Der Dragos OT Cybersecurity Report zeigt, dass Angreifer den operativen Druck auf industrielle Infrastrukturen erhöhen und gezielt Steuerungsprozesse analysieren. Dabei wurden drei neue OT-Angreifergruppen identifiziert, darunter Sylvanite mit Verbindungen zu Voltzite und Volt Typhoon. Die Zahl der Ransomware-Gruppen mit OT-Reichweite steigt um 49 Prozent.
Der Drago OT Cybersecurity Report hat hat drei neue OT-Angreifergruppen identifiziert: darunter Sylvanite mit Verbindung zu Voltzite.
(Bild: Pixabay)
Dragos, weltweit führender Anbieter von Cybersicherheit für OT-Umgebungen, hat den Dragos 2026 OT/ICS Cybersecurity Year in Review Report veröffentlicht. Der Bericht, der nun bereits zum neunten Mal erscheint, bietet die umfassendste Analyse aktueller Cyberbedrohungen für industrielle und kritische Infrastrukturen. Identifiziert werden drei neue Angreifergruppen, die weltweit kritische Infrastrukturen ins Visier nehmen. Der Bericht zeigt ausserdem, dass Angreifer zunehmend von reiner Aufklärung zu gezielten operativen Störungen übergehen. Insgesamt belegen die Ergebnisse eine zunehmende Professionalisierung der Angreifer: Die Gruppen agieren als arbeitsteilig und entwickeln sich von gezielten Angriffen auf einzelne Geräte hin zu einer systematischen Erfassung ganzer industrieller Steuerungssysteme.
Im Jahr 2025 erfasste Kamacite systematisch Regelkreise innerhalb US-amerikanischer Infrastrukturen. Gleichzeitig nahm Electrum dezentrale Energiesysteme in Polen ins Visier und versuchte gezielt, operative Anlagen zu stören. Dragos identifizierte ausserdem drei neue Angreifergruppen, darunter Sylvanite, die bestehende Zugänge an Voltzite weitergibt, um tiefere OT-Angriffe zu ermöglichen. Proxene richtet sich gegen Ziele in den USA, Westeuropa und dem Nahen Osten und setzte im Juni im Kontext eines regionalen Konfliktes zerstörerische Wiper-Malware gegen kritische Infrastrukturen ein. Azurite weist technische Überschneidungen mit Flax Typhoon auf und führte anhaltende Operationen in den USA, Europa und im asiatisch-pazifischen Raum durch. Die Zahl der Ransomware-Gruppen, die Industrieunternehmen angreifen, stieg im Vergleich zum Vorjahr um 49 Prozent und betraf weltweit 3300 Organisationen, deren Betrieb teils erheblich gestört wurde.
Zunehmend arbeitsteilige Strukturen entstehen
«Die Bedrohungslage hat 2025 eine neue Qualität erreicht», erklärte Robert M. Lee, CEO und Co-Founder von Dragos. «Angreifer analysieren genau, wie industrielle Steuerungssysteme funktionieren, verstehen, woher Befehle stammen, wie sie sich verbreiten und an welchen Stellen physische Auswirkungen ausgelöst werden können. Dabei entstehen zunehmend arbeitsteilige Strukturen: Spezialisierte Gruppen schaffen systematisch Zugriffswege, die noch spezialisiertere Akteure für weitergehende Angriffe auf OT-Umgebungen nutzen können. Gleichzeitig verursachen Ransomware-Gruppen zunehmend Betriebsstörungen und mehrtägige Ausfälle, die eine OT-spezifische Wiederherstellung erfordern. Dennoch unterschätzen viele Industrieunternehmen weiterhin, wie stark Ransomware in OT-Umgebungen wirkt, da sie die Bedrohung fälschlicherweise als ein reines IT-Problem einordnen.»
«Auch auf Verteidigungsseite gab es 2025 spürbare Fortschritte», fuhr Lee fort. «Unternehmen mit umfassender Transparenz in ihren OT-Umgebungen konnten OT-Ransomware-Vorfälle im Durchschnitt innerhalb von fünf Tagen erkennen und eindämmen, während der branchenweite Durchschnitt bei 42 Tagen lag. Das zeigt, wie eng die Reife der Erkennungsmechanismen mit dem Erfolg der Reaktion zusammenhängt. Dennoch bestehen weiterhin erhebliche Lücken. Umfassende Transparenz in OT-Umgebungen ist entscheidend. Ohne kontinuierliche Überwachung werden die Einführung von Technologien wie KI, Batteriespeichersystemen oder dezentralen Energiequellen zu exponentiell grösseren blinden Flecken führen.»
