Leftclick
Branchen
Kontakt
Fernwartung

Unternehmen

  • Über uns
  • Team
  • Karriere
  • Kontakt

Lösungen

  • IT-Support
  • IT-Security
  • Infrastruktur & Cloud
  • Wartung & Unterhalt
  • Beratung & Projekte
  • Kommunikation
  • Webhosting & Webentwicklung
  • Website Chatbots
  • KI & Automation
  • Alle Dienstleistungen

Rechtliches

  • Datenschutz
  • Impressum

Vertragsdokumente

  • Allgemeine Geschäftsbedingungen
  • Auftragsverarbeitungsvertrag
  • Technische und organisatorische Massnahmen
  • Unterauftragsverarbeiter

Leftclick AG | Binningerstrasse 95 | CH-4123 Allschwil | T +41 61 483 14 14 | | www.leftclick.ch

© 2026 Leftclick AG. Das Markenzeichen und Leftclick gehören zu den geschützten Marken von Leftclick AG. Alle Rechte vorbehalten.

Zurück zum Blog
Cybersicherheit

FortiBleed legt Zugangsdaten von rund 74'000 Fortinet-Geräten offen

19. Juni 2026
7 Min. Lesezeit

FortiBleed ist kein gewöhnlicher Patch-Hinweis. Sicherheitsforscher und mehrere Fachmedien berichten von einem grossen Leak mit Fortinet- und FortiGate-Zugangsdaten, der rund 74'000 Firewall- und VPN-Ziele weltweit betrifft. BleepingComputer nennt 73'932 Firewall-URLs, Help Net Security spricht von nahezu 74'000 Fortinet-Firewalls und VPN-Gateways, deren Zugangsdaten aus Konfigurationsdateien gestohlen worden seien.

Für Unternehmen ist der entscheidende Punkt: Wenn VPN- oder Administratorpasswörter tatsächlich gültig sind, brauchen Angreifer keine neue Sicherheitslücke mehr. Sie können versuchen, sich wie ein berechtigter Benutzer anzumelden. Eine gepatchte Firewall schützt dann nicht automatisch, wenn der Schlüssel zur Eingangstür bereits gestohlen wurde.

Warum FortiBleed gefährlicher ist als ein normaler CVE-Fall

Viele Sicherheitsmeldungen folgen einem bekannten Muster: Schwachstelle, CVE-Nummer, Patch installieren. FortiBleed passt nicht sauber in dieses Schema. Mehrere Quellen beschreiben den Vorfall vor allem als grossflächige Offenlegung oder Ernte von Zugangsdaten, nicht als einzelne neu bestätigte Fortinet-Schwachstelle. CybelAngel formuliert es zugespitzt: „No CVE, no patch — just 75,000 open doors.“

Das heisst nicht, dass Updates unwichtig wären. Fortinet-Geräte müssen selbstverständlich auf unterstützten, aktuellen Versionen laufen. Aber bei kompromittierten Zugangsdaten reicht Patchen allein nicht. Passwörter, lokale Admin-Konten, VPN-Benutzer, API-Schlüssel, geteilte Geheimnisse und möglicherweise weitere Konfigurationswerte müssen geprüft und rotiert werden.

Die britische Sicherheitsbehörde NCSC hat Organisationen, die Fortinet-Dienste nutzen, nach globaler Zielerfassung von Firewalls und VPN-Gateways ausdrücklich zum Handeln aufgefordert. BleepingComputer berichtet zudem, dass auch CISA Fortinet-Kunden zum Absichern ihrer Geräte aufforderte, nachdem fast 74'000 Firewall- und VPN-Zugangsdaten offengelegt worden seien.

Was Angreifer mit solchen Daten tun können

FortiGate-Firewalls und SSL-VPN-Gateways sitzen oft am Rand des Firmennetzes. Sie entscheiden, wer von aussen ins Unternehmen kommt, welche Regeln gelten und wie interne Systeme erreichbar sind. Darum sind gestohlene Fortinet-Zugangsdaten besonders heikel.

