Alarmierende Zeiten: FortiGate-Firewalls im Visier von Hackern
Cyberangriffe sind im Jahr 2026 längst kein Ausnahmefall mehr – sie gehören zum Tagesgeschäft der IT-Security. Aktuell erleben wir eine neue Eskalationsstufe: Cyberkriminelle nehmen gezielt FortiGate-Firewalls von Fortinet ins Visier – Netzwerkschutzsysteme, die weltweit zum Standard gehören. Forscher melden seit Mitte Januar eine Welle automatisierter Angriffe, bei denen Hacker Konfigurationsdateien stehlen und dauerhaft Backdoors in den Systemen platzieren. Für Unternehmen – besonders kleine und mittelständische Betriebe (KMU) – wird dieses Bedrohungsszenario zum akuten Risiko, denn es drohen massive Datenlecks, Erpressung durch Ransomware oder sogar komplette Netzwerkübernahmen. (thehackernews.com, arcticwolf.com)
Was FortiGate eigentlich macht – und warum der Angriff so gefährlich ist
FortiGate ist eine Next-Generation Firewall (NGFW) von Fortinet und fungiert als intelligenter Schutzwall für Unternehmensnetzwerke. Sie filtert Datenverkehr, erkennt Schadsoftware und schützt sensible Daten – zumindest theoretisch. Doch aktuell geraten genau diese Firewalls ins Kreuzfeuer der Hacker-Community: Die Cybersecurity-Firma Arctic Wolf meldete am 15. Januar 2026 den Beginn einer automatisierten Angriffswelle. Innerhalb weniger Sekunden führen die Attacken zu unbemerkten Änderungen an der Firewall, öffnen Angreifern VPN-Tunnel, exfiltrieren Service-Account-Passwörter und legen praktisch eine „Landkarte“ des internen Netzwerks offen.
Der Domino-Effekt: Schwachstellen werden massenhaft ausgenutzt
Hinter den Angriffen steckt eine ganze Kette kritischer Sicherheitslücken. Im Dezember 2025 enthüllte Fortinet zwei Exploits (CVE-2025-59718 und CVE-2025-59719), die eine Umgehung der Single Sign-On (SSO) Authentifizierung möglich machen – zumindest, wenn die FortiCloud-SSO-Funktion eingeschaltet ist. Betroffen sind nicht nur Firewalls, sondern auch FortiWeb, FortiProxy und FortiSwitchManager. Obwohl Patches veröffentlicht wurden, zeigte sich ab dem 20. Januar: Auch aktualisierte Systeme sind nicht sicher. Angreifer legen sich mit lokalen Admin-Accounts wie „secadmin“, „itadmin“ oder „backup“ eigene Hintertüren an.
Zero-Day-Alarm: Die nächste Lücke bleibt nicht ungenutzt
Mit dem Zero-Day CVE-2026-24858 kam im Januar der nächste Schock: Ein Angreifer mit einem eigenen – kompromittierten – FortiCloud-Konto kann auf beliebige Geräte anderer Accounts zugreifen. Die Lücke landete nach Entdeckung schnell auf der KEV-Liste der US-Behörden, während Fortinet am 22. Januar bereits zwei aktiv missbrauchte Accounts blockierte.
Experten berichten von sehr konkreten Angriffsmustern, bei denen Konten wie „cloud-init@mail.io“ über verdächtige IPs Zugriff bekamen und im Blitztempo Konfigurationsdaten exportierten oder VPN-Zugänge aktivierten. Selbst Systeme, die mit dem aktuellen FortiOS 7.4.10 laufen, sind nicht ausgenommen. Parallel kursiert noch eine seit 2020 bekannte Schwachstelle (CVE-2020-12812), die Angriffe auf Zwei-Faktor-Authentifizierung via LDAP und Case Sensitivity erlaubt.
Statistiken machen Druck: Exploits werden zum Business-Alltag
Die Zahlen sprechen eine klare Sprache: Der aktuelle Verizon Data Breach Investigations Report (DBIR) 2025 zeigt einen massiven Anstieg bei der Ausnutzung von Schwachstellen – um satte 34 Prozent. Fast ein Fünftel aller Cybervorfälle entstehen durch Exploits, während Zero-Day-Angriffe immer schneller für große Angriffe genutzt werden. Das Problem: Viele FortiGate-Systeme sind aus Gründen der Bequemlichkeit (z. B. Fernzugriff) mit dem Internet verbunden und die SSO-Funktion ist leicht – wenn auch nicht standardmäßig – aktivierbar.
