Bei der Fortinet Firewall Angriffswelle – von Sicherheitsforschern FortiBleed genannt – sind Administrator-Zugangsdaten für rund 74.000 Fortinet-Firewalls offengelegt worden. Betroffen sind Geräte in 194 Ländern, viele Zugangsdaten sind echt und teils noch gültig. Wer eine Fortinet-Appliance betreibt, sollte den Zugriff auf die Verwaltungsoberfläche einschränken, Passwörter rotieren und die Multi-Faktor-Authentifizierung aktivieren. Bei WatchGuard, Sophos und Securepoint gibt es keine Betroffenheit durch FortiBleed, wohl aber eigene aktuelle Sicherheitshinweise, die denselben Sorgfaltsbedarf zeigen.
Was ist bei der Fortinet Firewall Angriffswelle passiert?
Angreifer sind an gültige Administrator-Zugangsdaten für Zehntausende Firewalls des Herstellers Fortinet gelangt. Damit haben sie potenziell Zugriff auf die internen Netzwerke der betroffenen Organisationen. Aufmerksam gemacht auf den Vorfall hatte zuerst der Sicherheitsforscher Volodymyr Diachenko, eine ausführliche Analyse stammt von der Threat-Intelligence-Firma Hudson Rock, die der Kampagne den Namen FortiBleed gab.
Den Zahlen der Forscher zufolge gab es im Vorfeld 1,16 Milliarden Anmeldeversuche an über 320.000 Fortinet-Firewalls sowie 2,1 Milliarden Brute-Force-Versuche (also automatisiertes Durchprobieren von Passwörtern) an über 160.000 MSSQL-Servern. Tatsächlich kompromittiert wurden nach aktuellem Kenntnisstand Admin-Passwörter für 73.932 Firewalls hinter 21.632 Domains aus 194 Ländern. Das entspricht nach Einschätzung der Forscher etwa der Hälfte aller derzeit aus dem Internet erreichbaren Fortinet-Firewalls.
Hinter der Kampagne soll eine namentlich nicht genannte russischsprachige Gruppe stehen. Der Sicherheitsforscher Kevin Beaumont bestätigte, dass die erbeuteten Zugangsdaten echt und in großen Teilen noch gültig sind und dass die betroffenen Appliances fast alle weiterhin über das Internet erreichbar sind. Es handelt sich also nicht nur um alte Daten aus früheren Lecks. Fortinet selbst ordnet die Lage zurückhaltender ein und spricht von einer erneuten Verbreitung von Daten aus früheren Vorfällen in Kombination mit Brute-Force-Angriffen. Die Untersuchungen laufen noch. Ein zentraler Punkt: FortiBleed hat keine eigene CVE-Nummer und es gibt keinen einzelnen Patch, der das Problem schließt. Es geht um den Umgang mit kompromittierten Zugangsdaten.
Wie kamen die Angreifer an die Zugangsdaten?
Den Analysen zufolge stammen die Zugangsdaten aus Konfigurationsexporten der Firewalls sowie aus sogenannten Infostealer-Logs, also Datensätzen, die Schadprogramme zuvor von infizierten Rechnern abgegriffen haben. Wie genau die Angreifer an die Exportdaten gelangt sind, ist noch unklar. Möglich ist die Ausnutzung einer bislang unbekannten Schwachstelle (Zero-Day). Auffällig ist, dass viele der betroffenen Firewalls auf einem aktuellen Patch-Stand sind, ein modernes FortiOS allein schützt hier also nicht.
Bemerkenswert ist ein Befund von Hudson Rock: Auch sehr lange und komplexe Passwörter mit 25 oder mehr Zeichen tauchten im Klartext auf. Sie wurden nicht geknackt, sondern lagen bereits aus Infostealer-Infektionen vor. Ein starkes Passwort, das einmal durch einen infizierten Rechner gelaufen ist, bietet damit keinen besseren Schutz als ein schwaches.
