Die Landschaft der Cybersicherheit durchläuft im Jahr 2026 eine gravierende Transformation. Der Einzug kommerzieller generativer Künstlicher Intelligenz (GenAI) hat nicht nur die Arbeitswelt von Entwicklern und Kreativen revolutioniert, sondern auch das Instrumentarium von Cyberkriminellen grundlegend erweitert. Ein aktueller Vorfall, der von Sicherheitsexperten aufgedeckt wurde, demonstriert eindrucksvoll und besorgniserregend, wie selbst Akteure mit begrenztem technischem Know-how durch den Einsatz von KI globale Bedrohungsszenarien erschaffen können. Unternehmen, die Opfer solcher groß angelegten Cyberangriffe werden, sehen sich nicht nur mit enormen operativen Schäden konfrontiert, sondern oft auch mit komplexen Haftungsfragen, Datenschutzverletzungen und regulatorischen Konsequenzen. In solchen kritischen Phasen bietet ein professioneller Finanz- und Bankrecht-Ratgeber wertvolle Orientierung, um die rechtlichen, wirtschaftlichen und compliance-bezogenen Dimensionen von IT-Sicherheitsvorfällen richtig einzuordnen und strategisch fundierte Entscheidungen zu treffen.
Wie CHIP berichtet, hat das Threat-Intelligence-Team von Amazon einen massiven, global koordinierten Angriff enttarnt, der sich gezielt gegen FortiGate-Firewalls des Herstellers Fortinet richtete. Zwischen dem 11. Januar und dem 18. Februar 2026 gelang es einem Angreifer, mehr als 600 dieser Netzwerksicherheitsgeräte in über 55 Ländern erfolgreich zu kompromittieren. Die tiefgehende Analyse dieses Vorfalls liefert entscheidende Erkenntnisse über die veränderte Methodik moderner Cyberkriminalität.
Die Anatomie des Angriffs: Künstliche Intelligenz als Skalierungsmotor
Das bemerkenswerteste Merkmal dieser Angriffswelle ist nicht die Komplexität der eingesetzten Schadsoftware, sondern die Art und Weise, wie der Angreifer seine Operationen skalierte. Laut CJ Moses, Chief Information Security Officer (CISO) von Amazon Integrated Security, handelte es sich bei dem Täter um einen russischsprachigen, finanziell motivierten Akteur. Die forensischen Untersuchungen ergaben jedoch, dass dieser Akteur – oder diese kleine Gruppierung – lediglich über geringe bis mittlere technische Fähigkeiten verfügte.
In der Vergangenheit hätte dieses begrenzte Know-how ausgereicht, um einzelne, schlecht gesicherte Ziele anzugreifen, niemals jedoch für eine globale Kampagne dieses Ausmaßes. Der entscheidende Unterschied bestand in der intensiven Nutzung von kommerziellen GenAI-Diensten. Der Angreifer nutzte diese Werkzeuge quasi als „KI-gestütztes Fließband für Cyberkriminalität“. Die künstliche Intelligenz wurde in jeder einzelnen Phase der Operation eingesetzt: von der initialen Aufklärung und der Generierung von Angriffsplänen über das Schreiben von automatisierten Skripten in Python und Go bis hin zur Entschlüsselung und Strukturierung der erbeuteten Daten.
Die Ermittler von Amazon entdeckten öffentlich zugängliche Infrastruktur, auf der der Angreifer seine Werkzeuge gehostet hatte. Dort fanden sich neben Opferkonfigurationen und Quellcodes auch detaillierte, von KI generierte Checklisten und Angriffspläne. Kommentare im Quellcode, die lediglich Funktionsnamen wiederholten, sowie eine stark auf Formatierung bedachte, aber architektonisch simple Code-Struktur lieferten eindeutige Beweise für die maschinelle Erstellung der Malware-Komponenten.
Keine Zero-Day-Lücken: Wie fundamentale Sicherheitsversäumnisse den Weg ebneten
Ein zentraler Aspekt, der IT-Sicherheitsverantwortliche weltweit alarmieren sollte, ist die Tatsache, dass bei diesem Massenangriff keine einzige unbekannte Schwachstelle (Zero-Day-Exploit) in der FortiGate-Software ausgenutzt wurde. Die Kampagne war nicht erfolgreich, weil die Angreifer technische Schutzmechanismen durch geniale neue Hacking-Methoden überwinden konnten, sondern weil sie massenhaft auf fundamentale, teils jahrelang bekannte Sicherheitsversäumnisse auf Seiten der Anwender stießen.
