Cyberkriminelle greifen immer häufiger auf „fertige“ kommerzielle KI-Infrastruktur zurück und machen daraus eine Angriffspipeline, berichtet timestuff.de unter Berufung auf chip.de. Eine neue Kampagne, die Amazon Threat Intelligence untersucht hat, zeigt, wie selbst eine kleine Gruppe in Dutzenden Ländern Schaden anrichten kann.
Wie Amazon der Kampagne auf die Spur kam
Forscherinnen und Forscher von Amazon Threat Intelligence analysierten eine internationale Serie von Kompromittierungen, bei der mehr als 600 FortiGate-Firewalls in über 55 Ländern übernommen wurden. Der Zeitraum reicht von Januar bis Februar 2026, und die Dimension ergibt sich vor allem aus der Wiederholung: Es geht nicht um einen einzelnen „Lucky Punch“, sondern um ein systematisches Ausnutzen schwacher Schutzmechanismen weltweit. Genau diese Serientauglichkeit macht den Fall so lehrreich für Betreiber von Perimeter-Systemen.
Kein „Zero-Day“, sondern offene Türen
Besonders auffällig ist, dass die Angreifer keine neuen Sicherheitslücken brauchten. Sie setzten auf öffentlich erreichbare Verwaltungsports und schwache Zugangsdaten ohne Multi-Faktor-Authentifizierung (MFA). Wenn die Administration eines Geräts direkt aus dem Internet erreichbar ist, reichen Scans, Passwort-Raten oder der Abgleich mit geleakten Logins – und die Abwehr bricht an der einfachsten Stelle. In diesem Muster steckt die „Intelligenz“ nicht im Exploit, sondern im Ausnutzen fehlender Sicherheitsdisziplin.
KI machte Skalierung einfach – auch für weniger Erfahrene
Nach Einschätzung der Analysten wirkt die Aktion nicht wie eine staatlich gesteuerte Operation. Wahrscheinlicher ist eine finanziell motivierte Einzelperson oder Kleingruppe, der es um Gewinn ging und nicht um politische Wirkung. Für die Umsetzung nutzten die Täter mehrere kommerzielle KI-Dienste, um bekannte Angriffsabläufe zu automatisieren und großflächig auszurollen.
Die KI übernahm dabei nicht die „Zauberei des Hackens“, sondern die Routine, die früher Zeit und Know-how verschlang. Dazu gehören Planung, Skripterstellung und Auswertung der Ergebnisse – also genau die Bausteine, die aus einzelnen Versuchen einen Serienprozess machen. Dadurch werden KI-gestützte Cyberangriffe gefährlicher: Die Einstiegshürde sinkt, während Tempo und Reichweite steigen.
Was nach dem Zugriff auf FortiGate abgegriffen wurde
Nach dem Eindringen zogen die Angreifer vollständige Gerätekonfigurationen ab – häufig das Wertvollste, was am Netzwerkperimeter zu holen ist. In diesen Daten stecken typischerweise Benutzernamen und Passwörter, Netzwerk-Topologien sowie VPN-Informationen, die den Weg in interne Segmente öffnen. Ein einziger erfolgreicher Zugang kann so einen Dominoeffekt auslösen: vom Perimeter zu Servern und weiter bis in die Domäne.
In mehreren Fällen gelang es den Tätern außerdem, Active-Directory-Umgebungen zu berühren, Anmeldeinformationen auszulesen und gezielt Backup-Systeme zu prüfen. Das passt zu einem klassischen Vorlauf für Ransomware-Angriffe: erst Zugänge sichern, dann die Wiederherstellungsmöglichkeiten schwächen. Wenn Backups unter Druck geraten, wird Erpressung deutlich wirksamer.
Warum Basics selbst den modernsten KI-Ansatz ausbremsen
Der Fall macht eine einfache Wahrheit sichtbar: KI beschleunigt Angriffe, ersetzt aber keine fehlenden Schutzmaßnahmen. Wenn Admin-Zugänge von außen erreichbar sind und Passwörter schwach oder veraltet wirken, bleibt nur die Frage, wann jemand die richtigen Knöpfe drückt. Deshalb sind die Empfehlungen der Experten so bodenständig – und genau dadurch so effektiv.
Im Kern geht es darum, Management-Ports nicht öffentlich zu betreiben, Passwörter konsequent zu erneuern und MFA durchzusetzen. Ebenso wichtig sind Netzwerksegmentierung, aktuelle Patches und Monitoring auf verdächtige Aktivitäten nach einem möglichen Eindringen. Zusätzlich lohnt der Blick auf typische „Blind Spots“: Zugriffsprotokolle, ungewöhnliche Logins, auffällige VPN-Verbindungen und Versuche, Konfigurationen auszulesen.
Was das BSI konkret empfiehlt – und wie man es praktisch umsetzt
Das deutsche BSI fordert im IT-Grundschutz (Baustein Firewall) ausdrücklich, Administrations- und Managementzugänge auf einzelne Quell-IP-Adressen oder Adressbereiche zu begrenzen und Zugriffe aus nicht vertrauenswürdigen Netzen auszuschließen. Die Logik ist klar: Perimeter-Administration ist kein Dienst „für alle“, selbst wenn ein komplexes Passwort genutzt wird. Wenn erlaubte Quellen streng definiert sind, laufen Massenscans und Login-Versuche ins Leere.
Für Admin-Teams bedeutet das konkrete Schritte, die genau diese Angriffsklasse auf FortiGate am zuverlässigsten stoppen. Management-Ports verschwinden aus dem Internet, Zugriff erfolgt nur über VPN oder einen Jump-Host, ergänzt durch IP-Allowlisting und konsequent kontrollierte MFA als Pflicht. Dann prallt selbst die schnellste Automatisierung auf geschlossene Türen – statt auf die Hoffnung, dass ein Passwort irgendwann „passt“.
Wer neben Cybersecurity-Themen auch den Alltag im Blick behalten will, findet hier alle Details zum ÖPNV-Streik in Hessen und wo Pendler am Freitag und Samstag am stärksten betroffen sind.