FortiBleed: Wie 74.000 Fortinet-Firewalls durch Credential-Stuffing kompromittiert wurden

Was passiert, wenn die digitale Türsteher Ihrer gesamten Unternehmens-IT, die Firewall, plötzlich ihre Zugangsdaten an unbekannte Dritte verrät? Nicht durch eine ausgefeilte Zero-Day-Exploit, sondern durch die simple, brutale Kraft von Milliarden erprobter Passwortkombinationen?

Im Juni 2026 wurde die IT-Sicherheitswelt mit den Details der Kampagne „FortiBleed“ konfrontiert – einem beispiellosen Credential-Harvesting-Angriff auf Zehntausende von Fortinet-Firewalls weltweit. Während heise online von bis zu 74.000 betroffenen Geräten berichtete, konnten Forscher von SOCRadar über 30.791 verifiziert kompromittierte Systeme in nahezu allen Ländern der Welt dokumentieren. Dieser Angriff offenbart keine neue, mysteriöse Schwachstelle, sondern stellt eine schonungslose Prüfung grundlegender Sicherheitshygiene dar.

Das Ausmaß der Kampagne: Eine globale Infiltration

Die von SOCRadar entdeckte und „FortiBleed“ getaufte Kampagne stellt einen der flächendeckendsten Credential-Ernteangriffe der letzten Jahre dar. Die Zahlen, die im detaillierten Analyse-Blog vom 16. Juni 2026 veröffentlicht wurden, zeichnen ein Bild von beängstigender Globalität und Penetration.

Topografie eines digitalen Angriffs

Die Angreifer kompromittierten mindestens 30.791 einzelne Geräte, die sich auf 21.108 eindeutige IP-Adressen und 8.316 verschiedene Domains verteilten. Die geografische Streuung erstreckte sich über 194 Länder, mit einer deutlichen Konzentration auf Indien und die USA, die zusammen fast ein Drittel der betroffenen Systeme ausmachten. Besonders beunruhigend ist die betroffene Branchenverteilung: Der Telekommunikationssektor führt die Liste mit 5.616 kompromittierten Einträgen an, gefolgt von Regierungsorganisationen (591 Einträge über 111 Domains). Diese Sektoren bilden das kritische Rückgrat der nationalen und internationalen Infrastruktur.

Das Ziel: Großunternehmen und strategische Infrastruktur

Die Analyse von SOCRadar zeigt, dass es den Angreifern nicht um wahllose Ziele ging. Über 20 % der kompromittierten Geräte gehörten zu Enterprise-Organisationen mit einem Jahresumsatz von mehr als einer Milliarde US-Dollar. Dies unterstreicht den gezielten Charakter der Kampagne. Die hohe Zahl an Regierungsdomains sowie die Fokussierung auf NATO-Länder, wie in der Analyse vermerkt, deutet auf mögliche geopolitisch motivierte Hintermänner hin, wobei SOCRadar von russischsprachigen Akteuren ausgeht. Der Angriff zielte somit nicht auf Einzelpersonen, sondern auf die Netzwerkperimeter von Organisationen mit hohem strategischem Wert.

Historischer Kontext: Fortinet im Fadenkreuz – Eine Chronologie der Schwachstellen

FortiBleed ist kein isolierter Vorfall, sondern der jüngste Höhepunkt einer langen Serie von Sicherheitsvorfällen, die Fortinet-Geräte und insbesondere deren SSL-VPN-Komponente betreffen. Das Fortinet Product Security Incident Response Team (PSIRT) musste in den vergangenen Jahren wiederholt kritische Warnungen herausgeben. Diese Historie zeigt ein anhaltendes, tiefgreifendes Interesse von Angreifern an dieser weit verbreiteten Perimeter-Technologie.