Das Problem mit den alten Passwort-Hashes
Fortinet hat infolge früherer Leaks Anfang 2025 das Verfahren zur Speicherung der Admin-Zugangsdaten umgestellt, vom Hashverfahren SHA-256 auf das deutlich widerstandsfähigere PBKDF2 (ein Hash ist ein nicht umkehrbarer Fingerabdruck eines Passworts). Diese Umstellung greift nach Angaben von Arctic Wolf in FortiOS 7.2.11, 7.4.8 und 7.6.1. Der Haken: Bestehende Zugangsdaten werden erst dann auf das neue Verfahren umgestellt, wenn sich ein Administrator nach dem Update am Gerät neu anmeldet. Ein Gerät kann also gepatcht sein und die Passwörter trotzdem weiter im älteren, leichter angreifbaren SHA-256-Format vorhalten. Diese alten Hashes ließen sich per Brute-Force knacken, laut Diachenko mit einem Cluster aus 45 Grafikkarten.
Wer ist betroffen, und wie steht Deutschland da?
Hudson Rock führt die am stärksten betroffenen Länder und Branchen auf. Spitzenreiter ist Indien mit 9.629 Firewalls, gefolgt von den USA (6.352), Taiwan (3.637) und Mexiko (3.197). Deutschland taucht in der Liste der 30 am stärksten betroffenen Länder nicht auf. Daraus lässt sich ableiten, dass hierzulande weniger Geräte betroffen sein dürften als beim letztplatzierten Land Ecuador mit 547 Firewalls. In den Daten finden sich Domains zahlreicher namhafter Unternehmen, darunter Samsung, Siemens, Oracle, Lenovo, DHL, Vodafone und Fortinet selbst.
Sind WatchGuard, Sophos und Securepoint auch betroffen?
Kurz gesagt: Die FortiBleed-Kampagne betrifft ausschließlich Fortinet-Geräte. Für WatchGuard, Sophos und Securepoint gibt es nach aktuellem Stand keine Hinweise auf eine Betroffenheit durch FortiBleed. Das heißt aber nicht, dass diese Hersteller frei von Sicherheitslücken wären. Firewalls und VPN-Gateways stehen per Definition am Rand des Netzwerks und sind direkt aus dem Internet erreichbar. Genau das macht sie zu einem bevorzugten Ziel, herstellerunabhängig. Der folgende Überblick ordnet die Lage der drei Hersteller anhand ihrer eigenen, öffentlich dokumentierten Sicherheitshinweise ein. Die genannten Angaben sollten vor einer Entscheidung stets gegen die jeweils aktuellen Hersteller-Advisories geprüft werden.
WatchGuard
WatchGuard hatte zuletzt eigene, schwerwiegende Probleme, die nichts mit FortiBleed zu tun haben. Am 18. Dezember 2025 veröffentlichte der Hersteller die Schwachstelle CVE-2025-14733 (CVSS-Score 9.3, kritisch). Es handelt sich um einen Out-of-Bounds-Write-Fehler (ein Schreibzugriff außerhalb des vorgesehenen Speicherbereichs) im iked-Prozess des Fireware-Betriebssystems, also der Komponente, die den Schlüsselaustausch für IPSec-VPNs über IKEv2 abwickelt. Die Lücke erlaubt einem nicht authentifizierten Angreifer das Ausführen von Schadcode aus der Ferne. WatchGuard beobachtete bereits aktive Angriffe, die US-Behörde CISA nahm die Lücke in ihren Katalog bekannter ausgenutzter Schwachstellen auf. Betroffen sind Konfigurationen mit IKEv2-VPN. Bereits im September 2025 war mit CVE-2025-9242 eine vergleichbare Lücke im selben iked-Prozess geschlossen worden. Zwischenzeitlich waren laut der Shadowserver-Initiative über 115.000 ungepatchte Firebox-Geräte aus dem Internet erreichbar.
