Angriff ohne Exploit: Die neue Realität an der Perimeter-Grenze

Warum fehlkonfigurierte Perimeter-Systeme zum Einfallstor werden

Bild: Getty Images / Credits:Wirestock

Die unter dem Namen „FortiBleed“ bekannt gewordene Angriffskampagne markiert eine Zäsur in der Bewertung klassischer Netzwerkverteidigung. Anders als bei vielen spektakulären Cybervorfällen der vergangenen Jahre steht diesmal keine einzelne Zero-Day-Schwachstelle im Mittelpunkt. Vielmehr zeigt der Fall, wie systematisch Angreifer bestehende Schwächen in Konfiguration, Authentifizierung und Betriebsprozessen ausnutzen – und damit in der Lage sind, globale Enterprise-Infrastrukturen im industriellen Maßstab zu kompromittieren.

Aktuelle Analysen zeigen übereinstimmend, dass FortiBleed eine Kombination mehrerer Angriffstechniken darstellt. Dazu gehören insbesondere Credential Stuffing, Brute-Force-Angriffe sowie die Nutzung zuvor kompromittierter Zugangsdaten.

Im Zentrum der Kampagne stehen internetexponierte Management- und VPN-Schnittstellen. Viele erfolgreiche Angriffe beruhen darauf, dass Geräte direkt aus dem Internet erreichbar und nur unzureichend abgesichert sind.

Die Dimension ist erheblich: Sicherheitsforscher fanden Datensätze mit Zugangsdaten für zehntausende Firewall- und VPN-Systeme weltweit, die teilweise weiterhin gültig waren.

Für Unternehmen bedeutet dies: Angreifer benötigen häufig keinen Exploit mehr, wenn sie gültige Anmeldedaten besitzen. In solchen Fällen agieren sie technisch legitim – mit weitreichenden Folgen für die gesamte Infrastruktur.

Admin-Interfaces im Internet: Bequemlichkeit schlägt Sicherheit

Ein zentrales Muster hinter FortiBleed ist die anhaltende Exposition administrativer Schnittstellen. Chester Wisniewski, Director Global Field CISO bei Sophos, beschreibt die zugrunde liegende Problematik klar: „Wir raten unseren Kunden dringend davon ab, ihre Admin-Portale im offenen Internet zugänglich zu machen … doch viele Administratoren entscheiden sich aus Bequemlichkeitsgründen dennoch dafür.“

Image
Description
Chester Wisniewski ist Director Global Field CISO bei Sophos.

Diese Praxis ist im Enterprise-Umfeld weit verbreitet. Webbasierte Admin-Portale, SSH-Zugänge oder VPN-User-Portale werden häufig direkt ins Internet gestellt, um Remote-Betrieb zu vereinfachen.

Aus Sicht von Sicherheitsbehörden stellt dies jedoch ein strukturelles Risiko dar: Management-Schnittstellen sind explizit nicht für den öffentlichen Zugriff konzipiert, sondern für isolierte Administrationsnetze.

Die Folge: Angreifer können diese Interfaces systematisch scannen und automatisiert angreifen. Gerade bei groß angelegten Kampagnen wie FortiBleed ermöglicht dies eine industrielle Skalierung von Angriffen.

Shared Responsibility: Wo endet die Verantwortung der Hersteller?

FortiBleed wirft zugleich eine alte Frage neu auf: Liegt die Verantwortung bei den Herstellern oder bei den Betreibern?

Chester Wisniewski verweist ganz klar auf ein „Shared Responsibility“-Modell: Hersteller müssten sichere Standardkonfigurationen bereitstellen („secure by design“), während Kunden die Risiken aktiv bewerten und regelmäßig überprüfen müssten.

Die marktüblichen Anforderungen erfordern jedoch eine flexible Konfiguration für eine Vielzahl von Einsatzmöglichkeiten, was in bestimmten Situationen ein erhöhtes Risiko bei der Bereitstellung mit sich bringt”, sagt der Sicherheitsexperte. “Die Kunden sind dafür verantwortlich, diese Risiken sorgfältig zu bewerten und im Laufe der Zeit zu überprüfen, um sicherzustellen, dass sie weiterhin ihren Anforderungen entsprechen.”

In der Praxis kollidiert dieses Prinzip mit betrieblichen Anforderungen. Firewalls werden in sehr unterschiedlichen Szenarien eingesetzt – von der klassischen Perimeter-Sicherung bis zur internen Segmentierung. Diese Flexibilität erschwert es Herstellern, restriktive Defaults verbindlich durchzusetzen.