FG-IR-19-283 und die Ära der kritischen VPN-Lücken

Ein prägendes Ereignis war die Schwachstelle mit der Fortinet-interne Kennung FG-IR-19-283, die Ende 2019 bekannt wurde. Dabei handelte es sich um einen Heap-Überlauf im SSL-VPN-Daemon von FortiOS, der es einem unauthentifizierten Angreifer ermöglichte, beliebigen Code auf dem Gerät auszuführen. Diese Lücke wurde in der Wild aktiv ausgenutzt und markierte einen Wendepunkt, da sie zeigte, wie attraktiv und verwundbar diese Remote-Zugangspunkte sind. Sie legte den Grundstein für eine intensive Überprüfung der Fortinet-VPN-Software durch Sicherheitsforscher und Bedrohungsakteure gleichermaßen.

CVE-2023-27997: Der kritische Pre-Auth-RCE

Fast vier Jahre später, im Juni 2023, folgte mit CVE-2023-27997 ein weiterer schwerwiegender Schlag. Diese kritische Schwachstelle (CVSS 9.2) erlaubte ebenfalls eine unauthentifizierte, remote Code Execution (RCE) über das SSL-VPN. Bemerkenswert war, dass Fortinet zunächst von einer eingeschränkten Ausnutzbarkeit sprach, während unabhängige Forscher wie Lexfo Beweise für aktive Exploits in der Wild vorlagen. Dieser Vorfall unterstrich nicht nur die technische Komplexität und anfällige Codebasis, sondern auch die Herausforderungen einer transparenten Kommunikation unter Druck. Die Lücke betraf Hunderttausende von Geräten und wurde von staatlich unterstützten APT-Gruppen ausgenutzt.

CVE-2022-39952: Gefahr aus dem Supply-Chain-Umfeld

Neben direkten VPN-Lücken sind auch Schwachstellen in begleitender Software ein Einfallstor. CVE-2022-39952, eine kritische Lücke (CVSS 9.6) in der FortiNAC-Netzwerkzugangskontrolllösung aus dem Jahr 2022, zeigt, wie das gesamte Fortinet-Ökosystem ins Visier genommen wird. Ein erfolgreicher Angriff auf ein solches verwandtes System kann oft zu Credential-Diebstahl oder zur Kompromittierung benachbarter FortiGate-Firewalls führen. Diese historischen Vorfälle schaffen ein Umfeld, in dem Angreifer umfassende Kenntnisse über Fortinet-Architekturen sammeln und ihre Angriffe verfeinern konnten – ein Wissen, das sie bei FortiBleed in Form gezielter Credential-Listen und angepasster Angriffsskripte anwendeten.

Die Angriffsmethodik: Kein Zero-Day, sondern menschliche Schwäche

Der vielleicht erschreckendste Aspekt von FortiBleed ist die Banalität der angewandten Methode. Hier wurde keine unbekannte Sicherheitslücke in FortiOS, wie sie in der Vergangenheit immer wieder auftrat (erinnert sei an die kritische Zero-Day-Lücke in FortiOS SSL-VPN), ausgenutzt. Stattdessen bedienten sich die Angreifer einer altbekannten, aber erschreckend effektiven Kombination aus Credential Stuffing, Password Spraying und dem Ausnutzen von Credential Reuse.

Credential Stuffing & Password Spraying: Die digitale Brechstange

Beim Credential Stuffing werden automatisiert Milliarden von Kombinationen aus Benutzernamen und Passwörtern, die aus früheren Datenlecks im Internet stammen, gegen Login-Schnittstellen geprüft. Password Spraying wiederum probiert eine kleine Anzahl häufiger Passwörter gegen eine große Anzahl von Benutzerkonten aus. Die Angreifer von FortiBleed nutzten diese Techniken gegen die Management- oder VPN-Schnittstellen der FortiGate-Firewalls. Die Erfolgsquote resultiert direkt aus der menschlichen Neigung, Passwörter wiederzuverwenden oder schwache Kennwörter zu wählen – selbst für kritische Systeme.

