Am 17. Juni 2026 wurde ein Datensatz mit Zugangsdaten öffentlich, der niemanden hätte überraschen dürfen und doch alle alarmierte. Der Forscher Volodymyr "Bob" Diachenko fand einen im Internet exponierten Server, der Benutzernamen, E-Mail-Adressen und Klartextpasswörter für Zehntausende von Fortinet-FortiGate- Firewalls enthielt. Kevin Beaumont beschaffte sich den Datensatz, arbeitete ihn mit Hudson Rock auf und bestätigte den Teil, den niemand bestätigt sehen wollte: Die Zugangsdaten waren gültig. Die Kampagne wurde FortiBleed genannt.
Die Zahlen sind die eigentliche Geschichte. 73.932 eindeutige FortiGate-URLs in 194 Ländern, verknüpft mit 21.632 Domänen, was nach Shodan-Abfragen ungefähr der Hälfte aller Fortinet-Firewalls entspricht, die derzeit dem öffentlichen Internet zugewandt sind. Die betroffenen Organisationen sind keine Amateure: Foxconn, Samsung, Comcast, Siemens, Lenovo, FedEx, Accenture, Oracle, PwC, dazu Regierungsbehörden und Betreiber kritischer Infrastrukturen. Mindestens vier Organisationen wurden vollständig kompromittiert, in Japan, Taiwan, Vietnam, Irak und der Türkei, wobei die Angreifer sich von Maschine zu Maschine innerhalb des Netzwerks vorarbeiteten. Der schlimmste Fall ist ein türkischer NATO- Rüstungszulieferer, aus dem vertrauliche Dokumente exfiltriert wurden. Die Aktivität wird einer russischsprachigen kriminellen Gruppe mit mehreren Operateuren zugeschrieben.
Die Ironie schreibt sich von selbst. Die Firewall, jenes eine Gerät, dessen ganzer Zweck darin besteht, Eindringlinge am Perimeter zu halten, wurde zur offenen Tür des Perimeters.
Was technisch tatsächlich geschah
Es gibt hier keine neue Schwachstelle, und das ist von Bedeutung. Das Abgreifen geht auf CVE-2022-40684 zurück, die FortiOS-Authentifizierungsumgehung, die Fortinet im Oktober 2022 patchte und die massenhaft ausgenutzt wurde, bevor die meisten Organisationen den Fix einspielten. Während dieser Welle von 2022 abgegriffene Zugangsdaten kursieren seither in privaten kriminellen Foren. FortiBleed ist dieser Bestand, aufgefrischt: Die Operateure fingen die SSL-VPN- Authentifizierung ab, gewannen Passwort-Hashes zurück und knackten sie auf einem 45-GPU-Cluster, das mit Hashtopolis orchestriert wurde. Anschließend spielten sie die wiedergewonnenen Passwörter gegen aktive Geräte ein, protokollierten 1,16 Milliarden Anmeldeversuche gegen 320.000 FortiGate-Appliances und weitere 2,1 Milliarden parallel gegen 160.000 Microsoft-SQL-Server und führten die gültigen bis in das Active Directory weiter, das Verzeichnis, das jedes Windows-Konto der Organisation steuert.
Fortinets Reaktion ist technisch korrekt und strategisch am Thema vorbei. Das Unternehmen charakterisiert FortiBleed als wiederverwertete Daten aus vergangenen Vorfällen plus Brute-Force, nicht als frischen Fehler in seinen Produkten. Stimmt. Aber die Appliances sind weiterhin online, und ein wiederverwertetes Passwort öffnet eine echte Tür genau so lange, wie niemand es ändert. In einem großen Bestand ist das Rotieren jedes VPN- und Administrator- Zugangsdatums kein Fingerschnippen, was genau der Grund ist, weshalb die Angreifer darauf wetteten, dass es noch funktioniert. Sie hatten recht.
Welche Regelwerke gelten, und was sie verlangen
Dies ist keine technische Randnotiz in einer Nische; es liegt mitten in drei Regimen, denen die betroffenen Organisationen ohnehin bereits Rechenschaft schulden.
