FortiBleed: Was hinter dem Angriff auf Fortinet-Firewalls steckt – und was Sie jetzt tun können

Fast 75.000 Fortinet-Firewalls weltweit kompromittiert – der Vorfall, den die Sicherheitsgemeinschaft inzwischen als „FortiBleed“ bezeichnet, ist einer der gravierendsten Angriffe auf Netzwerk-Infrastruktur in diesem Jahr. Betroffen sind Geräte in rund 200 Ländern, darunter Deutschland. Wenn Sie Fortinet-Geräte im Einsatz haben, sollten Sie jetzt handeln.

Im Juni 2026 deckte der Sicherheitsforscher Volodymyr Diachenko eine großangelegte Angriffskampagne auf Fortinet-Firewalls auf. Die Angreifer haben systematisch Zugangsdaten getestet – insgesamt 1,16 Milliarden Kombinationen aus Benutzernamen und Passwörtern. Dieses sogenannte Credential Stuffing speist sich aus früheren Datenlecks und läuft weitgehend automatisiert ab.

Das Ergebnis: Bei rund 75.000 Geräten weltweit wurden Zugangsdaten erfolgreich kompromittiert. Das entspricht etwa der Hälfte aller über das Internet erreichbaren Fortinet-Geräte, die im Fokus der Kampagne standen. Das Threat-Intelligence-Unternehmen Hudson Rock hat die Echtheit der erbeuteten Daten bestätigt.

Auch Deutschland ist betroffen – unter anderem Geräte in Netzen bekannter Unternehmen und Infrastrukturbetreiber.

Nach dem initialen Zugriff haben die Angreifer Gerätekonfigurationen abgezogen. Die darin enthaltenen Passwort-Hashes wurden anschließend mit einem spezialisierten GPU-Cluster aus 48 Grafikkarten per Brute-Force geknackt.

Entscheidend dabei: Ältere FortiOS-Versionen speichern Passwörter als SHA256-Hashes mit Salt – ein Verfahren, das sich mit moderner Hardware vergleichsweise schnell brechen lässt. Erst ab FortiOS 7.2.11 kommt das deutlich widerstandsfähigere PBKDF2-Verfahren zum Einsatz.

Ein weiterer kritischer Faktor: In der Mehrzahl der betroffenen Fälle waren Management-Interfaces direkt aus dem Internet erreichbar – eine Konfiguration, die grundsätzlich vermieden werden sollte.

Sicherheitsexperten schließen nicht aus, dass neben dem Credential Stuffing auch eine bislang unbekannte Sicherheitslücke ausgenutzt wurde. Fortinet selbst sieht keinen Zusammenhang mit aktuellen Schwachstellen und verweist auf frühere Vorfälle als Datenquelle. Unabhängige Analysen deuten jedoch darauf hin, dass ein Großteil der betroffenen IP-Adressen nicht Teil früherer Leaks war – die Debatte ist noch nicht abgeschlossen.

Hinter der Kampagne wird eine russischsprachige Cybercrime-Gruppe mit mehreren Mitgliedern vermutet.

Die folgenden Maßnahmen sind keine Empfehlungen für irgendwann – sie sind für heute:

• Zugangsdaten sofort neu vergeben. Alle Passwörter auf möglicherweise betroffenen Geräten durch starke, einzigartige Passwörter ersetzen.
• Management-Interfaces vom Internet trennen. Administrativer Zugriff auf Fortinet-Geräte hat im öffentlichen Internet nichts verloren. Zugang ausschließlich über VPN oder dedizierte Management-Netze.
• FortiOS aktualisieren – und danach Passwörter wechseln. Ein Update auf FortiOS höher als 7.2.11, 7.4.8 oder 7.6.1 aktiviert das sicherere PBKDF2-Hashing. Damit dieses greift, müssen anschließend zwingend alle Administratorkonten neue Passwörter erhalten.
• Multi-Faktor-Authentifizierung (MFA) einführen. Für alle externen Zugänge und Admin-Interfaces – ohne Ausnahme.
• Nachgelagerte Netze prüfen. Wer Zugriff auf eine Firewall hat, hat oft auch Zugriff auf das dahinterliegende Netz. Verdächtige Aktivitäten in angrenzenden Systemen konsequent untersuchen.
• Eigene Betroffenheit prüfen. Unter hudsonrock.com/fortinet steht ein kostenloses Tool bereit, mit dem Sie prüfen können, ob Ihre Domain in den geleakten Daten auftaucht.

FortiBleed zeigt einmal mehr, dass Perimeter-Sicherheit allein nicht ausreicht. Geräte, die direkt aus dem Internet erreichbar sind, ohne MFA und mit veralteter Firmware, sind ein kalkulierbares Risiko – das Angreifer systematisch ausnutzen.

Wenn Sie sich nicht sicher sind, ob Ihre Fortinet-Umgebung betroffen ist oder wie Sie die empfohlenen Maßnahmen priorisieren sollen: Sprechen Sie uns an. Wir helfen Ihnen, schnell Klarheit zu bekommen und die richtigen Schritte einzuleiten.