Das Ergebnis ist ein strukturelles Dilemma: Sicherheit findet auf Empfehlungsebene statt – umgesetzt werden jedoch häufig individuell angepasste, weniger sichere Konfigurationen.

Identitäten als primäre Angriffsfläche

FortiBleed bestätigt einen grundlegenden Trend: Identitäten und Zugriffsdaten sind zur zentralen Angriffsfläche geworden.

Aktuelle Auswertungen zeigen, dass Angriffe zunehmend über kompromittierte Zugangsdaten erfolgen und weniger über klassische Softwarelücken.

Gerade Perimeter-Systeme wie Firewalls oder VPN-Gateways sind hierbei besonders kritisch. Werden sie kompromittiert, fungieren sie als Einstiegspunkt für weitergehende Angriffe – inklusive lateral movement in interne Systeme und Zugriff auf Verzeichnisdienste wie Active Directory.

Der Unterschied zu klassischen Angriffsszenarien ist signifikant: Die Sicherheitsmechanismen werden nicht überwunden, sondern schlicht umgangen.

MFA statt Passwortwechsel: Paradigmenwechsel bei Authentifizierung

Ein zentraler Punkt in der aktuellen Diskussion betrifft die Rolle von Passwortrotation. Chester Wisniewski betont: „Es hat sich nicht gezeigt, dass der regelmäßige Wechsel von Passwörtern von Vorteil ist, weshalb diese Praxis aus den meisten Sicherheitsstandards wie NIST-800-63B entfernt wurde.“

Tatsächlich haben moderne Standards wie die NIST Digital Identity Guidelines einen grundlegenden Kurswechsel vollzogen. Pflichtmäßige Passwortwechsel gelten heute als kontraproduktiv, da sie nachweislich zu schwächeren, vorhersehbaren Passwörtern führen.

Sophos-Produkte werden grundsätzlich nicht mit Standardanmeldedaten ausgeliefert. Wisniewski empfiehlt, “Anbieter zu wählen, die sich an die Secure-by-Design-Prinzipien halten. Diese verbieten nicht nur die Verwendung von Standardanmeldedaten, sondern umfassen auch zahlreiche weitere Maßnahmen zur Absicherung gegen Cyberangriffe.”

Typisches Nutzerverhalten – etwa minimale Variationen wie „Passwort2025“ zu „Passwort2026“ – reduziert die effektive Sicherheit erheblich.

Stattdessen setzen neue Modelle auf:

Vor allem aber wird Multi-Faktor-Authentifizierung (MFA) als entscheidende Maßnahme betrachtet. Sie kann die Wirksamkeit von Credential-Stuffing- und Brute-Force-Angriffen signifikant reduzieren – auch im Kontext von FortiBleed.

Jedoch sind einige Instrumente wie Passwortmanager nach wie vor nützlich. Andere Maßnahmen haben an Relevanz gewonnen, etwa das Breach-Monitoring.

“Kein Authentifizierungsmechanismus ist perfekt, doch eine Authentifizierung, die eine MFA erfordert und mit der Überwachung auf Missbrauch sowie ungewöhnliche Zugriffsmuster kombiniert wird, schützt vor den meisten Anwendungsfällen”, ist Wisniewski überzeugt.

Was tun, wenn MFA nicht möglich ist?

Gerade in älteren Infrastrukturen oder bei bestimmten Systemen ist MFA jedoch nicht immer realisierbar. In solchen Fällen rücken alternative Schutzmechanismen in den Fokus:

Diese Maßnahmen zielen darauf ab, die Angriffsfläche zu reduzieren und Angriffe frühzeitig zu erkennen – ein Ansatz, der auch in regulatorischen Vorgaben wie CISA-Richtlinien zunehmend gefordert wird.

FortiBleed – ein Symptom struktureller Schwächen

FortiBleed ist weniger ein singulärer Sicherheitsvorfall als ein Spiegelbild systemischer Defizite in der IT-Sicherheitsarchitektur vieler Unternehmen.

Die Kampagne zeigt, dass grundlegende Prinzipien – abgesicherte Management-Schnittstellen, starke Authentifizierung und konsequente Zugriffskontrolle – in der Praxis weiterhin unzureichend umgesetzt werden.

Für CIOs und CISOs ergibt sich daraus eine klare Priorität: Die Sicherheit von Identitäten und Perimeter-Systemen muss vom operativen Detail zur strategischen Kernaufgabe werden. Denn im aktuellen Bedrohungsumfeld gilt zunehmend: Nicht die ausgefeilteste Exploit-Technik entscheidet über den Erfolg eines Angriffs – sondern die kleinste Fehlkonfiguration.

Beachten Sie auch unsere Hinweise zur Härtung von Netzwerkgeräten.