Du betrachtest gerade BSI warnt vor kritischer Zero-Day-Lücke in FortiOS SSL-VPN: Millionen Unternehmens-Firewalls im Visier
{"prompt":"Dark tech futuristic illustration of a corporate firewall under cyber attack, glowing neon red alert symbols and data streams, dark background, network security vulnerability, digital breach visualization, photorealistic, 8k quality","originalPrompt":"Dark tech futuristic illustration of a corporate firewall under cyber attack, glowing neon red alert symbols and data streams, dark background, network security vulnerability, digital breach visualization, photorealistic, 8k quality","width":512,"height":480,"seed":1169,"model":"sana","enhance":true,"nologo":true,"negative_prompt":"undefined","nofeed":false,"safe":false,"quality":"medium","image":[],"transparent":false,"has_nsfw_concept":false,"concept":[],"trackingData":{"actualModel":"sana","usage":{"completionImageTokens":1,"totalTokenCount":1}}}

BSI warnt vor kritischer Zero-Day-Lücke in FortiOS SSL-VPN: Millionen Unternehmens-Firewalls im Visier

BSI warnt vor kritischer Zero-Day-Lücke in FortiOS SSL-VPN: Millionen Unternehmens-Firewalls im Visier

Im Mai 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Warnstufe „Rot“ ausgerufen – die höchste Gefährdungsstufe für IT-Systeme in Deutschland. Grund ist eine Zero-Day-Sicherheitslücke in den SSL-VPN-Funktionen von Fortinet-Geräten, die bereits aktiv ausgenutzt wird. Betroffen sind nahezu alle FortiGate-Modelle mit eingeschaltetem Remote-Access-VPN. Für Unternehmen, Behörden und Managed Service Provider (MSPs) eröffnet sich ein massives Angriffsfenster, das nicht nur Datenlecks, sondern auch komplette Netzwerkkompromittierungen ermöglicht.

Konkret handelt es sich um einen Buffer-Overflow-Fehler in der SSL-VPN-Implementation von FortiOS, über den Angreifer ohne vorherige Authentifizierung beliebigen Code mit Root-Rechten ausführen können. Das BSI warnt eindringlich vor aktiven Angriffen auf Infrastrukturen im Gesundheitswesen, in der öffentlichen Verwaltung und im Mittelstand. Der chinesische Sicherheitsanbieter QiAnXin und das britische National Cyber Security Centre (NCSC) haben parallel bestätigt, dass Exploit-Code bereits in frei zugänglichen Foren zirkuliert und gezielt gegen europäische Ziele eingesetzt wird. Fortinet hat inzwischen ein Emergency-Patch veröffentlicht, das jedoch laut eigenen Angaben nur für 62 Prozent der registrierten Geräte automatisch eingespielt wurde.

Wie die Schwachstelle funktioniert und warum sie so gefährlich ist

Die als CVE-2026-51231 (vom BSI vorläufig vergeben) bezeichnete Schwachstelle befindet sich im SSL-VPN-Daemon (sslvpnd) von FortiOS. Ein speziell präpariertes HTTPS-POST-Request an die VPN-Login-Schnittstelle ermöglicht es, einen Heap-Buffer-Overflow auszulösen. Da der SSL-VPN-Daemon mit Root-Rechten läuft, kann ein Angreifer dadurch vollständige Kontrolle über das betroffene FortiGate-Gerät erlangen.

Was die Lücke besonders kritisch macht, ist die Kombination aus drei Faktoren:

  • Keine Authentifizierung erforderlich: Der Angriff funktioniert über das Internet, ohne dass ein gültiges Benutzerkonto oder VPN-Zugang notwendig ist.
  • Weite Verbreitung: Laut Fortinet sind über 860.000 FortiGate-Geräte weltweit mit aktiviertem SSL-VPN im Internet erreichbar. In Deutschland schätzt das BSI die Zahl der betroffenen Geräte auf über 45.000.
  • Aktive Ausnutzung: Das Threat-Intelligence-Unternehmen Mandiant (Google Cloud) hat Anfang Mai 2026 mindestens 14 verschiedene Bedrohungsgruppen identifiziert, die die Lücke in ihren Angriffskampagnen nutzen – darunter Akteure mit Verdacht auf staatliche Unterstützung aus Russland und Nordkorea.

