Die neue Angriffstechnik namens „Evil PLC-Attacke“ ließ sich im Rahmen im Rahmen von Proof-of-Concept-Exploits bei sieben renommierten Automatisierungsherstellern erfolgreich durchführen.
(Quelle: Claroty)
Evil PLC-Attacke: Sicherheitsforscher von Team82 entdecken neue Angriffstechnik gegen Industrieanlagen.
PLCs können Engineering-Workstations dazu veranlassen, bösartigen Code zur Manipulation von Prozessen oder Ransomware auszuführen.
Dabei sind die die speicherprogrammierbaren Steuerungen (SPS) der Ausgangspunkt.
Speicherprogrammierbare Steuerungen (SPS) sind unverzichtbare Industriegeräte, die Fertigungsprozesse in allen kritischen Infrastrukturbereichen regeln. Deshalb sind sie ein interessantes Ziel, wie etwa beim Stuxnet Angriff auf das iranische Atomprogramm. Die Sicherheitsforscher von Team82, der Forschungsabteilung des Spezialisten für die Sicherheit von cyber-physischen Systemen (CPS) Claroty, konnten nun nachweisen, dass industrielle Steuerungssysteme nicht nur als Ziel fungieren. Sie lassen sich vielmehr auch als Waffe einsetzen, um Engineering-Workstations für die Verbreitung bösartigen Codes zu nutzen und weiter in OT- und Unternehmensnetzwerke einzudringen. Diese neue Angriffstechnik namens „Evil PLC-Attacke“ konnte im Rahmen von Proof-of-Concept-Exploits bei sieben renommierten Automatisierungsherstellern (Rockwell Automation, Schneider Electric, GE, B&R, Xinje, OVARRO und Emerson) erfolgreich durchgeführt werden. Mittlerweile haben die meisten der betroffenen Hersteller entsprechende Updates, Patches oder Abhilfemaßnahmen gegen Evil PLC-Attacken veröffentlicht.
Hintergrund
Eine SPS ist ein robuster Computer, der zur Steuerung einer Maschine, eines Automatisierungsprozesses oder einer ganzen Produktionslinie eingesetzt wird. Sie empfängt Daten von Sensoren oder Eingabegeräten, verarbeitet diese Daten und löst auf der Grundlage der aktuell geladenen Code-Logik und Parameter bestimmte Ausgaben aus. Neben der Steuerung eines Automatisierungsprozesses dient die SPS auch er Überwachung und Aufzeichnung von Laufzeitdaten. Sie kann zudem automatisch Prozesse starten und stoppen oder Alarme erzeugen, wenn eine Maschine nicht richtig funktioniert. Dabei ist die SPS-Architektur nur für die Steuerung, Unterstützung, Wartung und Überwachung eines Automatisierungsprozesses ausgelegt. Zur Diagnose, Steuerung und Wartung der speicherprogrammierbaren Steuerungen nutzen Techniker Engineering-Workstations. Durch sie ist es möglich, Zustandsprüfungen der SPS durchzuführen, den aktuellen Zustand aller Komponenten einschließlich der Speichervariablen und der physischen Aspekte der Ein- und Ausgabe anzuzeigen, Firmware-Upgrades durchzuführen und die SPS-Code-Logik zu ändern.
Evil PLC-Attacke
Die meisten Angriffsszenarien, bei denen eine SPS beteiligt ist, betreffen den Zugriff auf die Steuerung und deren Ausnutzung. SPS sind attraktive Ziele für Angreifer. Denn typische industrielle Netzwerke verfügen über Dutzende SPS, die verschiedene Vorgänge ausführen. Angreifer, die einen speziellen Prozess physisch stören wollen, müssen dabei zunächst relativ aufwändig die entsprechende SPS identifizieren. Die Sicherheitsforscher folgten jedoch einem anderen Ansatz. Denn sie konzentrierten sich auf die SPS als Werkzeug und nicht auf das Ziel. Sie nutzten also die SPS, um auf die Engineering-Workstation zuzugreifen. Die Engineering-Workstation ist die beste Quelle für prozessbezogene Informationen und hat Zugang zu allen anderen SPS im Netzwerk. Mit diesem Zugang und diesen Informationen kann der Angreifer leicht die Logik auf jeder SPS ändern.