Der Operations-Server: Das gefundene Tagebuch des Angreifers

Ein entscheidender Durchbruch für die Forscher war die Entdeckung eines exponierten Operations-Servers der Angreifer. Dieser Server fungierte nicht nur als Kommandozentrale, sondern protokollierte auch die Ergebnisse der automatisierten Angriffe. So konnten die Forscher die kompromittierten Geräte nicht nur zählen, sondern auch die dazugehörigen, funktionierenden Zugangsdaten (Credentials) verifizieren. Dieser Fund bietet einen seltenen, direkten Einblick in das Vorgehen und den Erfolg einer großangelegten Credential-Harvesting-Kampagne.

Technische Einordnung: Wie Credential-Stuffing auf SSL-VPN-Portale trifft

Um die Effektivität von FortiBleed vollständig zu verstehen, muss man den Angriffsvektor technisch decodieren. SSL-VPN-Portale von Herstellern wie Fortinet bieten einen verschlüsselten Tunnel von außen ins interne Netzwerk. Dieser Dienst muss für berechtigte Nutzer erreichbar sein, was ihn automatisch zu einem öffentlich sichtbaren Ziel im Internet macht.

Die Rolle der Ports 443, 4443, 8443 und 10443

SSL-VPN-Dienste laufen typischerweise auf bestimmten TCP-Ports. Der Standard-HTTPS-Port 443 wird oft verwendet, um den VPN-Zugang unauffällig in regulären Web-Traffic zu integrieren. Hersteller wie Fortinet setzen jedoch auch auf alternative, produktspezifische Ports wie 4443, 8443 oder 10443. Diese Ports sind unter Angreifern wohlbekannt und werden bei großflächigen Scans gezielt anvisiert. Die folgende Tabelle gibt einen Überblick über die typische Verwendung:

Die Angreifer von FortiBleed scannten das Internet systematisch nach diesen offenen Ports ab und fütterten dann die dahinter liegenden Web-Formulare mit ihren gestohlenen Credential-Listen. Die Automatisierung erlaubte es, Tausende von Geräten parallel innerhalb kürzester Zeit zu testen.

Anatomie eines Credential-Stuffing-Angriffs auf FortiGate

Der Angriff folgt einem klaren, automatisierten Muster: Zuerst identifiziert ein Scanner (z.B. based on zgrab oder masscan) ein erreichbares System auf Port 443 oder 8443 mit einer Fortinet-spezifischen HTTPS-Antwort. Ein Skript ruft dann die Login-Seite (z.B. `/remote/login`) ab, analysiert das HTML-Formular und beginnt, eine vorbereitete Liste von Benutzername-Passwort-Paaren durchzuprobieren. Erfolgreiche Logins werden protokolliert, oft zusammen mit Session-Cookies oder Tokens, die für einen späteren Zugriff genutzt werden können. Die verwendeten Credential-Listen stammen aus gigantischen Zusammenstellungen früherer Leaks (Collections), die im Untergrund gehandelt werden und oft auch spezifische Einträge für Netzwerkgeräteadministratoren enthalten.

Branchenanalyse: Warum Telekommunikation und Regierung im Fokus stehen

Die ungleiche Verteilung der Opfer auf verschiedene Branchen ist kein Zufall, sondern das Ergebnis einer rationalen Zielauswahl durch die Angreifer. Die Präferenz für Telekommunikationsanbieter und staatliche Einrichtungen folgt einer kalten Kosten-Nutzen-Logik.

Telekommunikation: Das Tor zu Millionen

Telekommunikationsunternehmen (Telcos) bilden die kritische Infrastruktur der digitalen Gesellschaft. Ein erfolgreicher Kompromitt bietet Angreifern einzigartige Vorteile:

• Lateral Movement im Carrier-Netz: Von einer kompromittierten Firewall eines Providers aus können Angreifer versuchen, sich innerhalb des hochgradig vernetzten Carrier-Backbones zu bewegen, was Zugang zu anderen Unternehmenskunden desselben Providers ermöglichen könnte.
• Datenverkehrsanalyse: Auch wenn der VPN-Tunnel selbst verschlüsselt ist, können Metadaten oder Routing-Informationen wertvolle Einblicke in die Struktur und Kommunikationsbeziehungen des Providers und seiner Kunden liefern.
• Hohe Verfügbarkeit und Stabilität: Telco-Netzwerke sind auf maximale Uptime ausgelegt. Ungewöhnliche Aktivitäten oder Sicherheitsupdates werden oft hinausgezögert, was Angreifern ein langes Zeitfenster für ihre Operationen verschafft.
• Supply-Chain-Angriff auf Kunden: Viele Unternehmen nutzen MPLS- oder VPN-Dienste des Providers. Ein Zugang zum Provider-Netzwerk könnte genutzt werden, um diese Verbindungen abzuhören oder zu manipulieren, was einem Angriff auf die gesamte Kundenschaft gleichkommt.

