86.000 Fortinet VPN-Zugangsdaten exponiert: Was Unternehmensnutzer jetzt tun müssen

Mehr als 86.000 Anmeldedaten fur Fortinet FortiGate-Firewalls und VPN-Gateways wurden in einer grossangelegten Angriffskampagne exponiert, die Forscher FortiBleed nennen. Die im Juni 2026 entdeckte Operation erstellte eine verifizierte Datenbank mit uber 86.644 bestatigten, funktionierenden Anmeldedaten aus internet-zuganglicher Fortinet-Infrastruktur in 194 Landern. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) gab am 18. Juni 2026 eine Notfallwarnung heraus. Fur Organisationen, die FortiGate VPN fur den Fernzugang nutzen, ist das Zeitfenster fur eine Reaktion, bevor Angreifer tiefer in Unternehmensnetzwerke eindringen, sehr eng.

Was FortiBleed ist - und was es nicht ist

FortiBleed ist keine einzelne neu entdeckte Schwachstelle. Es handelt sich um eine operative Kampagne, die drei Angriffsmethoden kombinierte: Wiederverwendung von Anmeldedaten aus fruheren Datenpannen, SHA-256-Hash-Cracking mit einem 45-GPU-Rechencluster und grossangelegte Brute-Force-Angriffe. Forscher, die die Operation verfolgen, schatzen, dass Angreifer etwa 1,16 Milliarden Anmeldeversuche gegen 320.777 internet-zugangliche FortiGate-Gerate unternahmen, bevor sie den verifizierten Datensatz zusammenstellten.

Laut Forschern wurde die Operation von einer russischsprachigen Mehrbetreiber-Bedrohungsgruppe durchgefuhrt. Das Vorhandensein staatlich assoziierter Tunneling-Tools - insbesondere Chisel und Neo-reGeorg - in verwandten Exploit-Aktivitaten deutet darauf hin, dass der Anmeldedatenpool nicht ausschliesslich von kriminellen Akteuren niedriger Ebene genutzt wird. Auch hochentwickelte, gut ausgestattete Bedrohungsakteure nutzen denselben Datensatz fur gezielte Einbrucke in Regierungs- und kritische Infrastrukturnetzwerke.

Die durchgesickerten Daten, die Administrator-Anmeldedaten und VPN-Konfigurationsinformationen umfassen, kursieren berichten zufolge in kriminellen Untergrundgemeinschaften. Da FortiGate-Gerate als Perimetergateway fur Unternehmensnetzwerke dienen, ermoglichen kompromittierte Anmeldedaten Angreifern authentifizierten Zugang zu internen Systemen - ohne dass zusatzliche Schwachstellen ausgenutzt werden mussen.

Ausmass: Die Halfte aller internet-zuganglichen FortiGate-Gerate

Unabhangige Sicherheitsforscher, die den FortiBleed-Datensatz mit Shodan-Daten verglichen, schatzen, dass die exponierten Anmeldedaten etwa 50 Prozent aller uber das Internet erreichbaren Fortinet-Firewall-Gerate betreffen. Die 86.644 betroffenen Systeme verteilen sich auf 194 Lander, darunter Netzwerke von Regierungsbehorden, Gesundheitsorganisationen, Finanzinstituten und Betreibern kritischer Infrastruktur.

Fruhere Berichte von BleepingComputer und Help Net Security bezifferten die ursprungliche Anzahl anhand erster Datensatzanalysen auf rund 73.000 Gerate. Eine anschliessende Verifizierung durch weitere Sicherheitsteams, darunter Bitdefenders technischer Bericht, bestatige die hohere Zahl von uber 86.000. Die Diskrepanz spiegelt laufende Deduplizierungsarbeit wider, wahrend Forscher mehrere Quellen der kursierenden Daten abgleichen.

Warum FortiGate VPN ein hochrangiges Ziel ist

FortiGate-Gerate gehoren zu den weltweit am haufigsten eingesetzten Perimeter-Sicherheitsanwendungen in Unternehmensumgebungen. Viele Organisationen konfigurieren sie als primares SSL-VPN-Gateway fur den Fernzugang von Mitarbeitern, was sie absichtlich uber das Internet zuganglich macht. Diese Zuganglichkeit ist betrieblich notwendig - bedeutet aber auch, dass diese Gerate der vollen Wucht automatisierter Scans und Anmeldedatentests in grossem Massstab ausgesetzt sind.

