Wir haben eine Fabrik gebaut, die es gar nicht gibt. Einen kleinen Schweizer Metallbaubetrieb, mit eigener Website und einer glaubwürdigen Werkhalle dahinter: eine Laserschneidzelle, eine Presse, Gebäudetechnik, Stückzähler, die im Lauf des Tages hochlaufen. Das Setup, das in tausend echten Betrieben genau so steht.
Dann haben wir ihn ans offene Internet gehängt und zugeschaut.
Gefunden wurde er in keinen zehn Minuten. Nach einem Tag klopfte es rund um die Uhr. Wir haben den Köder im Frühjahr 2026 einen Monat laufen lassen und jeden Versuch an jeder Tür mitgeschrieben.
24.831 verschiedene Maschinen haben seine geschlossenen Ports abgetastet. Und hinter den Türen, die tatsächlich aufgingen: 109.862 Login-Sitzungen, 72.357 geratene Passwörter, von 6.772 verschiedenen Adressen. Mehr als neun von zehn kamen von automatisierten Bot-Frameworks auf gemieteten Cloud-Servern. Ein Mensch war so gut wie nie dabei.
So geht das Internet mit allem um, das eine Adresse hat. Die Meisten bekommen das nie zu sehen, weil ihre Anlagen entweder noch nicht am Netz hängen oder am Netz hängen und in aller Stille abgetastet werden, ohne dass jemand hinschaut.
Du musst kein Ziel sein
Der erste Reflex, gerade im kleineren Betrieb: Wer sollte sich ausgerechnet für uns interessieren? Wir bauen nichts, was ein Hacker haben will. Wir sind doch kein Ziel.
Genau das ist der teuerste Denkfehler in dem ganzen Thema. Denn es interessiert sich niemand für dich persönlich. Dich hat keiner ausgesucht. Das meiste in diesem Bericht läuft automatisch, wahllos und ohne Pause. Software rast durchs ganze Internet, Adresse für Adresse, und sucht nach allem, was eine bekannte Lücke hat. Was du produzierst, weiss sie nicht, und es ist ihr auch egal. „Zu klein, um aufzufallen" setzt voraus, dass überhaupt jemand hinschaut. Tut aber keiner. Ein Programm schaut hin, und ein Programm hat das ganze Internet und alle Zeit der Welt.
Du musst kein Ziel sein, um trotzdem dranzukommen. Du musst nur erreichbar sein, eine einzige schwache Stelle haben, an dem Tag, an dem ein Scan mit dem passenden Exploit vorbeikommt.
Deine Fabrik steht wahrscheinlich nicht so sperrangelweit offen wie unsere. Wir haben mit Absicht jede Tür einen Spalt offen gelassen, um zu zeigen, was für ein Wetter da draussen herrscht. Und das Wetter ist echt, es trifft jeden. Eine vergessene Tür reicht, eine Maschine, die ein Lieferant mal eben für die Fernwartung online gestellt hat, und schon stehst du genau da, wo unser Köder stand. Also haben wir es ausprobiert, um zu sehen, wie viel automatische Aufmerksamkeit ein kleiner, unscheinbarer Betrieb wirklich abbekommt.
Was wir gebaut haben
Diese Art von Köder heisst Honeypot. Stell dir einen voll eingerichteten Laden mit versteckten Kameras vor. Von der Strasse aus wirkt er echt, drin gibt es nichts zu holen, und der ganze Sinn ist, gefahrlos zuzusehen, wer an den Türen rüttelt. Unserer hatte eine komplette Identität: eine Firma, eine Website, eine erfundene Geschichte „seit 1998" und eine Werkhalle voller glaubwürdiger Maschinendaten, die langsam vor sich hin driften.
Dann haben wir die Türen aufgemacht, die ein nachlässiger Betrieb offen lassen würde, und aufgezeichnet, was durch jede einzelne hereinkam.
Was angeklopft hat
Die Bots nehmen sich zuerst die einfachen Türen vor. Die meistprobierten echten Passwörter waren die Werkseinstellungen, die auf Geräten ausgeliefert und nie geändert werden: admin, 123456, 1234, password. Die beliebtesten Kombinationen aus Benutzer und Passwort genauso naheliegend: root/admin, admin/admin, root/root. Die werden übers halbe Internet gestreut, weil sie oft genug aufgehen, dass es sich lohnt.
