Credential Leak: Massive breach spills credentials for thousands of sensitive networks
LGR Reutlingen – 18 Juni 2026 | Der jüngste Vorfall, den Sicherheitsexperten als Massive breach spills credentials for thousands of sensitive networks bezeichnen, hat die globale IT‑Sicherheitslandschaft erschüttert: Mehr als 74 000 Fortinet‑Firewalls aus über 21 000 IP‑Adressbereichen in 194 Ländern wurden kompromittiert, wobei Klartext‑Anmeldedaten öffentlich im Netz auftauchten.
Die Entdeckung geht zurück auf den Sicherheitsforscher Bob Diachenko von SecurityDiscovery.com, der über ein kompromittiertes Command‑and‑Control‑System Einblick in die Angreifer‑Infrastruktur erhielt. Dort stießen seine Analysen auf eine umfangreiche Log‑Datei, die nicht nur Benutzernamen und Passwörter, sondern auch Branchenzugehörigkeit, Umsatz und Mitarbeiterzahlen der betroffenen Unternehmen enthüllte. Zu den Opfern zählen Branchenriesen wie Oracle, Chevron, Lenovo, Federal Express, ein NATO‑Verteidigungsauftragnehmer und sogar Fortinet selbst.
Massive breach spills credentials for thousands of sensitive networks – Ausmaß und Folgen
Nach Schätzungen von Shodan entspricht die Zahl der betroffenen Geräte etwa der Hälfte aller internet‑exponierten Fortinet‑Firewalls. Unabhängige Forschungen von Kevin Beaumont bestätigten, dass „fast alle“ kompromittierten Geräte zum Zeitpunkt der Berichterstattung noch aktiv waren. Mehrere Unternehmen, deren Namen in den Angreifer‑Logs auftauchten, bestätigten, dass die veröffentlichten Anmeldedaten aktuell und funktionsfähig seien.
Die Angreifer nutzten die erlangten Zugangsdaten nicht nur, um einzelne Geräte zu kontrollieren. In vielen Fällen gelang ihnen der Zugriff auf zentrale Authentifizierungsdienste wie RADIUS‑Server oder Microsoft Active Directory. Damit eröffneten sie sich potenziell die gesamte Netzwerkstruktur ihrer Opfer, inklusive sensibler Unternehmensdaten, Kundendatenbanken und interner Kommunikationskanäle.
Die betroffenen Organisationen stehen nun vor einem Dilemma: Einerseits muss sofortiges Patch‑Management und das Zurücksetzen aller kompromittierten Anmeldedaten erfolgen, andererseits ist der mögliche Missbrauch bereits erfolgt. Experten warnen, dass Angreifer bereits seit Wochen – möglicherweise Monate – innerhalb der Netzwerke operieren und Daten exfiltrieren könnten.
Fortinet reagierte mit einer Reihe von Sicherheitspatches und einer offiziellen Mitteilung, in der das Unternehmen die betroffenen Kunden aufforderte, ihre Geräte zu aktualisieren und alle Standard‑Credentials zu ändern. Der Vorfall wirft jedoch ein Schlaglicht auf strukturelle Schwächen in der Konfiguration von Netzwerk‑Perimetern: Viele Unternehmen setzen weiterhin auf veraltete Firmware‑Versionen oder lassen Standard‑Passwörter unverändert.
Die Tatsache, dass russischsprachige Akteure hinter dem Angriff stehen, lässt auf ein geopolitisch motiviertes Interesse schließen. Laut US‑Cyber‑Security‑Analysten könnte es sich um ein Werkzeug zur langfristigen Aufklärung handeln, das gezielt kritische Infrastrukturen in den USA, Europa und Asien ins Visier nimmt.
Die betroffenen Unternehmen reagieren unterschiedlich. Oracle hat intern bereits ein Incident‑Response‑Team mobilisiert und arbeitet eng mit Fortinet zusammen, um mögliche Hintertüren zu schließen. Chevron betont, dass keine kritischen Produktionssysteme betroffen seien, weist jedoch auf die Notwendigkeit strengerer Netzwerksegmentierung hin. Lenovo plant, die Sicherheitsarchitektur seiner Cloud‑Services zu überarbeiten, um ähnliche Angriffe künftig zu verhindern.
Aus Sicht der IT‑Sicherheit ist der Vorfall ein Lehrbeispiel für die Gefahr von „Supply‑Chain‑Risiken“. Fortinet‑Firewalls sind weit verbreitet, doch ein einzelner Herstellerfehler kann tausende Unternehmen gleichzeitig betreffen. Sicherheitsforscher empfehlen deshalb, nicht nur auf Geräte‑Updates zu setzen, sondern ein mehrschichtiges Zero‑Trust‑Modell zu implementieren, das jeden Zugriff prüft, selbst wenn er von einem scheinbar vertrauenswürdigen Perimeter‑Gerät stammt.
Der Vorfall hat auch regulatorische Diskussionen neu entfacht. In Europa prüft die Europäische Kommission, ob bestehende Vorgaben der NIS‑Richtlinie ausreichend sind, um derart massiven Datenverlusten vorzubeugen. In den USA fordern mehrere Kongressabgeordnete ein verpflichtendes Reporting von Sicherheitslücken bei kritischen Infrastruktur‑Anbietern.
Für kleinere und mittlere Unternehmen (KMU) stellt die Situation eine Warnung dar. Viele von ihnen nutzen Fortinet‑Appliances als kostengünstige Sicherheitslösung, ohne regelmäßige Updates oder ein umfassendes Monitoring. Ein kompromittiertes Gerät kann hier schnell zur Einfallstor für Ransomware oder Datendiebstahl werden.
Der Vorfall verdeutlicht zudem die Notwendigkeit einer verbesserten Zusammenarbeit zwischen privaten Sicherheitsfirmen, staatlichen Stellen und betroffenen Unternehmen. Der schnelle Zugriff von Bob Diachenko auf das Command‑and‑Control‑System war nur möglich, weil die Angreifer ihre Infrastruktur nicht ausreichend verschleierten. Ein koordiniertes Threat‑Intelligence‑Sharing könnte jedoch verhindern, dass solche Daten unbemerkt im Netz verbleiben.
Im Zuge des „Credential Leak“ haben mehrere Sicherheitsanbieter bereits Tools veröffentlicht, die automatisiert nach veröffentlichten Klartext‑Credentials suchen und Unternehmen alarmieren. Diese Lösungen können dabei helfen, die Angriffsfläche schnell zu reduzieren, indem sie kompromittierte Anmeldedaten sofort sperren.
Zusammenfassend lässt sich sagen, dass der Massive breach spills credentials for thousands of sensitive networks nicht nur ein technisches Versagen, sondern ein systemisches Problem in der globalen Netzwerksicherheit offenbart. Unternehmen müssen ihre Sicherheitsstrategien überdenken, regulatorische Rahmenbedingungen werden wahrscheinlich strenger, und die Branche steht vor der Herausforderung, Vertrauen in kritische Infrastrukturen wiederherzustellen.