Der Angreifer nutzte automatisierte Tools, um das Internet systematisch nach exponierten FortiGate-Management-Schnittstellen abzusuchen. Ziel waren dabei vorrangig die Ports 443, 8443, 10443 und 4443. Wurde eine öffentlich erreichbare Management-Konsole identifiziert, startete der Angreifer sogenannte Credential-Stuffing-Attacken oder versuchte sich mit Standard-Passwörtern (Default Credentials) Zugang zu verschaffen.
Die Kompromittierung gelang ausschließlich bei jenen Systemen, die zwei kritische Schwachstellen aufwiesen: Erstens war die Management-Oberfläche fahrlässigerweise direkt aus dem Internet erreichbar, und zweitens waren die Administratoren- oder VPN-Konten lediglich durch schwache Passwörter und nicht durch eine Multi-Faktor-Authentifizierung (MFA) geschützt. Die KI half dem Angreifer lediglich dabei, diesen eigentlich simplen Vorgang so massiv zu automatisieren, dass er in kürzester Zeit Tausende von Geräten scannen und attackieren konnte.
Globale Auswirkungen: 600 kompromittierte Netzwerke in 55 Ländern
Die Zielauswahl des Angreifers erfolgte streng opportunistisch. Es gab keine Spezialisierung auf bestimmte Branchen wie den Finanzsektor, das Gesundheitswesen oder kritische Infrastrukturen. Jedes Gerät, das die genannten Schwachstellen aufwies, wurde unabhängig vom Betreiber zum Ziel. Dies führte zu einer enormen globalen Streuung der Opfer.
Amazon Threat Intelligence identifizierte kompromittierte FortiGate-Systeme in über 55 Ländern. Besonders hohe Konzentrationen betroffener Geräte wurden in Südasien, Lateinamerika, der Karibik, Westafrika, Nordeuropa und Südostasien festgestellt. In einigen Fällen zeigte sich, dass gleich mehrere FortiGate-Appliances desselben Unternehmens kompromittiert wurden, was auf eine tiefergehende Durchdringung der jeweiligen Organisationsstrukturen hindeutet.
Von der ersten Kompromittierung bis zum Active Directory: Der Ablauf im Detail
Nachdem der Angreifer durch das Erraten oder Ausprobieren von Passwörtern den initialen Zugang zu einer FortiGate-Appliance erlangt hatte, nutzte er diesen Brückenkopf für tiefgreifende Manipulationen. FortiGate-Geräte fungieren in vielen Netzwerken als Next-Generation-Firewalls (NGFW) und VPN-Gateways. Sie bilden das zentrale Nervensystem der Netzwerksicherheit und verfügen über weitreichende Berechtigungen.
Der Täter lud die vollständigen Konfigurationsdateien der kompromittierten Geräte herunter. Mithilfe der zuvor durch KI generierten Python-Skripte wurden diese Dateien automatisch geparst und entschlüsselt. Aus diesen Daten extrahierte der Angreifer hochsensible Informationen: Details zur Netzwerktopologie, VPN-Konfigurationen und vor allem weitere Anmeldeinformationen im Klartext oder in schwach verschlüsselter Form.
Mit diesen neu gewonnenen Zugangsdaten bewegte sich der Angreifer lateral (seitwärts) in den internen Netzwerken der Opfer. Ziel dieser Bewegungen war in vielen Fällen das Active Directory (AD) – die zentrale Verzeichnisstruktur, in der sämtliche Benutzer, Computer und Berechtigungen eines Unternehmensnetzwerks verwaltet werden. Den Erkenntnissen von Amazon zufolge gelang es dem Akteur bei mehreren Opfern, vollständige Datenbanken mit Anmeldeinformationen aus dem AD zu exfiltrieren.
