Im August traf einen europäischen Industriekonzern in Asien ein Angriff, der harmlos wirkte: Eine Chat-Nachricht über WhatsApp, getarnt als Stellenbeschreibung mit ZIP-Archiv, entfaltete beim Öffnen eine perfide Kette. Ein PDF-Viewer lud zusammen mit einer manipulierten Bibliothek Schadcode nach – das sogenannte DLL-Sideloading. So entstand eine Hintertür ins Unternehmensnetz. Von dort aus spionierten die Angreifer, weiteten Rechte aus und stahlen Daten. Hinter dem Angriff steht mutmaßlich die nordkoreanische Gruppe ‚Lazarus‘. Der Fall zeigt typische Schwachstellen moderner Produktionsbetriebe: die enge Verknüpfung von IT und OT sowie die Abhängigkeit von Standardsoftware, die sich leicht missbrauchen lässt.
Warum Produktionsbetriebe betroffen sind
Angriffe beginnen selten in der Werkhalle, enden aber oft dort. Angreifer nutzen Menschen, Kommunikations-Apps und alltägliche Dokumente, um in wertschöpfende Bereiche vorzudringen. Wer die Schnittstelle zwischen IT und OT kontrolliert, beeinflusst Taktzeiten, Rezepturen und Qualitätsdaten. Genau hier setzen Angreifer an – und genau hier braucht es Schutz.
Legitime Tools, illegitime Zwecke
Im geschilderten Fall wurde nicht die PDF-Datei selbst, sondern ein präpariertes Viewer-Paket (legitimer Reader plus manipulierte Bibliothek) ausgeführt und lud unbemerkt Schadcode nach. Betriebssysteme vertrauen signierten Programmen, und viele Unternehmen schränken das Nachladen von Bibliotheken nicht ein. Der Schadcode etablierte eine Verbindung zu C2-Servern (Command-and-Control) und folgte einem bekannten Muster: Nutzer ausspähen, Systeme analysieren, Daten und Zugänge sichern. In schlecht segmentierten Netzen reichen bereits wenige Schritte, um OT-nahe Systeme wie Historian-Server oder Wartungsgateways zu erreichen.
Wechselnde Werkzeuge, bleibende Muster
Gruppen wie Lazarus nutzen verschiedene Loader und RATs (Remote-Access-Trojaner), die über legitime Web-Dienste kommunizieren, Dateien verschieben, Befehle empfangen und Spuren verwischen. So nutzte der auf Windows-Servern entdeckte RAT ‚Kaolin‘ kompromittierte SharePoint- oder WordPress-Instanzen als Zwischenstation. Andere Tools erscheinen in neuen Varianten, ändern aber nur die Oberfläche und Datenübertragung, um unentdeckt zu bleiben. Entscheidend bei der Abwehr ist nicht der Name, sondern die Prozesskette: Social Engineering, Initialausführung in vertrauenswürdigen Prozessen, unauffällige C2-Kommunikation, schrittweise Rechteausweitung, laterale Bewegung und zielgerichtete Exfiltration.
Ein falscher Klick kann ausreichen
In der Fertigung verstärkt die OT/IT-Konvergenz das Risiko. Produktionsanlagen sind oft länger im Dienst als Bürorechner, Patches lassen sich nicht jederzeit einspielen, und Fernwartungen sind unverzichtbar. Wird ein Office-Client zum Einfallstor, laufen Angriffe entlang identitätsbasierter Vertrauensbeziehungen weiter: Ein Domain-Admin mit Zugriff auf Dateiserver besitzt oft auch administrative Rechte auf Maschinen, die historisch ins Active Directory eingebunden wurden. Wenn hier strikte Zonen- und Conduits-Konzepte nach IEC62443 fehlen, reicht ein falscher Klick, damit ein Office-Vorfall die Prozess-IT berührt.
Mögliche Schutzmechanismen
Eine Schutzkette muss den Angriffsfluss an mehreren Stellen unterbrechen, ohne den Betrieb zu stören. Der erste Schritt: Angriffe an den üblichen Kommunikationskanälen verhindern. So sollten Chat- und Mail-Gateways Dateien grundsätzlich in isolierten Umgebungen prüfen. Ebenso sinkt die Trefferquote von Ködern, wenn neu aufbereitete, potenziell gefährliche Inhalte in sichere Formate überführt werden (Content Disarm & Reconstruction). Wo immer möglich, sollten ausführbare Anhänge aus kollaborativen Kanälen gesperrt oder mit manuellen Freigabeschritten versehen werden. Parallel begrenzen AppLocker- und WDAC-Profile (Windows Defender Application Control) die Möglichkeit, fremde Bibliotheken in legitime Prozesse einzuschleusen. Mit einer streng selektierten Positivliste samt sauber dokumentierten Ausnahmen lässt sich DLL-Sideloading auf breiter Front verhindern.
