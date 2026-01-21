Ein Cyberangriff auf einen Betreiber kritischer Infrastrukturen kann innerhalb kürzester Zeit zu massiven Einschränkungen führen: Kundenportale und Kommunikationssysteme können ausfallen, wichtige Daten gestohlen und die Versorgung mit Strom und Wasser unterbrochen werden. Cyberangriffe konzentrieren sich zunehmend auf KRITIS-Betriebe, da Digitalisierung, vernetzte Steuerungen und hybride IT/OT-Umgebungen Angreifern neue Möglichkeiten für eine gezielte Ausnutzung bieten. Dadurch wachsen die Angriffsflächen von Betreibern kritischer Infrastrukturen kontinuierlich, die Gefahren werden oft noch immer unterschätzt. Deshalb ist für KRITIS eine umfassende Transparenz über die eigene Angriffsfläche besonders wichtig – denn nur wer angreifbare Infrastrukturen kennt und kontinuierlich beobachtet, kann sie auch ausreichend schützen.

Von Harald Röder, Senior Solutions Engineer bei Censys

Der im November 2025 veröffentlichte BSI-Lagebericht zur IT-Sicherheit in Deutschland zeigt, dass die digitale Angriffsfläche von Unternehmen weiter wächst. Im Untersuchungszeitraum wurden durchschnittlich 119 neue Schwachstellen pro Tag gefunden, ein Anstieg um knapp 24 % im Vergleich zu 2024. Wenn sie nicht bekannt ist oder nicht geschlossen wird, ist jede neu entdeckte Schwachstelle eine offene Tür in Netzwerke und kann von Angreifern entsprechend ausgenutzt werden. Wer seine Angriffsfläche nicht kennt oder nicht aktiv absichert, geht daher ein erhebliches Risiko ein. Schließlich kann für Angreifer jede neue Schwachstelle, jedes unentdeckte Gerät und jeder nicht geschlossene Zugangspunkt ein Einstieg in die IT-Infrastruktur des Unternehmens sein. Erschwerend kommt hinzu, dass die Angriffsfläche von Unternehmen und Organisationen nicht nur groß, sondern auch ständig in Bewegung und mitunter sehr verteilt ist.

Warum Sichtbarkeit über Angriffsflächen ein Muss ist

Umfassende Transparenz ist unerlässlich – rund 15 % der Angriffsfläche des Internets ändert sich täglich, neue Systeme kommen hinzu, Ports werden geöffnet, Dienste migriert oder falsch konfiguriert. Ohne kontinuierliche Überwachung bleiben solche Veränderungen unbemerkt, dadurch entstehen neue Einfallstore für Cyberangriffe. Aktuelle und detaillierte Daten über die Angriffsfläche und deren Änderung sind daher unverzichtbar.

Allerdings besteht bei vielen KRITIS-Betreibern noch erheblicher Nachholbedarf bei der frühzeitigen Erkennung von Angriffen – viele bemerken einen Angriff erst, wenn es bereits zu spät ist. Angriffe auf Stadtwerke wie zuletzt in Detmold, Clausthal-Zellerfeld oder Schwerte zeigen, dass KRITIS-Betreiber verstärkt ins Visier von Angriffen gerückt sind – oft über exponierte, falsch konfigurierte oder vergessene Systeme. Dabei fokussieren sich Angreifer längst nicht mehr nur auf klassische IT-Systeme, auch Lieferketten und die OT stehen im Fokus. Die steigende Zahl der gemeldeten Störungen bei KRITIS-Betreibern in Bereichen wie Wasser- und Energieversorgung oder Transport unterstreicht diese Entwicklung.

Exponierte ICS und IoT als großes Risiko

Versorger und andere Anbieter von kritischen Infrastrukturen sollten daher die eigene Angriffsfläche fortlaufend beobachten und bewerten. Kontinuierliches Scanning und Attack Surface Management unterstützen dabei, extern erreichbare Systeme, Infrastrukturen, Assets und Hosts systematisch zu erkennen. So lassen sich öffentlich über das Internet erreichbare Assets, Geräte, Domains, Sub-Domains, Cloud-Instanzen, Schatten-IT, Zertifikate und APIs identifizieren. Jedes Element der Angriffsfläche sollte dann nach Risikolage bewertet werden, um die Angriffsfläche zu reduzieren.

Durch die zunehmende Vernetzung von IT und OT werden jedoch auch IoT-Komponenten und industrielle Steuerungssysteme zunehmend zum Ziel von Cyberangriffen. Angreifer können beispielsweise auch ungeschützte Steuersysteme im Internet finden. Die dem Internet zugewandte OT ist ein Experimentierfeld für Zero Day-Exploits; erfolgreiche Angriffe können schwerwiegende Folgen haben.

Eine Untersuchung mit der Scanning-Infrastruktur von Censys zeigt, dass etwa 8.000 ICS- und IoT-Geräte in Deutschland eine Sicherheitslücke aufweisen, rund 2.700 davon sind Sicherheitslücken mit einem hohen CVSS-Score von über 9. Knapp 2.300 der Geräte weisen Sicherheitslücken auf, von denen die CISA bestätigt hat, dass sie aktiv ausgenutzt werden. Öffentlich erreichbare, ungeschützte Steuerungssysteme stellen somit ein großes Risiko dar, bei erfolgreichen Angriffen kann beispielsweise die Strom- oder Wasserversorgung unterbrochen werden.

Cybersicherheit beginnt bei der Angriffsfläche

Cybersecurity ist für Betreiber kritischer Infrastrukturen ein wichtiges Thema, die wachsende und hochdynamische Angriffsfläche macht es erforderlich, Sicherheit ganzheitlich über IT und OT hinweg zu betrachten. Wer nicht weiß, was von außen sichtbar und erreichbar ist, kann seine Infrastrukturen, Geräte und Systeme auch nicht wirksam schützen. Kontinuierliche Transparenz über die eigene Angriffsfläche ist in Kombination mit Threat Intelligence und aktiver Angriffserkennung die Grundlage für resiliente KRITIS-Betreiber. Angesichts steigender Angriffe, zunehmender Ausnutzung bekannter Schwachstellen und wachsender Abhängigkeiten ist dies besonders wichtig für Versorgungssicherheit und Betriebsstabilität.