Details zum Jahresrückblick 2025:
Dragos hat drei neue OT-Angreifergruppen identifiziert – Sylvanite, Azurite und Proxene: Damit verfolgen die Analysten weltweit insgesamt 26 Gruppen, von denen elf im Jahr 2025 aktiv waren.
Sylvanite fungiert als Initial Access Broker, der Schwachstellen rasch ausnutzt und erlangte Zugänge an Voltzite weitergibt, um weitergehende OT-Angriffe zu ermöglichen. Dragos beobachtete Sylvanite im Rahmen von Incident-Response-Einsätzen bei US-amerikanischen Energie- und Wasserversorgern. Die Gruppe nutzte Schwachstellen in Ivanti aus und extrahierte Active-Directory-Anmeldedaten. Technische Überschneidungen bestehen mit UNC5221, UNC5174 und UNC5291.
Azurite zielt auf langfristigen Zugriff und den Diebstahl von OT-Daten ab. Die Gruppe greift OT-Engineering-Workstations an und exfiltriert Betriebsdaten wie Netzwerkdiagramme, Alarmdaten und Prozessinformationen, um ihre eigenen Fähigkeiten weiterzuentwickeln. Betroffen sind Unternehmen aus den Bereichen Fertigung, Verteidigung, Automobilindustrie, Energie, Öl und Gas sowie staatliche Einrichtungen in den USA, Australien, Europa und im asiatisch-pazifischen Raum. Technische Überschneidungen bestehen mit Flax Typhoon.
Proxene kompromittiert Lieferketten und führt Social-Engineering-Kampagnen durch. Die Gruppe nutzt häufig einen durch Parisite erlangten Erstzugang, um von IT- in OT-Netzwerke vorzudringen. Zu ihren Zielen gehören Unternehmen aus Luft- und Raumfahrt, Verteidigung und Schifffahrt in den USA, Westeuropa, Israel und den Vereinigten Arabischen Emiraten. Proxene weist erhebliche technische Überschneidungen mit Aktivitäten auf, die nach Ansicht der US-Regierung dem Cyber Electronic Command der Islamischen Revolutionsgarde zuzuschreiben sind.
Angreifergruppen entwickeln sich von Aufklärung zu gezielten operativen Eingriffen
Electrum führte 2025 mehrere destruktive Operationen durch, darunter einen koordinierten Angriff auf acht ukrainische Internetdienstanbieter im Mai sowie den Einsatz neuer Varianten von Wiper-Malware. Im Dezember 2025 griff Electrum in Polen Kraft-Wärme-Kopplungsanlagen und Steuerungssysteme für erneuerbare Energien an, um den Betrieb der Anlagen gezielt zu stören. Damit weitete die Gruppe ihre Aktivitäten von der Übertragungsinfrastruktur auf das dezentrale Stromnetz aus. Technische Überschneidungen bestehen mit Sandworm. Unterstützt wird Electrum von Kamacite. Die Gruppe verlagerte ihren Schwerpunkt von der Ukraine auf eine europäische Lieferkettenkampagne und führte zwischen März und Juli 2025 eine weitreichende Erkundung von US-Industrieanlagen durch. Dabei analysierte Kamacite systematisch vollständige Regelkreise, darunter HMIs, Frequenzumrichter, Messmodule und Mobilfunk-Gateways.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Voltzite erreicht Stufe 2 der ICS-Cyber-Kill-Chain
Dragos beobachtete, wie die Gruppe Software auf Engineering-Workstations manipulierte, um Konfigurations- und Alarmdaten zu extrahieren. Dabei untersuchte sie gezielt, unter welchen Bedingungen Prozessabschaltungen ausgelöst würden. Voltzite kompromittierte zudem Sierra Wireless AirLink-Mobilfunkgateways, um Zugang zu Midstream-Pipeline-Betrieben in den USA zu erhalten, und bewegte sich anschliessend weiter zu Engineering-Workstations. Technische Überschneidungen bestehen mit Volt Typhoon.