Die Kombination aus grosser Angriffsoberflache, der Verbreitung von Standard- oder wiederverwendeten Anmeldedaten und dem hohen Wert dessen, was hinter einem kompromittierten FortiGate liegt, macht Fortinet-Infrastruktur zu einem konstanten Prioritatsziel fur organisierte Bedrohungsakteure. FortiBleed ist nicht die erste Massenkampagne zur Kompromittierung von Anmeldedaten, die auf Fortinet-Gerate abzielt: Eine ahnliche Datenpanne Anfang 2024 legte Anmeldedaten von rund 15.000 FortiGate-Systemen offen.

CISAs Notfallrichtlinien

CISAs Warnung vom 18. Juni besagt, dass die Behorde globale Berichte zur Kenntnis genommen hat, wonach bosartige Cyberakteure internet-zugangliche Fortinet-Gerate mit kompromittierten Anmeldedaten angreifen. Die Warnung schreibt die Kampagne keinem bestimmten staatlich verbundenen Akteur zu, aber die empfohlenen Massnahmen deuten auf eine Dringlichkeit hin, die mit aktiver Ausnutzung ubereinstimmt.

CISAs spezifische Empfehlungen umfassen: alle aktiven VPN-Sitzungen sofort beenden und erneute Authentifizierung erzwingen; alle Administrator- und VPN-Benutzeranmeldedaten zurucksetzen; Zugriffsprotokolle auf Anzeichen unbefugten Zugriffs, ungewohnliches Sitzungs-Timing oder neu erstellte Admin-Konten prufen; sicherstellen, dass Admin-Passworter mit dem PBKDF2-Algorithmus gespeichert werden; Phishing-resistente Multi-Faktor-Authentifizierung (MFA) fur alle VPN-Zugange aktivieren; und den Zugang zur Verwaltungsschnittstelle auf interne oder dedizierte Verwaltungsnetzwerke beschranken.

Fur Organisationen, die nicht sofort alle Schritte abschliessen konnen, priorisiert CISA Sitzungsbeendigung und Anmeldedaten-Reset als die kritischsten initialen Massnahmen - insbesondere weil Angreifer mit gulti gen Anmeldedaten Persistenz aufrechterhalten konnen, selbst wenn die zugrunde liegende Methode zur Anmeldedatenerfassung spater blockiert wird.

Was das fur die VPN-Sicherheit insgesamt bedeutet

FortiBleed verdeutlicht das grundlegendste Risiko in der Perimeter-VPN-Architektur: Anmeldedaten sind der Perimeter. Im Gegensatz zu Schwachstellen auf Anwendungsebene, die technische Exploit-Entwicklung erfordern, erfordert eine Anmeldedaten-Kompromittierung lediglich die Kenntnis eines gulti gen Benutzernamens und Passworts. Kein Patch-Zyklus, keine Zero-Day-Reaktion und keine Firewall-Regel kann einen Anmeldeversuch mit legitimen Anmeldedaten stoppen.

Dies ist das treibende Argument hinter dem Branchenwechsel zur Zero Trust-Architektur, bei der ein authentifizierter Zugang zu einem VPN-Gateway nicht automatisch den Zugang zu internen Ressourcen gewahrt. Unter Zero Trust-Prinzipien wird jede Anwendungszugriffsanfrage unabhangig mit starker Authentifizierung verifiziert, unabhangig davon, ob die Anfrage von innerhalb oder ausserhalb des Unternehmensnetzwerk-Perimeters stammt. FortiBleed ist eine Fallstudie daruber, warum dieser Architekturwandel wichtig ist.

Fur Organisationen, die noch nicht auf dem Zero Trust-Weg sind, ist die praktische unmittelbare Reaktion unabhangig von der Architektur dieselbe: MFA fur alle VPN-Zugange, aktives Protokollmonitoring und ein Anmeldedaten-Reset-Zyklus, der nicht auf einen bestatigten Einbruch wartet.