Die schnellste Methode, einen Techniker dazu zu bringen, sich mit einer infizierten SPS zu verbinden, besteht darin, dass die Angreifer eine Fehlfunktion oder einen Fehler in der SPS verursachen. Somit muss der Techniker eine Verbindung herstellen und die Software der technischen Workstation zur Fehlerbehebung verwenden. Im Rahmen der Untersuchung wurde dieser neue Angriffsvektor auf mehreren weit verbreiteten ICS-Plattformen ausgeführt. Dabei fanden die Spezialisten verschiedene Schwachstellen in jeder Plattform. Sie ermöglichten es, die SPS so zu manipulieren, dass bei einem Upload-Vorgang eigens erstellte Hilfsdaten die Engineering-Workstation dazu veranlassen, bösartigen Code auszuführen. So gelang beispielsweise die Infektion der Workstations mit Ransomware über die Steuerungen Schneider Electric M580 und Rockwell Automation Micro800 sowie das Steuerungssystem GE Mark VIe.
Schwachstellen in der Software der Engineering-Workstations
„Wir halten die Evil PLC-Attacken für eine neue Angriffstechnik. Bei diesem Ansatz wird die SPS mit Daten angegriffen, die nicht unbedingt Teil einer normalen statischen/Offline-Projektdatei sind, und die Ausführung von Code bei einem technischen Verbindungs-/Upload-Vorgang ermöglicht“, erklärt Sharon Brizinov, Directory of Security Research bei Claroty. „Bei diesem Angriffsvektor ist das Ziel nicht die SPS, wie es beispielsweise bei der Stuxnet-Malware der Fall war, die die SPS-Logik heimlich veränderte, um physische Schäden zu verursachen. Stattdessen wollten wir die SPS als Dreh- und Angelpunkt nutzen, um die Techniker und Workstations anzugreifen und um tieferen Zugang zum OT-Netzwerk zu erhalten.“ Dabei ist hervorzuheben, dass alle gefundenen Schwachstellen auf der Seite der Engineering-Workstation-Software lagen und nicht in der SPS-Firmware. In den meisten Fällen sind die Schwachstellen darauf zurückzuführen, dass die Software den von der SPS kommenden Daten voll und ganz vertraut, ohne umfassende Sicherheitsüberprüfungen durchzuführen.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Empfehlungen
Alle im Rahmen der Untersuchung identifizierten Schwachstellen wurden den betroffenen Anbietern gemäß der Coordinated Disclosure Policy von Team82 gemeldet. Die meisten Hersteller haben entsprechende Updates, Patches oder Abhilfemaßnahmen gegen eine Evil PLC-Attacke veröffentlicht. Gleichwohl ist es nicht einfach, ein 100-prozentiges Patching-Niveau zu erreichen, insbesondere bei kritischen Infrastrukturen. Daher sind zusätzliche Maßnahmen zur Risikominderung erforderlich, um das Risiko eines Evil PLC-Angriffs zu verringern.
Bei Evil PLC-Angriffen sind die speicherprogrammierbaren Steuerungen der Ausgangspunkt. Deshalb muss der Zugang zu ihnen so weit wie möglich eingeschränkt werden. Sie sollten keinesfalls von außen zugänglich sein oder online gestellt werden. Aber auch der interne Zugriff ist auf autorisierte Ingenieure und Techniker zu beschränken.
Da die Sicherung der Verbindung zu den speicherprogrammierbaren Steuerungen langwierig, aufwändig und bei falscher Umsetzung sogar unwirksam ist, empfehlen die Claroty-Sicherheitsforscher die folgenden Maßnahmen.
