Hackerangriff auf Amazon: Über 600 kompromitierte Firewalls

Details: Geschrieben von Sven Brückner; Veröffentlicht: 25. Februar 2026

Sicherheitsforscher von "Amazon Threat Intelligence" haben eine breit angelegte Angriffswelle auf FortiGate-Firewalls untersucht. Zwischen Januar und Februar 2026 wurden mehr als 600 Systeme in über 55 Ländern kompromittiert. Die Täter nutzten dabei keine neu entdeckten Schwachstellen, sondern setzten auf offen erreichbare Verwaltungsports sowie schwache Zugangsdaten ohne Mehrfaktor-Authentifizierung.

Nach Einschätzung der Analysten handelte es sich nicht um eine staatlich gesteuerte Gruppe. Vielmehr sprechen die Indizien für finanziell motivierte Akteure mit begrenzten Ressourcen. Entscheidender Faktor war der Einsatz kommerzieller KI-Dienste. Diese halfen bei der Planung, der automatisierten Erstellung von Angriffsskripten und der Auswertung erbeuteter Daten. Bekannte Angriffsmuster ließen sich so effizient skalieren.

Bildquelle: Erstellt mit getimg.ai

Nach erfolgreichem Zugriff sicherten die Angreifer vollständige Gerätekonfigurationen. Dazu gehörten Anmeldedaten, VPN-Informationen und Details zur internen Netzwerkstruktur. In mehreren Fällen gelang auch der Zugriff auf Active-Directory-Umgebungen. Dabei wurden weitere Zugangsdaten extrahiert und Backup-Systeme identifiziert. Dieses Vorgehen gilt als typischer Vorbereitungsschritt für spätere Ransomware-Attacken.

Bildquelle: wallpapercave

Der Vorfall verdeutlicht, dass KI als Beschleuniger wirkt, jedoch keine grundlegenden Sicherheitslücken ersetzt. Entscheidend waren fehlende Basismaßnahmen. Wenn Management-Schnittstellen direkt aus dem Internet erreichbar sind, genügen automatisierte Scans und einfache Passwörter für eine Übernahme. KI erhöht in diesem Szenario vor allem die Geschwindigkeit und Reichweite. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt im IT-Grundschutz ausdrücklich, Administrations- und Managementzugänge auf definierte Quell-IP-Adressen oder Adressbereiche zu beschränken. Ein Zugriff aus nicht vertrauenswürdigen Netzen darf nicht möglich sein.

Für Administratoren ergeben sich klare Prioritäten. Management-Ports sollten nicht öffentlich zugänglich sein. Der Zugriff sollte ausschließlich über VPN- oder Jump-Host-Lösungen erfolgen. Ergänzend sind IP-Restriktionen, konsequente Passwort-Richtlinien, Mehrfaktor-Authentifizierung, Netzwerksegmentierung und zeitnahe Sicherheitsupdates umzusetzen. Diese Maßnahmen adressieren exakt die Angriffsklasse, die hier erfolgreich ausgenutzt wurde.

Hier finden sich die Kauflinks