Thought Leadership
Hunderte Industrie-Steuerungen sind ohne Passwort über das Internet erreichbar. Hacker nutzen die Lücken bereits für gezielte Sabotage-Angriffe.
Die Sicherheitsfirma Forescout hat alarmierende Zahlen zur Sichtbarkeit industrieller Steuerungssysteme im Internet veröffentlicht. Laut einer aktuellen Analyse sind weltweit Millionen von Servern über die Fernzugriff-Protokolle RDP und VNC erreichbar, wie Cybernews berichtet. Besonders kritisch bewerten die Forscher den Umstand, dass hunderte dieser Systeme einen direkten Zugriff auf sensible Industrie-Anlagen ermöglichen, ohne dass eine Passwortabfrage erfolgt. Die Operational Technology Systeme (OT) steuern kritische Infrastrukturen in den Bereichen Wasserversorgung, Energie und Fertigung.
Millionen von Fernzugriffen sind weltweit öffentlich sichtbar
Daten der Suchmaschine Shodan belegen das Ausmaß der digitalen Exponierung. Rund 1,8 Millionen RDP-Server und 1,6 Millionen VNC-Instanzen sind direkt über das offene Internet erreichbar, wobei ein Großteil dieser Server auf die USA und China entfällt. Forescout konnte nach einer detaillierten Filterung der Daten etwa 91.000 RDP- und 29.000 VNC-Server konkreten Branchen wie dem Gesundheitswesen, der Fertigung und dem Einzelhandel zuordnen. Ein signifikanter Anteil dieser Systeme nutzt veraltete Windows-Versionen, für die kein offizieller technischer Support mehr existiert.
Hunderte Bedienpanels für kritische Infrastrukturen sind völlig ungesichert
Das größte Sicherheitsrisiko stellen laut der Untersuchung jene Systeme dar, die ohne jegliche Authentifizierung online stehen. Die Forscher identifizierten knapp 60.000 VNC-Server, die kein Passwort verlangen. Unter diesen befinden sich 670 Instanzen, die direkten Zugriff auf Bedienoberflächen von industriellen Kontrollsystemen (ICS) gewähren. Ein Angreifer könnte über diese Schnittstellen physische Prozesse manipulieren, ohne über tiefgreifende IT-Kenntnisse verfügen zu müssen. Betroffen sind unter anderem Sektoren wie die Wasseraufbereitung und die chemische Industrie.
Russische Hackergruppen setzen spezialisierte Scan-Werkzeuge ein
Die Gefahr für die betroffenen Anlagen ist laut Forescout nicht nur theoretischer Natur. Staatlich gelenkte Hacker-Gruppen aus Russland, wie das Infrastructure Destruction Squad (IDS) oder Dark Engine, haben bereits Werkzeuge entwickelt, die gezielt nach ungeschützten OT-Protokollen suchen. Die Gruppe veröffentlichte Beweise für erfolgreiche Manipulationen, darunter Videomaterial einer kompromittierten Grundwasser-Pumpstation in Israel sowie Screenshots von Steuerungssystemen in der Türkei. Zudem wurde der Verkauf von Zugangsdaten für ein exponiertes SCADA-System in Tschechien in Untergrundforen beworben.
Botnetze und Ransomware nutzen die Schwachstellen aus
Neben staatlichen Akteuren missbrauchen auch kriminelle Gruppen die offenen Schnittstellen für finanzielle Zwecke. Das seit Februar 2026 aktive Redheberg-Botnetz hat bereits knapp 40.000 exponierte VNC-Server infiziert. Gleichzeitig nutzen Ransomware-Banden das RDP-Protokoll als primäres Einfallstor für die Verschlüsselung von Unternehmensdaten. Etwa 19.000 RDP-Server sind zudem immer noch anfällig für die veraltete BlueKeep-Schwachstelle, die trotz langjähriger Warnungen der Behörden in vielen Netzwerken weiterhin nicht behoben wurde.
Empfehlungen zur Absicherung industrieller Fernzugriffe
Um die Risiken für den Betrieb zu minimieren, empfehlen Experten den Verzicht auf direkte Internet-Anbindungen für Fernzugriff-Protokolle. Stattdessen sollten gesicherte Gateways und VPN-Verbindungen mit Multi-Faktor-Authentifizierung zum Einsatz kommen. Für den Zugriff auf hochsensible cyber-physische Systeme sind spezialisierte Lösungen für den sicheren Fernzugriff notwendig. Diese gewährleisten eine strikte Trennung zwischen IT- und OT-Netzwerken und stellen sicher, dass jeder Zugriff lückenlos protokolliert wird, um Sabotage und Spionage frühzeitig zu erkennen.