Darüber hinaus stellten die Ermittler fest, dass der Angreifer gezielt versuchte, Zugang zur Backup-Infrastruktur der Unternehmen zu erlangen. In der Cybersicherheit gilt dieser Schritt als klassischer Vorbote für einen Ransomware-Angriff. Indem Backups verschlüsselt oder gelöscht werden, soll verhindert werden, dass das Opfer seine Systeme nach der Verschlüsselung der primären Server aus eigenen Mitteln wiederherstellen kann. Dies erhöht den Druck zur Zahlung eines Lösegelds enorm. Nur durch das schnelle Eingreifen und die Veröffentlichung der Indicators of Compromise (IOCs) durch Amazon konnte bei vielen Opfern die finale Ausführung der Ransomware vermutlich noch rechtzeitig verhindert werden.
Ein neues Paradigma der Bedrohung
Die Analyse dieses Vorfalls zwingt die IT-Sicherheitsbranche zu einer Neukalibrierung ihrer Risikobewertung. Die Bedrohung geht nicht mehr ausschließlich von hochspezialisierten, staatlich gesponserten Advanced Persistent Threat (APT) Gruppen aus, die über Millionenbudgets und Heerscharen von Top-Entwicklern verfügen. Die Demokratisierung von Hacking-Fähigkeiten durch kommerzielle KI-Tools bedeutet, dass nun auch Einzeltäter oder kleine, technisch weniger versierte Gruppen massiven Schaden auf globaler Ebene anrichten können.
Die künstliche Intelligenz schließt die Lücke zwischen der kriminellen Absicht und der technischen Umsetzung. Sie übersetzt einfache Anweisungen in funktionsfähigen Schadcode, automatisiert mühsame Aufklärungsarbeit und analysiert gigantische Datenmengen aus kompromittierten Systemen in Sekundenschnelle. Dieser Effizienzgewinn ermöglicht es Angreifern, sich auf die Ausnutzung der „niedrig hängenden Früchte“ – also schlecht konfigurierter Systeme – in einem noch nie dagewesenen Maßstab zu konzentrieren.
Die Verteidigungslinie: Was Unternehmen jetzt zwingend tun müssen
Der von Amazon enttarnte Massenangriff ist ein eindringlicher Weckruf für Netzwerkadministratoren und IT-Verantwortliche weltweit. Da keine komplexen Zero-Day-Lücken genutzt wurden, sind die Gegenmaßnahmen erfreulich pragmatisch, müssen jedoch mit absoluter Konsequenz umgesetzt werden.
Erstens und am wichtigsten: Management-Schnittstellen von Firewalls, Routern und anderen sicherheitskritischen Netzwerkgeräten dürfen unter keinen Umständen direkt aus dem öffentlichen Internet erreichbar sein. Der Zugriff auf diese Konsolen muss strikt auf interne Netzwerke oder dezidierte, streng überwachte Management-VLANs beschränkt werden. Wenn ein Fernzugriff für Administratoren unerlässlich ist, darf dieser ausschließlich über stark verschlüsselte VPN-Tunnel erfolgen.
Zweitens ist die flächendeckende Implementierung von Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugänge und VPN-Einwahlen absolut alternativlos. Ein gestohlenes oder erratenes Passwort allein darf niemals ausreichen, um Zugriff auf das Unternehmensnetzwerk zu erlangen. Die Kompromittierung der über 600 FortiGate-Systeme wäre durch eine konsequente MFA-Pflicht in nahezu allen Fällen verhindert worden.
Drittens müssen Unternehmen sicherstellen, dass sämtliche Standard-Passwörter und hartcodierten Anmeldedaten auf allen Systemen umgehend geändert werden. Regelmäßige Audits der Firewall-Regelwerke und automatisierte Schwachstellenscans von außen sind unerlässlich, um Fehlkonfigurationen zu erkennen, bevor KI-gestützte Angreifer sie ausnutzen.
Der Vorfall verdeutlicht, dass die technologische Aufrüstung durch Künstliche Intelligenz nicht nur auf der Seite der Verteidiger, sondern auch massiv auf der Seite der Angreifer stattfindet. In diesem asymmetrischen Wettlauf bilden grundlegende, aber konsequent angewandte Sicherheitsmaßnahmen das wichtigste Fundament, um nicht als leichtes Ziel in den automatisierten Rasterfahndungen moderner Cyberkrimineller aufzutauchen.