Mögliche Maßnahmen gegen Evil PLC-Attacke
Netzwerksegmentierung und -hygiene. Der erste Schritt zur Sicherung der Verbindung zu den SPS ist die Beschränkung des Zugangs durch eine strikte Segmentierung des Netzwerks. Erlauben Sie den Zugriff auf Ihre SPS nur einer kleinen Gruppe von Engineering-Workstations,. Das reduziert die Angriffsfläche in Ihrem Netzwerk.
Effektive Client-Authentifizierung. Es ist wichtig, die SPS so zu konfigurieren, dass sie einen Client-Authentifizierungsmechanismus verwendet, um die Identität des Clients (Engineering-Workstation) zu validieren. Derzeit implementieren einige Hersteller solche Kommunikationsprotokolle, bei denen nur eine bestimmte und vordefinierte Gruppe von zertifizierten Engineering-Workstations mit der SPS interagieren kann. So unterstützt B&R beispielsweise die TLS Client-Authentifizierung, die in der Automation Server Engineering Workstation konfiguriert werden kann.
Public Key Infrastructure (PKI). Eine noch robustere Lösung ist die Verwendung eines umfassenden PKI-Systems zur Validierung und Verschlüsselung des gesamten Datenverkehrs zwischen dem Client (Engineering-Workstation) und dem Server (SPS). Die gegenseitige Authentifizierung (TLS) hilft, das Risiko eines Hackerangriffs auf Ihre OT-Anlagen zu verringern. Allerdings ist PKI in vielen ICS-Produktlinien noch nicht implementiert. Umfassende PKI-Systeme bieten unter anderem Rockwell Automation CIP Security, Siemens TIA v17 und GE ToolsBoxST Secure Mode.
Überwachung des Netzwerkverkehrs: Der neue Angriffsvektor umfasst die Durchführung von Download- und Upload-Prozeduren zu/von einer SPS. Daher gilt es, den OT-Netzwerkverkehr zu überwachen und insbesondere diese Arten von Ereignissen zu erkennen. Wenn ein solcher Vorgang in einer unerwarteten Situation auftritt, könnte dies auf einen Angriffsversuch hindeuten.
Auf dem neuesten Stand bleiben. Da sowohl Angreifer als auch Sicherheitsverantwortliche diesen neuen Angriffsvektor weiter erforschen, werden weitere Schwachstellen entdeckt werden. OT-Anbieter werden auch zukünftig entsprechende Patches erstellen. Deshalb ist es wichtig, die OT-Software immer auf dem neuesten Stand zu halten, um sich vor diesen kurzfristigen Schwachstellen zu schützen.
:quality(80)/p7i.vogel.de/wcms/b3/c8/b3c8bed3fc533a6a389780be8a68d7f8/acm-2026-02-titelstory-02-1069x601v1.jpeg "Mit Omniverse‑basierten digitalen Zwillingen lassen sich ganze Werke vorab virtuell planen. (Bild: Nvidia/PNY)")
:quality(80)/p7i.vogel.de/wcms/71/b8/71b8f2774c34f0953311943cc06531bd/edag-jan-20berner-ipopba-adobestock-03-27-2026-01-3000x1687v1.jpeg "Eine Industrial Metaverse-Plattform schafft eine digitale Arbeitsumgebung, in der Daten, Modelle und Projektinformationen zusammengeführt werden. (Bild: © ipopba/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4e/fb/4efb7b9f97d0f00924bcf3c353c9da69/autodesk-hannover-20messe-digital-20factory-2224x1250v1.jpeg "Produktionsunternehmen stehen vor der Aufgabe, ihre Werke als vernetzte, lernende Ökosysteme zu betreiben. (Bild: Autodesk)")