Aber schau dir die Spitze der Liste an. Die zwei meistprobierten „Passwörter" waren gar keine Rateversuche. Es war das bekannte Standard-Login eines bestimmten IP-Tischtelefons, das ein Botnetz übers ganze Internet streut, weil es genau diese Telefone sucht. Es suchte keine Fabrik. Es suchte nicht uns. Es suchte ein Telefon und klopfte trotzdem an.
Das ist der Punkt, den man über diese Schicht des Internets begreifen muss: Da knackt kein Hacker dein Schloss. Da arbeitet eine Maschinerie, die Millionen Türen pro Sekunde durchprobiert und alles katalogisiert, was antwortet.
Die Scanner, die sich gar nicht erst einloggen wollten, waren genauso fleissig dabei, zu kartieren, welche Türen einen zweiten Blick wert sein könnten. Hier ist, wonach sie gesucht haben.
Den Anlagen-Login haben wir absichtlich sperrangelweit offen gelassen, jedes Passwort akzeptiert, nur um zu sehen, was die Bots machen, wenn sie erst mal „drin" sind. Die Antwort: so gut wie nichts. Kein einziger Befehl. Keine Schadsoftware. Zum einen, weil eine x-beliebige Linux-Kiste nicht das Gerät war, das die meisten suchten. Zum anderen, weil diese Schicht nur kurz prüft, ob das Login klappt, und dann weiterzieht. Die eigentliche Handarbeit, der Teil, der eine Fabrik wirklich lahmlegt, kommt später, und nur bei Zielen, die sich als echt und lohnend herausstellen.
Eine echte Fabrik mit Standardpasswort ist genau so ein Ziel.
Auch deine Maschinen werden gesucht
Und dann der Teil, für den es im Büro keine Entsprechung gibt. Wir haben die Protokolle freigegeben, mit denen Maschinen reden: Modbus, S7, EtherNet/IP. Das sind die Sprachen der SPS, dieser kleinen robusten Rechner, die Anlagen tatsächlich steuern. Über den Monat tröpfelten gezielte Anfragen herein, du siehst sie im Dashboard oben: 846 auf EtherNet/IP, 348 auf Siemens S7, 340 auf Modbus. Kleine Zahlen neben der SSH-Flut, aber jede einzelne ist ein Fremder, der eine Maschine bittet, sich vorzustellen.
Die meisten fragten nur das eine: Wer bist du? Unsere falsche Steuerung gab brav Auskunft. Hersteller, Modell, Status, Live-Werte. Ganz ohne Passwort.
Bemerkenswert ist nicht die Menge. Bemerkenswert ist, dass es Bots gibt, deren einziger Job es ist, Industriesteuerungen im offenen Internet aufzuspüren, und unsere haben sie schnell gefunden.
Denn in ihrer klassischen Form haben diese Protokolle überhaupt kein Passwort. Sie gehen davon aus, dass jeder, der sie erreicht, dazugehört. Neuere Steuerungen fangen langsam an, echten Zugriffsschutz nachzurüsten, aber der allergrösste Teil des Bestands spricht noch den alten, offenen Dialekt. Eine erreichbare Steuerung antwortet jedem, der fragt. Unsere liess die Besucher nur gucken. Eine echte, offene Steuerung lässt einen Fremden oft auch mal einen Wert verstellen. (OPC UA, das moderne Protokoll, das ein Login und Verschlüsselung verlangen kann, brachte es auf ganze 10 Verbindungsversuche. Noch sprechen es weniger Scanner. Gefunden wurden beide.)
Und beim Scannen bleibt es nicht. Was gefunden wird, landet auf einer Liste. Hier ist unser Köder auf Shodan, der öffentlichen Suchmaschine für alles, was am Internet hängt: indexiert, sauber als „ics" für Industriesteuerung getaggt, Port 4840 weit offen, und der OPC-UA-Adressraum, die Namen der Zellen und Maschinen im Betrieb, für jeden zum Mitlesen ausgebreitet. Kein Login. Kein Geld.
