KW 03/2026: Zero-Days auf dem Vormarsch

Wenn man sich die Security-News dieser Woche anschaut, dann erkennt man ein klares Muster: Angreifer schlafen nicht, und viele Admins klicken Patches weg, als wären sie lästig. Drei Vorfälle zeigen das sehr deutlich – vom kritischen Fortinet-Exploit über ein frisch gefixtes Cisco-Zero-Day bis hin zu einem gezielten Angriff einer China-verbundenen Gruppe auf Sitecore-Instanzen. Das alles deutet auf ein Problem hin, das größer ist als die Summe der einzelnen CVEs: Basis-Hygiene fehlt vielerorts – und Zero-Days treffen Systeme, die ohnehin schon zu lange auf Warteliste stehen.

Fortinet FortiSIEM: Ausgenutzt, bevor viele wussten, dass’s brennt

Bei Fortinet ist wieder Bewegung drin – leider die falsche. Laut BleepingComputer wird eine kritische Schwachstelle in FortiSIEM aktiv ausgenutzt. Das Security Information and Event Management System (SIEM) soll eigentlich verdächtige Aktivitäten erkennen, doch aktuell ist es selbst das Ziel solcher Aktivitäten. Es existieren bereits öffentlich zugängliche Proof-of-Concept-Exploits, und laut Fortinet sind mehrere Versionen betroffen. Wer also noch nicht gepatcht hat, sollte jetzt handeln, nicht nach dem Wochenende.

Technisch gesehen handelt es sich um eine Remote Code Execution, die es Angreifern ermöglicht, beliebigen Code auf dem FortiSIEM-Server auszuführen. Und das ohne vorherige Authentifizierung. Ehrlich gesagt, schlimmer kann man es kaum treffen – ein zentrales Monitoring-System, das plötzlich selbst kompromittiert ist.

Was mich persönlich an dieser Geschichte stört, ist der zweischneidige Charakter solcher Plattformen. SIEM-Systeme wie FortiSIEM haben tiefe Einblicke in Netzwerke und Systeme. Wird so ein System kompromittiert, hat der Angreifer quasi einen Generalschlüssel. Datenkorrelationen, Logstreams, Zugangsdaten – alles auf dem Silbertablett. In Aachen und Umgebung betreiben selbst mittelständische Industriebetriebe zunehmend Fortinet-Lösungen, oft aber mit Minimal-Konfiguration. Das ist fatal, denn wer hier nicht regelmäßig patcht oder sein Rechtemanagement sauber trennt, lädt Angreifer praktisch ein.

Und das ironische: Viele dachten, dass ein SIEM sie genau davor schützt.

Cisco Secure Email Gateway: Zero-Day endlich gefixt – Monate zu spät

Der nächste Kandidat kommt aus dem Hause Cisco. Der Hersteller hat, laut BleepingComputer, eine kritische Sicherheitslücke in seinem AsyncOS für Secure Email Gateway (SEG) geschlossen – und zwar eine, die bereits seit November 2025 aktiv ausgenutzt wird. Wir reden hier also von einem Zero-Day, der seit zwei Monaten offen im Feld war und von Angreifern systematisch genutzt wurde. Der Patch kam jetzt Mitte Januar 2026.

Die Schwachstelle lag in der Art, wie AsyncOS bestimmte Anfragen verarbeitet, und ermöglichte Remote Code Execution auf betroffenen Appliances. Wer also ein Cisco SEG betreibt, sollte schnellstmöglich updaten und danach auf Anomalien prüfen. Mails, die plötzlich anders gefiltert werden oder Logins, die aus ungewohnten IP-Bereichen kommen – das sind die klassischen Indikatoren.

Aus meiner Sicht zeigt der Vorfall zwei Dinge: Erstens, dass E-Mail-Gateways keineswegs „vergessen“ werden dürfen, auch wenn sie im Keller vor sich hin summen. Zweitens, dass Hersteller oft viel zu spät mit Patches reagieren – und große Installationsbasen dann noch länger brauchen, um sie einzuspielen. In NRW sehe ich das regelmäßig: Man ist stolz auf sein „härtungskonformes“ E-Mail-Gateway, aber das letzte Update ist von vor sechs Monaten. Das ist, freundlich gesagt, kein Patch-Management, sondern Russisch Roulette.

Die Angriffe auf Cisco SEGs sind deshalb besonders gefährlich, weil sie den Kommunikationsfluss von Organisationen direkt treffen. Kompromittierte Gateways können E-Mails abfangen, verändern oder neue Angriffe einstreuen – und wenn wir ehrlich sind, merkt das kaum jemand im Alltag.

