Sicherer Zugriff für Altsysteme in OT-Umgebungen

Air-Gap | Keine eingehenden Ports | Proprietäres RFB | IT/OT-Sichtbarkeit

Beratungstermin vereinbaren
Sicherer Zugriff für Altsysteme in OT-Umgebungen

Über 5.000 Unternehmen vertrauen bereits auf Cybele Software

OT-Altsysteme: Kritisch, exponiert, übersehen

68%

der Industrienetzwerke nutzen nicht unterstützte Betriebssystemversionen

12 Jahre

durchschnittlicher Lebenszyklus von OT-Geräten. Weit über IT-Erneuerungszyklen hinaus

43%

der OT-Sicherheitsverletzungen entstehen durch Remote-Access-Tools

SPS-, SCADA- und HMI-Systeme können nicht gepatcht oder ersetzt werden. Air-Gap-Netzwerke erfordern Zugriff ohne Internet-Exposition.

Sichtbarkeitslücken zwischen IT und OT lassen den Betrieb schutzlos. Standard-VNC öffnet eingehende Ports und exponiert den Host direkt.

Bekannte Schwachstellen in Standard-VNC

Bekannte Schwachstellen in Standard-VNC

Exposition eingehender Ports

Das Lauschen auf TCP 5900 schafft einen permanenten Angriffsvektor auf jedem Host-Rechner.

Schwache Authentifizierung

Viele Implementierungen erlauben einfache Passwörter ohne MFA, die in Minuten geknackt werden können.

Unverschlüsselter Datenverkehr

Das veraltete RFB-Protokoll überträgt Bildschirmdaten im Klartext. Leicht abzufangen in flachen OT-Netzen.

CVEs auf Protokollebene

LibVNCServer, TightVNC, RealVNC weisen dokumentierte Vektoren für Remote-Code-Ausführung auf.

Keine Audit-Fähigkeit

Keine native Sitzungsaufzeichnung oder Zugriffsprotokollierung. Compliance und Forensik werden unmöglich.

Ein für Sicherheit entwickeltes proprietäres RFB-Protokoll

Thinfinity VNC implementiert nicht die öffentliche VNC- oder RFB-Spezifikation. Es nutzt eine proprietäre Erweiterung, um Standard-Angriffsvektoren zu eliminieren.

Standard VNC / RFB

Öffentliche Open-Source-RFB-Spezifikation
Über 100 Einträge in der CVE-Datenbank
Jeder Scanner kann Port 5900 identifizieren
Nur Klartext oder optionales TLS
Standardmäßig nur Passwort-Authentifizierung

Thinfinity VNC

Proprietäres RFB. Sicherheit durch Design-Obskurität
Keine CVE-Historie im proprietären Stack
Kein identifizierbarer offener Port am Host
Durchgängiges TLS 1.3 erzwungen
Token-basiert + optionales MFA

Keine eingehenden Ports auf dem Host-Rechner

Ohne eingehenden Port gibt es keinen eingehenden Angriff.

So funktioniert es: Nur ausgehendes Verbindungsmodell

1

OT-Host / Altsystem

initiiert ausgehende TCP-Verbindung

2

Thinfinity Relay Server

fungiert als sicherer Broker, kein Direktzugriff

3

Remote-Operator-Browser

verbindet sich über HTTPS, kein VPN erforderlich

Kein Port 5900. Keine Firewall-Regeln. Keine Angriffsfläche am Host.

Zugriff auf isolierte Netzwerke. Kein Internet erforderlich.

Thinfinity VNC ist für den Betrieb in On-Premises- oder privaten Netzwerkumgebungen konzipiert. Die Relay-Infrastruktur kann lokal bereitgestellt werden.

Zugriff auf isolierte Netzwerke. Kein Internet erforderlich.

On-Premises Relay

Stellen Sie Relay- und Broker-Komponenten vollständig innerhalb des Unternehmensperimeters bereit.

Zugriff auf isolierte Segmente

Erreichen Sie SPS, RTUs und HMIs in isolierten OT-Netzwerksegmenten ohne Netzwerkbrücken zwischen IT und OT.

Compliance-gerechte Isolation

Erfüllen Sie NERC CIP, IEC 62443 und NIST SP 800-82 Anforderungen für strikte Zugriffskontrolle.

Einheitliche IT- und OT-Sichtbarkeit aus einer Hand

Einheitliche IT- und OT-Sichtbarkeit aus einer Hand

Thinfinity VNC schließt die Sichtbarkeitslücke zwischen IT-Desktops und OT-Geräten, ohne die Sicherheitsgrenze aufzuheben.

IT-Ebenen

Windows-, Linux-, macOS-Workstations
Unternehmensserver und virtuelle Maschinen
Remote-Desktops für Mitarbeiter

OT-Ebene

SPS-, RTU-, DCS-Systeme
SCADA- & HMI-Terminals
Alte CNC- und eingebettete Geräte
Isolierte Industrie-Segmente (Air-Gap)
Granulare Zugriffskontrolle pro Asset oder Gruppe
Sitzungsaufzeichnung für IT und OT
Einheitlicher Audit-Trail für Compliance

Entwickelt für das perimeterlose Unternehmen

Proprietäres RFB-Protokoll

Nicht auf Open-Source-VNC basierend. Keine öffentliche CVE-Fläche. Verhalten nicht durch Scanner identifizierbar.

Keine eingehenden Ports

Host öffnet nur eine ausgehende Verbindung zum Relay. Firewall sieht nur Egress-Traffic.

Durchgängiges TLS 1.3

Alle Sitzungsdaten werden verschlüsselt übertragen, einschließlich Tastatur, Video und Zwischenablage.

On-Prem Relay für Air-Gap

Relay und Broker lokal ohne externe Konnektivität einsetzbar. Volle Kontrolle über den Datenpfad.

Aufzeichnung & Audit

Jede Sitzung wird protokolliert und optional aufgezeichnet. Vollständiger Audit-Trail für IT und OT.

Multi-Faktor-Authentifizierung

Token-basierte Identität mit MFA-Unterstützung. Richtlinien werden am Gateway erzwungen.

Wo Thinfinity VNC überzeugt

Image

Fertigung & Produktion

Remote-Zugriff auf CNC-Maschinen, SPS und HMIs
Isolierter OT-Segmentzugriff ohne VPN-Brücken
Operator-Support ohne Anreise vor Ort
Image

Energie & kritische Infrastruktur

SCADA-Terminalzugriff unter NERC CIP-Kontrollen
Management isolierter Unterstationen
Audit-fähige Protokollierung für Regulierungsbehörden
Image

Hybride IT/OT-Unternehmen

Zentrales Portal für IT-Desktops und OT-Geräte
Einheitliche IAM-Richtlinien für alle Assets
Konsistenter Audit-Trail vom SOC bis zur Werkshalle

Fordern Sie ein Proof-of-Concept für Ihre OT-Umgebung an