Das ist das eigentliche Problem daran, auf solchen Karten zu stehen. Ein Angreifer muss dich nicht erst finden und nicht erst scannen. Er sucht auf Shodan nach „Modbus in der Schweiz" oder nach einem bestimmten Steuerungsmodell mit bekannter Lücke und bekommt eine fertige Liste: deine Anlagen, ihren Softwarestand, das Layout deines Betriebs, alles schon kartiert. Die Aufklärung, die früher Arbeit war, ist heute ein Filter auf einer öffentlichen Website. Indexiert zu sein macht aus einem unscheinbaren Betrieb einen Eintrag auf einer Zielliste, die Forscher, Kriminelle und Geheimdienste von derselben Seite aus durchblättern. Und es bleibt: Diese Dienste führen ein Archiv. Eine Lücke, die du letzten Monat geschlossen hast, kann heute noch jemanden zu dir lotsen.
Und es geht nicht nur um die Maschinen. Unter den meistgescannten Türen waren Remote Desktop und VNC, die Fernzugriffs-Tools, mit denen oft das HMI eines Bedieners auf den Bildschirm kommt. Ein offenes HMI ist ein Fremder, der am Arbeitsplatz deines Bedieners sitzt. Und es ist einer der häufigsten Wege, auf denen Ransomware in Industriebetriebe kommt.
Nicht jeder, der anklopft, ist kriminell
Und jetzt der Teil, der uns überrascht hat. Ein paar Tage nach dem Start kam eine Mail vom BSI, der deutschen Cyber-Sicherheitsbehörde des Bundes. Sie hatten gemerkt, dass unsere Fabrik Industrieanlagen ins Internet stellt, und wollten uns Bescheid geben.
Sie hatten recht. Unsere Kiste stand in Deutschland, und das BSI scannt den deutschen Adressraum gezielt nach genau so etwas ab. Sie ordnen offene Systeme über die IP-Adresse dem Netzbetreiber zu und schicken eine Warnung, damit der Betreiber das Loch stopfen kann, bevor jemand Unfreundlicheres vorbeikommt. Unsere kam über den Hosting-Anbieter bei uns an, so läuft ihr Benachrichtigungsprogramm.
Lass das kurz sacken. Scanner fanden unseren Köder in Minuten. Dienste wie Shodan und Censys haben ihn katalogisiert. Kriminelle Bots waren innerhalb eines Tages dran. Und die nationale Cyber-Sicherheitsbehörde des Landes, in dem er stand, hat ihn gescannt, Industrietechnik erkannt und eine Warnung geschickt. Dich findet jeder.
Die Einzigen, die meistens nicht wissen, dass ein Betrieb offen steht, sind die, die ihn betreiben.
Eine Warnmail ist ein Geschenk. Ein Sicherheitsnetz ist sie nicht. Das BSI sagt dir, dass die Tür offen steht. Es schliesst sie nicht für dich, und es ist auch nicht vor den Bots da.
Verstecken gibt's nicht
Also haben wir den Ausweg probiert, zu dem jedes Team zuerst greift: den echten Verwaltungs-Login von seiner naheliegenden Adresse weg auf einen unauffälligen Port verlegt. Der Lärm war fast komplett weg.
Der Login selbst lief über digitale Schlüssel statt Passwörter, die Sorte, die ein ratender Bot nicht fälschen kann. Die Rater kamen also nirgendwo hin. Aber halt das bloss nicht für sicher. Ein Login, der nur Schlüssel akzeptiert, aber weiter dem ganzen Internet zugewandt ist, antwortet trotzdem jedem Fremden, der anklopft, verrät, dass hier etwas ist, und läuft weiter auf Software, auf die die nächste Lücke in SSH selbst zielen kann. Ein Schloss an einer Tür, die du mitten auf der Strasse stehen lässt, ist immer noch eine Tür auf der Strasse.
Und ja, reingekommen ist in dem Monat nichts. Das ist nicht der Punkt, und darauf baust du keine Strategie. Wir sind heil davongekommen, vor allem weil ein x-beliebiger Köder nicht die Beute war, die diese Bots suchten, nicht weil die Tür auch nur irgendwie weniger als sperrangelweit offen gewesen wäre. Die Lehre ist nicht „wir haben gut verteidigt". Die Lehre ist, wie wenig es braucht, um so offen dazustehen, und dass Verstecken und Schlösser nur Zeit kaufen. Der eine Schritt, der das Risiko wirklich wegnimmt, ist, die Offenheit wegzunehmen: die Tür raus aus dem offenen Internet, damit Verwaltungs-Login und Maschinen nur noch denen antworten, die du vorher reingelassen hast.
