den Ruf des Unternehmens schädigen. Sie können sogar die physische Sicherheit der Mitarbeiter gefährden. Wenn wichtige Geräte in die Hände von Angreifern geraten, kann es zu Produktionsausfällen, Brandschäden und Unfällen kommen. Hier erfahren Sie mehr über die wichtigsten Cyber-Bedrohungen für Industrieunternehmen im Jahr 2025 und was Sie dagegen tun können.
Weitere Informationen zu Trends und Herausforderungen finden Sie im Cybersecurity-Handbuch für mittelständische Industrieunternehmen 2025:
Da Produktionsausfälle hohe Kosten verursachen, investieren Hersteller oft nur zögerlich in Cybersicherheit. Selbst grundlegende Sicherheitsmaßnahmen wie Systemupdates und Patch-Management können den reibungslosen Betrieb gefährden. Fortgeschrittene Cybersicherheitsmaßnahmen können im schlimmsten Fall ganze Produktionslinien lahmlegen oder erhebliche Kosten verursachen, wenn veraltete Maschinen ersetzt werden müssen.
Gleichzeitig bringt die zunehmende Vernetzung in der Fertigungsbranche Risiken mit sich, die über klassische Lieferketten hinausgehen. Die Industrie ist bekannt für ihre weit verzweigten Ökosysteme – von Edge-Geräten bis hin zu KI-Anwendungen in der Cloud. Diese Kombination aus Over-the-Air-Operationen und Cloud-Diensten erweitert nicht nur die Angriffsfläche und eröffnet neue Angriffsvektoren, sondern führt auch zu immer komplexeren Abhängigkeiten.
1. Ransomware-Angriffe, einschließlich RaaS, sind die größte Bedrohung
Organisierte Ransomware-Gruppen – global agierende Bedrohungsakteure – setzen hochentwickelte Erpressungstechniken ein, um Unternehmen zur Zahlung eines Lösegelds zu zwingen. Die gestohlenen Daten reichen von Kundendaten und geistigem Eigentum bis hin zu Geschäftsgeheimnissen und F&E-Daten.
Bei diesen Angriffen übernehmen Cyberkriminelle die vollständige Kontrolle über kritische Systeme und Assets des Unternehmens, verschlüsseln sensible Daten und fordern ein Lösegeld für die Entschlüsselungsschlüssel, die den Zugriff wiederherstellen sollen. In sogenannten Double-Extortion-Szenarien werden die Daten nicht nur verschlüsselt, sondern zusätzlich exfiltriert. In anderen Fällen stehlen Angreifer Unternehmensdaten und erpressen ihre Opfer mit der Drohung, die Informationen öffentlich zu machen.
Eine immer weiter verbreitete Form von Ransomware ist RaaS (Ransomware-as-a-Service). Hierbei werden Open-Source-Tools und -Dienste wie RansomHub, Farnetwork und Kryptina genutzt, um Cyberangriffe auf Unternehmen zu erleichtern.
Laut dem aktuellen Threat Landscape Report der ENISA gehören LockBit, Cl0p und PLAY zu den am häufigsten verwendeten Ransomware-Varianten in RaaS-Angriffen, wobei LockBit fast die Hälfte aller gemeldeten Vorfälle ausmacht.
Die Industrie- und Fertigungsbranche blieb im Jahr 2024 laut Bericht die am häufigsten betroffene und am stärksten geschädigte Zielgruppe von Ransomware-Angriffen. In Europa sind LockBit, 8Base und C10p die aktivsten RaaS-Gruppen und verantwortlich für einige der schwerwiegendsten und komplexesten Attacken. Besonders LockBit und 8Base haben sich gezielt auf Fertigungsunternehmen spezialisiert.
2. Social-Engineering-Angriffe
Social Engineering nutzt menschliche Fehler aus, um sich Zugang zu sensiblen Informationen zu verschaffen. Das Ziel ist es, Mitarbeitende zu bestimmten Aktionen zu verleiten, die Bedrohungsakteuren den Zugriff auf persönliche Daten, Passwörter, Bankkonten oder Kreditkartennummern ermöglichen. Häufig geben sich Angreifer als Autoritätspersonen aus und verschicken Nachrichten, die das Opfer unter Zeitdruck zu einer schnellen Reaktion drängen.