Sitecore Zero-Day: Wenn CMS zum Einfallstor wird

Und dann wäre da noch der Sitecore-Zero-Day, über den BleepingComputer berichtete. Ein Angreifer-Kollektiv mit Verbindungen nach China, intern unter der Bezeichnung UAT-8837 geführt, nutzt eine ungepatchte Sicherheitslücke in Sitecore-Produkten, um initialen Zugriff auf Infrastrukturen zu gewinnen – mit Fokus auf kritische Organisationen in Nordamerika. Aber wer glaubt, das sei ein US-Problem, täuscht sich. Auch in Europa, und speziell in NRW, laufen viele Sitecore-CMS-Instanzen als Public-Facing-Systeme – oft schlecht gehärtet und direkt mit internen Services verbunden.

Die Schwachstelle ermöglicht offenbar Remote Code Execution über manipulierte Requests, die an die Sitecore-Management-Oberfläche gesendet werden. Somit kann der Angreifer – ohne legitime Zugangsdaten – eigenen Code ausführen und persistente Zugänge schaffen. Was ich nicht verstehe: Warum betreiben viele Firmen CMS-Systeme mit Admin-Interfaces, die direkt aus dem Internet erreichbar sind? Das gehört schon lange als No-Go ins Lehrbuch.

Die Attribution an staatlich unterstützte Gruppen legt nahe, dass wir es hier nicht mit Gelegenheitstätern zu tun haben. Solche Angreifer nutzen Zero-Days gezielt, meist für Spionage und Datenexfiltration. Besonders perfide ist, dass sie häufig erst Wochen später entdeckt werden – wenn überhaupt. In Aachen etwa arbeiten einige Unternehmen aus der Medizintechnik und Automotive-Branche mit Sitecore-Webportalen für Kunden- und Lieferantenkommunikation. Wenn da ein Angreifer reinlangt, geht es nicht um bunte Bilder, sondern um Forschungsdaten.

Alle drei Fälle haben eins gemeinsam: Systeme, die eigentlich Vertrauen und Sichtbarkeit schaffen sollen, werden selbst zum Risiko. Ein SIEM, ein E-Mail-Gateway, ein CMS – sie sind Kernbestandteile der modernen IT-Infrastruktur. Doch genau dort setzen Angreifer an.

Was jetzt zu tun ist

Die Vorfälle dieser Woche zeigen sehr klar, dass Patching kein optionales Hobby ist. Für Fortinet-Nutzer gilt: Prüfen Sie Ihre FortiSIEM-Version, wenden Sie die von Fortinet veröffentlichten Fixes oder Workarounds an und überwachen Sie Ihre Logs auf ungewöhnliche Aktivitäten oder neue Admin-Zugriffe. Wer dort Auffälligkeiten findet, sollte sofort Incident Response einleiten.

Cisco-Anwender müssen diese Woche dringend die neue AsyncOS-Version einspielen. Das Update behebt die seit November ausgenutzte Lücke. Danach empfiehlt sich eine forensische Prüfung der E-Mail-Protokolle, insbesondere auf verdächtige Absender oder Weiterleitungsregeln. Man glaubt gar nicht, wie oft über so etwas Daten exfiltriert werden.

Für Sitecore-Betreiber ist die oberste Regel: Admin-Interfaces gehören nicht ins Internet. Wenn es gar nicht anders geht, dann mindestens mit MFA und restriktiver IP-Whitelist. Und natürlich: Update. Sitecore hat bereits Härtungsempfehlungen und Fixes angekündigt – sie nicht umzusetzen, ist grob fahrlässig.

Für Unternehmen in der Städteregion Aachen bedeutet das konkret, dass sie besonders auf ihre exponierten Systeme achten müssen. Gerade im Mittelstand sehe ich häufig, dass CMS-Systeme extern zugänglich sind oder Firewalls ältere Firmware-Versionen nutzen. Hier ist jetzt keine Panik angesagt, aber klare Priorisierung. Patches, Monitoring, Logging – das ist die Mindestverteidigung.

Mein Fazit

Diese Woche zeigt, wie unterschiedlich, aber gleichzeitig vorhersehbar Angriffe heute sind. Ob Zero-Day oder bekanntes Problem – alle drei Vorfälle nutzen das gleiche Prinzip: Sie greifen dort an, wo Administratoren sich sicher fühlen. Das ist psychologisch brillant und technisch effizient.

Die gute Nachricht: Jedes dieser Probleme ist lösbar. Die schlechte: Es erfordert Disziplin, kontinuierliche Pflege und – ja – ein bisschen Demut vor der Komplexität moderner IT-Systeme. Security ist kein Einmal-Projekt, sondern Dauerlauf.

Aus meiner Sicht ist es höchste Zeit, dass Unternehmen in Aachen und darüber hinaus Sicherheitsmanagement nicht mehr als reaktive Pflicht sehen, sondern als festen Bestandteil ihres Betriebsmodells. Wenn Sie unsicher sind, wie Ihre Systeme dastehen oder ob Ihre Abwehr funktioniert – melden Sie sich. Ein ehrlicher Checkpoint kostet Sie weniger Nerven als der nächste Angriff.