SchwachstellenHackerangriffeIoT-Sicherheit

Zehntausende freiliegende Server gefährden kritische Infrastrukturen weltweit

Von CyberDeutsch Redaktion
Zehntausende freiliegende Server gefährden kritische Infrastrukturen weltweit
Zusammenfassung

Sicherheitsforscher der Firma Forescout haben eine alarmierende Schwachstelle in der globalen IT-Infrastruktur aufgedeckt: Hunderttausende Remote-Access-Server wie RDP und VNC sind ungeschützt im Internet erreichbar und könnten Angreifern Zugriff auf kritische Infrastruktur ermöglichen. Die Studie identifizierte etwa 91.000 RDP- und 29.000 VNC-Server, die Branchen wie Einzelhandel, Gesundheitswesen, Fertigung und Bildung zugeordnet werden können. Besonders besorgniserregend ist die Entdeckung von 670 VNC-Servern ohne Authentifizierung, die direkten Zugriff auf Industriesteuerungssysteme (ICS) und operative Technologie (OT) bieten. Russland-verbundene Hacker-Gruppen nutzen bereits solche Schwachstellen gezielt, wie ein Video eines kompromittierten israelischen Grundwasserpumpstations zeigt. Für Deutschland bedeutet dies ein erhebliches Risiko: Betreiber kritischer Infrastruktur in Energie, Wasser und Industrie könnten zum Ziel werden. Auch deutsche Unternehmen in den betroffenen Sektoren sind potenziell vulnerabel. Die Nutzung unsicherer Remote-Access-Protokolle ohne sichere Gateways stellt somit nicht nur ein theoretisches Sicherheitsrisiko dar, sondern eine unmittelbare Bedrohung für deutsche Infrastruktur und Wirtschaft.

Die Sicherheitsforschungen von Forescout decken ein strukturelles Problem auf: Remote Desktop Protocol (RDP) und Virtual Network Computing (VNC) werden zwar häufig für Fernwartung genutzt, sollten aber niemals direkt im Internet ohne sichere Gateways verfügbar sein. Die Analyse ergab, dass von den insgesamt 120.000 identifizierten exposed Servern mit Branchenbezug – darunter 91.000 RDP und 29.000 VNC – ein erheblicher Anteil bei Organisationen im Einzelhandel, Bildungssektor, Dienstleistungen, Fertigungsindustrie und Gesundheitswesen gehostet wird.

Besonders kritisch ist der Sicherheitszustand vieler dieser Server. Über 19.000 RDP-Server sind anfällig für BlueKeep, eine bereits seit 2019 bekannte Sicherheitslücke, die immer noch von verschiedenen Angreifern ausgenutzt wird. Dies deutet darauf hin, dass viele Organisationen ihre Systeme nicht regelmäßig aktualisieren – ein fundamentales Sicherheitsversäumnis, das in Deutschland durch die IT-Sicherheitsgesetze und KRITIS-Anforderungen nicht zu tolerieren wäre.

Das eigentliche Sicherheitsdesaster zeigt sich bei den VNC-Servern: Fast 60.000 sind ohne jede Authentifizierung konfiguriert, und 670 davon geben direkten Zugriff auf SCADA- und andere Kontrollsysteme kritischer Infrastrukturen. Diese Cyber-Physical-Systeme sind für Angreifer extrem wertvoll, wie aktuelle Beweise belegen.

Russland-verbundene Hacker haben bereits ihre Fähigkeiten demonstriert. Die Gruppe „Infrastructure Destruction Squad” (IDS) entwickelte spezialisierte Tools zum Scannen von RDP-, VNC- und OT-spezifischen Protokollen. Im Februar 2025 posteten sie Videos einer angeblich kompromittierten Grundwasserpumpstation in Israel, im März folgte ein Beispiel aus der Türkei. Dazwischen warben sie sogar mit dem Verkauf von Zugriffsdaten auf ein exponiertes SCADA-System in Tschechien.

Doch nicht nur staatliche Akteure nutzen diese Schwachstellen. Cyberkriminelle setzen exponierte RDP-Server für Ransomware-Anschläge ein, und das Redheberg-Botnet hat seit Februar fast 40.000 freiliegende VNC-Server infiziert.

Für deutsche Unternehmen und Behörden ist eine sofortige Reaktion erforderlich: Alle Remote-Access-Dienste müssen hinter sichere VPN-Gateways oder Zero-Trust-Lösungen verlegt werden. Das BSI empfiehlt zudem regelmäßige Sicherheitsaudits und Penetrationstests für kritische Systeme. Besonders Betreiber kritischer Infrastrukturen sollten ihre exponierte RDP- und VNC-Instanzen unmittelbar vom Internet abschalten.

Ähnliche Artikel