:quality(80)/p7i.vogel.de/wcms/33/73/3373d0d4b8283779a847104c0903203e/meltio-20eurobearings-03-26-2026-01-3553x2000v1.jpeg "Metall 3D-Druck von Meltio revolutioniert die Fertigung großer Industriekomponenten von Eurobearings. (Bild: Meltio)")
:quality(80)/p7i.vogel.de/wcms/3a/68/3a68517c209ad45a524cd141cfdf4301/cadfem-antriebstechnik-experten-teaser-03-17-2026-01-1260x709v1.jpeg "Das Systemmodell bildet die Abstrahlleistung über den Hochlauf realitätsnah ab und nutzt dafür reduzierte elektromagnetische und mechanische Modelle. Der Workflow ist modular und lässt sich um Regelung, Applikation und weitere Komponenten erweitern. (Bild: Cadfem)")
:quality(80)/p7i.vogel.de/wcms/fb/ea/fbea636d89f7d81c23fbb4960b81d762/dn-20solutions-asc-03-04-2026-01-3228x1814v1.jpeg "DN Solutions eröffnet das neue Additive Solutions Center Europe in Gütersloh. Abgebildet sind v.l.n.r.: Markus Kottmann (Erster stellvertretender Bürgermeister der Stadt Gütersloh, CDU), Soonhyo Kwon (Leiterin Additive Manufacturing Korea bei DN Solutions) und Dr.-Ing. Vino Suntharakumaran (Vice President Additive Solutions bei DN Solutions). (Bild: DN Solutions)")
:quality(80)/p7i.vogel.de/wcms/86/f7/86f7fdf2dbe51a57f811ed8b4ba140ac/acm-2026-01-201-03-1536x864v1.jpeg "Mit Digitalisierung wächst der Bedarf an Rechenzentren. Drees & Sommer nutzt Autodesk Forma in den frühen Projektphasen. (Bild: Drees & Sommer)")
:quality(80)/p7i.vogel.de/wcms/99/01/99013d36d6a1a4d6998c15e1e1e2a36a/adobestock-1325405458-5760x3238v1.jpeg "Datengrundlagen, Schnittstellen zwischen Planung und Controlling sowie Prozesse neu denken. (Bild: AdobeStock/AndiAzis)")
:quality(80)/p7i.vogel.de/wcms/ad/2d/ad2d6ae5e023dcfffb245544095d0f7d/contelos-intergeo2025-08-18-2025-01-3000x1687v1.jpeg "Symbolbild. (Bild: © Harsha/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/55/9e55e665d8208b9ee44af7c6c13f8abb/esri-autodesk-20forma-06-26-2025-01-3000x1687v1.jpeg "Symbolbild: GIS-Anwendungen (Bild: © Harsha/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/7c/407cafe8eceed4900fad5ad5a47e0137/autodesk-forma-bmw-03-18-2026-02-2599x1463v1.jpeg "BIM-Planungsmodell der Energiezentrale im BMW Group Werk Irlbach-Straßkirchen, erstellt mithilfe von Autodesk Forma (10/2025). (Bild: BMW Group)")
:quality(80)/p7i.vogel.de/wcms/43/c0/43c07790623cb4556720682ef3d758d1/crm-whitepaper-vegefox-02-04-2026-01-3000x1687v1.jpeg "(Bild: © vegefox.com/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/33/8233dedd27986e593cb6e0f4cd6c2e3e/basf-20x3d-katalysatoren-03-26-2026-02-4199x2360v1.jpeg "Die X3D-Katalysatoren von BASF verbinden hohe mechanische Stabilität mit einer offenen Struktur. (Bild: BASF)")
:quality(80)/p7i.vogel.de/wcms/8f/16/8f16b215a3d8d1baa512f105dc077195/mitsubishi-electric-03-26-2026-01-1916x1077v1.jpeg "Überblick über die Implementierung eines Edge-Digital-Twins. (Bild: Mitsubishi Electric)")
:quality(80)/p7i.vogel.de/wcms/32/3c/323c6832bf58859c693be5be2c2ee783/uds-qiapo-3621x2035v1.jpeg "Der Physiker Peter P. Orth (links) und der Informatiker Markus Bläser erforschen im gemeinsamen Projekt QIAPO mit den Industriepartnern Infineon und BMW sowie dem Quanten-Start-up planqc, wie sich die Vorteile von klassischen Rechnern und Quantencomputern zusammenführen lassen. (Bild: © Thorsten Mohr/UdS)")
