FortiBleed: 75.000 FortiGate-Firewalls mit Admin-Leak

Das ist der Albtraum jedes Admins: Sicherheitsforscher haben einen riesigen Datensatz aufgedeckt, der die Admin-Zugangsdaten von rund 73.900 FortiGate-Firewalls rund um den Globus enthält. Der Name der Kampagne: FortiBleed. Wenn du eine Fortinet-Firewall betreibst, solltest du JETZT handeln.

SCHOCK: Was genau ist passiert?

Am 17. Juni 2026 machten der Sicherheitsforscher Volodymyr „Bob“ Diachenko und die Threat-Intelligence-Firma Hudson Rock die Sache öffentlich. Ihr Fund: ein Datensatz mit Login-Daten zu 73.932 Fortinet-Firewall- und SSL-VPN-Adressen aus 194 Ländern.

Der Trick der Angreifer ist hinterhältig: Sie ziehen die Konfigurationsdateien von Firewalls ab, die direkt aus dem Internet erreichbar sind, und knacken anschließend die darin gespeicherten Passwort-Hashes. Heraus kommen funktionierende Administrator-Logins — laut den Forschern für zwischen 30.000 und 75.000 Geräte.

GEFAHR: Wer steht auf der Liste?

Die Daten wirken brandaktuell. In dem Fund tauchen offenbar Zugänge von großen Namen auf — darunter Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture und Oracle — dazu zahlreiche Behörden und Betreiber kritischer Infrastruktur. Die Sicherheitsfirma Arctic Wolf spricht von einer aktiven FortiBleed-Kampagne, die sich über 194 Länder zieht.

Ein funktionierender Admin-Login auf der Firewall bedeutet im Klartext: direkter Zugang zum gesamten dahinterliegenden Netzwerk. Genau diese Tür wollen Angreifer.

ENTWARNUNG? Noch ist der Datensatz nicht im Verkauf

Eine kleine gute Nachricht gibt es: Nach Stand vom 18. Juni 2026 wurde der FortiBleed-Datensatz noch nicht in kriminellen Foren zum Verkauf angeboten oder offen geteilt. Das ist aber kein Grund zum Zurücklehnen — es ist das Zeitfenster, in dem du dein System absichern kannst, bevor die Daten breit zirkulieren.

So schützt du dich in 5 Minuten

1. Management offline nehmen: Die Web-Oberfläche und das SSL-VPN-Login deiner FortiGate gehören nicht offen ins Internet. Beschränke den Zugriff auf vertrauenswürdige IPs oder ein internes Netz.
2. Passwörter rotieren: Ändere ALLE Admin-Passwörter — und gehe davon aus, dass alte Zugangsdaten kompromittiert sind.
3. MFA erzwingen: Aktiviere die Zwei-Faktor-Authentifizierung für jeden Admin-Zugang.
4. Logs prüfen: Schau nach ungewöhnlichen Anmeldungen oder neuen Admin-Konten.
5. Firmware aktuell halten: Spiele die neuesten FortiOS-Updates ein.

FAZIT: FortiBleed ist kein klassischer Einzel-Bug, sondern ein massiver Zugangsdaten-Leak. Wer seine FortiGate aus dem Netz erreichbar hat, sollte jetzt nicht abwarten, sondern Passwörter tauschen und das Management abschotten.

Häufige Fragen

Was ist FortiBleed genau?

FortiBleed ist der Name für einen Datensatz und eine Kampagne, bei der Angreifer Konfigurationsdateien von FortiGate-Firewalls abziehen und die enthaltenen Passwort-Hashes knacken. Das Ergebnis sind funktionierende Administrator-Zugangsdaten für zehntausende Geräte weltweit.

Wie merke ich, ob meine Firewall betroffen ist?

Sicher wissen kannst du es selten. Gefährdet sind vor allem FortiGate-Geräte mit aus dem Internet erreichbarem Web-Management oder SSL-VPN. Prüfe deine Anmelde-Logs auf unbekannte Zugriffe und gehe im Zweifel davon aus, dass deine Admin-Daten kompromittiert sein könnten.

Wie behebe ich das Problem konkret?

Nimm das Management aus dem offenen Internet, rotiere alle Admin-Passwörter, erzwinge Zwei-Faktor-Authentifizierung, prüfe auf neue oder unbekannte Admin-Konten und halte FortiOS auf dem aktuellen Stand.

Werden die gestohlenen Daten schon aktiv verkauft?

Nach Stand vom 18. Juni 2026 war der FortiBleed-Datensatz noch nicht in kriminellen Foren zum Verkauf oder zum freien Download aufgetaucht. Das kann sich jederzeit ändern — handle daher jetzt, solange du Zeit hast.

FIREWALL-GAU! 75.000 FortiGate-Firewalls liegen mit Admin-Passwort offen — handle JETZT