Angreifer setzen zunehmend auf ausgefeilte Methoden, darunter Open-Source-Information Gathering (OSINT), das durch generative KI unterstützt wird. Dadurch können sie täuschend echte, personalisierte Nachrichten erstellen, die Mitarbeitende dazu verleiten, auf schädliche Links zu klicken oder infizierte Dateien zu öffnen.
Cyberkriminelle können gezielt einzelne Personen ins Visier nehmen und kontextbezogene Informationen einfügen, die es schwer machen, Betrugsversuche von legitimer Kommunikation zu unterscheiden. Oder sie nutzen KI-gestützte Automatisierungen, um massenhaft Nachrichten an zufällig gesammelte E-Mail-Adressen zu senden. Business Email Compromise (BEC)-Angriffe nutzen beispielsweise bestehende E-Mail-Konversationen, um Glaubwürdigkeit zu gewinnen und Mitarbeitende zu bestimmten Handlungen zu drängen.
Besonders alarmierend ist der Diebstahl von Cloud-Zugangsdaten, also der Missbrauch cloud-spezifischer Anmeldeinformationen und die Übernahme von Cloud-Konten. Diese Art von Angriffen hat im vergangenen Jahr stark zugenommen, was die Notwendigkeit einer verstärkten Wachsamkeit gegenüber identitätsbasierten Bedrohungen unterstreicht. Die am häufigsten angegriffenen Unternehmen im Q4 2023 waren Microsoft (33 %), Amazon (9 %) und Google (8 %). Im Q1 2024 gab es zudem eine Zunahme von Social-Engineering-Angriffen über LinkedIn (11 %).
3. Angriffe auf die Lieferkette
Bei diesen Cyberangriffen zielen Bedrohungsakteure darauf ab, die Interaktionen zwischen Produktionsunternehmen und ihren Zulieferern zu kompromittieren. Die eingesetzten Techniken sind vielfältig. Sie reichen von klassischen Social-Engineering-Angriffen über Malware-Infektionen bis hin zu Brute-Force-Attacken und der Ausnutzung von Software-Schwachstellen, die durch mangelndes Patch-Management entstehen.
Besonders kritisch sind Angriffe auf Update-Mechanismen oder die Manipulation der Open-Source-Software-Lieferkette. Dabei wird Schadsoftware in legitime Dateien eingeschleust oder Entwickler werden dazu verleitet, kompromittierte Software zu verwenden.
Vor allem Angriffe auf Open-Source-Technologien nehmen zu. Ein bemerkenswerter Vorfall im Jahr 2024 war der 3CX-Fall, bei dem ein Open-Source-Projekt mit einer Backdoor versehen wurde. Diese wurde erst entdeckt, als ungewöhnlich hohe CPU-Auslastungen aufgrund der Hintertür registriert wurden.
Ein weiteres Beispiel betrifft eine Reihe verdächtiger, scheinbar nicht zusammenhängender E-Mails an die OpenJS Foundation. Dieser Vorfall führte dazu, dass die OpenJS Foundation gemeinsam mit der Open-Source Security Foundation eine offizielle Warnung aussprach und Open-Source-Entwickler dazu aufrief, ihre Projekte verstärkt abzusichern.
Laut aktuellen ENISA-Daten waren die am stärksten betroffenen Sektoren durch Supply-Chain-Angriffe Digitale Infrastruktur (8 %), Produktion & Fertigung (6 %). Unternehmensdienstleistungen (8 %).
4. Insider-Bedrohungen
Bei dieser Art von Angriff wird der autorisierten Zugriff eines Mitarbeitenden genutzt, um sensible Daten zu entwenden und damit die Vertraulichkeit und Integrität dieser Informationen zu gefährden, mit potenziell schwerwiegenden Folgen für das Unternehmen.
Typische Formen von Insider-Bedrohungen sind Diebstahl geistigen Eigentums und Cyber-Spionage. Beide können dazu führen, dass Kundendaten oder geschäftskritische Informationen offengelegt werden, Konkurrenten sich einen unfairen Vorteil verschaffen oder – in extremen Fällen – ein Produktionsunternehmen sogar seine Marktposition verliert.
