Mitte Juni 2026 wurde unter dem Namen FortiBleed einer der größten dokumentierten Datensätze mit gültigen Zugangsdaten zu Fortinet-Firewalls öffentlich. Betroffen sind nach übereinstimmenden Analysen mehrerer Sicherheitsforscher zwischen rund 74.000 und über 86.000 internetexponierte FortiGate-Geräte und SSL-VPN-Gateways in 194 Ländern. Auch Systeme mit deutschen Domains finden sich im Datensatz. Das Beunruhigende daran: Viele der erbeuteten Zugangsdaten funktionieren noch.
In diesem Beitrag ordnen wir die Faktenlage nüchtern ein, erklären, warum auch vermeintlich aktuelle Geräte betroffen sein können, und zeigen, welche Schritte Betreiber von Fortinet-Systemen jetzt konkret gehen sollten.
Kein Zero-Day, sondern ein Credential-Problem
Der Name FortiBleed weckt Assoziationen an spektakuläre Sicherheitslücken wie Heartbleed. Diese Lesart greift zu kurz. Nach aktuellem Stand steckt hinter FortiBleed keine neue, unbekannte Schwachstelle in FortiOS. Fortinet selbst erklärte, man sei sich einer gemeldeten Credential-Harvesting-Kampagne bewusst, ein neuer Produktfehler liege nicht vor.
Tatsächlich handelt es sich um das Zusammentreffen mehrerer altbekannter Probleme:
- Wiederverwendete und geleakte Zugangsdaten aus früheren Fortinet-Vorfällen, allgemeinen Leak-Sammlungen und Logs von Infostealer-Malware.
- Veraltete Passwort-Hashes: Fortinet stellte Anfang 2025 mit den FortiOS-Versionen 7.2.11, 7.4.8 und 7.6.1 auf das robustere Verfahren PBKDF2 um. Der ältere SHA-256-Hash lässt sich offline deutlich leichter knacken.
- Internetexponierte Management- und VPN-Schnittstellen, die direkt aus dem Netz erreichbar sind.
Die Angreifer – nach Einschätzung der Forscher eine russischsprachige Gruppe – gingen hochautomatisiert vor: Berichte sprechen von rund 1,16 Milliarden Anmeldeversuchen gegen über 320.000 FortiGate-Ziele. Abgefangene Authentifizierungs-Hashes aus SSL-VPN-Sitzungen wurden anschließend offline auf einem GPU-Cluster geknackt. Erfolgreiche Logins wurden protokolliert, das System fütterte sich über passives Mitlesen des VPN-Verkehrs selbst mit immer neuen Zugangsdaten.
Die „Patching-Falle": Warum auch aktualisierte Geräte gefährdet sind
Ein besonders tückischer Punkt erklärt die hohe Erfolgsquote. Die Umstellung auf das sichere PBKDF2-Hashing wirkt nicht rückwirkend: Bestehende Administrator-Passwörter bleiben nach einem Firmware-Update so lange als alter SHA-256-Hash gespeichert, bis sich der jeweilige Administrator nach dem Update einmal neu anmeldet und das Passwort dadurch neu gehasht wird.
Viele Organisationen haben also die Firmware aktualisiert, die verwundbaren Alt-Hashes aber in den Konfigurationsdateien belassen. Wer den Patch eingespielt, aber keinen erzwungenen Passwortwechsel durchgeführt hat, ist möglicherweise weiterhin angreifbar.
Eine weitere unbequeme Erkenntnis: Passwortkomplexität allein schützt nicht. Im Datensatz fanden sich auch 25-stellige Passwörter im Klartext – nicht geknackt, sondern bereits aus Infostealer-Logs bekannt. Ein starkes Passwort, das einmal durch eine Schadsoftware-Infektion abgegriffen wurde, bietet denselben Schutz wie ein schwaches: keinen.
Wer ist betroffen?
Grundsätzlich betroffen ist jede Organisation, die Fortinet-FortiGate-Firewalls oder SSL-VPN-Gateways einsetzt – insbesondere dann, wenn das Management-Interface oder der VPN-Zugang aus dem Internet erreichbar ist. Im Datensatz finden sich Unternehmen aller Größen und Branchen, von Großkonzernen über kritische Infrastruktur bis zu öffentlichen Stellen.
Für Deutschland ist die Lage doppelt relevant: Eine Auswertung von heise online nennt rund 120 Systeme mit deutschen Domains, und das CERT-Bund weist seit Längerem auf zu viele offen erreichbare Firewall-Management-Zugänge hin. Eine eigene FortiBleed-Warnung deutscher Behörden lag zum Redaktionszeitpunkt nicht vor; Fortinet-Produkte werden von BSI und CERT-Bund aber laufend in Schwachstellenhinweisen beobachtet. Das österreichische CERT.at und die US-Behörde CISA haben Betreiber bereits zu unmittelbarem Handeln aufgerufen.
Wichtig für kleine und mittlere Unternehmen: Auch wenn die Schlagzeilen von Fortune-500-Konzernen handeln – die zugrunde liegende Schwäche (offene Management-Zugänge, alte Hashes, recycelte Passwörter) trifft den Mittelstand genauso. Oft sogar stärker, weil die Pflege der Perimeter-Geräte hier seltener systematisch erfolgt.