Sophos
Auch Sophos ist von FortiBleed nicht betroffen, hatte 2025 aber eine eigene Reihe kritischer Schwachstellen in der Sophos Firewall (SFOS) zu schließen. Im Juli 2025 betraf das unter anderem CVE-2025-6704 (CVSS 9.8, ein Dateischreibfehler in der Funktion Secure PDF eXchange mit Potenzial für Remote Code Execution vor der Anmeldung) und CVE-2025-7624 (CVSS 9.8, eine SQL-Injection im älteren SMTP-Proxy). Hinzu kam CVE-2025-7382 (CVSS 8.8) in der Verwaltungsoberfläche WebAdmin. Betroffen waren Sophos Firewall v21.5 GA und ältere Versionen. Nach Angaben des Herstellers waren jeweils nur sehr kleine Anteile der Geräte betroffen, eine Ausnutzung in freier Wildbahn war zum Zeitpunkt der Veröffentlichung nicht beobachtet worden. Die Schwachstellen wurden über das Bug-Bounty-Programm gemeldet und über Hotfixes geschlossen, die bei aktivierter automatischer Installation regulär von selbst eingespielt werden.
Securepoint
Der deutsche Hersteller Securepoint ist von FortiBleed ebenfalls nicht betroffen. Die in den vergangenen Monaten über das BSI und die eigenen Changelogs dokumentierten Schwachstellen der Securepoint UTM betreffen überwiegend Drittanbieter-Komponenten, die in das System einfließen. So schloss die Version 14.1.6 (Auslieferung ab 16. Juni 2026) unter anderem Lücken im Linux-Kernel, im nginx-Reverse-Proxy (CVE-2026-42945) sowie in OpenVPN. Version 14.1.5 behob mehrere Schwachstellen in der VPN-Komponente strongSwan, Version 14.1.2 (Februar 2026) weitere Lücken in Drittanbieter-Komponenten mit einem CVSS-Score von 7.4 (mittel). Securepoint pflegt dazu eine eigene CVE-Advisory-Seite und ein laufendes Changelog. Positiv fällt auf, dass UTM-Systeme älterer Versionen die Updates automatisch nachladen.
Der gemeinsame Nenner
Auch wenn die konkreten Vorfälle unterschiedlich sind, zeigt sich ein Muster. VPN-Dienste wie iked bei WatchGuard oder strongSwan bei Securepoint sind ein wiederkehrender Schwachpunkt, weil sie aus dem Internet ansprechbar sein müssen. Aus dem Internet erreichbare Verwaltungsoberflächen und der Umgang mit Zugangsdaten entscheiden herstellerunabhängig über das Risiko. FortiBleed macht zudem deutlich, dass selbst ein aktueller Patch-Stand nicht genügt, wenn Zugangsdaten über Konfigurationsexporte oder Infostealer abfließen. Die richtige Frage lautet daher nicht, welcher Hersteller der sicherste ist, sondern wie konsequent Patches, Zugriffsbeschränkungen und Anmeldeverfahren im eigenen Betrieb umgesetzt werden. Eine professionelle IT-Security setzt genau hier an.
Was sollten Administratoren jetzt konkret tun?
Die Handlungsempfehlungen aus den Analysen von Kevin Beaumont und Hudson Rock lassen sich auf andere Hersteller übertragen. Hudson Rock stellt zudem ein Suchwerkzeug bereit, mit dem sich prüfen lässt, ob die eigene Fortinet-Domain in den Daten auftaucht. Empfohlen werden, unabhängig vom Hersteller:
- Den Zugriff auf die Verwaltungsschnittstelle aus dem Internet sperren oder auf vertrauenswürdige IP-Bereiche begrenzen
- Alle Administrator- und VPN-Zugangsdaten rotieren
- Die Multi-Faktor-Authentifizierung für externe Zugänge aktivieren
- Verfügbare Firmware-Updates einspielen
- Protokolle auf auffällige Anmeldungen und neu angelegte Konten prüfen
- Bei Fortinet zusätzlich: sich nach einem Update aktiv neu anmelden, damit das Passwort auf das sichere PBKDF2-Verfahren umgestellt wird
Bei Verdacht auf eine Kompromittierung sollten betroffene Geräte umgehend auf zusätzlich angelegte Benutzerkonten und veränderte Sicherheitseinstellungen geprüft werden. Wenn Sie das intern nicht zuverlässig abdecken können, unterstützt Sie unser IT-Notfallservice schnell und remote.
