VNC im Internet exponiert:
das versteckte Risiko produzierender KMU

Was Italiens CSIRT meldet

Am 16. April 2026 hat das CSIRT Italia (Computer Security Incident Response Team bei der ACN, der italienischen Agentur für Cybersicherheit) das Bulletin BL01/260416 mit der Kritikalität Hoch (70/100) veröffentlicht. Das Bulletin meldet eine Zunahme feindlicher Aktivitäten — oft zurückführbar auf Hacktivisten-Gruppen wie NoName057 — gegen SCADA-Geräte, IoT-Geräte, Industriesysteme und private Konsolen, die per unzureichend geschütztem VNC im Internet exponiert sind.

Das Problem ist nicht theoretisch. Dienste wie Shodan und Censys kartieren ständig die per VNC auf Port 5900/TCP (und auf allen abgeleiteten Ports 5800-5899) exponierten Dienste: Ein Angreifer braucht nur Sekunden, um die exponierte italienische Oberfläche zu identifizieren und schwache Anmeldedaten, «Guest»-Konfigurationen oder bekannte Schwachstellen des zugrundeliegenden RFB-Protokolls zu testen.

Warum VNC im Internet strukturell schwach ist

VNC (Virtual Network Computing) entstand als Werkzeug für den Fernzugriff auf einen geteilten Bildschirm. Das zugrundeliegende Protokoll RFB (Remote Frame Buffer) wurde in einer Zeit entworfen, in der das Bedrohungsmodell anders war. Die strukturellen Probleme, die es für die direkte Internet-Exposition ungeeignet machen, sind bekannt und ohne Architekturwechsel nicht lösbar:

• Standardmäßig schwache oder fehlende Verschlüsselung — viele VNC-Implementierungen verschlüsseln den Datenverkehr in der Standardkonfiguration nicht robust: passive Abhörmaßnahmen (Man-in-the-Middle) erlauben das Lesen von Anmeldedaten und Sitzungsinhalten.
• Auf 8 Zeichen begrenzte Passwörter — einige weit verbreitete VNC-Varianten akzeptieren nur Passwörter bis 8 Zeichen, anfällig für Brute Force in für einen modernen Angreifer mit Cloud-Ressourcen akzeptablen Zeiten.
• Falsch konfigurierte «Guest»- oder «View only»-Modi — es ist nicht ungewöhnlich, industrielle VNC-Instanzen mit Zugriff ohne Anmeldedaten zu finden, oft weil der Lieferant in der Installationsphase eine vorübergehende Konfiguration hinterließ, die nie überprüft wurde.
• Nicht-granulare Berechtigungen — wer sich anmeldet, sieht in der Regel alles und kann alles tun: Es gibt kein Konzept von Rollen, Berechtigungen für spezifische Ressourcen oder zentralisiertem Audit-Trail der ausgeführten Aktionen.

Warum italienische produzierende KMU im Visier sind

Italienische produzierende KMU — sehr verbreitet in der Emilia-Romagna und im Raum Piacenza — sind aus konkreten Gründen besonders exponiert. Sie betreiben oft SPS, Maschinenkonsolen, SCADA-Systeme und IP-Kameras, die vor Jahren installiert wurden, als industrielle Cybersicherheit kein zentrales Thema war. Um den Fernsupport von Lieferanten und Wartungstechnikern — oft außerhalb des Unternehmensperimeters — zu ermöglichen, werden diese Geräte direkt per VNC im Internet exponiert, in vielen Fällen ohne VPN, ohne MFA und ohne ein Überwachungssystem für Zugriffe.

Das Ergebnis ist eine Kombination, die opportunistische Angreifer — und Hacktivisten-Gruppen, die auf die italienische Industrie ausgerichtet sind — sehr attraktiv finden: eine direkte und öffentlich kartierte Angriffsfläche, potenziell schwerwiegende Folgen (Produktionsausfall, Manipulation von Prozessen, Exfiltration industrieller Parameter) und geringe interne Sichtbarkeit in dem Moment, in dem jemand versucht einzudringen.

Drei konkrete Alternativen zum exponierten VNC

«Nacktes» VNC im Internet zu ersetzen heißt nicht, auf den Fernzugriff zu verzichten: es heißt, ihn in einen kontrollierten Perimeter zu verlegen. Drei Architekturen funktionieren gut für italienische KMU:

• 1Unternehmens-VPN mit MFA — der Fernzugriff bündelt sich in einem einzigen kontrollierten Punkt (VPN-Gateway), durch MFA geschützt. VNC bleibt intern, nie direkt exponiert. Einfache Lösung, auch für kleine KMU geeignet.
• 2Zero Trust Network Access (ZTNA) — anstelle eines VPNs, das generischen Netzwerkzugriff gewährt, gewährt ZTNA Zugriff auf einzelne Ressourcen, indem jeder Benutzer für jede spezifische Ressource authentifiziert wird, mit kontinuierlicher Identitäts- und Kontextüberprüfung. Besonders geeignet für die Verwaltung unterschiedlicher Zugriffsmuster zwischen Lieferanten, Wartungstechnikern und Mitarbeitern. Cybersecurity-Dienste.
• 3Jump Host (Bastion) mit MFA und Audit-Trail — ein einziger gehärteter Server, vom Internet aus erreichbar, von dem aus die internen Industriesysteme erreicht werden. Alle Sitzungen werden für Audit und nachträgliche Überprüfung aufgezeichnet. Bewährte Lösung für Umgebungen mit Compliance-Anforderungen.

Alle drei müssen zudem von einer Netzwerksegmentierung begleitet werden, die die traditionelle IT (Büros, ERP, Server) vom OT (Produktionslinie, SPS, SCADA, Kameras) trennt. Es ist die einzige Möglichkeit zu verhindern, dass eine Kompromittierung auf der Büroseite sich auf die Werkshalle ausbreitet, oder umgekehrt.

Wo mit AtWorkStudio anfangen

Der erste Schritt ist zu wissen, was tatsächlich exponiert ist. AtWorkStudio bietet KMU ein externes Perimeter-Vulnerability-Assessment an, das in wenigen Stunden alle aus dem Internet erreichbaren Dienste identifiziert — VNC, RDP, Industriekonsolen, Admin-Panels, Backup-Konsolen — und ihren Sicherheitsstatus bewertet. Auf Basis dieser Karte erstellen wir gemeinsam eine Roadmap zur Beseitigung direkter Zugriffe, zum Ersatz durch VPN/ZTNA/Jump Host und zur IT/OT-Segmentierung.

Wir arbeiten seit 2000 von Piacenza (Italien) aus und kennen die Dynamik lokaler produzierender KMU. Modernisierungsprojekte für den Fernzugriff können zu den förderfähigen Ausgaben des MIMIT-Cloud-und-Cybersecurity-Vouchers für italienische KMU gehören. Wir sind nach ISO/IEC 27001, 27017, 27018 und ISO 9001 zertifiziert, ACN-qualifiziert für SaaS-Cloud-Dienste, Mitglied von Clusit (italienischer Verband für Informationssicherheit) und assoziiert mit Confindustria Piacenza im RICT-Cluster.