Im Juni 2026 entdeckte ein Sicherheitsforscher namens Volodymyr „Bob“ Diachenko einen Server, der ungeschützt im Internet zugänglich war. Darauf befand sich eine Liste. Keine gestohlenen Dateien, keine malware. Eine Liste mit funktionierenden Benutzernamen und Passwörtern für die Firewalls, die das Tor zu Zehntausenden von Unternehmen bilden.
Bis zum 19. Juni umfasste diese Liste rund 86.644 Fortinet-Geräte in 194 Ländern. Das entspricht etwa der Hälfte aller über das Internet erreichbaren Fortinet-Firewalls. Frühere Berichte gingen von einer Zahl von 73.932 aus, die jedoch im Laufe der weiteren Zählungen durch die Forscher weiter anstieg. Die Kampagne hat nun einen Namen: FortiBleed.
Eine Firewall ist das Gerät, das entscheidet, wer Zugang zum Netzwerk eines Unternehmens erhält und wer es verlassen darf. Viele davon betreiben auch ein VPN – den verschlüsselten Tunnel, über den sich Mitarbeiter von zu Hause aus anmelden. Es handelt sich also nicht um unbedeutende Geräte. Sie sind die Schlösser am Haupteingang. Und jemand hat einen Katalog mit funktionierenden Schlüsseln für einen Großteil davon erstellt.
Es gibt keinen Fehler, der behoben werden müsste.
Die meisten Sicherheitsberichte, die man liest, enden mit dem gleichen Ratschlag: Ein Anbieter hat eine Sicherheitslücke entdeckt, einen Patch veröffentlicht – installieren Sie ihn. Jede dieser Sicherheitslücken erhält eine Nummer, eine CVE, damit jeder sie nachverfolgen kann.
Für FortiBleed gibt es keine CVE-Nummer. Die Software von Fortinet war nicht kompromittiert. Niemand hat sich gewaltsam Zugang verschafft. Die Schlüssel wurden einfach kopiert.
So lief es, in einfachen Worten: Eine Gruppe namens „SantaAd“, die in einem russischsprachigen Kriminellenforum Werbung schaltete, führte mehr als eine Milliarde Anmeldeversuche bei mit dem Internet verbundenen Fortinet-Geräten durch. Sie versuchten in großem Umfang, Passwörter zu erraten, verwendeten Passwörter, die bei früheren Datenlecks offengelegt worden waren, und knackten verschlüsselte Passwortdateien mithilfe eines Racks aus Grafikkarten, das eigens für diesen Zweck aufgebaut worden war. Dann unternahmen sie den entscheidenden Schritt: Sie prüften, welche Zugangsdaten tatsächlich funktionierten, und behielten nur diese.
Das Ergebnis ist also kein theoretisches Risiko. Es handelt sich um eine Reihe verifizierter Zugangsdaten, mit denen sich echte Türen öffnen lassen.
Die Authentifizierung war erfolgreich
Die meisten Sicherheitsmaßnahmen sind darauf ausgelegt, jemanden abzufangen, der sich gewaltsam Zugang verschafft. Ein falsches Passwort, ein blockierter Zugriffsversuch, eine malware einen Alarm auslöst. FortiBleed löst nichts davon aus.
Wenn sich ein Angreifer mit einem echten Passwort anmeldet, tut das System genau das, wofür es entwickelt wurde: Es lässt ihn herein. Die Anmeldung sieht genauso aus wie Ihre eigene. Gleiche Art von Benutzername, gleiche Art von Sitzung, auf dieselbe Weise am selben Ort protokolliert. Das Audit-Protokoll – die Aufzeichnung darüber, wer sich wann angemeldet hat – zeigt eine normale, erfolgreiche Anmeldung an. Es wird kein Alarm ausgelöst, denn aus Sicht des Geräts ist nichts schiefgelaufen. Das Audit-Protokoll hat den Angreifer durchgewunken.
Das ist die Schwachstelle, über die ich am häufigsten schreibe. Nicht „jemand ist eingebrochen“. Jemand hat sich angemeldet, und die Aufzeichnung bestätigt dies. Ein korrektes Passwort gilt als Identitätsnachweis, selbst wenn die Person, die es eingibt, ein Fremder ist, der es bei einer Auktion erworben hat.
Ein Schlüssel, viele Male verkauft
Es gibt noch eine zweite Wendung, die in den meisten Berichten unerwähnt geblieben ist, und genau dieser Aspekt sollte den Sicherheitsverantwortlichen am meisten Sorgen bereiten.
SantaAd hat die Zugangsdaten nicht einfach nur gesammelt. Das Unternehmen hat sie nach dem Umsatz der jeweiligen betroffenen Unternehmen sortiert und anschließend versteigert. Unternehmen mit höherem Umsatz wurden als besonders attraktive Ziele angeboten.
