WZ-IT Logo

FortiGate-SSL-VPN-Risiko 2026: Warum exponierte VPN-Appliances zur Belastung werden und ZTNA die Alternative ist

Timo Wevelsiep
Timo Wevelsiep
#FortiGate #SSLVPN #ZTNA #NetBird #NIS2 #ZeroTrust #Fernzugriff #Souveraenitaet

Hinweis zum Inhalt: Die Informationen in diesem Artikel wurden nach bestem Wissen zum Zeitpunkt der Veröffentlichung zusammengestellt. Technische Details, Preise, Versionen, Lizenzmodelle und externe Inhalte können sich ändern. Bitte prüfen Sie die genannten Angaben eigenständig, insbesondere vor geschäftskritischen oder sicherheitsrelevanten Entscheidungen. Dieser Artikel ersetzt keine individuelle Fach-, Rechts- oder Steuerberatung.

FortiGate-SSL-VPN-Risiko 2026: Warum exponierte VPN-Appliances zur Belastung werden und ZTNA die Alternative ist

Ist Ihr Fernzugriff noch eine internet-exponierte SSL-VPN-Appliance? Wir prüfen die Angriffsfläche und planen den Umstieg auf ZTNA. WZ-IT betreibt souveräne, selbst gehostete Mesh-Plattformen (Remote-Management-Plattformen) auf EU-Infrastruktur, mit CVE-Monitoring und NIS2-konformer Dokumentation. Erstgespräch buchen · Security-Audit · CVE-Monitoring

Am 26. Februar 2026 ordnete die US-Behörde CISA per Binding Operational Directive an, einen aktiv ausgenutzten FortiOS-Zero-Day binnen 72 Stunden zu patchen oder den Dienst abzuschalten. Fortinet FortiOS CVE-2026-0847 (CVSS 9.8) ist eine Authentication-Bypass-Lücke in der SSL-VPN-Funktion: Ein nicht authentifizierter Angreifer umgeht die Anmeldung und erhält Netzzugriff. Laut Berichten waren rund 47.000 FortiGates internet-exponiert. Die Angreifer waren binnen Minuten nach Identifikation am Gerät, mit Credential-Harvesting, Backdoors, Lateral Movement und in mehreren Fällen anschließendem Ransomware-Einsatz.

FortiGate ist dabei kein Einzelfall. 2026 ist das Jahr, in dem die internet-exponierte SSL-VPN-Appliance als Kategorie zur Belastung geworden ist. Citrix NetScaler, Ivanti Sentry und FortiClient EMS folgten innerhalb weniger Monate mit eigenen kritischen, aktiv ausgenutzten Lücken. Dieser Beitrag ordnet die Welle ein, erklärt, warum der offene VPN-Port am Netzrand strukturell das Problem ist, und zeigt den praktischen Weg zu identitätsbasiertem ZTNA auf Basis einer souveränen, selbst gehosteten Mesh-Architektur.

Inhaltsverzeichnis

Die VPN-Appliance-Welle 2026 im Faktencheck

Vier Vorfälle in einem halben Jahr zeigen ein Muster, kein Einzelversagen eines Herstellers. Alle Daten gegen NVD und CISA-KEV geprüft (Stand Juni 2026):

Produkt CVE CVSS Typ Status
FortiOS SSL-VPN CVE-2026-0847 9.8 Auth-Bypass (unauth) CISA-Directive 26.02.2026, 72 h
Citrix NetScaler ADC/Gateway CVE-2026-3055 9.3 Out-of-Bounds-Read / Memory Overread CISA-KEV 30.03.2026
Ivanti Sentry CVE-2026-10520 10.0 pre-auth OS Command Injection (Root) CISA-KEV 11.06.2026
FortiClient EMS CVE-2026-35616 9.1 API-Auth-Bypass ausgenutzt ab ~31.03.2026

FortiOS CVE-2026-0847. Betroffen sind FortiOS 7.0.0-7.0.15, 7.2.0-7.2.9 und 7.4.0-7.4.6; Fixes in 7.0.16, 7.2.10 und 7.4.7. Zwischen Disclosure und flächendeckendem Patch lag ein Zeitfenster, in dem Angreifer die rund 47.000 exponierten Geräte massenhaft scannten.

