Zurück zur Übersicht
    KW 52/2025: Alte Lücken, neue Probleme
    Security

    KW 52/2025: Alte Lücken, neue Probleme

    Ahmet Sanli
    29. Dez. 2025
    7 min Lesezeit

    Diese Woche in der IT-Security zeigt sich ein altes Muster in neuer Verpackung: längst bekannte Schwachstellen, vernachlässigte Updates und falsch eingeschätzte Risiken. Von der fünf Jahre alten Fortinet-2FA-Lücke über die neue „MongoBleed“-Katastrophe bis zum Datenleck bei WIRED – drei sehr unterschiedliche Vorfälle, die eines gemeinsam haben: vermeidbare Angriffsflächen. Für Unternehmen in Aachen, NRW und darüber hinaus ist das eine deutliche Erinnerung daran, dass Security kein Zustand, sondern ein Prozess ist.

    Fortinet: Der alte 2FA-Bypass meldet sich zurück

    Fortinet warnt aktuell, dass Angreifer immer noch eine fünf Jahre alte Schwachstelle in FortiOS ausnutzen – eine Schwachstelle wohlgemerkt, für die es längst ein Update gibt. Laut BleepingComputer ermöglicht der Fehler, die Zwei-Faktor-Authentifizierung in FortiGate-Installationen zu umgehen. Das ist kritisch, weil 2FA eigentlich die letzte Verteidigungslinie gegen kompromittierte Passwörter sein sollte. Wenn dieser Schutz versagt, ist der Zugang meist komplett offen.

    Technisch gesprochen handelt es sich um einen 2FA-Bypass, bei dem bestimmte Authentifizierungsroutinen fehlerhaft umgesetzt sind. In der Praxis bedeutet das: Ein Angreifer, der bereits an Zugangsdaten gelangt ist, kann sich trotz aktivierter Multi-Faktor-Authentifizierung einloggen. Laut Fortinet sind aktive Angriffe im Umlauf, was bedeutet, dass die Lücke nicht nur theoretisch relevant ist. Ehrlich gesagt, dass eine fünf Jahre alte Lücke 2025 noch aktiv ausgenutzt wird, ist fast schon peinlich für die betroffenen Betreiber.

    Aus meiner Sicht zeigt das ein strukturelles Problem: Viele Firewalls werden nach der Erstinstallation kaum gepflegt. Firmware-Updates sind unpopulär, weil sie Ausfallzeiten riskieren könnten – und genau das wird jetzt teuer. Besonders KMU oder Behörden, die FortiGate-Systeme im VPN-Betrieb nutzen, sollten sofort prüfen, ob ihre Systeme gepatcht sind und die Authentifizierungs-Logs kontrollieren. Ein kompromittierter VPN-Zugang ist oft der erste Schritt in eine umfassende Netzwerkübernahme.

    MongoBleed: Wenn Datenbanken bluten

    Während man bei Fortinet über ungepatchte Systeme den Kopf schütteln kann, zeigt der neue Fall „MongoBleed“, wie einfach moderne Infrastrukturen in Schwierigkeiten geraten. Laut BleepingComputer gibt es eine Schwachstelle namens CVE-2025-14847 in verschiedenen MongoDB-Versionen, durch die sensible Secrets aus dem Speicher ausgelesen werden können. Geschätzt 87.000 Server weltweit sind potenziell betroffen – das ist kein Randproblem, sondern eine globale Datenpanne in Echtzeit.

    Technisch leakt die Schwachstelle Daten, die eigentlich nur im Speicher vorhanden sein dürften – darunter API-Keys, Sessions und interne Tokens. Das ist ähnlich wie bei Heartbleed damals, daher wohl der Name. Besonders kritisch ist, dass MongoDB gerade in Cloud-Umgebungen häufig in Containern oder Microservices läuft – und dort werden Instanzen oft automatisiert erzeugt und zerstört. Wer da nicht sorgfältig patched, hat in wenigen Tagen ein Sicherheitschaos.

    Was mich an MongoBleed besonders stört, ist die Systematik dahinter. Schon beim ersten Mongo-Leak vor Jahren waren es Konfigurationsfehler und zu viel Vertrauen in Default-Settings. Heute kommt die Schwachstelle aus dem Code selbst, aber das Ergebnis bleibt das gleiche: Exponierte Datenbanken, öffentlich zugängliche Secrets, Betriebsausfälle. Für Unternehmen in Aachen, die mit sensiblen Daten aus Industrie oder Forschung arbeiten, ist das ein Albtraum. Wer eine eigene MongoDB betreibt – egal ob on-prem oder in der Cloud – sollte sofort prüfen, ob ein Patch verfügbar ist und anschließend alle Credentials rotieren. Das klingt nach Aufwand, aber es ist der einzige Weg, langfristige Kompromittierungen zu vermeiden.

