Weltweit sind über 1,8 Millionen RDP- und 1,6 Millionen VNC-Server ungeschützt aus dem Internet erreichbar, viele davon steuern Anlagen in Industrie und Energieversorgung. Genau diese Offenheit nutzen Hacktivisten und Botnetze wie REDHEBERG bereits aktiv aus, denn klassische VPN- und Jump-Host-Modelle kontrollieren Sitzungen kaum noch. Secure Remote Access soll genau diese Kontrolle zurückbringen.
Offene Fernzugänge verwandeln Pumpstationen und Fertigungslinien in leichte Ziele. Daher ersetzen immer mehr Betreiber VPN und Jump Host durch überwachte, sitzungsbasierte Zugriffsmodelle.
Hybrides Arbeiten und Remote-Wartung gehören in Industrie und Energieversorgung zum Betriebsalltag, ebenso der Zugriff externer Systemintegratoren auf Anlagen am Plant Floor. Wer eine Pumpstation oder eine Fertigungslinie aus der Ferne erreichen will, tut das in der Praxis aber häufig über Protokolle, die nie für offene Netze konzipiert waren. RDP und VNC sind die prominentesten Beispiele.
Aktuelle Forschungsergebnisse von Forescout Vedere Labs zeigen, wie verbreitet exponierte Fernzugänge in OT-Umgebungen weiterhin sind. Über Shodan identifizierten die Researcher mehr als 1,8 Millionen RDP-Server und über 1,6 Millionen VNC-Server, die direkt aus dem Internet erreichbar sind. China stellt 22 Prozent der exponierten RDP-Systeme und 70 Prozent der VNC-Server, die USA folgen mit 20 beziehungsweise 7 Prozent. Deutschland liegt bei 8 und 2 Prozent. Nach Bereinigung um Honeypots, ISP-Adressräume und Hostingprovider blieben rund 91.000 RDP- und 29.000 VNC-Server, die sich konkreten Branchen zuordnen ließen.
Genau diese Zuordnung macht das Problem greifbar. Bei den exponierten RDP-Servern führen Einzelhandel und Dienstleistungen das Feld an, gefolgt von Bildung, Fertigung, Transport und Versorgern. Bei VNC dominieren Bildung und Dienstleistungen, das Gesundheitswesen folgt mit 17 Prozent. Viele dieser Sektoren betreiben cyber-physische Systeme, in denen ein erfolgreicher Zugriff Maschinen schaltet und physische Prozesse manipulieren kann.
Ein zweiter Befund verschärft das Bild. 18 Prozent der von Forescout beobachteten RDP-Server laufen auf End-of-Life-Versionen von Windows. Weitere 42 Prozent setzen auf Windows 10, dessen regulärer Support im Oktober 2025 endete. Erweiterte Sicherheitsupdates über Microsofts ESU-Programm sind möglich, kosten aber Geld und sind von außen nicht überprüfbar. Über 19.000 dieser RDP-Server bleiben anfällig für BlueKeep, also CVE-2019-0708. Die wurmfähige Schwachstelle ist sieben Jahre alt und wird nach Einschätzung der US-Behörde CISA bereits von Ransomware-Gruppen und iranisch gesponserten Akteuren ausgenutzt.
Bei VNC ist die Lage noch unmittelbarer. Knapp 60.000 exponierte Server haben Authentifizierung schlicht abgeschaltet, mehr als 670 davon zeigen direkt das Bedienpanel einer OT- oder ICS-Anlage. Wer die richtige Shodan-Abfrage stellt, blickt ohne jede Hürde auf SCADA-Visualisierungen oder Pumpensteuerungen. Selbst dort, wo Authentifizierung aktiv ist, dominieren Forescout zufolge schwache oder geteilte Standardpasswörter.
