Ransomware-Resilienz: Wie Unternehmen ihre OT-Umgebungen wirksam schützen

Ransomware ist Schadsoftware, die Daten verschlüsselt und Systeme blockiert – bis ein Lösegeld gezahlt wird. Für Angreifer ist das lukrativ, für Unternehmen verheerend. Ein prominentes Beispiel: der Angriff auf die Colonial Pipeline 2021 in den USA, der die Kraftstoffversorgung lahmlegte. Ursache war eine fehlende Zwei-Faktor-Authentifizierung – eine kleine Lücke mit großer Wirkung.

Das Geschäftsmodell „Ransomware-as-a-Service“ macht es inzwischen selbst weniger versierten Kriminellen leicht, solche Attacken zu starten. Die Folge: Ransomware gilt laut der Agentur der Europäischen Union für Cybersicherheit (ENISA) als Cyberbedrohung Nummer eins.

Die gute Nachricht: Viele Einfallstore lassen sich mit soliden Basics verschließen. Studien zeigen, dass 84 % der Erstzugriffe auf kritische Infrastrukturen durch bewährte Best Practices vermeidbar wären:

• Asset- und Patch-Management: Systeme aktuell halten.
• Credential Hardening: Starke Passwörter und Mehr-Faktor-Authentifizierung nutzen.
• Least Privilege: Zugriffe auf das absolut Notwendige beschränken.
• Besonders kritisch: Fernzugriffe, alte Betriebssysteme oder externe USB-Sticks. Fehlerhafte Konfigurationen oder mangelnde Kontrolle eröffnen Hackern Tür und Tor.

Direkte Angriffe treffen das OT-System selbst, etwa über unsichere Fernzugänge oder ungeschützte Geräte. Indirekte Angriffe starten oft in der IT – etwa via Phishing oder kompromittierte VPN-Zugänge – und wirken sich dann auf die Produktion aus.

Da IT- und OT-Systeme eng verzahnt sind, kann selbst ein vermeintlich kleiner Angriff massive Folgen haben.

Wer OT-Umgebungen schützt, muss auf ein „defensives Design“ setzen – also Architekturen, die Sicherheit von Anfang an mitdenken. Ein Beispiel ist die ABB ICS-Referenzarchitektur für Cybersicherheit, die Angriffsflächen reduziert und robuste Strukturen schafft. Ergänzt wird das durch:

• Regelmäßige Updates aller Systeme.
• Monitoring und Intrusion Detection zur schnellen Erkennung verdächtiger Aktivitäten.
• Application allow-lists, die nur bekannte Anwendungen zulassen.
• Schulung aller Mitarbeitenden – denn oft sind unbedachte Klicks das größte Risiko.

Kommt es dennoch zu einem Angriff, zählt vor allem eines: vorbereitet sein. Unternehmen brauchen klar definierte Recovery Time Objectives (RTO) und maximale Recovery Point Objectives (RPO). Notfallpläne, Backups und Ersatzhardware sind Pflicht.

Der Wiederaufbau erfolgt Schritt für Schritt: Systeme säubern, Schwachstellen beheben, Passwörter ändern, Vorfall dokumentieren – und daraus lernen. Denn jede Krise liefert wertvolle Erkenntnisse für die Zukunft.

Ransomware-Angriffe werden uns auch künftig begleiten. Umso wichtiger ist es, dass Unternehmen den Schutz ihrer IT- und OT-Systeme als festen Bestandteil ihrer digitalen Transformation begreifen. Wer auf Prävention, klare Prozesse und resiliente Architekturen setzt, kann Schäden begrenzen – und den Erpressern ihr Geschäftsmodell entziehen.