Häufige Fragen (FAQ)
Ist FortiBleed eine klassische Sicherheitslücke mit Patch?
Nein. FortiBleed hat keine eigene CVE-Nummer und es gibt keinen einzelnen Patch. Es geht um offengelegte und teils noch gültige Administrator-Zugangsdaten. Schutz entsteht durch das Rotieren der Passwörter, eingeschränkten Zugriff und Multi-Faktor-Authentifizierung.
Sind WatchGuard, Sophos oder Securepoint von FortiBleed betroffen?
Nach aktuellem Stand nicht. FortiBleed bezieht sich ausschließlich auf Fortinet-Geräte. Alle drei Hersteller hatten zuletzt jedoch eigene Sicherheitshinweise, die regelmäßig geprüft und durch Updates abgesichert werden sollten.
Schützt ein sehr langes, komplexes Passwort vor FortiBleed?
Nur bedingt. In den Daten fanden sich auch sehr lange Passwörter im Klartext, weil sie zuvor von infizierten Rechnern abgegriffen wurden. Wichtiger als die Länge sind daher saubere Endgeräte, Passwort-Rotation und Multi-Faktor-Authentifizierung.
Wie prüfe ich, ob mein Unternehmen betroffen ist?
Hudson Rock stellt ein Suchwerkzeug bereit, mit dem sich Domains gegen den Datensatz abgleichen lassen. Zusätzlich sollten Sie die Protokolle Ihrer Firewall auf ungewöhnliche Anmeldungen und neu angelegte Konten prüfen.
Reicht es, die Firewall auf den neuesten Stand zu bringen?
Ein aktueller Stand ist notwendig, aber nicht ausreichend. Viele betroffene Fortinet-Geräte waren gepatcht. Entscheidend sind zusätzlich das Rotieren der Zugangsdaten, der eingeschränkte Zugriff auf die Verwaltungsoberfläche und bei Fortinet die Neuanmeldung zur Umstellung auf das sichere Passwortverfahren.
Fazit zur Fortinet Firewall Angriffswelle
Die Fortinet Firewall Angriffswelle FortiBleed ist kein klassisches Patch-Problem, sondern ein Zugangsdaten-Problem in großem Maßstab. Sie zeigt, dass am Netzwerkrand betriebene Geräte besondere Sorgfalt verlangen, unabhängig vom Hersteller. WatchGuard, Sophos und Securepoint sind von FortiBleed nicht betroffen, ihre eigenen aktuellen Hinweise belegen aber denselben Grundsatz: Aus dem Internet erreichbare Verwaltungs- und VPN-Dienste müssen eng begrenzt, sauber konfiguriert und konsequent gepflegt werden. Wer diese Punkte intern nicht zuverlässig abdecken kann, sollte die Prüfung und Absicherung der eigenen Firewall-Landschaft sowie die laufende Pflege über Managed Services mit einem erfahrenen IT-Systemhaus aufsetzen.
Sie betreiben eine Fortinet-, WatchGuard-, Sophos- oder Securepoint-Firewall und sind unsicher? Wir prüfen Ihre Firewall-Konfiguration, schränken den Zugriff sicher ein und richten die Multi-Faktor-Authentifizierung ein. Rufen Sie uns an unter 0211 9779 958 oder schreiben Sie uns über das Kontaktformular.
Hinweis: Die genannten Zahlen, Versionsangaben und Sicherheitshinweise geben den Stand zum Zeitpunkt der Recherche im Juni 2026 wieder. Die Lage entwickelt sich weiter. Prüfen Sie aktuelle Angaben vor einer Maßnahme stets gegen die offiziellen Advisories des jeweiligen Herstellers und des BSI sowie das Fortinet PSIRT.
