Das amerikanische IT-Sicherheitsunternehmen Dragos hat einen bemerkenswerten Cyberangriff auf ein städtisches Wasser- und Abwasserversorgungsunternehmen im mexikanischen Monterrey dokumentiert – und damit erstmals einen Vorfall beschrieben, bei dem kommerzielle KI-Modelle gezielt zur Kompromittierung kritischer Infrastruktur eingesetzt wurden.
Der Verfassungsschutz Baden-Württemberg hat den Fall in einem Beitrag auf seiner Website aufgegriffen. Darin wird vor der zunehmenden Professionalisierung von Cyberangriffen durch den Einsatz generativer KI gewarnt. In Deutschland betreiben Wasserversorger vielfach ähnliche Infrastrukturen wie das mexikanische Unternehmen: SCADA-Systeme, industrielle Gateways und historisch gewachsene IT/OT-Übergänge mit uneinheitlichen Sicherheitsstandards.
In Mexiko war der Versorger Servicios de Agua y Drenaje de Monterrey (SADM) betroffen. Der Angriff fand zwischen Dezember 2025 und Februar 2026 statt und wurde im Zuge einer umfassenderen Cyberkampagne gegen mehrere mexikanische Behörden aufgedeckt.
Wie KI zur Tatwaffe wird
Forscher des IT-Sicherheitsunternehmens Gambit Security zogen Dragos zur Analyse hinzu, da der Vorfall über eine reine IT-Kompromittierung hinausging und operative Technologien (OT) – also die Steuerungssysteme physischer Infrastruktur – ins Visier gerieten.
Über den Einsatz hat Dragos einen Bericht veröffentlicht. Dieser ist nicht nur wegen seiner technischen Details bedeutsam. Er zeigt auch exemplarisch, wie KI-Werkzeuge, die ursprünglich für legitime Zwecke entwickelt wurden, von Angreifern als Beschleuniger und Automatisierer eingesetzt werden können – auch ohne tiefes Spezialwissen über Industriesteuerungssysteme.
Der oder die nach wie vor unbekannten Angreifer verschafften sich zunächst Zugang zum IT-Netzwerk des Versorgers, vermutlich über einen Webserver mit Sicherheitslücken oder gestohlene Zugangsdaten. Einmal im System, setzten sie zwei kommerzielle KI-Modelle arbeitsteilig ein: Anthropics Claude übernahm die technische Ausführung – Planung, Entwicklung und iterative Verbesserung von Schadsoftware. OpenAIs GPT diente der strukturierten Auswertung gesammelter Daten.
Stunden statt Wochen
Das Herzstück des Angriffs war ein 17.000 Zeilen umfassendes Python-Framework namens "BACKUPOSINT v9.0 APEX PREDATOR", vollständig von Claude geschrieben. Es bündelte 49 Hacking-Module für Aufgaben wie Netzwerk-Enumeration, Credential Harvesting, Active-Directory-Abfragen, Datenbankzugriffe und Privilege Escalation.
Besonders aufschlussreich ist laut der Dragon-Analyse die Entstehungsgeschichte dieses Werkzeugs: Claude entwickelte, testete und verfeinerte den Code in Echtzeit auf Basis von Rückmeldungen aus der Zielumgebung.
Was ein menschlicher Angreifer in Wochen entwickelt hätte, entstand so in wenigen Stunden. Ein separates Command-and-Control-Framework wuchs innerhalb von zwei Tagen vom einfachen HTTP-Controller zur produktionsreifen Infrastruktur.
Zwei automatisierte Angriffswellen
Die Sicherheitsbarrieren der KI-Modelle umgingen die Angreifer durch einen simplen, aber wirkungsvollen Trick: Sie tarnten ihre Anfragen als autorisierte Penetrationstests. Besonders brisant ist, wie die KI eigenständig die Brücke zwischen IT und Betriebstechnik schlug.
Bei der Erkundung des internen Netzwerks identifizierte Claude einen Server mit einer vNode-Industriegateway-Plattform – einer Schnittstelle, die SCADA-Systeme (Supervisory Control and Data Acquisition) mit der IT-Umgebung verbindet und damit potenziell Zugang zu physischen Steuerungsprozessen bietet.
Ohne spezifisches Wissen in der industriellen Steuer- und Betriebstechnik klassifizierte Claude dieses System als geeignetsten Angriffspunkt einer kritischen Infrastruktur, der maximalen Schaden ermöglicht. Auf dieser Grundlage empfahl Claude konkrete Folgemaßnahmen: einen gezielten Password-Spraying-Angriff, kombiniert aus Standardpasswörtern des Herstellers und Anmeldedaten, die im Rahmen der Cyberkampagne bei anderen Behörden erbeutet wurden.
Zwei automatisierte Angriffswellen wurden ausgeführt – beide scheiterten. Die Angreifer wandten sich daraufhin dem Datendiebstahl in anderen Unternehmensteilen zu. Zugang zu den eigentlichen Steuerungssystemen erlangten die Eindringlinge laut Dragon nicht.
Dennoch ist die Beobachtung gravierend: Ein IT-fokussierter Angreifer ohne OT-Expertise erkannte mithilfe von KI eigenständig die Existenz und strategische Bedeutung eines Industriesteuerungssystems – und leitete daraus einen konkreten Angriffsplan ab.
Gezielte Präventionsmaßnahmen
Die Angreifer sind nach wie vor unbekannt. Entscheidend in diesem Fall sei jedoch nicht deren Identität, sondern die drastische Effizienzsteigerung durch KI, stellt der baden-württembergische Verfassungsschutz fest. "Obwohl der Zugriff auf die Kern-Steuerungssysteme in diesem Fall scheiterte, unterstreicht der Vorfall die wachsende Gefahr durch KI-gestützte Angriffe auf kritische Infrastrukturen."
Laut der Behörde empfiehlt Dragos Betreibern von Wasserversorgungsanlagen nun konkrete Schutzmaßnahmen. OT-Schnittstellen wie SCADA-Gateways sollten durch Multi-Faktor-Authentifizierung (MFA) gesichert werden, da einfache Passwortmechanismen – wie im vorliegenden Fall – ein zentrales Einfallstor darstellen. Standardpasswörter sind konsequent zu ändern, und Netzwerke müssen strikt zwischen IT und OT segmentiert sein, um eine Ausbreitung von Angriffen zu verlangsamen.