Der zweite Schutzwall betrifft Identitäten und Berechtigungen. In vielen Industrienetzen existieren noch immer gemeinsame Admin-Konten oder technische Benutzer mit Rechten über Office und OT hinweg. Eine Trennung der Identitäten, dedizierte Jump-Hosts (abgesicherte Übergabepunkte zwischen Netzwerkzonen) und ‚Tiering-Modelle‘ für Administratoren erschweren laterale Angriffe. Multifaktor-Authentifizierung hilft wenig, wenn ein kompromittierter Prozess ohnehin lokal mit hohen Rechten läuft. Deshalb sind Just-in-Time-Privilegien, kurzlebige Tokens und eine strikte Sitzungsüberwachung entscheidend. Eine gehärtete Softwareverteilung und kontrollierte Skriptausführung verhindern zudem, dass Angreifer Standard-Tools für ihre Zwecke missbrauchen.
Der dritte Schutzriegel liegt in der Sichtbarkeit. Ein modernes SOC benötigt Messdaten aus der Nähe kritischer Prozesse. Während Prozessdaten tabu bleiben, liefern Anmelde-, Prozess-, DNS-, Proxy- und PowerShell-Logs aus OT-nahen Zonen, wertvolle Hinweise zur Identifikation typischer Muster. IOA und IOC (Indicators of Attack/Compromise) für verdächtige View-er/DLL-Kombinationen, ungewöhnliche Verbindungen zu Cloud-Diensten oder auffällige ZIP-/PDF-Kaskaden sollten kontinuierlich überwacht werden. Ein Incident-Response-Playbook (IR-Playbook) muss zudem die Realitäten des Schichtbetriebs abbilden: Wer darf wann welche Anlage in welchen Zustand versetzen? Wie koordiniert man Lieferanten? Welche Notfallmaßnahmen halten die Produktion im Degradationsmodus stabil?
Nachweisbar sicher und auditfest handeln
Regulatorische Vorgaben helfen, den Aufwand zu rechtfertigen. Der Ende Juli vom Bundeskabinett vorgelegte Entwurf des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) verlangt etwa nachweisbare Sicherheitsmaßnahmen und ein belastbares Incident-Management. Zudem nimmt der ab Dezember 2027 vollständig geltende Cyber Resilience Act (EU-Verordnung zur Produktsicherheit) Hersteller und Betreiber in die Pflicht, Sicherheitsprozesse, wie Software-Bill-of-Materials (SBOM) und Patch-Prozesse nachvollziehbar zu führen. IEC62443 bietet den Rahmen, um Zonen, Übergänge, Rollen und technische Kontrollen zu definieren. Unternehmen, die den beschriebenen Fall als Blaupause für ihre Gefährdungsanalyse nutzen, können Maßnahmen direkt auf Governance-Pflichten abstimmen und so Budget, Prioritäten und Messpunkte festlegen.
Klare Regeln
Der wichtigste Hebel ist die Kultur im Unternehmen. Statt aus dem Bauch heraus auf Links und Anhänge zu reagieren, müssen Mitarbeitende einfachen und verbindlichen Spielregeln folgen. Empfehlenswert sind realistische Übungen mit Chat- und Meeting-Ködern, um den Blick zu schärfen, denn dadurch werden Auffälligkeiten früher erkannt und sofort gemeldet. Für Dateien, Links und Bewerbungsunterlagen in Chat-Kanälen gelten klare Do’s and Don’ts, damit niemand unter Zeitdruck allein entscheiden muss. Die Technik ist dabei so eingestellt, dass riskante Aktionen standardmäßig gebremst werden ohne den Arbeitsfluss aufzuhalten, etwa durch das Öffnen von Anhängen in einer sicheren Umgebung oder zusätzliche Bestätigungen. Das macht Angriffe langsamer und teurer für die Angreifer.
Social-Engineering-Ketten schwächen
Gruppen wie Lazarus arbeiten arbeitsteilig, iterieren schnell und nutzen alltägliche Prozesse: Kommunikation, Kollaboration und Standardsoftware. Fertigungsunternehmen, die das erkennen und ihre Netze so gestalten, dass Fehler nicht eskalieren, senken ihre Risiken erheblich. Wer die drei Schutzwälle – Content-Härtung an der Peripherie, strikte Identitäts- und Zonen-Trennung, OT-nahe Sichtbarkeit mit eingeübten Reaktionsabläufen – konsequent umsetzt, schwächt Social-Engineering-Ketten.