Das verändert die Natur des Problems. Wenn Zugriffsrechte versteigert werden, kann derselbe funktionierende Schlüssel von mehreren verschiedenen kriminellen Gruppen gleichzeitig erworben werden. In einem Unternehmen können sich somit mehrere voneinander unabhängige Eindringlinge gleichzeitig mit einem gültigen Login für dieselbe Firewall anmelden, wobei jeder einzelne sich auf normale Weise anmeldet und vollkommen legitim wirkt. Die Entscheidung, wen man angreift, wurde nicht von einem Hacker getroffen, der Ihre Abwehrmaßnahmen analysiert hat. Sie wurde anhand einer Preisliste getroffen.
Warum die üblichen Lösungen nicht ausreichen
Die üblichen Reaktionen auf einen Sicherheitsverstoß bringen hier weniger, als man sich erhoffen würde.
Man kann hier keinen Patch installieren, da nichts defekt ist. Das Zurücksetzen von Passwörtern hilft zwar, aber nur, wenn man weiß, welche Zugangsdaten gestohlen wurden, und nur, wenn man jedes einzelne Passwort überall dort zurücksetzt, wo es verwendet wird. Wenn man eines übersieht, funktioniert dieser Login weiterhin. Die CISA hat Fortinet-Kunden dringend dazu aufgefordert, Zugangsdaten regelmäßig zu ändern und die Zugriffsrechte zu überprüfen – was zwar die richtige Entscheidung ist, aber ein manueller Wettlauf gegen eine Liste, die man nicht vollständig überblicken kann.
Es gibt noch einen weiteren Haken. Eine Firewall ist ein geschlossenes Gerät. Man kann darauf kein Antivirenprogramm oder einen Überwachungsagenten installieren, so wie man es auf einem Laptop tun kann. Das Gerät, das gerade einen Angreifer hereingelassen hat, ist also auch ein Gerät, das von innen heraus nicht überwacht wird.
Wo man es tatsächlich sehen kann
Wenn die Anmeldung an sich normal aussieht und das Gerät sich selbst nicht überwachen kann, dann ist der Zeitpunkt der Anmeldung nicht der richtige, um dies zu erkennen. Es kommt vielmehr auf alles an, was danach geschieht.
Ein gestohlener Schlüssel beweist, dass man die Tür öffnen kann. Er verrät dem Dieb jedoch nicht, wie sich die Menschen verhalten, die dort wohnen. Das echte Konto meldet sich von bekannten Orten aus, zu bekannten Zeiten und führt bekannte Aktionen durch. Das entwendete Konto tut dies irgendwann nicht mehr. Es verbindet sich von einem unerwarteten Ort aus, zu einer ungewöhnlichen Uhrzeit und greift auf Systeme zu, die der echte Nutzer niemals nutzt. Dieses Verhalten ist der Teil, den das Passwort nicht vortäuschen kann.
Das gilt insbesondere dann, wenn man beobachtet, was ein gültiges Konto tut – und nicht nur, ob es sich anmelden konnte. Die Anmeldung wird immer wieder „Ja“ anzeigen. Was das Konto anschließend tut, verrät dann, worum es wirklich geht.
Was diese Woche zu tun ist
Drei praktische Fragen, in einfacher Sprache:
Erstens: Werden Ihre Fortinet-Anmeldungen hinsichtlich ihres Verhaltens nach der Anmeldung überwacht oder lediglich auf ein korrektes Passwort überprüft? Die meisten Überwachungsmaßnahmen sind darauf ausgelegt, fehlgeschlagene Anmeldeversuche zu erkennen. FortiBleed führt jedoch erfolgreiche Anmeldungen durch.
Zweitens: Wenn eine Anmeldung von einem unbekannten Standort aus gelingt, würde das jemand bemerken? Das ist das Signal, auf das es hier ankommt, nicht ein sprunghafter Anstieg der Fehlversuche.
Drittens: Haben Sie die Anmeldedaten für die Firewall und das VPN regelmäßig geändert und sichergestellt, dass dieselben Passwörter nirgendwo anders wiederverwendet werden? Ein kopierter Schlüssel gilt erst dann als außer Betrieb, wenn alle Kopien nicht mehr funktionieren.
Bei FortiBleed geht es eigentlich nicht um Fortinet. Es erinnert uns daran, dass ein funktionierender Login das Einzige ist, was ein Patch nicht verhindern kann. Die Erkennung funktioniert zwar , ist aber unvollständig – und die fehlende Hälfte betrifft das, was nach einer erfolgreichen Authentifizierung geschieht.
---
Dies ist „Gap 2“ aus dem „Mind Your Attack Gaps“-Rahmenkonzept: Die Authentifizierung ist erfolgreich. Eine vollständige Anleitung dazu, wie Angriffe mit gültigen Anmeldedaten die Präventionsmaßnahmen umgehen, lesen Sie das Kapitel zu Lücke 2 im E-Book.