Diebstahl geistigen Eigentums betrifft häufig F&E-Daten, darunter innovative Produkte, Materialien, Geschäftsprozesse oder Produktdesigns. Fehlen angemessene Cybersecurity-Maßnahmen, erkennen Unternehmen möglicherweise nicht einmal, dass die Integrität ihrer Daten verletzt wurde und dass geistiges Eigentum entwendet wurde.
Staatlich gesponserte Angriffe stellen eine zusätzliche Bedrohungsebene dar, bei der Cyber-Spionage die größte Sorge ist. Hersteller können ins Visier von Nationalstaaten geraten, die entweder die Wirtschaft eines Landes destabilisieren oder sich durch den Diebstahl einen globalen Wettbewerbsvorteil sichern wollen. Aufgrund ihrer langen Lieferketten und zahlreichen Geschäftsbeziehungen sind Hersteller besonders anfällig für diese Art von Angriffen.
5. Denial-of-Service (DoS) und Distributed-Denial-of-Service (DDoS) Angriffe
(Distributed) Denial-of-Service (DDoS)-Angriffe zielen auf die Verfügbarkeit von Systemen und Daten ab. Dabei überfluten Angreifer das Netzwerk des Ziels mit massivem Datenverkehr, bis das System nicht mehr reagieren kann oder abstürzt. Diese Methode verhindert, dass legitime Nutzer auf Systeme, Geräte, Daten oder andere Unternehmensressourcen zugreifen können.
Der Anstieg von DDoS-Angriffen wird insbesondere auf zwei Faktoren zurückgeführt:
Laut dem ENISA Threat Landscape 2024 Report werden DDoS-Angriffe zunehmend als Ablenkungsmanöver eingesetzt, um andere Angriffe zu verschleiern.
Ein besonders kritischer Angriffspfad betrifft Cloud-Umgebungen, da diese fortgeschrittene DDoS-Techniken ermöglichen. Für Hersteller sind insbesondere mobile und sensorbasierte Angriffsszenarien von wachsender Bedeutung.
Eine weitere gefährliche Variante ist der Ransom Denial-of-Service (RDoS)-Angriff. Dabei handelt es sich um eine finanziell motivierte Erpressungstaktik, bei der Angreifer gezielt verwundbare Systeme ausfindig machen, um sie mit DDoS-Angriffen lahmzulegen und anschließend ein Lösegeld (Ransom) zu fordern.
Insgesamt stellt ENISA fest, dass sich folgende Trends abzeichnen: DDoS-Angriffe werden günstiger, leichter umzusetzen, großflächiger und komplexer, insbesondere durch sogenannte Multi-Vektor-DDoS-Angriffe. Gründe hierfür sind die verstärkte Nutzung von leicht zugänglicher Open-Source-Technologie, der Einsatz generativer KI sowie die zunehmende Kommerzialisierung von „Cybercrime-as-a-Service“-Angeboten.
Fazit und Ausblick
Es ist an der Zeit, dass Hersteller über traditionelle Sicherheitsmaßnahmen hinausgehen und proaktive Verteidigungsstrategien implementieren. Während Bedrohungsakteure immer schneller, raffinierter und effektiver werden, müssen Industrieunternehmen Cybersicherheit fest in ihre Business-Continuity-Pläne integrieren.
Eine Investition in Cybersicherheit bedeutet, die eigenen Betriebsabläufe, geistiges Eigentum und Reputation zu schützen. Die Fähigkeit, Bedrohungen frühzeitig zu erkennen, darauf zu reagieren und ihnen vorzubeugen, kann darüber entscheiden, ob ein Unternehmen erfolgreich bleibt oder zum Stillstand kommt.
Hier kommt Eye Security ins Spiel. Industrieunternehmen können durch 24/7 Managed Detection & Response (MDR) mit Incident Response (IR), fundierte Expertenunterstützung und integrierte Cyberversicherung ihre Sicherheitsstrategie verstärken und ihre Abwehrmaßnahmen optimieren.