Die technische Angriffskette im Detail

Die Angriffskette beginnt mit einem Verbindungsaufbau zur HTTPS-Port 443-Schnittstelle des FortiGate-Geräts. Der Angreifer sendet ein manipuliertes Paket an den /remote/login-Endpunkt, das einen überlangen Wert im magic-Parameter der HTTP-POST-Daten enthält. Der SSL-VPN-Daemon kopiert diesen Wert in einen statischen Puffer, ohne die Länge korrekt zu validieren. Dadurch überschreibt der Angreifer Kontrollstrukturen im Heap und kann schließlich die Ausführungskontrolle übernehmen.

Im Anschluss wird typischerweise eine Webshell im RAM hinterlegt, die persistente Zugriffsmöglichkeiten bietet – ohne dass Änderungen am Dateisystem des Geräts hinterlassen werden. Über diese Webshell können Angreifer:

  • VPN-Zugangsdaten auslesen und für spätere Angriffe speichern
  • Das interne Netzwerk scannen und weitere Systeme identifizieren
  • Lateral Movement zu kritischen Servern (Active Directory, Datenbanken, ERP-Systeme) durchführen
  • Malware oder Ransomware innerhalb des Unternehmensnetzwerks verteilen

Der Fortinet-Emergency-Patch: Was wurde gefixt und was nicht

Fortinet hat am 20. Mai 2026 einen außerplanmäßigen Security Advisory veröffentlicht und mehrere Firmware-Versionen als „End of Life“ erklärt. Für die noch unterstützten Versionen stehen Patches bereit:

  • FortiOS 7.4.7 oder höher
  • FortiOS 7.2.12 oder höher
  • FortiOS 6.4.16 oder höher (Extended Support)

Alle älteren Versionen – insbesondere die weit verbreiteten FortiOS 6.2.x und 7.0.x – erhalten keinen Patch mehr. Unternehmen, die diese Versionen einsetzen, müssen entweder auf eine unterstützte Version upgraden oder das SSL-VPN-Feature komplett deaktivieren.

Warum das Patching nicht reicht

Laut einer Analyse des Sicherheitsunternehmens Shadowserver sind weltweit noch rund 312.000 FortiGate-Geräte mit einer verwundbaren Firmware-Version im Internet erreichbar – Tendenz fallend, aber dennoch alarmierend hoch. Der Grund für die schleppende Patch-Rate ist vielfältig:

  • Zertifizierte Umgebungen: Viele Unternehmen im Finanz- und Gesundheitssektor benötigen Wochen für Change-Management-Prozesse, bevor eine Firewall-Firmware geändert werden darf.
  • Legacy-Hardware: Ältere FortiGate-Modelle (z. B. FG-60E, FG-100E) unterstützen die neuesten FortiOS-Versionen nicht mehr und müssen physisch ersetzt werden.
  • Fehlendes Patch-Management: Kleine und mittlere Unternehmen (KMU) verfügen oft über keine zentrale Inventarisierung ihrer Netzwerkgeräte und wissen nicht einmal, ob sie betroffen sind.
  • Downtime-Angst: Unternehmen fürchten Ausfallzeiten bei kritischen VPN-Verbindungen für Remote-Work und Außendienstmitarbeiter.

Hinzu kommt ein gravierendes Problem: Selbst gepatchte Geräte können bereits kompromittiert sein. Wenn ein Angreifer vor dem Patch-Zeitpunkt Zugriff erlangt hat, bleibt die Webshell oder ein implantierter Rootkit im Speicher aktiv. Eine reine Firmware-Aktualisierung entfernt solche persistenten Bedrohungen nicht – es bedarf einer vollständigen Forensik und Neuaufsetzung der betroffenen Geräte.

