Barrierefreiheit
Sprache
Digitale Eingriffe in vernetzte Systeme: Wie real sind Cyberangriffe auf kritische Infrastrukturen?
Cybersecurity zum Schutz von Operational Technology
18.03.2026
Der Verkehr in einer Stadt folgt festen Mustern: Ampeln regeln die Kreuzungen, Verkehrsströme greifen ineinander. Für die meisten wirkt das selbstverständlich.
Doch was geschieht, wenn mehrere Anlagen gleichzeitig ausfallen? Innerhalb weniger Minuten entstehen Unsicherheiten und der gewohnte Rhythmus gerät ins Stocken. Was zunächst wie eine technische Störung wirkt, kann sich als gezielter digitaler Eingriff in ein vernetztes System erweisen.
Cyberangriffe betreffen längst nicht mehr nur Daten oder E-Mail-Konten. Sie treffen Maschinen, Anlagen und Verkehrsinfrastrukturen – also genau jene Systeme, die unsere physische Welt strukturieren und stabilisieren.
Wie verwundbar sind diese Strukturen tatsächlich? Wo liegen typische Schwachstellen? Und was bedeutet das für Unternehmen?
Diese Fragen diskutieren wir im folgenden Interview mit Martin Aman, CTO der TG alpha GmbH. Er ist seit über zehn Jahren im Bereich der Operational Technology (OT) Security tätig und unterstützt Industrieunternehmen bei Fragen der Cybersecurity, dem Schutz kritischer digitaler Infrastrukturen sowie bei Themen rund um Digitalisierung und Nachhaltigkeit. Gemeinsam sprechen wir über reale Szenarien, regulatorische Entwicklungen und darüber, wie digitale Sicherheit in der industriellen Praxis umgesetzt werden kann.
Herr Aman, inwieweit entspricht das oben genannte Szenario tatsächlichen Bedrohungslagen?
Martin Aman: Ein solches Szenario wäre grundsätzlich möglich. Konkret geht es um Lichtsignalanlagen, also Ampelsysteme, deren Komponenten ursprünglich ohne Berücksichtigung von Cybersecurity-Aspekten entwickelt wurden. In Kombination mit der jeweiligen Netzwerkarchitektur könnte dies dazu führen, dass ein Angriff grundsätzlich realistisch wäre.
Dass es bislang in der Regel nicht dazu kommt, liegt jedoch daran, dass zusätzliche Schutzmaßnahmen greifen. Neben digitalen Sicherheitsmechanismen spielt insbesondere die physische Sicherheit eine zentrale Rolle. Zugangsbeschränkungen durch Schlösser, Zäune oder abgeschirmte Bereiche erschweren einen Angriff erheblich, da potenzielle Angreifer zunächst physischen Zugriff auf das System und das Netzwerk erlangen müssten.
Wären die Systeme hingegen vollständig und ungeschützt mit dem Internet verbunden, wäre ein solches Angriffsszenario durchaus realistisch.
Sie unterstützen mit Ihrem Team unter anderem Unternehmen im Bereich der kritischen Infrastruktur. Welche Arten von Vorfällen haben Sie in diesem Zusammenhang tatsächlich erlebt?
Martin Aman: Das Thema Kritische Infrastrukturen ist ja jetzt in aller Munde, nicht zuletzt wegen der Vulkangruppe in Berlin. Dort zeigt sich erneut, dass bereits über physische Angriffe, etwa durch Brandsätze oder Sabotage, erheblicher Schaden entstehen kann.
Ein ähnliches Szenario wie im Teaser haben wir bereits 2019 in einer größeren Stadt mit rund 150.000 Einwohnern und 200 Kreuzungen mit Lichtsignalanlagen beobachtet. Uns wurde damals ein entsprechendes System zu Testzwecken zur Verfügung gestellt, um zu prüfen, wie einfach es wäre, ein solches System zu hacken. Und es war erschreckend einfach.