Mit gültigen VPN-Daten kann ein Angreifer versuchen, sich als Mitarbeiter anzumelden. Danach folgen typische Schritte: interne Systeme auskundschaften, weitere Passwörter stehlen, sich seitlich im Netzwerk bewegen, Backups oder Sicherheitswerkzeuge angreifen und Daten abziehen. In vielen Ransomware-Fällen ist ein missbrauchter VPN-Zugang der erste Schritt.

Noch kritischer sind Administratorzugänge zur Firewall. Wer diese besitzt, kann Regeln ändern, neue Konten anlegen, VPN-Einstellungen manipulieren, Protokollierung beeinflussen oder versteckte Zugänge schaffen. Ein solcher Zugriff betrifft nicht nur ein einzelnes Gerät, sondern die Sicherheitsgrenze des gesamten Unternehmens.

Die gemeldete Dimension

Die Zahlen variieren leicht, zeigen aber dieselbe Grössenordnung. BleepingComputer nennt 73'932 Firewall-URLs. CSO Online und Network World berichten von rund 75'000 betroffenen Fortinet-Firewalls und Organisationen in 194 Ländern. Bitsight bezeichnet den Vorfall als einen der grössten bekannten Fortinet-Sicherheitsvorfälle.

Wichtig ist die Einordnung: Eine Erwähnung in einem Datensatz beweist nicht automatisch, dass jede Organisation vollständig kompromittiert wurde oder dass jedes Passwort noch gültig ist. Aber sie reicht aus, um den Vorfall wie eine mögliche Kompromittierung zu behandeln. Wer betroffen sein könnte, muss nicht nur die Firewall prüfen, sondern auch nach Spuren im internen Netzwerk suchen.

Warum Schweizer KMU genau hinschaün sollten

Fortinet-Geräte sind im KMU- und Midmarket-Umfeld weit verbreitet. Viele Schweizer Unternehmen betreiben ihre Firewall nicht selbst, sondern beziehen sie über einen IT-Dienstleister oder Managed-Service-Provider. Geschäftsleitende wissen oft nicht, ob Fortinet im Einsatz ist, ob die Admin-Oberfläche im Internet erreichbar ist, ob VPN-Zugriffe mit MFA geschützt sind oder wie lange Logs aufbewahrt werden.

Genau deshalb ist FortiBleed ein Test für die Qualität des IT-Betriebs. Eine seriöse Reaktion besteht nicht aus dem Satz „Wir haben gepatcht“. Sie muss zeigen, welche Geräte geprüft wurden, welche Zugänge rotiert wurden, ob verdächtige Logins gefunden wurden und ob interne Systeme auf Folgeaktivitäten untersucht wurden.

Für Treuhänder, Arztpraxen, Anwaltskanzleien, Produktionsbetriebe, Schulen, Bauunternehmen und lokale Dienstleister kann ein kompromittierter VPN-Zugang schwerwiegende Folgen haben. Kundendaten, Personaldaten, Verträge, E-Mails, Dateiserver und ERP-Systeme liegen oft nur wenige Schritte hinter der Firewall.

Was jetzt geprüft werden muss

Unternehmen und IT-Dienstleister sollten den Vorfall als Credential-Incident behandeln. Die wichtigsten Massnahmen sind:

1.Bestand aufnehmen: Welche Fortinet-Firewalls, FortiGate-Geräte und SSL-VPN-Gateways sind im Einsatz?
2.Exponierte Dienste prüfen: Sind VPN-Portal oder Admin-Oberfläche direkt aus dem Internet erreichbar?
3.Zugangsdaten rotieren: Admin-Passwörter, lokale Konten, VPN-Benutzer, API-Schlüssel und geteilte Geheimnisse ändern.
4.MFA erzwingen: VPN- und Administratorzugänge sollten nicht nur mit Passwort geschützt sein.
5.Alte Konten löschen: Ehemalige Mitarbeitende, Testkonten und ungenutzte Admins entfernen.
6.Management absichern: Admin-Oberflächen nur über vertraünswürdige IPs oder ein separates Management-VPN erreichbar machen.
7.Logs prüfen: Ungewöhnliche VPN-Anmeldungen, ausländische IPs, neue Konten, Regeländerungen und fehlgeschlagene Logins untersuchen.
8.Intern suchen: Active Directory, Server, Endgeräte und Backups auf laterale Bewegung, neue Tools oder verdächtige Anmeldungen prüfen.
9.Alles dokumentieren: Für Geschäftsleitung, Kunden, Versicherer oder Behörden muss nachvollziehbar sein, was geprüft und geändert wurde.

