sorin - stock.adobe.com
Seriell-zu-IP-Konverter als Sicherheitsrisiko für IT und OT
Kritische Schwachstellen bedrohen Millionen Industriesteuerungen in KRITIS-Sektoren weltweit. BRIDGE BREAK zeigt Risiken an der Schnittstelle zwischen OT und IT-Netzwerken.
Seriell-zu-IP-Konverter bilden eine zentrale Schnittstelle in der industriellen Vernetzung. Sie ermöglichen die Kommunikation zwischen älteren seriellen Feldgeräten und modernen, IP-basierten Netzwerken. Diese Geräteklasse ist in der Operational Technology (OT) weit verbreitet, da sie die Integration von Legacy-Systemen in aktuelle Infrastrukturen erlaubt, ohne dass ein kostspieliger Austausch der Hardware erforderlich ist. Aufgrund ihrer oft unauffälligen Integration und langen Betriebszyklen stellen sie jedoch ein besonderes Risiko für die Netzwerksicherheit dar, das häufig außerhalb des Fokus klassischer IT-Sicherheitsstrategien liegt. Die Tragweite dieser Problematik wird durch Forschungsergebnisse zur Verwundbarkeit dieser Komponenten verdeutlicht.
Forescout Vedere Labs hat unter dem Namen BRIDGE:BREAK 22 neue Schwachstellen in Seriell-zu-IP-Konvertern offengelegt. Betroffen sind Geräte der Lantronix-EDS-Reihe und der Silex SD-330AC, also typische Brückengeräte zwischen alter serieller Industrietechnik und modernen IP-Netzen. Forescout schätzt den weltweiten Bestand auf über zehn Millionen Geräte, eine Shodan-Recherche listet knapp 20.000 davon offen aus dem Internet erreichbar.
Die Diskussion um diese Geräteklasse läuft seit Jahren. Bereits 2018 hatte Bitdefender in einem ausführlichen Beitrag auf die Schwachstellen CVE-2018-8869 und CVE-2018-8865 in einem Lantech IDS-2102 hingewiesen, der eine Web-Oberfläche mit unzureichender Eingabevalidierung und einen klassischen Stack-basierten Buffer Overflow in der ser2net-Konfiguration aufwies. Lantech hat damals keinen Patch geliefert, der Hersteller beendete den Support für das Gerät. BRIDGE:BREAK zeigt nun, dass sich an der Grundsituation nichts geändert hat.
Was Seriell-zu-IP-Konverter machen und warum sie fast überall stecken
Ein Seriell-zu-IP-Konverter, auch als Serial Device Server oder Serial-to-Ethernet Adapter bekannt, übersetzt Datenströme zwischen klassischen seriellen Schnittstellen wie RS-232, RS-422 oder RS-485 und einem TCP/IP-Netzwerk. Er nimmt Telegramme einer alten Steuerung an seiner seriellen Seite entgegen und packt sie in TCP- oder UDP-Pakete für das Backbone, in der Gegenrichtung übersetzt er IP-Verkehr zurück in serielle Befehle für das Feldgerät. Die Geräteklasse löst ein einfaches Problem: Industrieanlagen, Versorger und Kliniken laufen mit Maschinen, die teilweise zwanzig oder dreißig Jahre alt sind und keine Ethernet-Schnittstelle besitzen. Statt diese Maschinen auszutauschen, was technisch und finanziell oft ausgeschlossen ist, fügen Betreiber einen Konverter ein.
Die Anwendungsbereiche reichen quer durch die Industrie. In Umspannwerken übertragen Konverter Werte von Schutzrelais und Remote Terminal Units an Leitwarten, in Wasseraufbereitungsanlagen Sensordaten und Pumpenbefehle, in Fertigungsstraßen die Kommunikation mit CNC-Maschinen und SPS-Systemen, in der Bahnsignaltechnik die Telegramme von Streckenfeldgeräten. Im Einzelhandel hängen Barcode-Scanner und Kassenperipherie an seriellen Adaptern, in Krankenhäusern Patientenmonitore, Laboranalysatoren und Infusionspumpen-Schnittstellen, in Rechenzentren das Out-of-Band-Management von Switches und USVs, an Tankstellen die Pegelsensoren der Tankgeber.
Was BRIDGE:BREAK technisch zeigt
Die 22 neu dokumentierte Schwachstellen verteilen sich auf drei Modellreihen, also Lantronix EDS3000PS und EDS5000PS sowie Silex SD-330AC. Im EDS5000PS stecken fünf separate Lücken für Remote Code Execution, davon zwei mit einem CVSS-Score von 9,8, drei weitere im hohen Bereich mit Authentifizierungspflicht. Im EDS3000PS hat die Schwachstelle (CVE-2025-70082) ebenfalls einen CVSS-Score von 9,8.