Nach etwa 30 Minuten mit ein bisschen Internetrecherche konnte ich nachvollziehen, wie Root-Rechte, also administrative Zugriffsrechte auf die Steuerung einer solchen Lichtsignalanlage, also einer Ampel, erlangt werden können. Dadurch konnte demonstriert werden, dass sich das System im Falle einer erfolgreichen Kompromittierung sogar gezielt außer Betrieb setzen ließe.
Wo genau lag dabei die Schwachstelle?
Martin Aman: Die Schwachstelle war einfach nur, dass es einen Debug-Modus für diesen Zugang gab, welcher ohne jegliche Authentifizierung wie Benutzername und Passwort offen zugänglich war. Vermutlich war dieser Zugang ursprünglich für Service- oder Wartungszwecke vorgesehen.
Aus sicherheitstechnischer Sicht war seine Existenz jedoch problematisch, da er einen Angriff erheblich erleichterte. Sobald Root-Rechte auf einem System vorhanden sind, besteht vollständige Kontrolle. In diesem Fall ließen sich sämtliche Funktionen manipulieren, einschließlich einer gezielten Abschaltung der Anlage.
Welche Maßnahmen empfehlen Sie, wenn ein solcher Vorfall eintritt oder droht?
Martin Aman: Grundsätzlich ist es sinnvoll, zunächst eine Analyse des Ist-Zustandes in Form einer Risikoanalyse durchzuführen. Viele dieser Netzwerke sind häufig nicht sauber dokumentiert. Eine solche Analyse ist notwendig, um abschätzen zu können, welche Gefahren tatsächlich bestehen und welche Risiken priorisiert werden müssen.
Auf dieser Basis können anschließend geeignete Gegenmaßnahmen eingeführt werden. Dazu kann beispielsweise die Beauftragung eines Pen-Testing gehören, wie es auch in dem beschriebenen Fall erfolgt ist. Ein Penetrationstest bedeutet, dass die Sicherheit der betreffenden Systeme gezielt und umfassend überprüft wird.
Darüber hinaus können verstärkte physische Schutzmaßnahmen oder zusätzliche Cybersecurity-Maßnahmen umgesetzt werden. Dazu zählen etwa die Einführung von Authentifizierungsmechanismen oder die technische Härtung der Geräte, damit diese nicht so leicht kompromittiert werden können.
Wird Cybersecurity beim Bau neuer Anlagen und Infrastrukturen heute von Anfang an mitgedacht oder gilt sie noch immer als Nice-to-have?
Martin Aman: Es ist jetzt tatsächlich eher am Kommen. Das hängt auch mit der Cybersecurity-Strategie der Europäischen Union zusammen. In diesem Zusammenhang wurden verschiedene Regularien und Verordnungen auf den Weg gebracht, unter anderem der Cyber Resilience Act.
Dabei geht es darum, sichere Produkte auf den Markt zu bringen, beziehungsweise, wie es im Wortlaut heißt, „in Verkehr zu bringen“. Ursprünglich war die Denkweise vor allem auf Consumer-Geräte ausgerichtet. Wenn man sich vorstellt, man kauft beispielsweise ein Handy oder einen Fernseher bei einem Discounter und erhält ab dem ersten Tag keine Updates mehr, weil das Produkt bereits länger existiert und nur noch Restbestände verkauft werden, ist das sicherheitstechnisch problematisch.
Genau hier setzt der Cyber Resilience Act an. Für solche Produkte soll es künftig eine Mindestlaufzeit geben. Ab dem Zeitpunkt des Inverkehrbringens müssen Hersteller über einen bestimmten Zeitraum, in der Regel mindestens fünf Jahre, Sicherheitsupdates und Patches bereitstellen.
Zudem wird gefordert, einen sicheren Entwicklungsprozess einzuführen. Dieser kann von Marktaufsichtsbehörden überprüft werden. Unternehmen müssen also darlegen können, dass sie Cybersecurity im Entwicklungsprozess angemessen berücksichtigen.