Hacktivisten entwickeln sich zu operativ wirksamen Kampagnen
Bauxite setzte während des Iran-Israel-Konflikts im Juni 2025 zwei speziell entwickelte Wiper-Malware-Varianten gegen israelische Ziele ein und eskalierte damit frühere Zugriffs- und Störungsaktivitäten zu eindeutig destruktiven Operationen. Hacktivistische Gruppen verknüpfen zunehmend ideologische Botschaften mit staatlich unterstützten Aktivitäten und greifen öffentlich zugängliche HMIs, fehlkonfigurierte Engineering-Workstations sowie offen zugängliche Feldprotokolle wie Modbus/TCP und DNP3 an. Bauxite weist technische Überschneidungen mit Aktivitäten auf, die die US-Regierung CyberAv3ngers und dem IRGC-CEC zuschreibt.
Ransomware bleibt grösste Bedrohung für Industrieunternehmen, Angriffe steigen um 64 Prozent
Dragos verfolgte im Jahr 2025 insgesamt 119 Ransomware-Gruppen, mit Fokus auf Industrieunternehmen, gegenüber 80 im Jahr 2024. Weltweit waren 3300 Organisationen betroffen, mehr als zwei Drittel davon aus der Fertigungsindustrie. Branchenweit lag die durchschnittliche Verweildauer von Ransomware in OT-Umgebungen bei 42 Tagen. Dragos stellte zudem fest, dass OT-Vorfälle oftmals noch immer fälschlicherweise als reine IT-Vorfälle eingestuft werden, da OT-Systeme wie Engineering-Workstations und HMIs aufgrund ihres Windows-Betriebssystems der IT zugerechnet werden.
Bewertung von Schwachstellen für ICS-Priorisierung häufig unzuverlässig
Dragos stellte fest, dass 25 Prozent der von ICS-CERT und im NVD erfassten Schwachstellen im Jahr 2025 fehlerhafte CVSS-Werte aufwiesen. Darüber hinaus enthielten 26 Prozent der Sicherheitshinweise weder Patches noch konkrete Abhilfemassnahmen der Hersteller. Lediglich zwei Prozent der für ICS relevanten Schwachstellen fielen in Dragos' risikobasiertem «Now, Next, Never”-Modell in die Kategorie «Now« und erforderten sofortige Massnahmen. Die Untersuchungen von Dragos zu Batterie-Energiespeichersystemen identifizierten Schwachstellen zur Umgehung der Authentifizierung und zur Befehlsinjektion. Mehr als 100 Geräte waren frei über das Internet erreichbar, darunter Wechselrichter mit einer Leistung von rund einem Megawatt, die zur Einspeisung von Strom in Versorgungsnetze eingesetzt werden.
:quality(80)/p7i.vogel.de/wcms/ad/60/ad605971842c3412ccbdfdb88f767f5e/0129530233v2.jpeg "Die EMV, internationale Expo & Conference für elektromagnetische Verträglichkeit, wird vom 24. bis 26. März 2026 wieder zur zentralen Wissens- und Präsentationsplattform. (Bild: Mesago Messe Frankfurt GmbH / Mathias Kutt)")
:quality(80)/p7i.vogel.de/wcms/50/6f/506f096e4fc15dbd6cc8112696c04b5f/0130070686v1.jpeg "(Bild: danieldyntar_photography)")
:quality(80)/p7i.vogel.de/wcms/b5/9d/b59de39a5618dd69be72842205ced9ef/0130083464v1.jpeg "Bundespräsident Guy Parmelin bei der Eröffnung der Phänomena. (Bild: David Biedert)")
:quality(80)/p7i.vogel.de/wcms/9d/15/9d15d5c310c1c30262106c0d482bee53/0130066415v2.jpeg "(Bild: NuernbergMesse)")
:quality(80)/p7i.vogel.de/wcms/4b/11/4b1154256320754b753e31e0e754f2de/0130044810v2.jpeg "Der Magnet des torusförmigen Tokamak-Reaktors wird bis zu 500 Sekunden lange Magnetpulse erzeugen und das eingeschlossene Plasma auf eine Temperatur von 150 Millionen Grad erhitzen. (Bild: Iter)")