Die 5.616 kompromittierten Einträge in dieser Branche stellen daher nicht nur ein Problem für die Telcos selbst dar, sondern potenziell für weite Teile der Wirtschaft.

Regierungsstellen: Geopolitische Ziele und sensible Daten

Die Kompromittierung von 111 Regierungsdomains ist ein klassisches Ziel geopolitischer Cyber-Operationen. Die Motive sind hier vielfältig:

• Spionage: Der Zugang zum Netzwerk einer Regierungsbehörde ist der direkteste Weg zur Beschaffung klassifizierter oder sensibler politischer, militärischer oder wirtschaftlicher Informationen.
• Vorbereitung für disruptive Angriffe: Erbeutete Credentials können monatelang gepflegt werden, um sie im Falle einer politischen Eskalation als Initialzugang für disruptive oder destruktive Angriffe (z.B. Datenlöschung, Erpressung) zu nutzen.
• Identitätsdiebstahl auf Behördenebene: Mit administrativen Zugängen lassen sich oft legitime Benutzerkonten anlegen oder bestehende privilegieren, um eine dauerhafte Präsenz (Persistence) unter falscher Flagge zu etablieren.
• Schwachstellen in Legacy-Infrastruktur: Öffentliche Verwaltungen operieren oft mit heterogenen, teils veralteten IT-Systemen. Die Firewall als moderne Perimeter-Komponente kann hier als Brücke in ältere, schlechter gesicherte Netzwerksegmente dienen.

Die Fokussierung auf NATO-Länder, wie von SOCRadar beobachtet, passt in das Muster staatlich geförderter oder zumindest geduldeter Angriffsaktivitäten, wie sie von Gruppen aus Russland, China oder Nordkorea bekannt sind.

Kontext und Timing: Ein perfekter Sturm?

FortiBleed trat nicht in einem Vakuum auf. Die IT-Sicherheitslandschaft war bereits angespannt, was die Wirkung des Vorfalls verstärkt und Fragen nach möglichen Zusammenhängen aufwirft.

Parallele Schwachstellen in Fortinet-Produkten

Fast zeitgleich, am 16. Juni 2026, berichtete Cybersecurity Dive über aktive Ausnutzung kritischer Schwachstellen in FortiSandbox – einer weiteren Sicherheitskomponente im Fortinet-Ökosystem. Obwohl für diese Lücken bereits seit April 2026 Patches verfügbar waren, wurden sie dennoch aktiv ausgenutzt. Dies zeigt ein anhaltendes, breites Interesse von Bedrohungsakteuren an der gesamten Fortinet-Produktpalette. Das Fortinet PSIRT-Blog hat in der Vergangenheit wiederholt über ähnliche Angriffswellen auf FortiOS und SSL-VPN berichtet, was auf ein persistentes Ziel hinweist.

Die größere Bedrohungslage: Supply-Chain und Credential-Kaskaden

FortiBleed ist symptomatisch für zwei übergeordnete Trends. Erstens die anhaltende Krise der Credential-Sicherheit. Die Kompromittierung einer Firewall öffnet nicht nur das Tor zum internen Netzwerk, sondern die dort erbeuteten Administrator-Zugänge könnten in weiteren Angriffen, beispielsweise auf interne Build-Pipelines oder Software-Repositories, wiederverwendet werden. Ein kompromittierter Build-Server, ähnlich wie im Red Hat NPM-Angriff beschrieben, kann zur Quelle für weitaus verheerendere Supply-Chain-Angriffe werden.

