5.219 Rockwell-PLCs offen im Netz: Iran greift an

5.219 Rockwell-Automation-PLCs sind aktuell direkt über das Internet erreichbar — und iranische APT-Akteure nutzen das aktiv aus. Nicht über Zero-Day-Exploits, nicht über ausgefeilte Malware, sondern über legitime Engineering-Tools wie Rockwell Studio 5000 Logix Designer. Die Angreifer verbinden sich direkt mit den exponierten Steuerungen, manipulieren Projektdateien und verändern HMI/SCADA-Anzeigen — mit potenziell physischen Konsequenzen für Wasser-, Energie- und Infrastrukturbetreiber.

Am 7. April 2026 veröffentlichten FBI, CISA, NSA, EPA, DOE und U.S. Cyber Command das gemeinsame Advisory AA26-097A. Censys lieferte parallel die Expositionsdaten: Die Zahlen sind ernüchternd.

Wer angreift und wie

Die Angriffe werden der Gruppe CyberAv3ngers zugeordnet, einer iranischen APT-Einheit mit Verbindungen zum IRGC Cyber Electronic Command (Islamische Revolutionsgarden). Die Gruppe ist keine Unbekannte: Im November 2023 kompromittierte sie mindestens 75 Unitronics-PLCs in US-amerikanischen Wasser- und Abwasseranlagen.

Der aktuelle Angriffsvektor seit März 2026 ist bemerkenswert simpel: Die Angreifer verwenden keine Schwachstellen im klassischen Sinne. Stattdessen nutzen sie legitime Rockwell-Engineering-Software, um sich mit PLCs zu verbinden, die ohne Authentifizierung direkt über das Internet erreichbar sind. Sie modifizieren Projektdateien und manipulieren HMI/SCADA-Displays — die Operatoren in der Leitwarte sehen dann andere Werte als die tatsächlichen.

Bestätigte Zielsysteme sind CompactLogix und Micro850. Gleichzeitig beobachten die Behörden Probing-Aktivitäten auf Modbus und Siemens S7, was auf eine Multi-Vendor-Strategie hindeutet.

Die Exposition: 5.219 Steuerungen im offenen Internet

Censys-Telemetriedaten zeigen 5.219 Hosts, die auf EtherNet/IP (Port 44818) antworten und sich als Rockwell-Automation/Allen-Bradley-Geräte identifizieren. Die Verteilung:

74,6 Prozent (3.891 Hosts) stehen in den USA — was Rockwells dominanter Marktposition in Nordamerika entspricht. Außerhalb: Spanien (110), Taiwan (78), Italien (73). Bemerkenswert: Island mit 36 exponierten Geräten — bei einer kleinen Bevölkerung, aber starker Nutzung industrieller Steuerungen in der Geothermie.

Die ASN-Analyse offenbart ein strukturelles Problem: Fast zwei Drittel der exponierten PLCs hängen an Mobilfunknetzen statt an industriellen oder Rechenzentrums-Providern. Verizon Business allein hostet 2.564 exponierte PLC-Endpoints (49,1 Prozent der globalen Gesamtzahl), AT&T Mobility weitere 693 (13,3 Prozent). 24 Hosts laufen über SpaceX Starlink.

Das bedeutet: Viele dieser Steuerungen sind dezentral betriebene Anlagen — Pumpstationen, kommunale Außenstandorte, Feldgeräte — die über Mobilfunkmodems direkt im öffentlichen Internet hängen. Ohne Firewall, ohne VPN, ohne Monitoring.

Co-Exposition: Mehr als nur EtherNet/IP

Censys dokumentiert auf denselben Hosts oder Netzwerken zusätzlich exponierte Dienste: VNC (771 Instanzen), Modbus (292), Telnet (280) und Red Lion Crimson Services (256). Das sind direkte Zugänge zu HMI-Workstations, Legacy-Remote-Shells und Multi-Vendor-OT-Management-Interfaces — exakt die Angriffspfade, vor denen das Advisory warnt.

Viele der exponierten MicroLogix-1400-Controller laufen zudem auf End-of-Sale-Firmware-Versionen (C/21.02, C/21.07) — Geräte, die keine Sicherheitsupdates mehr erhalten und deren Modell und Firmware-Version durch unauthentifizierte EtherNet/IP-Identity-Responses frei abfragbar sind. Angreifer können diese Geräte also nicht nur finden, sondern auch sofort priorisieren.