    WIRED/Condé Nast: Wenn Medienhäuser selbst zum Datenleck werden

    Und dann war da noch der Datenleck-Fall bei WIRED bzw. Condé Nast. Ein Hacker behauptet, rund 2,3 Millionen Datensätze von Abonnenten erbeutet zu haben – inklusive E-Mail-Adressen, persönlichen Daten und offenbar auch Zahlungsinformationen. Auch wenn die Veröffentlichung noch nicht vollständig verifiziert ist, nimmt der Fall klar Fahrt auf. Für Betroffene besteht nicht nur ein rechtliches, sondern vor allem ein Reputationsrisiko: Jedes neue Leak macht gezielte Phishing-Kampagnen einfacher.

    Was mich hier wundert: Publisher wie Condé Nast müssten DSGVO-Prozesse und Sicherheitsstandards eigentlich im Griff haben. Die Pflicht zur Datenminimierung und regelmäßigen Löschung greift hier offenbar nicht. 2,3 Millionen Datensätze in einem Leak zeigen, dass oft Daten über Jahre gehortet werden, „falls man sie noch mal braucht“ – ein Klassiker der Unternehmens-IT. In Aachen sehe ich das in vielen Betrieben ähnlich, gerade bei CRM-Systemen: Niemand weiß genau, wie lange welche Kundendaten schon gespeichert sind.

    Für die Praxis heißt das: Nach einer solchen Meldung sollten Unternehmen nicht nur Passwortwechsel und Schulungen durchführen, sondern auch eigene Systeme prüfen. Wenn Mitarbeitende im Leak auftauchen, drohen Ziel-Phishing-Angriffe, die oft täuschend echt aussehen. Das muss in Awareness-Kampagnen adressiert werden, am besten gemeinsam mit dem Datenschutzbeauftragten.

    Was jetzt zu tun ist

    Aus diesen drei Fällen ergibt sich ein eindeutiges Bild. Erstens: Patchen ist kein optionaler Wartungsakt, sondern ein Sicherheitskriterium. Eine fünf Jahre alte FortiOS-Lücke gehört nirgendwo mehr ins aktive Netz. Zweitens: Monitoring ist heute wichtiger denn je. MongoBleed zeigt, wie wenig Zeit bleibt, wenn eine Schwachstelle aktiv ausgenutzt wird. Wer Logs und Telemetrie erst wertet, wenn die Presse berichtet, ist zu spät dran. Drittens: Datenschutz ist kein Punkt im Compliance-Bericht, sondern Teil des Sicherheitskonzepts. Das Datenleck bei WIRED könnte morgen bei jedem anderen großen Anbieter passieren – und Phishing hört nicht an der Unternehmensgrenze auf.

    Für Firmen in der Städteregion Aachen mit kritischen Infrastrukturen – sei es im Maschinenbau, der Medizintechnik oder der Forschung – bedeutet das konkrete Schritte. Firewalls regelmäßig patchen, Cloud-Stacks zentral überwachen und Datenhaltung kritisch prüfen. Auch kleinere Organisationen, etwa Praxen oder Startups, sollten diese Vorfälle ernst nehmen. Und ja, das Thema mag langweilig wirken, aber eine einzige ungepatchte Instanz kann reichen, um alles zu gefährden.

    Mein Fazit

    Diese Woche zeigt deutlich, dass die größten Sicherheitslücken nicht immer neu, sondern oft alt und vergessen sind. Fortinet steht sinnbildlich für die Trägheit bei Updates, MongoBleed für die unterschätzte Komplexität moderner Systeme, und das Datenleck bei WIRED für den menschlichen Faktor im Umgang mit Daten.

    Die gute Nachricht: Jedes dieser Probleme ist lösbar – durch konsequente Pflege, wachsamere Prozesse und ein Mindestmaß an technischer Hygiene. Die schlechte: Das erfordert Disziplin, und die fehlt oft, wenn Security nur als Kostenstelle gesehen wird. Ehrlich gesagt, wer 2025 noch von regelmäßigen Updates überrascht wird, sollte seine Sicherheitsstrategie gründlich überdenken.

    Wenn Sie unsicher sind, ob Ihre Firewalls, Datenbanken oder Cloud-Plattformen ausreichend abgesichert sind, nehmen Sie sich einen Tag Zeit für ein Security-Audit. Ich unterstütze Unternehmen in Aachen und NRW regelmäßig dabei, genau solche Schwachstellen aufzudecken, bevor es die Angreifer tun. Der Aufwand lohnt sich – garantiert mehr, als ein Datenleck zu erklären.

    Ahmet Sanli

    Über den Autor

    Ahmet Sanli

    IT-Berater & Webentwickler mit Fokus auf IT-Security, Cloud-Infrastruktur und Digitalisierung. Ahmet berät Unternehmen in der Städteregion Aachen und deutschlandweit zu sicheren IT-Lösungen und schreibt wöchentlich über aktuelle Cyber-Bedrohungen und Schutzmaßnahmen.

    Artikel teilen

    Haben Sie Fragen zu diesem Thema?

    Jetzt Kontakt aufnehmen