Zweitens unterstreicht es die Verwundbarkeit von zentralen Infrastrukturkomponenten. Eine Firewall ist per Definition ein vertrauenswürdiges System. Wird sie kompromittiert, ist jedes nachgelagerte System gefährdet. Dieses Prinzip der Infiltration über eine vertrauenswürdige Quelle kennen wir auch aus der Welt der Open-Source-Paketmanager, wie der Fall „Atomic Lockfile“ im Arch Linux AUR gezeigt hat. Der Angriffsvektor ist ein anderer, das resultierende Vertrauensparadoxon jedoch sehr ähnlich.

Regulatorischer Kontext: NIS2, BSI und die Pflicht zur Resilienz

Vorfall wie FortiBleed finden nicht im rechtsfreien Raum statt. Seit Anfang 2023 gilt in der EU die überarbeitete NIS2-Richtlinie (Richtlinie über Maßnahmen für ein hohes gemeinsames Sicherheitsniveau in der gesamten Union), die den Druck auf Betreiber kritischer Infrastruktur (KRITIS) und wichtige Einrichtungen massiv erhöht. In Deutschland setzt das BSI diese Richtlinie um.

Die BSI-Mahnung zur Registrierung bis Juli 2026

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine klare Frist gesetzt: Betreiber, die unter die erweiterten Kriterien der NIS2 fallen, müssen sich bis spätestens Ende Juli 2026 beim BSI registrieren. Dies betrifft nun deutlich mehr Sektoren und Unternehmen, darunter ausdrücklich auch die Telekommunikation und Teile der öffentlichen Verwaltung – genau die von FortiBleed schwer getroffenen Branchen. Die NIS2 verpflichtet diese Einrichtungen zu „angemessenen“ technischen und organisatorischen Maßnahmen, um Risiken für die Sicherheit der Netzwerk- und Informationssysteme zu bewältigen. Die nachlässige Absicherung von VPN-Gateways mit schwachen Passwörtern und ohne MFA wird unter diesem Regime kaum noch als „angemessen“ durchgehen.

Verschärfte Meldepflichten bei Kompromittierung

Ein zentraler Pfeiler von NIS2 ist die verschärfte Incident-Meldepflicht. Betroffene Organisationen müssen signifikante Vorfälle nun innerhalb von 24 Stunden nach deren Feststellung an die nationalen Behörden (in Deutschland das BSI) melden. Ein durch Credential-Stuffing kompromittiertes VPN-Gateway, das Zugang zum Kernnetzwerk bietet, fällt mit Sicherheit unter diese Kategorie. Unterlassene oder verspätete Meldungen können zu empfindlichen Geldbußen führen. FortiBleed zwingt die betroffenen Unternehmen somit nicht nur zur technischen Aufarbeitung, sondern auch zur Prüfung ihrer regulatorischen Compliance-Prozesse. Die Entdeckung via externer Forscher statt eigener Monitoring-Systeme stellt dabei ein zusätzliches Compliance-Risiko dar.

Folgen und Risiken: Was bedeutet eine kompromittierte Firewall?

Die unmittelbare Gefahr liegt auf der Hand: Angreifer besitzen gültige Administrator- oder VPN-Zugänge zur Firewall. Doch die wahre Bedrohung entfaltet sich erst in den nächsten Schritten.

Initialzugang für weitreichende Kampagnen

Eine kompromittierte Firewall ist der perfekte Initialzugang für fortgeschrittene, anhaltende Bedrohungen (Advanced Persistent Threats, APTs). Von hier aus können Angreifer:

• Die Firewall-Regeln heimlich ändern, um Kommunikation zu Command-and-Control-Servern zu erlauben oder interne Sensoren zu umgehen.
• Den Datenverkehr abhören und mitschneiden (Man-in-the-Middle).
• Weitere Systeme im internen Netzwerk angreifen, die von außen nicht erreichbar sind.
• Die Firewall als Sprungbrett (Lateral Movement) für Angriffe auf andere Standorte desselben Unternehmens nutzen.
• Daten exfiltrieren, ohne dass standardmäßige Data-Loss-Prevention-Systeme alarmiert werden, da der Traffic scheinbar von einem legitimen Gerät stammt.