Angreifer-Infrastruktur: Was die IOCs verraten

Das Advisory enthält acht IP-Indikatoren (Indicators of Compromise). Censys-Infrastruktur-Pivots verfeinern das Bild erheblich:

Sieben IOCs im Bereich 185.82.73.x führen zu einer einzigen Multi-Homed Windows-Engineering-Workstation bei ULTAHOST (AS214036). Diese Maschine läuft mit dem vollständigen Rockwell-Toolchain und exponiert RDP auf einem nicht standardmäßigen Port — mit einem selbstsignierten Zertifikat, das auf den Hostnamen DESKTOP-BOE5MUC verweist. Historische Zertifikatsanalyse bindet 11 IPs im selben /24 an diese Workstation und identifiziert vier zusätzliche Operator-IPs, die nicht im Advisory gelistet sind, aber identische Fingerprints und Aktivitätsfenster aufweisen.

Der achte IOC (135.136.1.133, M247 Romania) verhält sich anders: eine kurzlebige Staging-Box, die für eine einzelne Operation provisioniert wurde — mit einem eng getakteten Service-Lifecycle, der exakt in das Angriffsfenster vom März passt.

Kontext: Iran und OT-Systeme

CyberAv3ngers ist nicht die einzige iranische Gruppe, die OT-Systeme ins Visier nimmt, aber sie ist die aktivste. Die Gruppe demonstriert ein Muster: gezielte Angriffe auf Wasserversorgung und Energieinfrastruktur, Nutzung legitimer Tools statt Malware, Fokus auf Systeme mit schwacher oder fehlender Authentifizierung.

CISA hatte bereits im Dezember 2023 nach den Unitronics-Angriffen Warnungen herausgegeben. Dass dieselbe Gruppe drei Jahre später mit derselben grundlegenden Taktik — offene PLCs im Internet finden, verbinden, manipulieren — weiterhin Erfolg hat, sagt weniger über die Raffinesse der Angreifer als über den Zustand der Verteidigung.

Die Mandiant-Analyse iranischer Cyberoperationen zeigt ein konsistentes Bild: Iran investiert zunehmend in OT-Fähigkeiten. Die Operationen dienen sowohl der nachrichtendienstlichen Aufklärung als auch der Vorbereitung disruptiver Angriffe im Konfliktfall — sogenanntes „Pre-Positioning” in kritischer Infrastruktur.

Sofortmaßnahmen

PLCs sofort vom direkten Internetzugang trennen. Jede Steuerung, die auf Port 44818 antwortet, muss hinter ein VPN oder einen gehärteten Jump Host. Kein PLC gehört direkt ins Internet — ohne Ausnahme.

Exponierte Dienste eliminieren. Telnet, VNC, HTTP-Interfaces auf OT-Geräten abschalten oder durch authentifizierte, verschlüsselte Alternativen ersetzen.

Authentifizierung auf Mobilfunk- und Satellitenverbindungen erzwingen. Mobilfunkmodems sind kein sicherer Perimeter. MFA und VPN sind Pflicht.

Offline-Backups von PLC-Konfigurationen und HMI/SCADA-Projekten pflegen. Im Falle einer Manipulation müssen Betreiber auf bekannt gute Konfigurationen zurückspielen können — sofort, nicht erst nach einer Analyse.

IOCs in SIEM und Netzwerkmonitoring einpflegen. Die acht IPs aus dem Advisory plus die vier von Censys identifizierten zusätzlichen Operator-IPs überwachen. Hostname DESKTOP-BOE5MUC und das zugeordnete Zertifikat als Detection-Regel hinterlegen.

Legacy-Firmware identifizieren und priorisieren. MicroLogix-1400-Controller auf End-of-Sale-Versionen müssen ersetzt oder zumindest hinter zusätzliche Schutzschichten gestellt werden.

Einordnung

Dieser Vorfall ist kein hochkomplexer APT-Angriff. Er ist ein Beleg dafür, dass grundlegende OT-Sicherheitshygiene bei tausenden kritischen Anlagen weltweit nicht eingehalten wird. Die Angreifer brauchen keine Zero-Days — sie brauchen nur einen Nmap-Scan und die offizielle Rockwell-Software.

Für KRITIS-Betreiber in Deutschland ist das unmittelbar relevant: Das BSI verlangt im Rahmen der SzA-Anforderungen (Systeme zur Angriffserkennung) explizit die Überwachung von OT-Netzen. NIS-2 verschärft diese Anforderungen weiter. Wer seine Steuerungen noch ohne Monitoring betreibt, hat nicht nur ein Sicherheitsproblem — er hat ein Compliance-Problem.