Der EU-Rechtsakt über die digitale operationale Resilienz (DORA) bindet Finanzunternehmen. Seine Säule zum IKT-Risikomanagement (Artikel 5 bis 15) verlangt eine starke Authentifizierung und Zugangskontrolle an entfernten Zugangspunkten (Artikel 9) sowie eine getestete, belegte Fähigkeit zur Reaktion auf Vorfälle (Artikel 11). DORA akzeptiert "wir haben die CVE von 2022 gepatcht" nicht als Resilienz; es fragt, ob die verbleibende Exposition identifiziert, quantifiziert und gesteuert wurde. Die Richtlinie über die Sicherheit von Netz- und Informationssystemen 2 (NIS2) deckt eine weit größere Population ab, darunter Energie, Verkehr, verarbeitendes Gewerbe, digitale Infrastruktur und öffentliche Verwaltung, und ihr Artikel 21 nennt ausdrücklich Multi-Faktor-Authentifizierung, Zugangskontrolle und Anlagenverwaltung als Basismaßnahmen, wobei die Leitungsorgane nach Artikel 20 persönlich verantwortlich sind. ISO/IEC 27001:2022 fasst dieselben Kontrollen als Verpflichtungen aus Anhang A: A.5.17 (Authentifizierungsinformationen), A.8.5 (sichere Authentifizierung), A.5.15 (Zugangskontrolle) und A.8.9 (Konfigurationsmanagement). Für den NATO-Rüstungszulieferer gilt eine vierte Schicht: Sicherheitspflichten der Lieferkette im Verteidigungsbereich, unter denen die Exfiltration von Verschlusssachen ein meldepflichtiges Ereignis von souveräner Tragweite ist, nicht bloß eine kommerzielle Verletzung.
Welche Kontrollen versagten
Schält man die schlagzeilenträchtige Größenordnung weg, ist FortiBleed eine kurze Liste von Schaltern, die in der Stellung AUS belassen wurden. Die Multi-Faktor- Authentifizierung für den Fernzugriff fehlte oder war unvollständig, und sie ist die einzige Kontrolle, die ein gestohlenes Passwort wirkungslos macht, jene, deren Vorhandensein ein Nichtereignis von einer Sicherheitsverletzung trennt. Die Rotation der Zugangsdaten wurde nach der Kompromittierung von 2022 nie ausgelöst, sodass Passwörter, die vor vier Jahren geleakt waren, im Juni 2026 noch immer authentifizierten. Die Hygiene bei Patches und Konfiguration hinkte dem ursprünglichen Zeitfenster von CVE-2022-40684 lange genug hinterher, damit das Abgreifen gelang. Die Netzwerksegmentierung zwischen dem VPN-Rand und dem Active- Directory-Kern war dünn oder nicht vorhanden und verwandelte eine einzige kompromittierte Appliance in domänenweite laterale Bewegung. Und allem zugrunde versagte die Sichtbarkeit der Anlagen: Den Organisationen fehlte eine maßgebliche, aktuelle Übersicht darüber, welche ihrer FortiGate-Appliances dem Internet zugewandt waren, mit welcher Firmware, mit welchen Konten und mit welcher Authentifizierungslage. Man kann auf einer Exposition, die man nicht sieht, weder rotieren noch segmentieren noch MFA durchsetzen.
Was die Werkzeuge von CCI verändert hätten
Keine der vier obigen Kontrollen erforderte eine neue Produktkategorie. Sie erforderten, dass die Exposition fortlaufend gesehen, bepreist und bewiesen wird, was genau die Lücke ist, die die Instrumente von CCI schließen.
EviGen hätte die einzige Frage beantwortet, die zählt, bevor die Angreifer sie stellten: Wird MFA auf jedem SSL-VPN- und Administratorkonto, auf jeder Appliance, in diesem Augenblick durchgesetzt? EviGen erhebt diesen Konfigurationsbeleg automatisch über den gesamten Bestand und paketiert ihn regelwerkbewusst als das Artefakt für DORA Artikel 9, NIS2 Artikel 21 und ISO A.8.5, fortlaufend erzeugt statt in Panik rekonstruiert. Eine Lücke in der MFA-Abdeckung wird zu einem datierten, signierten Befund in der Woche, in der sie sich öffnet, nicht zu einer forensischen Entdeckung nach der Exfiltration.