Daneben dokumentiert Forescout Buffer Overflows, OS-Command-Injection in Management-Funktionen, beliebigen Datei-Upload, Authentifizierungsumgehung, Manipulation der Firmware über hartkodierte Signaturschlüssel und Offenlegung von Passwörtern und kryptografischen Schlüsseln durch schwache Verschlüsselung. Eine Demonstration auf der Black Hat Asia 2026 zeigt die praktischen Folgen. Daniel dos Santos, Leiter der Sicherheitsforschung bei Vedere Labs, schaltet einen kompromittierten Konverter zwischen Thermometer und IP-Netz, die Werte werden auf der Strecke verändert. Im selben Aufbau wechselt ein eingelesener Barcode bei der Übertragung in eine andere Zeichenfolge, die Logik der Anwendung sieht den Tausch nicht.
Über die neu offengelegten Schwachstellen hinaus liefert die Forschung einen zweiten beunruhigenden Befund. Forescout hat die Software-Stacks der Konverter analysiert und durchschnittlich 212 bekannte Schwachstellen pro Firmware-Image gezählt, die Linux-Kernel der Geräte tragen im Mittel 2.255 dokumentierte Bugs in alten Versionen, im Schnitt sind 89 öffentlich verfügbare Exploits pro Firmware-Image vorhanden. Address Space Layout Randomization, eine Standard-Härtung gegen Speicherangriffe, fehlt auf den meisten Geräten vollständig. Damit liegt ein Großteil der Konverter im Auslieferungszustand auf einem Sicherheitsniveau, das auf Standard-Linux-Servern seit über einem Jahrzehnt überholt ist.
Warum diese Geräteklasse zum blinden Fleck wird
Seriell-zu-IP-Konverter sind klein, unauffällig und werden im Zuge eines Modernisierungsprojekts irgendwann eingebaut, nach dem Anschluss laufen sie jahrelang ohne Aufmerksamkeit. Klassische CMDB-Einträge fehlen oft, Schwachstellenscanner für Server kennen die Firmware nicht, Patch-Pipelines erfassen die Geräte nicht. Hinzu kommt eine zweite Schicht der Sichtbarkeitslücke. Aus öffentlich verfügbaren Dokumenten lassen sich Hersteller, Modell, interne IP-Adressen und teilweise sogar Fotos aus realen Umspannwerken oder Wasseraufbereitungsanlagen ableiten. Angreifer kombinieren diese OSINT-Daten mit gezielten Suchen über Shodan und finden so vorausgewählte Ziele, ohne ein einziges Paket ins Netz zu schicken.
Die Geräte sind außerdem ein bevorzugtes Mittel für die Manipulation physischer Prozesse. Beim Angriff auf das ukrainische Stromnetz im Jahr 2015 gehörten Seriell-zu-IP-Konverter zu den Komponenten, die Angreifer manipulierten, um Leitstand und Schaltanlage voneinander zu trennen und die Wiederherstellung zu verzögern. Diese Gefahr wurde in den letzten Jahren aber nicht geringer, sondern noch größer. Bei Vorfällen gegen polnische Energieinfrastruktur in der Vergangenheit zeigt sich ein vergleichbares Muster.
Was im Schadensfall passiert
Ein erfolgreicher Angriff auf einen Seriell-zu-IP-Konverter wirkt direkt am Übergang zwischen Netzwerk und angeschlossener Anlage. Im OT-Umfeld kann der Angreifer Sensorwerte verfälschen. Aktorbefehle in die Gegenrichtung sind genauso angreifbar. Der gefährlichste Effekt ist die Verschleierung von Zuständen, die einen menschlichen Eingriff erfordern würden.
Im Krankenhaus zeigt sich ein vergleichbares Muster mit anderen Folgen. Angreifer können zum Beispiel eine Firmware mit Schadcode auf eine Charge von Konvertern ausrollen und zeitverzögert aktivieren. Eine zweite Wirkungsweise solcher Angriffe liegt im Lateral Movement. Ein kompromittierter Konverter dient als Sprungbrett in andere OT- und IT-Segmente, die ansonsten isoliert wären. Über das Management-Interface lässt sich Datenverkehr mitlesen oder eine Verbindung in das angeschlossene SCADA-System initiieren. Forescout führt Seriell-zu-IP-Konverter im Riskiest Connected Devices Report 2026 (PDF) daher als Platz zwei der riskantesten IT-Geräte direkt hinter Routern.
Praktische Absicherung für Betreiber
Eine vollständige Inventur aller seriellen IP-Konverter erfasst den Hersteller, das Modell, den Firmware-Stand, die Management-IP, die angeschlossenen Feldgeräte, das Netzsegment, das verantwortliche Team und den Anwendungszweck. Discovery-Quellen sind passive Verkehrsanalyse über NetFlow oder SPAN, aktive Abfragen über SNMP, DHCP-Daten und ARP-Tabellen. In OT-Umgebungen wird diese Analyse um eine protokollnahe Tiefenanalyse für Modbus, IEC 61850 und DNP3 ergänzt. An ungemanagten Außenstandorten lohnt sich eine physische Begehung, da die Konverter häufig in Schaltschränken ohne IT-Inventar sitzen.
