Ein aktueller Sicherheitsvorfall sorgt weltweit für Aufsehen: Amazon Threat Intelligence hat dokumentiert, wie ein einzelner Angreifer mithilfe kommerzieller KI-Dienste zwischen Januar und Februar 2026 über 600 Netzwerk-Firewalls in mehr als 55 Ländern kompromittierte. Was sich wie ein Hollywood-Drehbuch liest, ist bittere Realität – und betrifft Unternehmen jeder Größe.
Was genau ist passiert?
Der Angreifer – vermutlich eine russischsprachige Einzelperson oder eine sehr kleine Gruppe mit finanzieller Motivation – ist kein hochspezialisierter Hacker. Er ist kein staatlich geförderter Akteur, kein Mitglied einer bekannten Cybercrime-Organisation. Er ist jemand mit mittelmäßigen IT-Kenntnissen – der durch KI eine Schlagkraft erreichte, die bisher ganzen Teams vorbehalten war.
So lief der Angriff ab:
Schritt 1 – Suche nach offenen Türen Automatisierte Scans durchsuchten das gesamte Internet nach Firewalls, deren Management-Oberflächen öffentlich erreichbar waren. Keine Raffinesse, kein gezieltes Auskundschaften – reine Masse.
Schritt 2 – KI übernimmt die Angriffsplanung Für jedes potenzielle Ziel generierte der Angreifer mithilfe kommerzieller KI-Dienste maßgeschneiderte Angriffspläne – inklusive Schritt-für-Schritt-Anleitungen, Erfolgswahrscheinlichkeiten und priorisierten Aufgabenlisten. Was früher tiefes Expertenwissen erforderte, lieferte die KI in Sekunden.
Schritt 3 – Zugangsdaten stehlen Die Angreifer nutzten schwache oder wiederverwendete Passwörter, um sich Zugang zu den Management-Interfaces zu verschaffen. Einmal drin, extrahierten sie vollständige Gerätekonfigurationen – ein Goldschatz: Admin-Zugangsdaten, VPN-Nutzerdaten, interne Netzwerktopologien, Firewall-Richtlinien.
Schritt 4 – Tief ins Unternehmensnetz eindringen Mit den gestohlenen VPN-Zugangsdaten verbanden sich die Angreifer mit internen Netzwerken. Von dort aus kompromittierten sie Active-Directory-Umgebungen, stahlen komplette Passwort-Datenbanken und griffen gezielt auf Backup-Systeme zu.
Schritt 5 – Vorbereitung für Ransomware Das gezielte Angreifen von Backup-Infrastrukturen ist ein bekanntes Muster: Wer die Backups kontrolliert, kann Unternehmen in die Knie zwingen. Zahlen oder alles verlieren.
Die erschreckende Erkenntnis: Grundlagen wurden ignoriert
Der Angriff nutzte keine geheimen Schwachstellen, keine neu entdeckten Sicherheitslücken. Er nutzte Fehler, die seit Jahren bekannt sind:
- Management-Oberflächen direkt im Internet erreichbar
- Schwache oder wiederverwendete Passwörter
- Keine Multi-Faktor-Authentifizierung
KI hat diese bekannten Schwachstellen lediglich im industriellen Maßstab ausgenutzt. Das Erschreckende: Gegen gut gesicherte Umgebungen waren die Angreifer machtlos. Sie scheiterten, gaben auf – und suchten sich einfachere Ziele.
Stellen Sie Ihrem IT-Verantwortlichen diese 4 Fragen – heute noch
Als WatchGuard Gold Partner erleben wir regelmäßig, dass die entscheidenden Sicherheitslücken nicht an fehlender Technologie liegen – sondern an fehlenden Antworten auf ganz grundlegende Fragen. Stellen Sie diese vier Fragen. Jetzt.
1. Sind unsere Firewall-Management-Oberflächen von außen erreichbar? Wenn Ihr IT-Verantwortlicher nicht sofort mit „Nein, absolut nicht“ antworten kann, besteht Handlungsbedarf. WatchGuard-Lösungen sind darauf ausgelegt, Management-Zugriffe konsequent abzuschirmen und nur über definierte, gesicherte Wege zugänglich zu machen.
2. Müssen unsere VPN-Nutzer sich mit mehr als nur einem Passwort authentifizieren? Ein Passwort allein ist kein ausreichender Schutz mehr. Multi-Faktor-Authentifizierung ist keine Kür – sie ist Pflicht. Fragen Sie konkret: Ist MFA bei uns für alle VPN-Zugänge aktiv und wird sie lückenlos durchgesetzt?
3. Würden wir es merken, wenn sich jemand mit gestohlenen Zugangsdaten einloggt? Angreifer bewegen sich oft wochenlang unbemerkt in Netzwerken. Haben Sie aktives Monitoring auf anomale Login-Muster und ungewöhnliche Netzwerkbewegungen – oder verlassen Sie sich darauf, dass schon nichts passiert?
4. Was passiert, wenn unsere Backups kompromittiert werden? Backup-Infrastrukturen sind das bevorzugte Angriffsziel vor Ransomware-Attacken. Sind Ihre Backup-Systeme vom restlichen Netzwerk isoliert – und wer hat darauf Zugriff?
Wenn auch nur eine dieser Fragen offen bleibt, sollten wir sprechen.
Was sollten Sie jetzt tun?
Die Frage ist nicht ob solche Angriffe zunehmen – sie werden es. KI senkt die Einstiegshürde für Cyberkriminelle dramatisch. Die entscheidende Frage ist: Gehört Ihr Unternehmen zu den Zielen, die Angreifer meiden – oder zu denen, bei denen sie erfolgreich sind?
Wir bieten Ihnen ein kostenloses Security-Audit Ihrer Firewall-Infrastruktur. Konkret, praxisnah und ohne Verkaufsdruck. Wir analysieren Ihre aktuelle Konfiguration und zeigen Ihnen genau, wo Handlungsbedarf besteht.
-> 0800 2000 023 oder service@digitalwehr.de