"Viele Unternehmen glauben, sie seien kein interessantes Ziel für Cyberangriffe. In Wirklichkeit werden sie oft genau deshalb angegriffen."
Martin Aman
CTO bei TG alpha GmbH
Insgesamt ist das Thema sehr komplex. Sie engagieren sich im Netzwerk Cybersecurity bei Bayern Innovativ. Wie unterstützen Sie konkret kleine und mittlere Unternehmen?
Martin Aman: Die TG alpha unterstützt bei allen Cybersecurity-Themen im Bereich OT, also überall dort, wo es nicht um klassische Büro-IT geht, sondern um Gebäudeautomation, kritische Infrastrukturen sowie Maschinen und Anlagen.
Im Zusammenhang mit Regularien und Verordnungen beraten wir ebenfalls. Wir sind keine Anwälte, sondern kommen aus der Elektrotechnik und angrenzenden Fachbereichen. Unser Anspruch ist es jedoch, die regulatorischen Anforderungen verständlich aufzubereiten. Da wir die Unternehmen und ihre Rolle in der industriellen Praxis kennen, können wir einordnen, was die Vorgaben konkret bedeuten, welche Maßnahmen erforderlich sind und wo Handlungsbedarf besteht. Das ist eines der Themen, in denen wir im Consulting tätig sind.
Neben der Beratung bieten wir auch Pen-Testing an und unterstützen bei Sicherheitsarchitekturen, beim Design sowie bei der Bewertung von Systemen. Ziel ist es, Unternehmen einen Partner an die Seite zu stellen, der industrielles Verständnis mit Cybersecurity-Kompetenz verbindet.
Viele KMUs stehen vor der Herausforderung, zunächst überhaupt Fachpersonal für Cybersecurity zu finden, das ist häufig ein großer Kostenfaktor. Gleichzeitig lassen sich Erkenntnisse aus der klassischen IT-Welt nicht eins zu eins auf OT-Systeme übertragen. Typische IT-Lösungen, etwa die Installation eines Antivirus-Programms auf einer Steuerung, funktionieren in der Praxis nicht, da die Ressourcen der Geräte ausschließlich für ihren spezifischen Anwendungsfall geplant sind und dementsprechend nichts extra installieren können.
Wo sehen Sie weitere Lücken, bei denen Sie sagen, hier muss unbedingt genauer hingeschaut werden?
Martin Aman: Eine zentrale Lücke sehe ich in der eigenen Mentalität. Viele Unternehmen gehen das Thema Cybersecurity noch immer zu naiv an. Häufig heißt es: „Wir sind nicht relevant, uns wird es schon nicht treffen.“ Dabei wird oft übersehen, dass viele Unternehmen als Zulieferer für größere Konzerne tätig sind oder Dienstleistungen für diese erbringen. Wer beispielsweise direkt an einen großen Automobilkonzern liefert, ist Teil der Lieferkette. In diesem Fall kann ein Unternehmen schnell zum Einfallstor für Angriffe werden.
Große Konzerne stellen zwar entsprechende Anforderungen an ihre Zulieferer, gleichzeitig bleibt jedoch ein gewisses Restrisiko bestehen. Ein Angreifer könnte gezielt den vermeintlich schwächeren Zulieferer ins Visier nehmen, um über diesen Zugang zu einem größeren Unternehmen zu erhalten.
Entscheidend ist daher, nicht zum Brückenkopf für weitere Angriffe zu werden. Viele unterschätzen, dass auch kleinere Unternehmen attraktive Ziele sein können. Sie arbeiten mit verschiedenen Kunden zusammen, besitzen sensible Informationen und unterliegen Geheimhaltungsvereinbarungen. Gelangen solche Daten nach außen, kann das erhebliche Folgen haben.
Gibt es aus Ihrer Sicht eine Art Quick Win, also eine konkrete Maßnahme, die Unternehmen beispielsweise schon morgen umsetzen könnten, um im Bereich Cybersecurity ein Stück sicherer zu werden?