Wie schnell sich daraus operative Risiken entwickeln, zeigen zwei Bedrohungsmuster aus den vergangenen Monaten. Der erste betrifft Hacktivisten. Im Februar veröffentlichte die Gruppe Infrastructure Destruction Squad (IDS) im Telegram-Umfeld der Z-Pentest-Allianz ein Tool namens TRK25 ADVANCED SCADA samt Quellcode. Der GUI-basierte Scanner sucht gezielt nach Ports zu industriellen Protokollen wie Modbus, OPC, S7 oder BACnet sowie zu RDP und VNC. Bereits am 23. Februar präsentierte die Gruppe ein Video einer angeblich kompromittierten Grundwasserpumpstation in Israel, am 9. März folgten Screenshots eines türkischen Steuerungssystems. Zwischendurch bot IDS für 60 US-Dollar Zugang zu einer SCADA-Anlage einer tschechischen Schulheizung an. Der Schritt vom politisch motivierten Hacktivismus zum opportunistischen Initial-Access-Brokering ist klein geworden.
Das zweite Muster ist die Botnet-Welle REDHEBERG. Seit dem 20. Februar tauchte auf rund 16.000 exponierten VNC-Servern ein einheitliches Bild auf, das Stresser-, DDoS- und Residential-Proxy-Dienste bewirbt. Bis zum 20. März stieg die Zahl der kompromittierten Geräte auf knapp 40.000. Forescout identifizierte ein in Go geschriebenes ELF-Binary, das per WebSocket eine Reverse Shell zu hardcodierten Command-and-Control-Endpunkten auf französischen VPS-Providern öffnet. Mit klassischer Patch-Hygiene allein lässt sich diese Geschwindigkeit nicht mehr einhegen.
Die Schlussfolgerung der Forescout-Researcher ist deutlich. VPN und Jump Host erweitern Vertrauensgrenzen, statt Interaktionen zu kontrollieren. Sie verteilen breite Netzwerkrechte an Personen, deren Sitzungen anschließend kaum noch überprüfbar sind. Wer remote zugreift, befindet sich nach erfolgreicher Anmeldung praktisch im Werk, nicht vor dem Werkstor. Im OT-Umfeld, wo jeder Befehl physische Konsequenzen haben kann, ist das nicht zu rechtfertigen.
Modernes Secure Remote Access (SRA) setzt deshalb an einem anderen Punkt an. Voraussetzung ist eine kontinuierliche, in Echtzeit gepflegte Sichtbarkeit über sämtliche Assets im Netz. Welches Gerät existiert, wo es steht, wie es sich verhält und ob seine Sicherheitslage akzeptabel ist, sind Fragen, die statische Inventarlisten nicht beantworten. Erst auf dieser Grundlage kann ein SRA-Gateway jede Sitzung gezielt vermitteln. Anwender kommunizieren dann nicht direkt mit SPS, HMI oder Engineering Workstation, sondern arbeiten über einen browserbasierten Bildstrom. Sie sehen Pixel, keine Protokolle. Der Zugriff ist auf ein konkretes Asset, eine definierte Aufgabe und ein zeitliches Fenster begrenzt, jede Sitzung kryptographisch signiert und revisionssicher protokolliert. Compliance-Anforderungen aus IEC 62443, NIS-2 oder NERC CIP lassen sich so belastbar nachweisen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Forescout-Daten zeigen keine hypothetische Risikolage. Botnetz-Betreiber wie REDHEBERG und politisch motivierte Gruppen wie IDS arbeiten bereits an dieser Angriffsfläche. Solange RDP und VNC offen ins Internet zeigen, bleibt jede industrielle Anlage nur einen Scan und ein schwaches Passwort vom nächsten Vorfall entfernt. Wer industrielle Infrastruktur verantwortet, sollte exponierte Fernzugänge in den nächsten Monaten gezielt abbauen und durch ein vermitteltes, protokolliertes Zugriffsmodell ersetzen.
Über den Autor: Daniel dos Santos ist VP Research bei Forescout Research – Vedere Labs.