KW 08/2026: KI-Angriffe auf Firewalls
Diese Woche in der IT-Security zeigt ein klares Muster: Angreifer kombinieren technische Raffinesse mit sozialer Manipulation und nutzen jedes noch so kleine Zeitfenster, das Administratoren offenlassen. Fortinet-Firewalls werden mit KI-Unterstützung kompromittiert, Webmail-Systeme wie Roundcube geraten durch alte Lücken erneut ins Visier, und bei Optimizely führt eine Vishing-Attacke zu einem echten Datenverlust. Drei verschiedene Bereiche – Infrastruktur, Applikation und Mensch – aber eine gemeinsame Schwachstelle: mangelnde Kontrolle über kritische Angriffsvektoren.
KI-gestützte Angriffe auf Fortinet-Firewalls
Amazon meldete laut BleepingComputer, dass ein russischsprachiger Threat Actor generative KI-Tools genutzt hat, um innerhalb von nur fünf Wochen über 600 FortiGate-Firewalls in 55 Ländern zu kompromittieren. Ja, Sie haben richtig gelesen: Künstliche Intelligenz diente hier nicht als Abwehrhilfe, sondern als Angriffsverstärker. Der Angreifer nutzte offenbar automatisierte Abläufe, um Schwachstellen systematisch auszunutzen – vermutlich bestehende, längst gepatchte Lücken, die in vielen Installationen trotzdem offen standen. Das ist kein Einzelfall, sondern ein strukturelles Problem: Firewalls, die eigentlich schützen sollen, sind selbst Ziel und Einfallstor.
Technisch gesehen war das Vorgehen durchaus effizient. KI-Modelle helfen Angreifern, schnell große Mengen von offenen Ports, Versionen und Konfigurationen zu analysieren. Die Tools erstellen dann priorisierte Angriffslisten – menschliche Fehler minimiert, Effizienz maximiert. Ehrlich gesagt, das klingt ein bisschen nach „DevOps für Cybercrime“. Was mich daran besonders beunruhigt: In mehreren Fällen geschah der Angriff innerhalb weniger Stunden nach der Erkennung einer neuen Schwachstelle. Das ist die Realität 2026 – Patch-Management in Tagen reicht nicht mehr, es muss in Stunden funktionieren.
Für Unternehmen in Aachen oder generell in der Städteregion mit komplexer Netzwerkstruktur – beispielsweise Maschinenbauer oder Automotive-Zulieferer mit mehreren Standorten – bedeutet das: Jedes externe Gateway, jede Firewall muss regelmäßig geprüft werden. Und zwar nicht nur auf Firmware-Stand, sondern auch auf ungewöhnliche Log-In-Versuche oder neue VPN-Konfigurationen. Weil: Wenn 600 Firewalls weltweit in fünf Wochen kompromittiert werden können, dann ist das kein fernes Problem. Das ist ein klares Warnsignal.
Aktive Ausnutzung gepatchter Roundcube-Schwachstellen
Die US-Behörde CISA warnte laut BleepingComputer, dass erst kürzlich geschlossene Schwachstellen in Roundcube Webmail aktiv ausgenutzt werden. Die Patches sind da, die Angriffe aber schon unterwegs – oder anders gesagt: Der Fix war schneller verfügbar als die Administratoren. Wer Roundcube betreibt, sollte abgesehen vom Update vor allem auf Spuren in den Logs achten: verdächtige Requests, unerklärte Dateiänderungen oder Logins außerhalb der Geschäftszeiten. Die betroffenen Schwachstellen ermöglichen Angreifern, Code über manipulierte E-Mails einzuschleusen – ein alter, aber effektiver Trick.
Aus meiner Sicht zeigt das ganz deutlich die Trägheit vieler IT-Teams: Wenn CISA betont, dass Schwachstellen bereits ausgenutzt werden, heißt das übersetzt, dass Organisationen trotz verfügbarem Patch noch nicht aktualisiert haben. Patchen mag langweilig sein, aber es ist die effektivste Schutzmaßnahme, die existiert. Die Roundcube-Vorfälle zeigen, wie nah Theorie und Praxis bei Security auseinanderliegen. Ein Admin mit 20 offenen Tickets priorisiert den Mailserver oft als „läuft ja“, bis er eben nicht mehr läuft. Und schon verschafft sich ein Angreifer Zugriff auf komplette Postfächer – mit allen geschäftskritischen E-Mails.
Was mich daran besonders irritiert: Wir sprechen hier über Webmail-Systeme, die vielfach nach außen offen zugänglich sind. Und wenn selbst nach bekannten CVEs und verfügbaren Fixes noch Lücken bleiben, dann zeigt das, dass organisatorische Prozesse mindestens so wichtig sind wie technische Gegenmaßnahmen. Für Unternehmen in NRW, die eigene Mailserver betreiben, ist das Thema aktueller denn je. Gerade wenn externe Partner oder Lieferanten mit eingebunden sind, müssen hier klare Patch-Prozesse etabliert werden.