Noch was zeigen die Daten: Fast alles kam von gemieteten Cloud-Servern, nicht von Heimanschlüssen. Die mit Abstand fleissigste Quelle war ein einzelner gemieteter Server in den Niederlanden, der 17.711-mal anklopfte. Das ist der Ort, an dem die Server gemietet sind, nicht der, an dem die Leute sitzen. Ein Land zu sperren bringt dir also nichts.
Was du Montagmorgen tun solltest
Fang mit einer ehrlichen Frage an, laut in die Runde gefragt: Bring mir die Liste von jedem Gerät, das uns gehört und eine öffentliche Internet-Adresse hat. Die echte, nicht die offizielle. Wenn diese Liste länger als einen Tag braucht, hast du das erste Problem schon gefunden. Du weisst nicht, was offen steht, also steht etwas offen.
Dann ein paar Fragen, Hand aufs Herz:
- Läuft bei euch gerade ein Remote Desktop, ein TeamViewer oder ein AnyDesk direkt auf einem Produktions-HMI, weil ein Maschinenbauer das 2019 für die „Fernwartung" eingerichtet hat und es einfach nie wieder abgebaut wurde?
- Hat euch mal ein Lieferant gebeten, „kurz einen Port aufzumachen", damit er sich einwählen kann, und ist der heute noch offen, mit demselben Passwort, mit dem er geliefert wurde?
- Steht da ein Mobilfunkrouter oder eine kleine VPN-Box an einer Maschine, die euer Team nicht installiert hat, nicht überwacht und in die es nicht reinschauen kann?
Wenn du bei einer davon zusammengezuckt bist, bist du völlig normal. Jede davon hat als vernünftige Abkürzung angefangen, um eine Linie am Laufen zu halten. Niemand war fahrlässig. Aber jede ist eine Tür, und die Bots aus diesem Artikel klopfen da längst dran.
Drei Dinge fürs nächste Ops-Meeting:
Du wirst gefunden. „Zu klein, um aufzufallen" gibt es nicht. Was eine Adresse hat, wird binnen einer Stunde gescannt. Plan so, als stündest du schon auf der Liste, denn das tust du.
Stell nie eine Maschinensteuerung ins Internet. Nicht für die Fernwartung, nicht für eine schnelle Demo, nicht „nur für den Piloten". Diese Protokolle können sich nicht wehren. Anlagen gehören in ein eigenes, abgeschottetes Netz, erreichbar nur über etwas, das sich an ihrer Stelle anmeldet und verschlüsselt, damit die Steuerungen selbst nie dem offenen Internet antworten. Das sauber hinzubekommen ist eine eigene Hausnummer, mehr als ein Häkchen, aber die Regel dahinter ist simpel: Die Maschine steht nie an der Strasse.
Gib der Lücke einen Verantwortlichen. Der Einbruch landet fast nie an der Maschine. Er landet am Bedien-PC, an der Dateifreigabe, am Router, am Fernwartungs-Tool, das keiner gepatcht hat. Die Grenze zwischen IT und OT braucht einen Namen daneben. Gehört sie niemandem, verteidigt sie auch keiner.
Die einzige Frage, die bleibt
Nichts davon ist ein Grund, die Fabrik offline zu lassen. Der Wert vernetzter Produktion ist real, und der geht nicht weg. Du musst vernetzen. Du musst nur wissen, was du tust.
Und zu wissen, was man tut, fängt mit einer unbequemen Wahrheit an, die dieses Experiment ziemlich deutlich gemacht hat: In dem Moment, in dem eine Fabrik das offene Internet berührt, wird sie gefunden, kartiert und abgetastet, binnen Minuten, von Bots, von Forschern, sogar vom BSI. Vom Gesehenwerden kannst du dich nicht abmelden. Du kannst nur entscheiden, was da steht, wenn sie hinschauen. Hinter einem Gateway antworten die Maschinen niemandem. Im offenen Internet antworten sie der ganzen Welt.
Das Internet weiss längst, dass es deine Fabrik gibt. Die einzige Frage ist, was es findet, wenn es anklopft.