Eine neue Sicherheitsstudie enthüllt schwerwiegende Schwachstellen in günstigen IP-KVM-Geräten – eine massive Bedrohung für Unternehmensnetzwerke und Rechenzentren weltweit. Das IT-Sicherheitsunternehmen Eclypsium veröffentlichte am 17. März 2026 Details zu neun kritischen Sicherheitslücken bei vier Herstellern preiswerter Fernwartungslösungen. Diese Geräte, die oft für unter hundert Euro zu haben sind, werden von IT-Profis für die Out-of-Band-Verwaltung von Servern eingesetzt. Die entdeckten Lücken ermöglichen es Angreifern, unauthentifiziert Code auszuführen und bis auf BIOS-Ebene vorzudringen. Da diese Hardware-Tools unterhalb der Betriebssystemschicht arbeiten, können sie traditionelle Sicherheitsmaßnahmen komplett umgehen. Ein kompromittiertes Gerät wird so zum perfekten Einfallstor.
Während Hardware-Schwachstellen wie bei IP-KVM-Geräten oft unbemerkt bleiben, sind viele Unternehmen generell unzureichend auf moderne Cyberangriffe vorbereitet. Dieser kostenlose Leitfaden zeigt Geschäftsführern und IT-Verantwortlichen, wie sie ihre IT-Sicherheit mit einfachen Maßnahmen proaktiv stärken können. IT-Sicherheit stärken ohne teure neue Mitarbeiter einzustellen
Kritische Lücken bei vier Herstellern
Die Forscher identifizierten die Schwachstellen bei Geräten der Hersteller GL-iNet, Angeet, Sipeed und JetKVM. Die schwerwiegendste Lücke, registriert als CVE-2026-32297, betrifft das Angeet ES3 KVM, das auch unter der Marke Yeeso vertrieben wird. Sie erreicht den maximalen Schweregrad von 9,8. Ein Angreifer kann ohne Authentifizierung beliebige Dateien auf das Gerät schreiben und es so manipulieren. Von dort aus lässt sich jede angeschlossene Maschine kompromittieren. Eine weitere kritische Lücke im selben Gerät (CVE-2026-32298) erlaubt die Einschleusung von Betriebssystembefehlen, weil Eingaben nicht überprüft werden. Die Forscher kritisieren grundlegende Architekturfehler: Die Hersteller-Software stellt Schnittstellen ohne jegliche Zugriffskontrolle bereit.
Grundlegende Sicherheitsfehler
Die Probleme gehen weit über die kritischen Fernzugriffs-Lücken hinaus. Der Bericht dokumentiert eklatante Versäumnisse bei grundlegenden Sicherheitsstandards. Die JetKVM-Produktlinie überprüft Firmware-Updates nur mit einfachen Hash-Werten, nicht mit kryptografischen Signaturen (CVE-2026-32294). Ein Angreifer im Netzwerk könnte so Updates durch Schadcode ersetzen. Zudem fehlt ein Schutz gegen Brute-Force-Angriffe: Unbegrenzte Login-Versuche sind möglich. Ähnliche Probleme hat das GL-iNet Comet RM-1: unzureichende Firmware-Prüfung, ungeschützte Cloud-Verbindungen und offene Hardware-Schnittstellen, die Root-Zugriff ermöglichen. Sicherheitsexperten sprechen nicht von hochkomplexen Angriffen, sondern von grundlegenden Entwicklungsfehlern, wie man sie von frühen IoT-Geräten kennt.
Die Gefahr des BIOS-Zugriffs
Genau hier liegt die besondere Gefahr: IP-KVMs bieten Fernsteuerung von Tastatur, Bildschirm und Maus auf Hardware-Ebene. Wird ein Gerät übernommen, erhält der Angreifer quasi unbeschränkten physischen Zugriff auf den angeschlossenen Server – unterhalb des Betriebssystems. Endpoint-Security und Virenscanner bemerken den Angriff nicht. Angreifer können die eingebauten USB- und CD-Laufwerk-Emulationen nutzen, um Systeme von Wechselmedien zu starten. So lassen sich Festplattenverschlüsselung umgehen, BIOS-Einstellungen ändern und direkt auf Dateisysteme zugreifen. Ein kompromittiertes Fernwartungsgerät macht alle softwarebasierten Sicherheitskontrollen auf der Zielmaschine wirkungslos.
Immer mehr Geräte im offenen Internet
Trotz der offensichtlichen Risiken verbreiten sich die günstigen Tools rasant in Rechenzentren, Industrieanlagen und Gesundheitseinrichtungen. Netzwerk-Scans zeigen einen alarmierenden Trend: Im Juni 2025 waren gerade einmal etwa 400 dieser spezifischen Geräte direkt mit dem Internet verbunden. Bis Januar 2026 hatte sich diese Zahl vervierfacht auf über 1.600 offen zugängliche Einheiten. Der Grund ist der niedrige Preis und der hohe Nutzen für das Management von Edge-Computing und Filialen. Doch die direkte Internetanbindung, gepaart mit schwachen Authentifizierungsmechanismen, schafft eine riesige Angriffsfläche, die von Cyberkriminellen aktiv gesucht wird.
Angesichts der rasanten Zunahme von vernetzten Geräten und neuen Cyber-Bedrohungen müssen Unternehmen ihre Verteidigungsstrategien dringend anpassen. In diesem Experten-Report erfahren Sie, wie sich mittelständische Betriebe effektiv gegen Cyberkriminelle wappnen können, ohne dass die Budgets explodieren. Kostenlosen Cyber-Security-Report jetzt herunterladen
Systemisches Risiko für die IT-Lieferkette
Die Entdeckung unterstreicht ein wachsendes, systemisches Risiko in der IT-Lieferkette. Sicherheitsexperten wie HD Moore warnen seit langem: Fällt die Management-Ebene, fällt auch die angeschlossene Infrastruktur – egal wie sicher die einzelnen Server sind. Der Zeitpunkt der Veröffentlichung fällt mit verschärften Prüfungen von Behörden zu Hardware-Risiken zusammen. Berichte dokumentieren, dass staatliche Angreifer und illegale Fernarbeiter ähnliche Billiggeräte nutzten, um dauerhaften, unentdeckten Zugang zu Unternehmensnetzen zu erlangen. Die Studie zeigt einen gravierenden Widerspruch: Die Geräte ermöglichen physischen Zugriff, wurden aber mit minimalem Sicherheitsaufwand entwickelt. Die Sicherheit eines gesamten Netzwerks sinkt damit auf das Niveau eines 30-Euro-Verbrauchergeräts.
Gegenmaßnahmen und Ausblick
Die Behebung erfordert sofortiges Handeln von Herstellern und Administratoren. Während GL-iNet einige Authentifizierungsfehler gepatcht hat, sind andere Lücken noch offen. Angeet hat Korrekturen angekündigt, aber keinen Zeitplan genannt. Bis umfassende Firmware-Updates vorliegen, empfehlen Sicherheitsexperten dringend:
* Inventur: Alle eingesetzten Fernwartungsgeräte identifizieren.
* Isolation: Geräte in dedizierte Management-VLANs verbannen.
* Kein Internetzugang: Direkte Exposition im Internet strikt verbieten.
* Absicherung: Management-Datenverkehr über vertrauenswürdige VPNs oder Zero-Trust-Lösungen leiten.
Die Branche erwartet zunehmenden regulatorischen Druck auf Hardware-Hersteller. Geräte, die physischen Zugriff gewähren, müssen künftig Mindeststandards bei Kryptografie und Authentifizierung erfüllen, bevor sie in den Unternehmensmarkt gelangen.