Im schlimmsten Fall kann die Firewall selbst als dauerhafter Hintereingang (Backdoor) in das Netzwerk eingerichtet werden.

Langfristige Gefahr für die Supply Chain

Für Unternehmen, die selbst Software entwickeln oder vertreiben, ist das Risiko noch größer. Ein Angreifer mit Firewall-Zugang könnte sich bis zu den CI/CD-Systemen (Continuous Integration/Continuous Deployment) vorarbeiten und dort, wie in den genannten Supply-Chain-Angriffen, bösartigen Code in die eigenen Produkte einschleusen. Damit würde sich der Schaden vom einzelnen Unternehmen auf alle dessen Kunden ausweiten – ein Albtraum-Szenario.

Erweiterte Gegenmaßnahmen für IT-Sicherheitsteams

Über die grundlegenden Sofortmaßnahmen hinaus müssen Sicherheitsteams ihre Strategie anpassen, um gegen zukünftige, ähnlich gelagerte Angriffe gewappnet zu sein. Dies erfordert eine Kombination aus proaktivem Exposure-Management, vertieftem Monitoring und architektonischer Resilienz.

Proaktives Exposure-Management und SIEM-Regeln

Organisationen müssen wissen, welche ihrer Systeme aus dem Internet erreichbar sind. Regelmäßige Exposure-Scans aus der Perspektive des Internets (ohne interne Firewall-Regeln) sind essentiell, um ungewollt offene Ports wie 443, 8443 etc. zu identifizieren. Im SIEM (Security Information and Event Management) oder der Log-Management-Lösung sollten spezifische Detektion-Regeln implementiert werden:

• Erkennung von Credential-Stuffing-Mustern: Regeln, die eine hohe Anzahl fehlgeschlagener Authentifizierungsversuche von einer einzelnen IP-Adresse oder über einen geografisch ungewöhnlichen Raum hinweg erkennen.
• Logins außerhalb der Geschäftszeiten: Alarme für erfolgreiche Administrative Logins zu Nachtzeiten oder an Wochenenden, sofern dies nicht dem üblichen Muster entspricht.
• Änderungen an Firewall-Regeln durch nicht-privilegierte Accounts: Überwachung von Konfigurationsänderungen, insbesondere an NAT- oder Firewall-Policies, die von standardmäßigen Admin-Accounts vorgenommen werden.
• Vergleich mit Threat-Intelligence: Abgleich interner IP-Adressen mit Feeds von SOCRadar oder anderen CTI-Anbietern, um zu prüfen, ob das eigene System in einer geleakten Credential-Liste auftaucht.

Architektonische Resilienz: Backup-Admin-Zugänge und Firmware-Integrität

Eine kompromittierte Firewall darf nicht zur vollständigen Isolation führen. Daher sind physisch oder logisch getrennte Backup-Admin-Zugänge ein wichtiger Bestandteil der Resilienzplanung. Dies könnte ein separat gesichertes, nur aus einem Management-Netz erreichbares Interface sein oder der Einsatz von Out-of-Band-Management-Lösungen (z.B. über separate LTE-Modems). Im Ernstfall kann so auf ein kompromittiertes Gerät zugegriffen werden, um es zurückzusetzen, ohne auf den primären, angegriffenen Pfad angewiesen zu sein.

Zudem sollte die Firmware-Signaturprüfung aktiviert und überwacht werden. Angreifer mit Admin-Rechten könnten versuchen, eine modifizierte, backdoor-beladene Firmware aufzuspielen. Fortinet-Geräte prüfen die digitale Signatur von Firmware-Updates. Diese Funktion muss aktiv sein und Versuche, nicht signierte Images zu installieren, müssen als kritische Sicherheitsverstöße alarmiert werden. Regelmäßige Baseline-Checks der Konfiguration helfen, unautorisierte Änderungen schnell zu erkennen.