:quality(80)/p7i.vogel.de/wcms/9f/98/9f98bc6e6e83d2dded13a85f078f024b/0130061090v2.jpeg "Offengelegt: Diese Servoantriebe werden bei Aerotech in Fürth montiert. (Bild: Aerotech)")
:quality(80)/p7i.vogel.de/wcms/2d/97/2d971fe41b00f6de196aa41ca10ae954/0130052962v2.jpeg "Auf insgesamt fünf Linien werden im dänischen Rødbyhavn auf Lolland 79 gigantische Standard Tunnelelemente betoniert, die bei rund 220 m Länge und 43 Breite jeweils über 73 000 t wiegen. (Bild: Femern)")
:quality(80)/p7i.vogel.de/wcms/56/5c/565cfac850d0eba3495f16a3ee900fee/0129163281v2.jpeg "(Bild: Sigmatek)")
:quality(80)/p7i.vogel.de/wcms/25/7d/257d3e3f62b755a8097aa3e1a84a158f/0129178024v3.jpeg "(Bild: © Shutterstock)")
:quality(80)/p7i.vogel.de/wcms/cb/eb/cbeb30254c7fa44963b4ede8b3f707ea/0129866513v2.jpeg "Steckverbinder von binder im Einsatz in Bremssystemen, Türsteuerungen und Fahrgastinformationssystemen – sie erfüllen höchste Anforderungen an Dichtigkeit und mechanische Belastbarkeit. (Bild: Fotolia)")
:quality(80)/p7i.vogel.de/wcms/95/43/954376979ff1bf24197a713cd2fe1b7c/0129164833v2.jpeg "(Bild: Phoenix Contact )")
:quality(80)/p7i.vogel.de/wcms/0b/0f/0b0fc2be6924dffd3cd2397bd3052f7c/0129979195v1.jpeg "Projektleiterin Dr. Laura Stevens zeigt eines der III-V-Germanium-PV-Module mit einer Rekordeffizienz von 34,2 Prozent. Leonhard Böck ist Projektmitarbeiter und hat massgeblich am – vor ihm liegenden – III-V-Silizium-PV-Modul mit 31,3 Prozent Effizienz mitgearbeitet. (Bild: Fraunhofer ISE / Jacob Forster)")
:quality(80)/p7i.vogel.de/wcms/b1/1c/b11c4267b84aa84bb4ffbd062fb9d7e9/0129316057v2.jpeg "(Bild: Rohde & Schwarz)")
:quality(80)/p7i.vogel.de/wcms/3a/12/3a12f6069719ff94b2d7f61f55f3f768/0129922694v2.jpeg "Besonders in Bioreaktoren und anderen Laborgeräten ist eine berührungslose Schaumerkennung essentiell. (Bild: © AdobeStock/borzywoj)")
:quality(80)/p7i.vogel.de/wcms/6f/6d/6f6d317c4c307320b5f6ff562fb9e0b8/0129862262v1.jpeg "Der CMX500 One-Box-Tester lässt sich mit der neuen modularen RFU18 RF-Frontend in der 6G-Forschung einsetzen. (Bild: Rohde & Schwarz)")
:quality(80)/p7i.vogel.de/wcms/85/d2/85d26614bf1c5d3dc32ccc267a8ab85a/0129788825v2.jpeg "Lithium, Nickel oder Kobalt sind zentrale Bestandteile von Lithium-Ionen-Akkus und sollen durch das Recycling von Altbatterien zurückgewonnen werden. (Bild:Endress+Hauser)")
:quality(80)/p7i.vogel.de/wcms/c7/77/c777220122d6ee120b9395f3176c09af/0130111009v2.jpeg "Der Drago OT Cybersecurity Report hat hat drei neue OT-Angreifergruppen identifiziert: darunter Sylvanite mit Verbindung zu Voltzite. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/c6/85/c685935a4e0321b375ed06a8331861f5/0130043216v2.jpeg "KI-Agenten sind architektonisch komplexer als das Ergebnis eines einzigen generativen KI-Modells. (Bild: Deemerwha studio/Shutterstock)")
:quality(80)/p7i.vogel.de/wcms/57/b9/57b966d537e8080ecf9a5d532fe1be33/0129966432v2.jpeg "ABB Robotics geht eine Partnerschaft mit Nvidia ein. Ziel ist es, physikalische KI in Industriequalität bereitzustellen, damit Hersteller die Markteinführungszeit verkürzen und Kosten senken können. (Bild: ABB Robotics)")