Welche Unternehmen und Branchen besonders betroffen sind

Das BSI hat in seiner Warnmeldung explizit mehrere Branchen hervorgehoben, in denen FortiGate-Firewalls besonders verbreitet sind:

Gesundheitswesen

Krankenhäuser und medizinische Labore nutzen FortiGate-Geräte häufig für den sicheren Remote-Zugriff auf Patientendaten und Bildgebungssysteme. Die Lücke ermöglicht es Angreifern, direkt in das interne Krankenhausnetzwerk einzudringen – mit potenziell lebensbedrohlichen Folgen, wenn z. B. Ransomware die Verfügbarkeit kritischer Systeme wie OP-Planung oder Medikamentenautomaten beeinträchtigt.

Öffentliche Verwaltung und Kommunen

Viele deutsche Landkreise und Kommunen haben in den letzten Jahren auf Fortinet als Standard-Firewall-Lieferanten gesetzt. Die fehlende zentrale IT-Sicherheitsbehörde auf kommunaler Ebene führt dazu, dass Patch-Management oft auf freiwilliger Basis oder durch externe Dienstleister erfolgt – mit erheblichen Verzögerungen.

Mittelständische Industrie und Fertigung

In der deutschen Industrie sind FortiGate-Geräte populär, weil sie das OT/IT-Convergence-Management vereinfachen (Integration von Produktionsnetzwerken mit Büronetzen). Eine Kompromittierung der Firewall kann hier nicht nur zu Datendiebstahl, sondern auch zu Sabotage von Fertigungsprozessen führen – ein Szenario, das das BSI als „hochkritisch“ einstuft.

Managed Service Provider (MSPs)

MSPs betreiben häufig zentralisierte FortiGate-Cluster für mehrere Kunden gleichzeitig. Eine einzelne kompromittierte Firewall kann hier wie ein „Spannungsriegel“ wirken: Ein Angreifer gelangt über den MSP in die Netzwerke Dutzender kleiner und mittlerer Unternehmen – ohne dass diese selbst überhaupt eine Fortinet-Hardware besitzen.

Was Unternehmen jetzt tun müssen: Ein Sofortmaßnahmen-Plan

Angesichts der aktiven Ausnutzung und der hohen Gefährdungsstufe empfiehlt das BSI einen mehrstufigen Aktionsplan. Die folgenden Maßnahmen sollten innerhalb von 24–72 Stunden umgesetzt werden:

1. Inventarisierung und Schwachstellen-Scan

Unternehmen müssen zunächst klären, ob und welche FortiGate-Geräte im Bestand vorhanden sind. Dazu gehört auch die Frage, ob SSL-VPN aktiv ist. Das BSI stellt ein kostenloses Erkennungsskript bereit, das über SNMP oder SSH alle FortiGate-Geräte im Netzwerk abfragt und die Firmware-Version sowie den SSL-VPN-Status ausgibt. Alternativ können kommerzielle Schwachstellen-Scanner wie Tenable.io oder Qualys VM genutzt werden, die die betroffene CVE bereits in ihren Signaturen integriert haben.

2. Sofort-Patch oder Deaktivierung

Ist ein Gerät betroffen und läuft eine unterstützte Firmware-Version, muss der Patch innerhalb von 48 Stunden eingespielt werden. Für Geräte ohne verfügbaren Patch empfiehlt das BSI das sofortige Deaktivieren des SSL-VPN-Features und den Umstieg auf alternative Remote-Access-Lösungen wie Zero-Trust-Network-Access (ZTNA) oder VPN-Lösungen anderer Hersteller (z. B. WireGuard-basierte Lösungen), die nicht von der Lücke betroffen sind.

3. Überprüfung auf Kompromittierung

Alle FortiGate-Geräte, die während der letzten 90 Tage mit dem Internet verbunden waren, sollten als potenziell kompromittiert betrachtet werden. Das BSI empfiehlt dazu:

  • Export und Analyse der System-Logs (besonders sslvpnd und httpsd)
  • Prüfung auf nicht autorisierte Benutzerkonten oder Admin-Konten mit ungewöhnlichen Berechtigungen
  • Analyse des Netzwerk-Traffics auf ungewöhnliche ausgehende Verbindungen zu IP-Adressen in Risikoregionen
  • Forensische Untersuchung des Gerätes auf versteckte Dateien oder modifizierte Binaries
  • Neuaufsetzen des Geräts mit einer frischen Firmware und Wiederherstellung der Konfiguration aus einem verifizierten Backup