Gegenmaßnahmen und Lehren aus FortiBleed

Die Bekämpfung von Credential-Stuffing-Angriffen wie FortiBleed erfordert eine Rückbesinnung auf Sicherheitsfundamentals, kombiniert mit modernen Schutzmechanismen.

Technische Sofortmaßnahmen für Fortinet-Nutzer

• Credential-Reset: Alle Passwörter für Administrator- und VPN-Benutzerkonten auf den betroffenen (und allen anderen) FortiGate-Geräten sofort ändern. Dabei unbedingt starke, eindeutige Passwörter verwenden.
• Multi-Faktor-Authentifizierung (MFA) aktivieren: Dies ist die wichtigste und effektivste Gegenmaßnahme. Selbst wenn ein Passwort erraten wird, verhindert MFA den Zugang. MFA sollte für alle administrativen und privilegierten Zugänge zwingend sein.
• Netzwerk-Härtung: Den Zugang zur Management-Oberfläche der Firewall auf vertrauenswürdige IP-Bereiche beschränken (z.B. nur aus dem internen Verwaltungsnetzwerk).
• Logging und Monitoring: Authentifizierungs-Logs aktivieren, zentral sammeln und auf fehlgeschlagene Login-Versuche in großer Zahl überwachen. Ungewöhnliche Login-Zeiten oder -Orte müssen Alarme auslösen.
• Patch-Management: Stellen Sie sicher, dass nicht nur FortiOS, sondern alle Fortinet-Produkte (wie FortiSandbox) auf dem neuesten Stand sind, um parallele Angriffsvektoren zu schließen.

Strategische Lehren für die Organisation

• Keine Passwort-Wiederverwendung: Implementieren Sie eine strikte Policy, die die Wiederverwendung von Passwörtern – insbesondere zwischen persönlichen und geschäftlichen Konten oder zwischen unterschiedlichen kritischen Systemen – verbietet.
• Passwort-Manager und Schulungen: Führen Sie Enterprise-Passwort-Manager ein und schulen Sie Mitarbeiter in der Erstellung und Verwaltung starker, einzigartiger Passwörter.
• Zero-Trust-Prinzipien anwenden: Verlassen Sie sich nicht allein auf den Netzwerkperimeter. Implementieren Sie Netzwerksegmentierung und prüfen Sie kontinuierlich die Vertrauenswürdigkeit von Geräten und Nutzern, auch wenn sie bereits innerhalb des Netzwerks sind.
• Annahme der Kompromittierung: Gehen Sie in Ihrer Sicherheitsplanung davon aus, dass Credentials irgendwann kompromittiert werden könnten. MFA und strenge Zugangskontrollen sind daher nicht optional, sondern essentiell.

Fazit: Ein Weckruf für grundlegende Cyber-Hygiene

FortiBleed ist kein Fall für spektakuläre Zero-Day-Exploits, sondern eine ernüchternde Lektion in angewandter Cyber-Hygiene. Die Kampagne demonstriert mit brutaler Effizienz, dass die schwächste Stelle in der Sicherheitskette nach wie vor der Mensch und seine nachlässige Umgang mit Zugangsdaten ist – selbst bei hochkritischer Infrastruktur. Sie zeigt, wie Angreifer alte Methoden mit automatisierter Skalierung zu einer massiven, globalen Bedrohung bündeln können.

Die Antwort darauf liegt nicht in noch mehr Geheimdiensttools oder komplexen Heuristiken, sondern in der konsequenten Umsetzung von Basics: Multi-Faktor-Authentifizierung überall dort, wo es möglich ist, die Abschaffung von Passwort-Wiederverwendung und ein Sicherheitsbewusstsein, das Credential-Stuffing als die reale, alltägliche Bedrohung begreift, die es ist. In einer Welt, in der Angriffe auf die VPN-Sicherheit und die Software-Supply-Chain zunehmen, kann eine durch Credential-Stuffing kompromittierte Firewall das Einfallstor für den finalen, vernichtenden Schlag werden. FortiBleed ist dieser Weckruf – laut, unüberhörbar und global.