NetDiagramer hätte den Weg gezeichnet, den die Angreifer tatsächlich gingen. Es kartiert Firewall-Zonen und schichtübergreifende Abhängigkeiten aus dem lebenden Inventar und macht jede dem Internet zugewandte FortiGate sichtbar sowie, was entscheidend ist, die Route vom SSL-VPN-Rand in den Active-Directory-Kern. Die flache Nachbarschaft von Rand zu Domäne, die vier Organisationen vollständig kompromittierbar machte, ist genau das, was eine automatisch erzeugte Topologie nach DORA Artikel 8 und NIS2 Artikel 21 als Befund offenlegt statt als Schaubild einer Autopsie.
cVaR hätte "alte Zugangsdaten, wahrscheinlich harmlos" in eine vorstandsreife Zahl verwandelt. Durch Anwendung von FAIR und Monte-Carlo-Simulation über das Anlageninventar bepreist es das Szenario "ein dem Internet zugewandtes VPN- Zugangsdatum wird wiedergespielt und pivotiert zum AD" als Verlustüberschreitungs- kurve in Euro. Eine verbleibende Exposition, die sich wie eine vage Sorge in einem Risikoregister liest, liest sich als bedingter Wert im Risiko auf einem cVaR- Dashboard, und verbleibende Euro werden dort rotiert, wo verbleibende Sorgen aufgeschoben werden.
DORA-MAST hätte daraus ein getestetes Szenario gemacht statt einer Überraschung. Es lässt die Störung, die Wiederverwendung von Zugangsdaten am Fernzugriffs- perimeter, gegen das Modell laufen, berechnet die Resilienzwirkung und belegt den Test im Rahmen des Testprogramms der Artikel 24 bis 31 von DORA, einschließlich des Konzentrationsrisikos bei Dritten, das darin besteht, den gesamten Perimeter auf einen einzigen Appliance-Anbieter zu setzen.
Die Exposition vorhersagen, sie bepreisen, die Kontrolle beweisen, das Versagen proben. Die Wunde von 2022 war erkennbar. Die geleakten Zugangsdaten waren erkennbar. Die MFA-Lücke war erkennbar. FortiBleed nutzte keine Schwachstelle im Code von Fortinet aus. Es nutzte den Abstand zwischen einer Kontrolle, die eine Organisation besaß, und einer Kontrolle, von der eine Organisation beweisen konnte, dass sie eingeschaltet war. Schließen Sie diesen Abstand, und das wiederverwertete Passwort öffnet nichts mehr.
Wenn Ihre Domäne bereits auf der Liste steht: schnell Hilfe bekommen
Die obigen Werkzeuge beschreiben eine Haltung, die eine Organisation vor einem Vorfall aufbaut. FortiBleed ist für viele der 21.632 exponierten Domänen kein künftiges Risiko, sondern ein gegenwärtiges, und die ehrliche Frage lautet, was in dieser Woche zu tun ist. Zwei unterschiedliche Fähigkeiten von CCI greifen, und es lohnt sich, präzise zu sein, welche was tut.
Die erste ist Führung unter Druck. Der CISO-as-a-Service von CCI schöpft aus einem Pool von acht oder mehr CISSP-zertifizierten Fachleuten mit bewusst nicht überlappenden Hintergründen aus Banken, Verteidigung, Telekommunikation und Energie. Für eine Organisation, die soeben ihre Zugangsdaten im FortiBleed-Datensatz entdeckt hat, ist der relevante Modus die interimistische oder abrufbare Abdeckung: eine rechenschaftspflichtige Sicherheitsführung, die die Exposition triagieren, ein Gremium briefen und die Fragen einer Aufsichtsbehörde nach Artikel 11 (DORA) oder Artikel 23 (NIS2) beantworten kann, während das interne Team die Rotation durchführt. Wir prüfen nicht dort, wo wir führen, sodass diese Unabhängigkeit durch Gestaltung gewahrt bleibt.
Die zweite ist Ingenieursgeschwindigkeit. Die Menschen, die EviGen, NetDiagramer, cVaR und DORA-MAST gebaut haben, sind kein separater Anbieter; sie sind ein hauseigenes Forschungs- und Entwicklungsteam aus Akademikern, Forschenden auf Doktoratsniveau und Sicherheitsingenieuren. Das ist operativ von Bedeutung, denn die FortiBleed-Behebung ist im großen Maßstab ein Werkzeugproblem: den gesamten FortiGate-Bestand einer Organisation gegen die veröffentlichte Liste exponierter Domänen abzugleichen, die Rotation der Zugangsdaten über Hunderte von Appliances zu erzwingen und dann zu beweisen, dass die Multi-Faktor-Authentifizierung auf jedem verbleibenden Konto durchgesetzt wird. Genau das ist die Art von maßgeschneidertem Abhilfeinstrument, das dieselben Ingenieure rasch aufstellen können, weil die zugrunde liegenden Primitive, darunter die Inventaraufnahme, die Erhebung von Konfigurationsbelegen und die Topologiekartierung, bereits als ausgelieferte Produkte existieren statt als Folienware. Die ehrliche Rahmung ist Fähigkeit, nicht eine vertragliche Stoppuhr: Das Team, das diese Primitive produktisiert hat, kann sie zu einem zielgerichteten Behebungswerkzeug weit schneller zusammensetzen als ein Team, das dem Problem zum ersten Mal begegnet. Wenn FortiBleed Ihren Bestand erreicht hat, ist der schnellste Weg zu einer abgegrenzten Reaktion, mit einem Fachmann zu sprechen.