4. Segmentierung und Zero Trust

Langfristig sollten Unternehmen ihre Netzwerkarchitektur überdenken. Die reine Absicherung der Perimeter-Firewall reicht nicht mehr aus. Das BSI empfiehlt:

  • Netzwerksegmentierung mit VLANs und Mikrosegmentierung, sodass ein kompromittiertes VPN-Gerät nicht automatisch Zugriff auf das gesamte Unternehmensnetzwerk erhält
  • Multi-Faktor-Authentifizierung (MFA) für alle VPN-Zugänge – auch wenn sie in diesem Fall keine Angriffsverhinderung, aber eine Eindämmung darstellen
  • Zero-Trust-Prinzipien: Jede Verbindung muss authentifiziert, autorisiert und kontinuierlich überwacht werden, unabhängig davon, ob sie aus dem internen Netzwerk oder über VPN kommt

Wirtschaftliche und regulatorische Konsequenzen für Deutschland

Die FortiOS-Lücke reiht sich in eine Serie alarmierender Sicherheitsvorfälle ein, die das Vertrauen in herkömmliche Perimeter-Sicherheitslösungen nachhaltig erschüttern. Für die deutsche Wirtschaft ergeben sich daraus erhebliche Kostenrisiken. Laut einer Schätzung des digitalen Wirtschaftsverbandes Bitkom könnten die direkten und indirekten Kosten einer flächendeckenden Ausnutzung der Lücke in Deutschland allein im zweiten Quartal 2026 bis zu 2,4 Milliarden Euro betragen. Diese Summe setzt sich zusammen aus Systemausfällen, Forensik-Kosten, Notfall-Patching, potenziellen Lösegeldzahlungen und Reputationsverlusten.

Besonders brisant ist die regulatorische Dimension. Seit dem Inkrafttreten der NIS2-Richtlinie im Oktober 2024 sind Unternehmen der „wesentlichen und wichtigen Infrastrukturen“ verpflichtet, Sicherheitsvorfälle innerhalb von 24 bis 72 Stunden an die zuständigen Behörden zu melden. Die aktive Ausnutzung einer Zero-Day-Lücke in einer Firewall stellt definitionsgemäß einen „signifikanten Vorfall“ dar. Betroffene Unternehmen, die ihre Meldepflichten vernachlässigen, riskieren Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Das Bundesamt für Sicherheit in der Informationstechnik hat inzwischen ein Krisenmanagement-Team aktiviert, das direkt mit den Betreibern kritischer Infrastrukturen (KRITIS) zusammenarbeitet. Ziel ist eine koordinierte Reaktion, die sowohl die technische Abwehr als auch die kommunikative Transparenz gewährleistet. Unternehmen, die unter das KRITIS-Gutachten fallen, erhalten priorisierten Zugang zu BSI-Warnmeldungen und können über das zentrale Meldeportal Informationen zu Angriffs Signaturen austauschen.

Die Rolle des IT-Sicherheitsgesetzes (IT-SiG 2.0)

Das IT-Sicherheitsgesetz 2.0, das im Mai 2021 in Kraft getreten ist, schreibt Herstellern kritischer Komponenten eine meldepflichtige Sicherheitslücke innerhalb von 24 Stunden vor. Fortinet hat diese Verpflichtung zwar eingehalten, doch die zeitliche Verzögerung zwischen Bekanntwerden der ersten Angriffe (Anfang Mai 2026) und der Veröffentlichung des Patches (20. Mai 2026) bleibt umstritten. Datenschutzverbände fordern eine strengere Haftungsregelung für Hersteller, die ihre Kunden nicht zeitnah über aktive Bedrohungen informieren.