Vishing gegen Optimizely – die menschliche Schwachstelle bleibt
Und während Firewalls und Mailserver technisch angegriffen werden, zeigt eine andere Meldung die klassische menschliche Komponente: Der Ad-Tech-Anbieter Optimizely hat eine Datenpanne nach einem Voice-Phishing-Angriff bestätigt. Laut BleepingComputer gelang es Angreifern, über täuschend echte Anrufe interne Zugänge zu erhalten, die wiederum den Zugriff auf Systeme ermöglichten, in denen Kundendaten gespeichert waren. Der Fall unterstreicht, dass der „Faktor Mensch“ trotz aller Security-Technik nach wie vor die größte Angriffsfläche ist.
Vishing – also Social Engineering über das Telefon – klingt altmodisch, ist aber gefährlich effektiv. Speziell in großen Organisationen oder bei Drittanbietern, die für andere Unternehmen handeln, steckt viel Vertrauen in Telefonfreigaben und manuelle Authentifizierungsprozesse. Aus meiner Sicht wird dieses Risiko immer noch unterschätzt. Viele Unternehmen investieren Millionen in Netzwerküberwachung, aber Schulungen oder Kontrollmechanismen für interne Freigabeprozesse bleiben rudimentär. Ironischerweise genügt oft ein freundliches „Hier ist der Support, wir brauchen kurz Ihre Bestätigung“ – und schon sind Sicherheitsmaßnahmen ausgehebelt.
Für die Region Aachen mit ihren zahlreichen Mittelständlern und IT-Dienstleistern ist dieser Fall lehrreich. Gerade wer mit SaaS-Anbietern oder Marketingplattformen zusammenarbeitet, sollte konsequent prüfen, wie die eigene Lieferkette abgesichert ist. Ein kompromittierter Dienstleister kann sensible Kundendaten gefährden, egal wie gut die eigene Infrastruktur geschützt ist.
Was jetzt zu tun ist
Aus diesen drei Vorfällen lässt sich eines klar ableiten: Security darf kein Flickenteppich mehr sein. Fortinet zeigt, dass automatisierte KI-Angriffe Realität sind. Roundcube belegt, dass selbst gepatchte Systeme angreifbar bleiben, wenn Updates zu spät eingespielt werden. Optimizely erinnert daran, dass auch Schulung, Awareness und prozessuale Absicherung entscheidend sind.
Für Unternehmen heißt das konkret: Überprüfen Sie Ihre Perimeter-Systeme – insbesondere Firewalls – auf aktuelle Firmware. Analysieren Sie Logs systematisch mit Blick auf verdächtige Admin- oder API-Zugriffe. In Sachen Mailinfrastruktur gilt: Patchen Sie Roundcube sofort, falls noch nicht geschehen, und prüfen Sie Ihre Ausleitungsprotokolle. Und ja, rufen Sie bei ungewöhnlichen Support-Anfragen lieber einmal zu viel als einmal zu wenig zurück.
Gerade in Aachen und der Städteregion, wo viele Unternehmen zwischen IT-Outsourcing und Eigenbetrieb wechseln, sind klare Verantwortlichkeiten entscheidend. Wer ist zuständig für Firewall-Updates? Wer prüft Accounts nach Patches? Und wer darf über das Telefon Änderungen an Authentifizierungsprozessen autorisieren? Diese Fragen müssen beantwortet werden, bevor ein Angreifer sie ausnutzt.
Mein Fazit
Diese Woche hat gezeigt: Moderne Cyberangriffe sind nicht mehr eindimensional. Neue Technologien wie generative KI machen Angriffe skalierbarer, während menschliche Fehler und verzögertes Patchen nach wie vor Tore offen lassen. Das ist eine gefährliche Kombination.
Positiv ist, dass alle drei Fälle auch Lösungsmöglichkeiten aufzeigen. Wer Patches ernst nimmt, Prozesse klar definiert und Mitarbeitende regelmäßig sensibilisiert, kann sich effektiv schützen – unabhängig von der Größe des Unternehmens. Die Voraussetzung ist, dass Security nicht als lästiger Zusatz, sondern als permanenter Prozess verstanden wird.
Aus meiner Sicht ist das Fazit simpel: Wenn wir KI nutzen, um Angriffe zu erkennen, dann müssen wir damit rechnen, dass Angreifer dieselben Werkzeuge gegen uns einsetzen. Sicherheit ist heute ein Wettlauf – nicht um tolle Tools, sondern um Reaktionszeit und Klarheit im eigenen System. Falls Sie unsicher sind, wie gut Ihre Infrastruktur aufgestellt ist, stehe ich aus Aachen gerne zur Verfügung. Ein Review dauert weniger als ein Angriff – aber der Unterschied ist gewaltig.
Über den Autor
Ahmet Sanli
IT-Berater & Webentwickler mit Fokus auf IT-Security, Cloud-Infrastruktur und Digitalisierung. Ahmet berät Unternehmen in der Städteregion Aachen und deutschlandweit zu sicheren IT-Lösungen und schreibt wöchentlich über aktuelle Cyber-Bedrohungen und Schutzmaßnahmen.
Haben Sie Fragen zu diesem Thema?
Jetzt Kontakt aufnehmen