Doch VNC-Server sind nicht nur praktisch, sondern können auch ein gefährliches Einfallstor für Kriminelle darstellen, wenn sie nicht sorgfältig abgesichert werden. Dazu zählt beispielsweise ein starkes Passwort, oder besser noch eine Mehr-Faktor-Authentifizierung. Leider bleiben solche Sicherheitsvorkehrungen immer noch viel zu häufig auf der Strecke, sei es aus Unwissenheit, mangelndem Bewusstsein für die Gefahr, durch Fehler oder weil es ohne Zugangsbarriere einfach bequemer für den Nutzer ist. Doch durch diese Nachlässigkeit öffnen sie Tür und Tor für unbefugte Eindringlinge, von Spionen bis hin zu Ransomware-Erpressern.
Die Folgen eines solchen Angriffs könnten fatal sein. Man stelle sich beispielsweise einen Wasserversorger vor, der von Cyberterroristen oder Hackern angegriffen wird und die angeschlossenen Gemeinden nicht mehr versorgen kann oder ungereinigtes Wasser in die Trinkwasserversorgung einspeist.
Experten des Cybersicherheitsspezialisten Cyble haben jetzt das Internet nach ungeschützten VNC-Servern durchsucht und fanden erschreckenderweise mehr als 9.000, die nicht einmal mit einem simplen Passwort geschützt waren. Mit 1.555 bzw. 1.506 Servern waren China und Schweden besonders stark betroffen. An dritter Stelle folgten die USA mit 835 Fällen. Ein Blick auf die von Cyble veröffentlichte Landkarte zeigt jedoch, dass es auch in Deutschland eine ganze Reihe von ungeschütztem VNC-Systemen gibt.
Doch nicht nur die schiere Zahl ist erschreckend, auch die Art der betroffenen Unternehmen und Organisationen sollte zu denken geben. So fanden die Sicherheitsforscher auch industriell genutzte Kontrollsysteme ungeschützt im Netz, die unter keinen Umständen überhaupt an das Internet angeschlossen sein sollten. In einem der untersuchten Fälle führte der exponierte VNC-Zugriff zu einem Human Machine Interface zur Steuerung von Pumpen auf einem Remote-SCADA-System in einer unbenannten Produktionseinheit. SCADA steht dabei für Supervisory Control and Data Acquisition. Solche Systeme werden zur Überwachung und Steuerung technischer Prozesse in der Industrie eingesetzt.
Um festzustellen, wie oft Kriminelle VNC-Server angreifen, hat Cyble die Angriffe auf Port 5900, den Default-Port für VNC-Server getrackt. Innerhalb eines Monats ergaben sich so mehr als sechs Millionen Angriffe, die meisten aus den Niederlanden, Russland und den Vereinigten Staaten. Auch in Hacker-Foren im Darknet ist die Nachfrage nach bereits geknackten VNCs hoch, insbesondere nach solchen, über die sich kritische Infrastrukturen hacken lassen, denn über VNCs können sich Kriminelle unter Umständen weiter im Netzwerk ausbreiten und dort Schäden anrichten.