Im Anschluss folgt die Härtung der Managementebene. Default-Passwörter sollten ausnahmslos durch eigene starke Zugangsdaten ersetzt werden, ungenutzte Dienste wie Telnet, HTTP, SNMPv1 und v2 gehören deaktiviert, SNMPv3 mit Authentifizierung und Verschlüsselung bildet die Mindestanforderung. Die Web-Oberfläche sollte auf das Out-of-Band-Management-Netz beschränkt sein, eine Erreichbarkeit aus dem produktiven Datenverkehr oder dem Internet sollte per Firewall-Regel möglichst ausgeschlossen werden.
Das Einspielen von Patches bleibt die zweite Pflicht. Lantronix und Silex haben Updates veröffentlicht. Da Wartungsfenster in industriellen Umgebungen selten sind, verhindert eine Patch-Roadmap mit fest zugeordneten Wartungsslots das übliche Liegenbleiben. Für Geräte ohne Hersteller-Support bleibt nur der Austausch.
Die dritte Schicht ist Segmentierung. Seriell-zu-IP-Konverter gehören in eigene, eng begrenzte Zonen, die nur die Kommunikation mit dem zugeordneten SCADA-, Monitoring- oder Leitsystem zulassen. Eine Mikrosegmentierung mit identitäts- und attributbasierter Zonenmodellierung grenzt die Geräte agentenlos ein. IT-Workloads im selben Netz erreichen die Konverter dadurch nicht mehr, Lateral Movement scheitert am nächstgelegenen Enforcement-Punkt. Reine VLAN-Trennung reicht nicht aus, weil ein kompromittierter Konverter im selben VLAN beliebige Verbindungen zu anderen Konvertern aufbauen kann.
Eine vierte Schicht überwacht den seriellen Datenstrom selbst. Ein vorgelagertes OT-Gateway mit Protokollverständnis prüft die Telegramme gegen ein Referenzmodell. Abweichungen in den Sensorwerten oder unerwartete Aktorbefehle lösen Alarme aus. Diese Methode ist die einzige praktische Antwort auf Angriffe auf diese Art von Systemen.
Zwischen Erkennung und automatischer Reaktion
Klassische Erkennungslogiken kommen bei Seriell-zu-IP-Konvertern an Grenzen. Die Geräte tragen keinen Endpoint-Agent, ihre Logging-Tiefe ist begrenzt, ihre Konfigurationen oft nicht versioniert. Continuous Universal Zero Trust Network Access bewertet daher den Gerätezustand fortlaufend und reagiert ohne menschliches Zutun, sobald Risiko- oder Compliance-Werte kippen. Eingangssignale sind ein neu angelegter lokaler Administrator-Account auf dem Konverter ohne Change-Ticket, ein plötzlich aktivierter Telnet- oder SSH-Daemon, eine Verbindung in ein Segment außerhalb des erlaubten Kommunikationsmusters. Mögliche Reaktionen sind Quarantäne in einem Restricted-VLAN, Beendigung aktiver Sessions und ein Alarm ins SOC.
Die Erstreaktion auf einen Angriff sollte bei betroffenen Organisationen daher in Zukunft ohne Mitwirkung eines Menschen ablaufen, idealerweise mithilfe von KI. Dadurch können Unternehmen und Verwaltungen schnell reagieren. Im Nachgang können IT-Mitarbeiter die Vorfälle einordnen und die Erkennungslogik anpassen. Bei Angriffen auf Konverter, die im Sekundentakt Sensorwerte verfälschen, ist nur eine eigene KI-Lösung im SOC schnell genug.
Pflichten aus NIS2 und Versicherungsmarkt
Die Vorgaben aus NIS2 für wesentliche und wichtige Einrichtungen, das deutsche IT-Sicherheitsgesetz und das KRITIS-Dachgesetz fordern eine angemessene Reaktion auf Sicherheitsvorfälle. Was als angemessen gilt, lässt sich ohne Inventar der OT-Bridges, ohne Mikrosegmentierung und ohne dokumentierte Patch-Disziplin kaum noch belegen. Cyberversicherer fragen Reaktionszeiten zunehmend mit konkreten Nachweisen ab.
Eine sinnvolle Reihenfolge beginnt mit Inventar und Härtung der Management-Ebene. Es folgt die Mikrosegmentierung in OT-, Medizintechnik- und KRITIS-Zonen mit den höchsten Schadenpotenzialen. Die KI-gestützte Erstreaktion über Continuous Universal ZTNA folgt im Anschluss, sobald die 802.1X-Infrastruktur bereinigt ist und die Discovery-Daten zuverlässig fließen.
