Zurück zur Übersicht
    KW 51/2025: Lieferketten und Firewalls im Krisenmodus
    Security

    KW 51/2025: Lieferketten und Firewalls im Krisenmodus

    Ahmet Sanli
    22. Dez. 2025
    7 min Lesezeit

    Diese Woche war in der IT‑Security einmal mehr eine Mischung aus Déjà-vu und Alarmstufe Rot. Drei Vorfälle zeigen sehr deutlich, dass viele Unternehmen ihre Sicherheitsgrundlagen nach wie vor unterschätzen: eine kritische RCE-Lücke bei WatchGuard‑Firewalls, ein Lieferkettenvorfall zwischen Red Hat und Nissan, und eine Mega‑Datenpanne beim E‑Commerce‑Riesen Coupang. So unterschiedlich diese Themen klingen, sie haben eines gemeinsam – sie zeigen, wie eng technische Schwachstellen, organisatorische Versäumnisse und fehlendes Monitoring tatsächlich verzahnt sind.

    WatchGuard‑RCE: Wenn die Firewall selbst zum Risiko wird

    Über 115.000 öffentlich erreichbare WatchGuard‑Firebox‑Firewalls sind laut BleepingComputer aktuell anfällig für eine kritische Remote‑Code‑Execution‑Lücke – und die Schwachstelle wird bereits aktiv ausgenutzt. Das ist so ziemlich das Schlimmste, was man in der Perimeter‑Security erleben kann. Eine Firewall, die eigentlich als Schutzwall dient, kann durch diese Lücke direkt übernommen werden. Der Angreifer hat danach volle Kontrolle – inklusive Zugriff auf interne Systeme, VPN‑Verbindungen und Management‑Interfaces.

    Technisch handelt es sich um eine Schwachstelle in älteren Firmware‑Versionen der Firebox‑Serie, die es einem entfernten Angreifer ermöglicht, beliebigen Code mit Systemrechten auszuführen. Was mich dabei ehrlich gesagt am meisten wundert: Im Dezember 2025 sollte kein zentraler Netzwerk‑Knotenpunkt mehr ohne regelmäßiges Firmware‑Management betrieben werden. Trotzdem zeigt der Scan von Shadowserver, dass ein erheblicher Teil der betroffenen Geräte noch immer ungepatcht im Netz hängt. Gerade für kleinere Unternehmen in Aachen oder in der Städteregion NRW, die auf eine Firewall „made easy“ setzen, ist das ein ernüchterndes Risiko.

    Die Ironie: WatchGuard bewirbt seine Appliances mit robustem Schutz gegen Ransomware und Non‑Stop‑Threat‑Prevention. Das ist in der Regel korrekt – bis jemand vergisst, den Patch einzuspielen. Aus meiner Sicht unterstreicht dieser Vorfall, dass Security‑Appliances selbst zur obersten Priorität im Patch‑Management gehören sollten. Und wer jetzt denkt, „uns betrifft das nicht, wir haben ja ein VLAN“ – nein, das schützt hier gar nichts.

    Red Hat und Nissan: Lieferkette als Angriffspfad

    Das zweite große Thema dieser Woche betrifft den Vorfall rund um Red Hat, der dazu führte, dass auch Kundendaten von Nissan kompromittiert wurden. Laut den Recherchen von BleepingComputer handelt es sich nicht um einen direkten Angriff auf Nissan, sondern um einen sogenannten Vendor Breach – also eine Sicherheitslücke bei einem IT‑Dienstleister, durch die der Endkunde gleich mitbetroffen ist. Genau das, wovor wir in der Branche seit Jahren warnen: Die Sicherheitskette ist nur so stark wie ihr schwächstes Glied.

    Der Fall zeigt, wie komplex moderne Lieferketten geworden sind. Unternehmen lagern Wartung, Cloud‑Dienste oder Software‑Support aus – oft mit weitreichenden Zugriffsrechten. Wird nun ein Dienstleister wie Red Hat kompromittiert, können sensible Daten wie Kundendaten, Logins oder technische Metadaten bei Partnerunternehmen mit in den Abfluss geraten. Dass Nissan nun selbst betroffen ist, obwohl der Angriff über einen externen Anbieter erfolgte, sollte jedes Unternehmen zum Nachdenken bringen. Was ich nicht verstehe: Warum sind viele Verträge mit IT‑Anbietern noch immer so formuliert, dass sie kaum Anforderungen an Security‑Audits oder Monitoringpflichten enthalten?

    Aus meiner Sicht ist das das eigentliche Problem. Es geht nicht nur darum, welche Sicherheitsmaßnahmen ein Dienstleister hat, sondern auch, wie transparent er im Vorfall reagiert. Besonders in regulierten Branchen – Automotive, Energie, Medizintechnik – etwa auch hier bei uns in NRW, sind diese Fragen elementar. Der Red Hat‑Nissan‑Vorfall ist kein isolierter Ausrutscher, sondern ein Paradebeispiel für die riesige Angriffsfläche in vernetzten Unternehmen.

    Ehrlich gesagt wundert es mich auch nicht, dass dieser Vorfall gerade jetzt passiert. Ende des Jahres sind viele Teams unterbesetzt, Incident‑Response‑Prozesse hängen, und bei Lieferanten wird gern mal auf Autopilot geschaltet. Genau diese Lücken nutzen Angreifer aus – gezielt und mit Geduld.