Was Sie jetzt tun sollten – die Sofortmaßnahmen
Ob Ihre Geräte im Leak auftauchen oder nicht: Solange Zugangsdaten nicht rotiert wurden, sollten betroffene Systeme als kompromittiert behandelt werden. Wir empfehlen folgende Schritte in dieser Reihenfolge:
- Management-Interface aus dem Internet nehmen. Der Zugriff auf die FortiGate-Verwaltung gehört auf vertrauenswürdige interne Netze, ein VPN-only-Administrationspfad oder ein Out-of-Band-Management beschränkt. SSL-VPN-Portale sollten nur dann öffentlich erreichbar sein, wenn ein klarer geschäftlicher Bedarf besteht.
- Auf den aktuellen Patchstand bringen. FortiOS und alle zugehörigen Komponenten (FortiClient EMS, FortiSandbox etc.) aktualisieren. Hier wurden zuletzt mehrere kritische Schwachstellen geschlossen.
- Alle administrativen und VPN-Zugangsdaten rotieren. Das ist der entscheidende Schritt, um geleakte Passwörter zu entwerten. Nach dem Update außerdem einen erzwungenen Passwortwechsel durchführen, damit alte SHA-256-Hashes durch PBKDF2 ersetzt werden. Für FortiOS 7.2.x und 7.4.x lässt sich dies über die Einstellung
login-lockout-upon-downgradebzw.login-lockout-upon-weaker-encryptionin der Password-Policy erzwingen. - Multi-Faktor-Authentifizierung (MFA) aktivieren – für alle administrativen und remote erreichbaren Konten. MFA ist die wirksamste Einzelmaßnahme gegen Angriffe auf Basis gestohlener Passwörter.
- Konfiguration und Logs prüfen. Suchen Sie nach unbekannten Admin-Konten, geänderten Zugriffsregeln, ungewöhnlichen Geolokationen bei Anmeldungen und Persistenz-Mechanismen. Besondere Aufmerksamkeit verdienen nicht umbenannte Default-Admin-Accounts und eingebaute Systemkonten – auf sie entfällt laut Forschern ein großer Teil der Kompromittierungen.
Wer einen Zugriff feststellt oder bei dem das Management-Interface exponiert war, sollte einen vollständigen Incident-Response-Prozess anstoßen, da Angreifer sich nach dem Durchbruch am Perimeter häufig tiefer ins Netzwerk (etwa ins Active Directory) bewegen.
Sind Sie betroffen? So prüfen Sie es
Sowohl Hudson Rock (über infostealers.com) als auch SOCRadar stellen kostenlose Prüf-Tools bereit, mit denen Organisationen abgleichen können, ob ihre Domain im FortiBleed-Datensatz auftaucht. Ein negatives Ergebnis ist allerdings kein Freibrief – nicht jede betroffene IP lässt sich sauber einer Domain oder einem erreichbaren Kontakt zuordnen. Behandeln Sie ein internetexponiertes Fortinet-System ohne aktuelle Patches und ohne MFA im Zweifel als potenziell kompromittiert.
Wir unterstützen Sie
Ob die genannten Schritte schnell und ohne Betriebsunterbrechung umsetzbar sind, hängt stark von Ihrer Umgebung ab – Firewall-Wartung bei laufendem Betrieb ist anspruchsvoll. Als Ihr IT-Systemhaus übernehmen wir gerne die Prüfung Ihrer Fortinet-Umgebung, die Härtung der Management-Zugänge, die Einführung von MFA und ein sauberes Incident-Response-Vorgehen, falls der Verdacht auf eine Kompromittierung besteht. → Sprechen Sie uns an oder rufen Sie an: 09401 5395820.
Übrigens: FortiBleed zeigt einmal mehr, warum eine durchdachte Backup-Strategie zur Grundausstattung gehört. Wie die 3-2-1-Regel im Ernstfall schützt, lesen Sie in diesem Beitrag
Quellen und weiterführende Artikel
- SOCRadar – ausführliche technische Analyse der Kampagne: https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/
- Arctic Wolf – Einordnung zum Hashing-Problem (SHA-256 vs. PBKDF2): https://arcticwolf.com/resources/blog/active-fortibleed-campaign-impacting-fortinet-devices-across-194-countries/
- Hudson Rock – kostenloses FortiBleed-Prüf-Tool: https://www.hudsonrock.com/
- Security-Insider (DE) – deutschsprachige Zusammenfassung: https://www.security-insider.de/fortibleed-gestohlene-admin-passwoerter-fortinet-firewalls-a-945c4d02a95c2c7aa8639f34d6757af5/
- BSI / CERT-Bund – Cybersicherheitswarnungen zu Fortinet (u. a. CVE-2026-24858): https://www.bsi.bund.de/
- Fortinet PSIRT – offizielle Advisories und Patches: https://www.fortiguard.com/psirt
Stand: Juni 2026. Die Lage entwickelt sich laufend; Zahlen und behördliche Einschätzungen können sich kurzfristig ändern.