Realitätsschock: Vom Firewall-Einbruch zur Netzwerkübernahme
Ein Fall aus dem Maschinenraum des Mittelstands: Ein Produktionsbetrieb setzt auf FortiGate als Torwächter. Hacker bekommen Zugriff, saugen Passwörter und Netzwerk-Topologien ab – eine Einladung für den nächsten Schritt, „Lateral Movement“ zu wichtigen Unternehmensservern. Dark Reading berichtet von massiven Datenabflüssen, während im Januar in konkreten Fällen Angreifer zusätzliche VPN-Zugänge installierten und sog. Persistence-Accounts zur dauerhaften Übernahme einrichteten.
Security-Anbieter wie Arctic Wolf bestätigen: Exfiltrationen laufen oft direkt über die GUI, und viele Unternehmen merken Attacken erst, wenn es zu spät ist.
Warum die Schwachpunkte systemisch sind – und Patches nicht mehr reichen
Was diese Angriffswelle so gefährlich macht: Patchen allein hilft nicht mehr. Die Exploits skalieren global, weil vollautomatisierte Tools im Einsatz sind, und häufig genutzte Features wie SSO werden zum riskanten Einfallstor. Fortinet hat zwar auf die Bedrohung mit einem SSO-Stopp ab dem 26. Januar und neuen Patches (FortiOS 7.6.6) reagiert. Doch On-Prem-Geräte bleiben verwundbar, während Cloud-Services wie FortiManager Cloud außen vor sind. Die steil steigende Exploit-Rate bei Edge-Devices wird 2026 zum brennendsten Sicherheitsthema für Unternehmen. (techradar.com, socprime.com)
Hands-On: Was Firmen jetzt SOFORT tun sollten
Was bedeutet das konkret für dich, wenn du zu den Verantwortlichen in Marketing, IT oder Geschäftsführung zählst? Hier kommen die fünf wichtigsten Empfehlungen, um sich gegen den FortiGate-Schock abzusichern:
- SSO deaktivieren: Sofort den Login via „admin-forticloud-sso-login“ deaktivieren – das ist aktuell der wichtigste Schutz-Move. (foresiet.com)
- Sofort Updates prüfen: Neueste Version (idealerweise FortiOS 7.6.6 oder höher) einspielen und Logs nach verdächtigen IPs, Accounts und Aktivitäten durchforsten. (helpnetsecurity.com)
- Admin-Rechte minimieren: Firewalls nicht offen ins Internet hängen, VPNs und strikte Multi-Faktor-Authentifizierung (MFA) einrichten. (eclypsium.com)
- Monitoring und Backups: Auf SIEM-Lösungen (z. B. Arctic Wolf, Open Source) setzen, damit ungewöhnliche Aktionen sofort auffallen. Backups der Firewall-Konfigurationen regelmäßig sichern. (arcticwolf.com)
- Sicherheitsaudit jetzt! Prüfen, wo SSO aktiviert ist und ob bekannte Schwachstellen wie CVE-2020-12812 noch offen sind. (eclypsium.com)
Konkretes Handeln schützt nicht nur die Integrität deiner Kundendaten, sondern verhindert auch Ausfälle, die das komplette Geschäft lahmlegen könnten.
Fazit: Die neue Sicherheitsrealität im Zeitalter der Cyberattacken
Die aktuellen FortiGate-Angriffe sind ein Weckruf für uns alle: Standardlösungen und Patch-Management reichen in der hybriden, Cloud-getriebenen IT nicht mehr aus. Cybercrime verursacht jedes Jahr Schäden in Milliardenhöhe – das einzig wirklich effektive Gegenmittel bleibt eine schnelle, risikoorientierte Reaktion und regelmäßige Prüfungen. Lass deinen Betrieb nicht zur nächsten Business-True-Crime-Story werden. Stay one step ahead – und mach deine Firewall und dein Netzwerk zum viralsten Abwehrmechanismus 2026. (thehackernews.com)