Martin Aman: Grundsätzlich würde man zunächst sagen: Kümmert euch darum. Das ist jedoch kein klassischer Quick Win, da es mit Aufwand verbunden ist. Eine kurzfristig umsetzbare Maßnahme liegt eher im Bereich des physischen Schutzes.
Für Angriffe ist es immer entscheidend, wie leicht ein System erreichbar ist, auch physisch. Das kann bereits bedeuten, Zugang zu einem Rechenzentrum zu erhalten und beispielsweise einen USB-Stick einzustecken. Solche Szenarien wirken konstruiert, sind aber grundsätzlich möglich. Auch der zeitliche Faktor spielt dabei eine Rolle.
Ein pragmatischer Ansatz kann sein, sich zunächst bewusst zu machen, welche Systeme unsicher sind oder unverschlüsselt miteinander kommunizieren. Diese können dann beispielsweise gemeinsam in einem abgeschlossenen Schaltschrank untergebracht werden, der tatsächlich gesichert ist.
Ein weiteres Beispiel ist die Fernwartung. Hier kann festgelegt werden, dass eine Verbindung nur dann hergestellt wird, wenn ein konkretes Wartungsfenster vereinbart wurde. Nach Abschluss der Wartung wird die Verbindung wieder getrennt. Auf diese Weise wird ein potenzieller Angriffsweg zeitlich begrenzt, anstatt dauerhaft verfügbar zu sein.
Sie haben sicherlich schon viele spektakuläre OT-Vorfälle erlebt oder zumindest aus nächster Nähe begleitet. Wenn Sie Ihren eindrucksvollsten Fall verfilmen müssten: Für welches Genre würden Sie sich entscheiden?
Martin Aman: Ich würde das gerne im Genre Noir, ähnlich den klassischen Detektivfilmen in Schwarz-Weiß machen wollen. Diese Atmosphäre passt gut, weil sie stark von Ermittlungsarbeit geprägt ist und viel mit inneren Dialogen, Monologen und intensiven Gesprächen mit Betroffenen arbeitet.
Auch typische Elemente wie das Zusammentreffen mit beteiligten Personen ließen sich einbauen. Gerade im Bereich Social Engineering spielen zwischenmenschliche Beziehungen, Manipulation und psychologische Dynamiken eine zentrale Rolle. Das bietet erzählerisch viel Raum.
Falls dieses Genre nicht passen sollte, würde ich mich eher in Richtung „Blade Runner“ orientieren. Auch dort findet sich eine Film-Noir-Ästhetik, kombiniert mit Cyberpunk-Elementen. Diese Mischung aus technischer Dystopie und düsterer Stimmung spiegelt die Thematik ebenfalls gut wider.
Das Interview führte Dr. Tanja Jovanovic, Leitung Marketing & Innovation und Mitglied der Geschäftsleitung, Bayern Innovativ GmbH, Nürnberg.
Verpassen Sie außerdem nicht die Vorgänger-Episode "Cybercrime im Mittelstand – Ein echter Cybersecurity-Fall aus dem IT-Alltag"
Länge der Audiodatei: 00:14:02 (hh:mm:ss)
Cybercrime im Mittelstand – Ein echter Fall aus dem Alltag der Betriebstechnologie (25.02.2026)
Wenn vernetzte Verkehrssysteme oder industrielle Anlagen angegriffen werden, sind die Auswirkungen unmittelbar spürbar: Digitale Angriffe können ganze Prozesse zum Stillstand bringen. Dr. Tanja Jovanović diskutiert mit Martin Aman von der TG alpha GmbH einen realen Cybervorfall aus dem Alltag der Operational Technology.
Ihr Kontakt
Bayern Innovativ Newsservice
Sie möchten regelmäßige Updates zu den Branchen, Technologie- und Themenfeldern von Bayern Innovativ erhalten? Bei unserem Newsservice sind Sie genau richtig!