Diese Liste ist bewusst breiter als „Firmware aktualisieren“. Updates bleiben nötig, aber gestohlene Passwörter werden durch ein Update nicht ungültig.

Was der IT-Provider belegen sollte

Ein Managed-Service-Provider sollte nach FortiBleed konkrete Nachweise liefern können:

  • Liste aller verwalteten Fortinet-Geräte
  • Firmwarestände und Supportstatus
  • öffentlich erreichbare Dienste
  • Status von MFA für VPN und Administration
  • Zeitpunkt und Umfang der Passwortrotation
  • Übersicht gelöschter oder deaktivierter Konten
  • Logprüfung mit Zeitraum und Ergebnissen
  • festgestellte oder ausgeschlossene verdächtige Aktivitäten
  • empfohlene nächste Schritte

Wenn ein Provider nur allgemein beruhigt, sollten Unternehmen nachhaken. Gerade bei Firewalls und VPNs reicht Vertraün allein nicht; es braucht überprüfbare Betriebsführung.

Mögliche Datenschutzfolgen

Ein offengelegtes VPN-Passwort ist nicht automatisch ein meldepflichtiger Datenabfluss. Wenn Angreifer damit aber auf Kundendaten, Personaldaten, Finanzunterlagen, E-Mails oder Verträge zugreifen konnten, kann daraus sehr wohl ein Datenschutz- und Meldefall werden. Für Schweizer Unternehmen können das revidierte Datenschutzgesetz, vertragliche Informationspflichten, Branchenregeln und Cyberversicherungsbedingungen relevant werden.

Deshalb ist die Log- und Umfeldprüfung so wichtig. Unternehmen müssen beantworten können, ob nur Zugangsdaten offengelegt wurden oder ob tatsächlich ein unbefugter Zugriff stattgefunden hat.

Die eigentliche Lehre

FortiBleed zeigt, dass Perimeter-Sicherheit nicht „einmal einrichten und vergessen“ bedeutet. Firewalls und VPNs sind hochkritische Systeme. Sie brauchen aktuelle Software, gehärtete Konfiguration, MFA, saubere Kontenpflege, Protokollierung und regelmässige Überprüfung.

Der Fall ist auch eine Erinnerung an alle KMU, die ihre Sicherheit auslagern: Outsourcing bedeutet nicht, Verantwortung abzugeben. Fragen Sie Ihren IT-Provider, ob Fortinet eingesetzt wird, ob FortiBleed geprüft wurde, welche Passwörter rotiert wurden und ob Logins bereits analysiert wurden. Wer darauf keine klaren Antworten bekommt, hat nicht nur ein Fortinet-Problem, sondern ein Governance-Problem.

Quellen

  • UK NCSC — Advice following global targeting of Fortinet firewalls and VPN gateways
  • BleepingComputer — FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices
  • BleepingComputer — CISA warns Fortinet users to secure devices after FortiBleed leak
  • Help Net Security — 74,000 Fortinet firewall credentials exposed in FortiBleed data leak
  • CybelAngel — FortiBleed: 6 Things to Know About the Fortinet Credential Leak
  • CSO Online — FortiBleed campaign exposes 75,000 Fortinet firewalls worldwide
  • Bitsight — FortiBleed Security Alert: Fortinet VPN Credentials Exposed
  • S-RM — Cyber threat advisory: FortiBleed campaign against FortiGate firewalls