Firewalls und VPN-Gateways sind ein lohnendes Angriffsziel – bewachen sie doch das Eingangstor in Unternehmensnetzwerke. Ein Sicherheitsforscher hat nun nach eigenen Angaben eine großangelegte Angriffskampagne gegen Geräte des Herstellers Fortinet aufgedeckt. An die 74.000 sollen kompromittiert worden sein.

Wer hinter dem Angriff steckt ist unklar, Entdecker Volodymyr Diachenko erwähnt jedoch eine „russischsprachige Cybercrime-Gruppe mit mehreren Mitgliedern“. Diese habe zunächst massenhaft Zugangsdaten – etwa aus vorherigen Datenlecks – bei Fortinet-Geräten durchprobiert, insgesamt 1,16 Milliarden Kombinationen aus Benutzernamen und Passwörtern.

Auch die Zahl der über „FortiBleed“ angegriffenen Geräte ist astronomisch: Es seien 320.000 gewesen. Die Hälfte aller über das Internet erreichbaren Fortinet-Geräte. Davon hätten die Kriminellen bei 73.932 Fortinet-Appliances in aller Welt erfolgreich Zugangsdaten abgegriffen, führt Diachenko aus. Die Angaben lassen sich nicht unabhängig überprüfen. In der Mehrzahl der Fälle waren wohl die Management-Interfaces aus dem Internet zugänglich.

Doch wie die Angreifer genau auf die Geräte kamen, bleibt unklar. Sicherheitsexperte Kevin Beaumont vermutet, sie hätten womöglich eine bislang noch unbekannte Sicherheitslücke genutzt, um sich Zugriff zu verschaffen. Dann hätten sie die Gerätekonfiguration abgezogen und die dort enthaltenen Passwort-Hashes mittels eines spezialisierten Clusters mit 48 GPUs und einer Bruteforce-Attacke geknackt. In älteren Versionen der Fortinet-Firmware sind Passwörter mit dem Verfahren SHA256 mit Salt gehasht, das sich im Vergleich zu der ab FortiOS 7.2.11 üblichen PBKDF2-Variante mit zufälligem Hash erheblich effizienter mittels Werkzeugen wie hashcat angreifen lässt.

Inzwischen hat eine Fortinet-Sprecherin gegenüber TechCrunch erklärt, dass das Unternehmen von einer Zugangsdaten-Diebstahl-Kampagne mit Fortinet-Firewalls und -VPN zum Ziel mitbekommen habe. Den Analysen des Herstellers zufolge handelt es sich bei den Daten um solche aus vorherigen Vorfällen sowie um mittel Brute Force geknackten Zugangsdaten. Sie stünden nicht mit jüngeren Vorfällen oder Sicherheitsmitteilungen in Verbindung. Kevin Beaumont, der die Daten einsehen konnte, stellt die Situation anders dar: „Die IP-Adressen sind zum Großteil unterschiedlich zum Belsen-Group-Leak, der 15.000 Geräte umfasste. [Die Daten] enthalten hauptsächlich Geräte, die nicht in diesem Leak waren und dieses Mal sind die meisten Geräte noch online – das hier sind keine Daten aus 2022.“

Auch deutsche Geräte betroffen

Unter den betroffenen Geräten sind auch gut 120, deren Domain auf einen Standort in Deutschland schließen lässt, darunter verschiedene Geräte im Netz der Telekom oder bei Mercedes-Benz. Das Threat-Intelligence-Unternehmen Hudson Rock ließ uns eine Liste der betroffenen de-Domains zukommen und hat eine Informationsseite mit Abfragemöglichkeit eingerichtet.

Betroffene sollten alle Zugangsdaten auf kompromittierten Geräten mit sicheren Passwörtern neu vergeben, verdächtige Zugriffe auf nachgelagerte Netze prüfen und Mehrfaktorauthentifizierung, etwa bei der VPN-Anmeldung, forcieren. Da zur Stunde nicht einmal klar ist, ob die Angriffe über eine bestehende Sicherheitslücke in FortiOS stattfanden, gibt es auch keine Patches, eine Stellungnahme seitens Fortinets Sicherheitsteams steht ebenfalls aus.

Da Fortinet-Geräte Zugang zu Netzwerken bereitstellen, sind sie beliebtes Ziel von Angreifern. Am Mittwoch wurden etwa Angriffe auf FortiSandbox bekannt.

(cku)

Estland soll das erste Land der Welt werden, das digitale Identitäten für KI-Agenten ausstellt. Das hat der Premierminister des Landes, Kristen Michal, angekündigt. Er greife dabei den Vorschlag eines KI-Beirats auf und danke diesem. Michal möchte, dass Estland jenes Land wird, in dem Künstliche Intelligenz so intensiv genutzt wird wie sonst nirgendwo.