:quality(80)/p7i.vogel.de/wcms/28/3e/283e08f9b812c4a452ab9f5bd0918680/mum-ai-20act-02-25-2026-01-2729x1536v1.jpeg "KI-generierter Werkzeugkoffer. In bestimmten Anwendungsfällen schreibt der EU AI Act Transparenzpflichten für KI-generierte Inhalte vor. Das Online-Seminar „KI für Einsteiger“ vermittelt grundlegendes Wissen zum Einsatz von KI-Tools, zum verantwortungsvollen Umgang mit KI-Systemen sowie zu den Anforderungen des EU AI Acts. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0f/33/0f338f76e17bc7bea4f85a4ed3345520/stratasys-partnerprogrammv1.jpeg "Von links: Industrieller 3D-Drucker Stratasys F900 und automatisiertes FDM-Stützentfernungssystem PostProcess BASE. (Bild: Stratasys)")
:quality(80)/p7i.vogel.de/wcms/3e/07/3e078c3466d132c4194edd5ec46c3ef2/hm25-13-000704-4000x2250v1.jpeg "(Bild: Deutsche Messe AG)")
:quality(80)/p7i.vogel.de/wcms/ef/68/ef68cf62fcc009cb9ea0f1c7c199036d/ametek-faro-05-07-2025-01-3558x2003v1.jpeg "Symbolbild. (Bild: © oatawa/stock.adobe.com))")
:quality(80)/p7i.vogel.de/wcms/c0/cf/c0cfa4401f981f4b03aa1fbb092a7a41/visualcomponents-omniverse-screencap1-1920x1079v1.jpeg "Das neue Visual Components Omni Experience Add-on bietet Herstellern und Systemintegratoren fotorealistische Echtzeit-Visualisierungen in einem integrierten Viewport. (Bild: Visual Components)")
:quality(80)/p7i.vogel.de/wcms/b6/d5/b6d55bdbbe36dc6f1e33b293226b127b/moblurf-09-19-2025-01-1456x818v1.jpeg "Forschende haben MoBluRF entwickelt: ein zweistufiges Framework, das die Erstellung genauer, scharfer 4D-NeRFs (dynamisches 3D) aus unscharfen Videos ermöglicht, die mit alltäglichen Handheld-Geräten aufgenommen wurden. (Bild: Chung-Ang University)")
:quality(80)/p7i.vogel.de/wcms/1a/b7/1ab75c184a78d2cdaa605b61721c9a48/reichelt-20elektronik-reinwald-08-06-2025-01-3000x1687v1.jpeg "Christian Reinwald, Head of Product Management & Marketing bei Reichelt Elektronik. (Bild: Reichelt Elektronik)")
:fill(fff,0)/p7i.vogel.de/companies/69/b2/69b2e05867134/logo-heidrive-allient-rgb.png "logo-heidrive-allient-rgb (Heidrive GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/e4/67e4fb08c8409/cadfem-logo-152x152-1.jpeg "cadfem-logo-152x152-1 (CADFEM Germany GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/9c/699c40fb3b723/cadt-logo-500x500px.png "cadt-logo-500x500px ((C) CAD+T Solutions GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b8/c9/b8c98b6323be054f93e848c097c93069/rockwell-eplan-sps-11-25-2025-01-1422x799v1.jpeg "Ingenieure können mit der Integration Systeme wie Industrieroboter, Schalttafeln und Förderanlagen virtuell modellieren, testen und optimieren. (Bild: )")
:quality(80)/p7i.vogel.de/wcms/4a/e7/4ae771e4ad964b2f4617983abce59240/mhj-20software-acm-2025-07-01-11-12-2025-01-1934x1087v1.jpeg "Bild 1: 3D-Modellierungssoftware Blender mit dem integrierten Bauteilekatalog von MHJ-Software (links), dem Aufbau einer virtuellen Anlage im Konstruktionsbereich (zentral) sowie dem speziell entwickelten Plugin zur Skill-Konfiguration (rechts). (Bild: MHJ-Software)")