    Coupang‑Breach: 33,7 Millionen betroffene Kunden – und keiner merkte es

    Als wäre das nicht genug, meldete der südkoreanische E‑Commerce‑Riese Coupang eine Datenpanne, bei der 33,7 Millionen Datensätze betroffen sind. Laut BleepingComputer blieb die Kompromittierung monatelang unentdeckt. Was das bedeutet: Milliarden von Logeinträgen, Sicherheitsalarme oder Zugriffsversuche wurden offenbar entweder gar nicht ausgewertet oder im Monitoring schlicht übersehen. Das ist eine beachtliche Zahl – und sie lässt erahnen, dass auch hier nicht nur Technik, sondern Prozesse versagt haben.

    Aus Sicht der IT‑Security‑Praxis ist die eigentlich peinliche Erkenntnis, dass so etwas 2025 noch passieren kann. Die meisten Angriffe sind heute nicht mehr das Ergebnis spektakulärer Exploits, sondern schlicht das Fehlen wirksamer Erkennungsmechanismen. Die Datenschutzimplikationen sind ebenfalls gravierend: Eine verspätete Entdeckung bedeutet oft auch verspätete Meldungen an Behörden – mit juristischen Folgen, vor allem in der EU. Unternehmen in Deutschland oder NRW sollten das als Warnsignal sehen. Detection‑Lücken sind kein Luxusproblem, sondern ein Compliance‑Risiko.

    Was mich besonders stört: Bei großen Plattformen wie Coupang sollten Anomalieerkennungen und Zugriffskontrollen eigentlich im 24/7‑Betrieb laufen. Wenn 33,7 Millionen Nutzer betroffen sind, heißt das wahrscheinlich, dass Zugänge von Entwicklern oder Dienstanbietern kompromittiert wurden – wieder das Thema Lieferkette. Auch hier schließt sich also der Kreis. Die Grenzen zwischen interner und externer Sicherheit verschwimmen.

    Was jetzt zu tun ist

    Aus allen drei Fällen ergibt sich ein klares Bild. Erstens: Patch‑Management darf nicht auf Firewalls oder Security‑Appliances Halt machen. Gerade diese Geräte haben direkten Zugriff auf sensibelste Netzwerkbereiche – ungepatcht sind sie das perfekte Ziel. Wer also WatchGuard einsetzt, sollte noch heute das Firmware‑Update einspielen. Die Herstelleranweisungen sind öffentlich verfügbar, und der Aufwand ist deutlich geringer als die Folgen einer Kompromittierung.

    Zweitens: Unternehmen müssen ihre Dienstleister stärker überprüfen. Das betrifft nicht nur klassische Lieferanten, sondern auch Software‑ und Cloud‑Provider. Ein Audit über Zugriffsdaten, geteilte Systemzugänge und Notfallprozesse ist nicht optional, sondern Pflicht. Ich sehe in der Praxis immer wieder, dass Lieferanten privilegierte Accounts bekommen, die nach Projektende nie deaktiviert werden. Genau da passiert der Fehler.

    Drittens: Incident Detection. Es mag trivial klingen, aber viele Betriebe – auch hier in der Region Aachen – haben zwar Security‑Information‑Systeme im Einsatz, schauen aber kaum regelmäßig hinein. Moderne Monitoring‑Systeme mit Alarm‑Aggregation und KI‑gestützter Analyse können Vorfälle oft frühzeitig erkennen. Aber wie jede Technologie gilt: Nur wenn sie betrieben und verstanden wird, hilft sie wirklich.

    Viertens: Bei Datenschutz‑Vorfällen zählt Reaktionszeit. Unternehmen müssen sicherstellen, dass ihre internen Meldeketten reibungslos funktionieren und keine Woche vergeht, bis das Management erfährt, was passiert ist. Das schließt auch Schulungen ein – wer Daten verarbeitet, muss wissen, was „Anomalie“ überhaupt bedeutet.

    Und nicht zuletzt: Kommunikation. Offene Kommunikation nach innen und außen kann im Vorfall das Schlimmste verhindern. Verschweigen macht es nicht besser – das gilt für globale Konzerne wie für den Mittelständler in Würselen gleichermaßen.

    Fazit

    Diese Woche hat wieder einmal gezeigt, wie verwundbar selbst große Organisationen sind – und dass es keine perfekte Sicherheit gibt. Zwischen der WatchGuard‑Lücke, dem Red Hat‑Nissan‑Vorfall und der Coupang‑Panne zieht sich ein roter Faden: Ausgelagerte Verantwortung führt fast immer zu ausgelagertem Risiko. Aus meiner Sicht liegt die größte Herausforderung darin, dass viele Firmen Cybersecurity noch immer als technisches Problem sehen. Tatsächlich ist es aber ein Management‑Thema.

    Die gute Nachricht: Alle drei Vorfälle hätten sich – zumindest in ihrer Tragweite – verhindern lassen. Regelmäßige Patches, Lieferantenprüfungen und konsequentes Monitoring sind keine Raketenwissenschaft. Die schlechte: Sie erfordern Disziplin und Ressourcen.

    Wenn Sie unsicher sind, ob Ihre Systeme, Firewalls oder Lieferantenbeziehungen ausreichend abgesichert sind, melden Sie sich gern bei mir. Ein Security‑Audit oder ein kurzer Check Ihrer Patch‑ und Monitoring‑Prozesse kann viel bewirken – und kostet in der Regel deutlich weniger als ein Vorfall, der Ihre gesamte Infrastruktur lahmlegt.

    Ahmet Sanli

    Über den Autor

    Ahmet Sanli

    IT-Berater & Webentwickler mit Fokus auf IT-Security, Cloud-Infrastruktur und Digitalisierung. Ahmet berät Unternehmen in der Städteregion Aachen und deutschlandweit zu sicheren IT-Lösungen und schreibt wöchentlich über aktuelle Cyber-Bedrohungen und Schutzmaßnahmen.

    Artikel teilen

    Haben Sie Fragen zu diesem Thema?

    Jetzt Kontakt aufnehmen