KI-Agenten sind Softwareroutinen, die zwar Auftraggeber haben, aber eigenständig Entscheidungen berechnen und ausführen. Dabei nutzen sie regelmäßig Zugangsdaten zu Konten ihrer Auftraggeber, seien es E-Mail-Konten, Cloud-Speicher oder Bankkonten. Damit erhalten sie die selben Rechte wie der Auftraggeber selbst. Entscheidet ein Agent unvorteilhaft, kann das richtig ungemütlich und teuer werden, beispielsweise durch Datenlöschung oder Geldverschwendung. Auch unerwünschte Datenausleitung ist ein mögliches Problem.

Rechteverwaltung statt alles oder nichts

Michal will diese Situation nicht hinnehmen. „Agenten müssen beschränkte, kontrollierbare und überprüfbare Autorisierung haben“, schreibt der seit knapp zwei Jahren amtierende Regierungschef. „Zum Beispiel muss es möglich sein, zu bestimmen, ob ein Agent Daten nur lesen kann, Dokumente ausarbeiten oder innerhalb eines fixen finanziellen Rahmens agieren darf.“

Dabei könnten eigenständige digitale Ausweise für KI-Agenten tatsächlich helfen. Eine eigenständige Identität kann ermöglichen, dass sich der KI-Agent gegenüber dem von ihm genutzten System als Agent im Auftrag eines bestimmten Auftraggebers ausgibt, anstatt so zu tun, als wäre er sein Auftraggeber selbst. Anhand dieser Unterscheidung kann das genutzte System dann granulär Zugriff auf Funktionen gewähren oder eben auch nicht.

Michal möchte Vertrauen in die neue Technik stärken. Und er denkt außenpolitisch: Wenn Estland es schaffe, „schnell und weise“ zu agieren, könne es auch als kleines Land dazu beitragen, internationale Standards zu beeinflussen. Ob die digitalen Identitäten optional oder für (bestimmte) KI-Agenten verpflichtend werden sollen, hat der liberale Politiker noch nicht gesagt. Ebenso wenig hat er über seinen Zeitplan gesprochen.

(ds)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verschärft bei der Umsetzung der NIS2-Richtlinie den Ton, setzt aber zunächst weiter auf Kooperation. Seit Inkrafttreten des novellierten BSI-Gesetzes am 6. Dezember 2025 müssen sich betroffene Unternehmen beim BSI registrieren. Ziel ist es, Störungen und Sicherheitsvorfälle bei Einrichtungen mit besonderer Bedeutung für Wirtschaft und Gesellschaft zu verhindern.

Die gesetzliche Registrierungsfrist ist am 6. März abgelaufen. Doch die Umsetzung stockt. In einem heise online vorliegenden Schreiben an Branchenverbände räumt das BSI ein, dass sich deutlich weniger Firmen angemeldet haben als erwartet. Die Organisationen sollen ihre Mitglieder daher erneut auf die Pflicht hinweisen. Das BSI geht davon aus, dass alle noch ausstehenden Registrierungen bis spätestens 31. Juli 2026 abgeschlossen werden.

Um den Prozess zu erleichtern, verweist die Behörde auf einen Frage-Antwort-Katalog, eine unverbindliche Betroffenheitsprüfung sowie weitere Informationsangebote unter dem Hashtag „#nis2know“. Offene Fragen sollen über die Verbände gebündelt ans BSI übermittelt werden. In Ausnahmefällen gewährt die Behörde eine Nachfrist von sechs Wochen nach Klärung offener Fragen.

Eine BSI-Sprecherin sagte heise online, der Stand der Anmeldungen sei „grundsätzlich zufriedenstellend“. Bis Ende Mai hätten sich knapp 18.500 Einrichtungen registriert. Der Aufwand sei gerade für bislang nicht regulierte Firmen und den Mittelstand hoch. Deshalb baue das Amt weiter auf Aufklärung. Zugleich macht die Behörde deutlich, dass bei anhaltenden Verstößen Bußgelder möglich seien. Sie können bis zu 500.000 Euro betragen.

Experten fordern: „Zähne zeigen“

Der IT-Sicherheitsrechtler Dennis-Kenji Kipker und der Rechtsanwalt Stefan Hessel bewerten die Lage kritischer. Dass mehr als die Hälfte der betroffenen Unternehmen ihrer Registrierungspflicht nicht nachkommt, halten sie für ein alarmierendes Signal. Wer sich nicht melde, beachte gesetzliche Anforderungen zur Cybersicherheit nicht ausreichend.

Die Experten drängen deshalb auf ein entschlosseneres Vorgehen des BSI. Zwar habe auch der Gesetzgeber durch unklare Ausnahmen Rechtsunsicherheit geschaffen. Die Behörde verliere sich aber zu sehr im Detail, statt klare Leitlinien zu setzen. Das Motto müsse lauten: „Zähne zeigen.“ Nur gezielte Kontrollen und spürbare Sanktionen könnten dem Gesetz die nötige Wirkung verleihen. Andernfalls drohe NIS2 zum „Papiertiger“ zu werden und die angestrebte bessere Cybersicherheit eine theoretische Vorgabe zu bleiben.

(wpl)