Die Wunde, die nie verheilte
Die Hornisse ändert sich nicht; das Volk schon. Die Zugangsdaten, die Fortinets Kunden 2022 verloren, würden niemals von selbst ablaufen, weil Passwörter nicht heilen. Was sich für die noch exponierte Hälfte des Bestands geändert hat, ist nichts: dieselben Appliances, dieselben Passwörter, derselbe flache Weg zur Domäne. Der Fix ist glanzlos und vollständig in Reichweite. MFA durchsetzen, jetzt rotieren, den Rand vom Kern segmentieren und fortlaufend Belege dafür halten, dass alle drei wahr sind. Die Angreifer wetten darauf, dass Sie dies lesen, nicken und es auf das nächste Quartal verschieben. Sie haben eine vierjährige Erfolgsbilanz, die ihnen darin recht gibt.
Acronyms
| Akronym | Bedeutung (Englisch) | Deutsche Übersetzung |
|---|---|---|
| AD | Active Directory | Active Directory |
| CVE | Common Vulnerabilities and Exposures | Bekannte Schwachstellen und Anfälligkeiten |
| CVSS | Common Vulnerability Scoring System | Bewertungssystem für Schwachstellen |
| DORA | Digital Operational Resilience Act | Rechtsakt über die digitale operationale Resilienz |
| FAIR | Factor Analysis of Information Risk | Faktorenanalyse des Informationsrisikos |
| GPU | Graphics Processing Unit | Grafikprozessor |
| ICT | Information and Communication Technology | Informations- und Kommunikationstechnologie |
| MFA | Multi-Factor Authentication | Multi-Faktor-Authentifizierung |
| NIS2 | Network and Information Security Directive 2 | Richtlinie über die Sicherheit von Netz- und Informationssystemen 2 |
| SSL-VPN | Secure Sockets Layer Virtual Private Network | Virtuelles privates Netzwerk über Secure Sockets Layer |
References
- Lautier, V. (2026). 75 000 pare-feu Fortinet siphonnes: l'attaque FortiBleed touche la moitie du parc mondial. Korben. https://korben.info/75-000-pare-feu-fortinet-siphonnes-lattaque-fortibleed-touche-la-moitie-du-parc-mondial.html
- The Register (2026). Massive password-stealing attack hits 75K Fortinet firewalls. https://www.theregister.com/cyber-crime/2026/06/17/massive-password-stealing-attack-hits-75k-fortinet-firewalls/
- Help Net Security (2026). 74,000 Fortinet firewall credentials exposed in FortiBleed data leak. https://www.helpnetsecurity.com/2026/06/18/fortinet-fortibleed-data-leak/
- BleepingComputer (2026). FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices. https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
- CSO Online (2026). FortiBleed campaign exposes 75,000 Fortinet firewalls worldwide. https://www.csoonline.com/article/4186790/fortibleed-campaign-exposes-75000-fortinet-firewalls-worldwide.html
- Security Affairs (2026). FortiBleed: Admin Passwords for 75,000 Fortinet Firewalls. https://securityaffairs.com/193817/hacking/fortibleed-exposes-admin-passwords-for-75000-fortinet-firewalls.html
- CERT-EU (2024). Security Advisory 2024-018: Critical FortiOS SSL-VPN vulnerability (CVE-2024-21762). https://cert.europa.eu/publications/security-advisories/2024-018/
- European Union (2022). Regulation (EU) 2022/2554 (Digital Operational Resilience Act). https://eur-lex.europa.eu/eli/reg/2022/2554/oj
- European Union (2022). Directive (EU) 2022/2555 (NIS2). https://eur-lex.europa.eu/eli/dir/2022/2555/oj