Historischer Kontext: Fortinet im Fokus der Angreifer

Die aktuelle Lücke ist bei Weitem nicht die erste kritische Schwachstelle in Fortinet-Produkten. Bereits im Jahr 2022 war eine ähnliche Zero-Day-Lücke in FortiOS SSL-VPN (damals CVE-2022-42475) bekannt geworden, die ebenfalls unauthentifizierte Code-Ausführung ermöglichte. Im Jahr 2023 folgte CVE-2023-27997, eine weitere SSL-VPN-Schwachstelle, die von der chinesischen APT-Gruppe „Volt Typhoon“ systematisch ausgenutzt wurde. Diese historische Kontinuität zeigt ein systematisches Problem in der Software-Architektur des SSL-VPN-Moduls, das offenbar über Jahre hinweg nicht grundlegend überarbeitet wurde.

Sicherheitsforscher kritisieren, dass Fortinet trotz wiederholter Vorfälle keine grundlegende Neufassung des SSL-VPN-Codes vorgenommen hat. Stattdessen werden Patches auf bestehende Codebasen aufgesetzt, was zu einer zunehmenden technischen Schuld führt. Die Architektur des sslvpnd geht auf das Jahr 2014 zurück und wurde seither nur inkrementell erweitert – ohne moderne Memory-Safe-Programmierung oder rigorose Fuzzing-Tests durchlaufen zu müssen.

Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) hat in ihrem Threat Landscape Report 2026 festgestellt, dass Netzwerkgeräte-Hersteller insgesamt eine überdurchschnittlich hohe Anzahl an Zero-Day-Lücken aufweisen. Besonders betroffen sind Firewalls, VPN-Konzentratoren und Remote-Access-Lösungen. Die Gründe liegen in der komplexen C/C++-Codebasis, der hohen Performance-Anforderungen und der mangelnden Verwendung von Memory-Safe-Sprachen wie Rust.

Fazit und langfristige Lehren

Die FortiOS-Zero-Day-Lücke von Mai 2026 ist ein weiterer Weckruf für die IT-Sicherheitslandschaft. Sie zeigt, wie eine einzelne Schwachstelle in einer weitverbreiteten Perimeter-Komponente Millionen von Organisationen weltweit in die Knie zwingen kann. Die Kombination aus einfacher Ausnutzbarkeit, aktiver Bedrohung und langsamer Patch-Adoption macht diesen Vorfall zu einem der gravierendsten Sicherheitsvorfälle des Jahres 2026.

Für deutsche Unternehmen ist die Botschaft klar: Passive Security-Ansätze, die sich auf Firewalls und Perimeter-Sicherheit verlassen, reichen nicht mehr aus. Die Zero-Day-Lücke trifft gerade die Unternehmen am härtesten, die ihre Sicherheitsstrategie auf eine einzelne Firewall-Linie aufgebaut haben und keine Netzwerksegmentierung, keine Zero-Trust-Architektur und kein proaktives Patch-Management etabliert haben.

Die Unternehmen, die diese Krise als Chance nutzen, um ihre IT-Sicherheitsarchitektur grundlegend zu überdenken, werden langfristig resilienter sein. Wer jedoch weiterhin darauf setzt, dass der Hersteller die nächste Lücke schnell genug schließt, spielt ein gefährliches Glücksspiel – bei dem der Hausvorteil eindeutig auf Seite der Angreifer liegt.

Quellen und weiterführende Links:

Im Fokus: Wichtigste Erkenntnisse

  • Zero-Day Lücke CVE-2026-51231 in FortiOS SSL-VPN: Ermöglicht unauthentifizierte Remote-Code-Ausführung mit Root-Rechten.
  • Aktive Ausnutzung bestätigt: Mindestens 14 Threat-Groups nutzen die Lücke; BSI-Warnstufe „Rot“ ausgerufen.
  • Über 860.000 Geräte weltweit betroffen, davon schätzungsweise 45.000 in Deutschland.
  • Patch verfügbar, aber nur für aktuelle FortiOS-Versionen; ältere Hardware erfordert vollständigen Austausch.
  • Kompromittierte Geräte müssen forensisch untersucht und neu aufgesetzt werden – reines Patchen reicht nicht aus.
  • Langfristig: Perimeter-Sicherheit allein reicht nicht. Zero Trust, Segmentation und proaktives Patch-Management sind unverzichtbar.
Schlagwörter: , , , , , , , ,