:quality(80)/p7i.vogel.de/wcms/f1/6d/f16d23a863ed9e795fd9d0f276c5b29b/0105840490v2.jpeg "(Bild: iStock / PhonlamaiPhoto)")
:quality(80)/p7i.vogel.de/wcms/27/d7/27d783d1d10aaae39ab786499600716a/0129833777v1.jpeg "(Bild: aau/Müller)")
:quality(80)/p7i.vogel.de/wcms/c3/03/c3038c80465f78c27b29c31f59e8dd5e/0129763550v2.jpeg "«Wir zeigen auf der Hannover Messe einen Motor, der ausschliesslich Ferritmagnete enthält», freut sich Ziehl-Abegg Vorstandschef Joachim Ley. Bisher sind Magnete aus Seltenen Erden Standard in vielen Aufzugsantrieben. (Bild: Ziehl-Abegg/Rainer Grill)")
:quality(80)/p7i.vogel.de/wcms/59/ba/59ba351d6ec50128292f0153ab7bce38/0124040720v4.jpeg "(Bild: Gribi Hydraulics)")
:quality(80)/p7i.vogel.de/wcms/aa/76/aa76ed03b7a0018cc51bef73a529269c/0124205347v2.jpeg "Die Dialysefilter werden im Dreischicht-Betrieb rund um die Uhr in einem automatischen Prüfstand unter Reinraumbedingungen getestet. (Bild: Bürkert)")
:quality(80)/p7i.vogel.de/wcms/1a/a0/1aa01f35aaecf1d5fc635c4ab1d93a61/0120564266v2.jpeg "Die kompakte Baugruppe besteht aus drei Ventilen, einem Drucksensor, einer Kondensatfalle und einer Membranpumpe, die in einer Kammer Überdruck und in der zweiten Kammer Unterdruck erzeugt. Zwischen den beiden Kammern schaltet dann ein Ventil dynamisch um, was eine Schlauchrollen-Pumpe überflüssig macht. (Bild: Fresenius Medical Care)")
:quality(80)/p7i.vogel.de/wcms/52/85/528512fe3a56c6f8d450199fc4bfbf0b/0119296574v2.jpeg "Ultraschall-Clamp-on-Durchflussmessgeräte Proline Prosonic Flow W 400 und P 500 – eingriffsfrei und einfach zu installieren – keine Prozessunterbrechung – wartungsfrei. (Bild: Endress+Hauser)")
:quality(80)/p7i.vogel.de/wcms/76/bb/76bb572d341342cfff99b9a72e5a0464/0128821352v2.jpeg "Der UF300 mit NexSonic-Technologie ist das jüngste Mitglied der neuen Generation der Baumer Ultraschallsensoren. (Bild: Baumer)")
:quality(80)/p7i.vogel.de/wcms/ee/4c/ee4c2b3bc9fa1c659e2a7aaeeddec3b1/0127162296v2.jpeg "Laser-Distanzsensoren ermöglichen die wiederholgenaue und präzise Positionierung von Werkzeugen auf einer Vielzahl von Oberflächen, wie z.B. glänzenden PCB-Substraten oder metallischen Oberflächen. (Bild: Baumer)")
:quality(80)/p7i.vogel.de/wcms/1b/6a/1b6a40cdc738b0022bd76204f8b0c992/0127622405v2.jpeg "Das Gehäuse NovaKit One von Elema Electronic bietet relevante, technische Features wie EMV-Schutz – exzellente Voraussetzungen für die raffinierte Integration der Elektronik. (Bild: Elma Electronic)")
:quality(80)/p7i.vogel.de/wcms/11/18/1118e0100b4863bf918fd2d8b425a0b1/0127469311v2.jpeg "Überwachung des Rückraums eines Radladers zur Kollisionsvermeidung mit dem Visionary AI-Assist von Sick. (Bild: Sick)")
:quality(80)/p7i.vogel.de/wcms/92/a3/92a3c44478935afd214377471f97f1d0/0128091647v2.jpeg "Cyberangriffe können nicht nur digitale Systeme treffen, sondern auch reale, physische Schäden anrichten, indem die Schadsoftware Steuerungs- und Automatisierungssysteme angreift. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/74/de/74de1a2ca2978f6ed55004f43784e65c/0128546891v1.jpeg "0128546891v1 (Bild: KI-generiert)")