Warum offene VPNs Ihre größte Schwachstelle sind — und was 2026 stattdessen Standard wird.

Ein Anruf, kurz vor neun. Am anderen Ende: ein IT-Leiter, dessen Stimme klingt, als hätte er die Nacht durchgemacht. Hatte er auch. „Wir haben einen Vorfall. Eine unserer EX707-Maschinen hat von außen einen Befehl bekommen, den niemand bei uns geschickt hat."

Was folgte, war kein Hack im Hollywood-Sinne. Niemand hat den Kernel umgeschrieben. Niemand hat Zero-Days verbrannt. Was passierte, war banal — und genau das ist das Problem.

01 Die offene Tür mit der Hausnummer

Die EX707, eine CNC-Werkzeugmaschine mit eigenem Embedded-Rechner, hing seit 2018 in einem Wartungsnetz. Erreichbar über VPN, Port 1723, PPTP. Das Passwort: das Geburtsjahr des Geschäftsführers. 1962. Bekannt allen drei Außendienst-Technikern und dem Hersteller — also mindestens 40 Personen.

Das ist nicht außergewöhnlich. Wir haben in den letzten drei Jahren in 21 von 23 Audits bei mittelständischen Maschinenbauern exakt dasselbe Muster gefunden: ein VPN-Gateway, fest installierte Credentials, lebenslange Gültigkeit, nicht-rotierte Schlüssel. Vier von fünf hatten zusätzlich noch RDP/3389 direkt aus dem Internet erreichbar — oft auf der Maschine selbst.

02 Was passiert ist (und was es gekostet hätte)

Im konkreten Fall blieb es bei einem Schreckmoment. Der Befehl war eine fehlerhafte Test-Routine eines früheren Technikers, dessen Account nie deaktiviert wurde. Schaden: ein abgebrochener Werkzeugbruch im Wert von 1.200 €, ein halber Tag Stillstand.

Aber: Das hätte auch ein Verschlüsselungsangriff sein können. Oder ein gezielter Sabotageakt auf eine kritische Charge. Oder, am häufigsten in unseren Forensik-Fällen, ein schleichender Datenabfluss — Konstruktionsdaten, Steuerungs-Code, Kalibrierungs-Parameter, die ein Wettbewerber drei Monate später benutzt, ohne dass jemand jemals erfährt, wo das Leck war.

03 Warum klassische VPNs 2026 nicht mehr reichen

Die kurze Antwort: weil ein VPN drei Annahmen voraussetzt, die heute fast nirgendwo mehr gelten.

1. Identität = Netzwerk. Wer im VPN ist, ist „drin". Dieses Modell zerbricht in dem Moment, in dem ein einziger Account kompromittiert wird.
2. Statische Zugangsdaten sind ok. Sind sie nicht. Ein Passwort, das niemand rotiert, ist faktisch öffentlich.
3. Audit ist nice to have. Ist es nicht. Ohne Audit-Log haben Sie keine Antwort auf „Wer war es?" — und damit auch keine auf „Wie verhindern wir das?"

Das BSI hat das in der Neuauflage des IT-Grundschutz-Kompendiums 2025 deutlich gemacht: Bausteine wie NET.3.3 und ORP.4 verlangen explizit kurzlebige Authentisierungsmittel und revisionssichere Protokollierung. Wer das ignoriert, riskiert nicht nur den Vorfall — sondern auch den Versicherungsschutz danach.

04 Was stattdessen funktioniert

Der Stand 2026 hat einen Namen, den niemand mehr neu erklären muss: Zero Trust. Für vernetzte Maschinen läuft das pragmatisch auf drei Bausteine hinaus:

Die Mechanik dahinter ist ziemlich einfach: Statt dass ein Techniker die Maschine „erreicht", baut die Maschine selbst einen ausgehenden Tunnel zu einem zentralen Hub auf. Der Techniker authentisiert sich beim Hub — nicht bei der Maschine. Die Maschine vertraut ausschließlich der Hub-Verbindung und nur, wenn sie ein gültiges, kurzlebiges Zertifikat vorzeigen kann. Kein offener Port. Kein dauerhaftes Passwort. Jeder Klick im Audit-Log.

# Klassisches VPN — die alte Welt
$ nmap 89.x.x.x
PORT     STATE  SERVICE
1723/tcp open   pptp
3389/tcp open   ms-wbt-server     # RDP — direkt erreichbar

# Vantage — die neue Welt
$ nmap 89.x.x.x
PORT     STATE   SERVICE
(no open ports)                       # Tunnel ist ausgehend

05 Aus dem Rollout-Tagebuch (OWL, Q1/2026)

Wir haben den Umstieg gemeinsam mit dem Kunden in 18 Wochen durchgezogen — bei laufendem Betrieb, ohne einen einzigen ungeplanten Stillstand. Drei Erkenntnisse, die wir mitnehmen:

1. Beginnen Sie mit der lautesten Maschine.

Nicht mit der einfachsten. Die teuerste oder produktivste Maschine zuerst — denn ihre Verfügbarkeit zählt am meisten, und ihr Erfolg zieht den Rest des Maschinenparks mit. Bei unserem Kunden war das eine EX707 mit ca. 5.000 € Stundensatz. Nach drei Wochen wollten die anderen Service-Teams das auch.

2. Hardware-Binding ist Pflicht, nicht Kür.

Ein Zertifikat ist nur so sicher wie der Speicher, in dem es liegt. Wir binden jedes Zertifikat über TPM 2.0 an die physische Maschine. Wird das Zertifikat kopiert, ist es woanders technisch wertlos — ohne dass jemand etwas tun muss.

3. Audit-Log ist kein Compliance-Kram. Es ist Ihr Versicherungsschutz.

Append-only Logs, signiert, mit täglich rotierenden Schlüsseln. Im ersten Halbjahr hatten wir genau einen Vorfall, bei dem das relevant wurde — eine versehentliche Konfigurationsänderung, die in 4 Minuten lokalisiert war. Ohne Log wären das 4 Tage gewesen.

06 Was es gebracht hat — in Zahlen

Was nicht in der Tabelle steht: die Tatsache, dass die IT-Leitung nachts wieder schläft. Und dass beim nächsten ISO-27001-Audit der Prüfer fünf Minuten brauchte, um sich zu überzeugen, statt der üblichen fünf Stunden.

07 Was Sie morgen früh tun können

Sie müssen nicht alles auf einmal umstellen. Sie müssen nicht einmal mit uns arbeiten. Aber Sie sollten diese Woche drei Dinge tun:

1. Inventarisieren Sie offene Ports auf jeder von außen erreichbaren IP. nmap -Pn kostet nichts und dauert eine Stunde.
2. Listen Sie alle aktiven Service-Accounts, sortiert nach „letzte Passwort-Änderung". Alles älter als 12 Monate ist ein Risiko, alles älter als 24 Monate ist ein Vorfall in Wartestellung.
3. Definieren Sie eine Audit-Strategie. Auch wenn Sie heute noch nichts protokollieren — wissen Sie morgen, wo Sie es täten?