Citrix NetScaler CVE-2026-3055 (CVSS 9.3) ist ein Out-of-Bounds-Read, der unauthentifiziert Speicherinhalte der Appliance leaken kann, inklusive Session-Tokens. Betroffen sind ausschließlich Appliances, die als SAML Identity Provider konfiguriert sind; die Begleit-CVE-2026-4368 (CVSS 7.7) betrifft Gateway- und AAA-vServer. Citrix veröffentlichte das Advisory am 23. März 2026; CISA nahm die CVE am 30. März 2026 wegen aktiver Ausnutzung in den KEV-Katalog auf. Das Muster erinnert an die NetScaler-Vorfälle der Vorjahre (CitrixBleed).

Ivanti Sentry CVE-2026-10520 erreicht den Maximalwert CVSS 10.0: eine pre-auth OS Command Injection, die nicht authentifizierten Angreifern mit Zugriff auf den Managementport 8443 Root-Code-Ausführung erlaubt. Betroffen sind Sentry 10.5.1, 10.6.1, 10.7.0 und älter (Fixes in 10.5.2, 10.6.2, 10.7.1). Seit dem 11. Juni 2026 im CISA-KEV; Sicherheitsforscher beobachteten Kompromittierungen kurz nach Patch-Release.

FortiClient EMS CVE-2026-35616 (CVSS 9.1) ist ein Improper-Access-Control-/API-Auth-Bypass in den Versionen 7.4.5 und 7.4.6. Besonders perfide: Eine Angreifergruppe nutzte die Lücke, um einen als Fortinet-Patch getarnten Infostealer auf die verwalteten Endpoints auszurollen. CISA nahm die CVE am 6. April 2026 in den KEV-Katalog auf.

Warum die SSL-VPN-Appliance zur Belastung wird

Das gemeinsame Muster ist nicht der einzelne Bug, sondern die Architektur. Eine klassische SSL-VPN-Appliance ist ein internet-exponierter, hochprivilegierter Single Point of Failure:

  • Sie hat per Definition einen offenen Port am Internet-Rand (typisch 443), den jeder Scanner findet. Suchmaschinen wie Shodan indexieren exponierte FortiGates, NetScaler und Ivanti-Gateways fortlaufend.
  • Nach erfolgreicher Anmeldung gewährt sie häufig flachen Netzzugriff, der kompromittierte VPN-Endpunkt wird zum Sprungbrett für Lateral Movement.
  • Sie terminiert TLS, hält Credentials und Session-Tokens im Speicher und ist damit ein lohnendes Ziel für Memory-Leaks (siehe NetScaler) und Auth-Bypässe (siehe FortiOS).
  • Patches erfordern Wartungsfenster, HA-Failover und Funktionstests. Das Zeitfenster zwischen Disclosure und Rollout ist genau das Fenster, in dem Massen-Scanning läuft.

Das ist kein Fortinet-spezifisches Problem. Dieselbe strukturelle Schwäche haben wir bereits bei Cisco ASA und ArcaneDoor beschrieben. Solange der Zugriffsweg ein offener, anonym erreichbarer Listener ist, bleibt jede neue Lücke in der Appliance ein potenzieller Vollzugriff aufs Netz.

Von flachem VPN zu identitätsbasiertem ZTNA

Die Antwort auf ein Architekturproblem ist eine andere Architektur. ZTNA (Zero Trust Network Access) dreht das Modell um: Statt "erst ins Netz, dann sehen, was erreichbar ist" gilt "erst Identität und Kontext prüfen, dann genau eine Anwendung freigeben". Die Kernunterschiede:

  • Kein anonymer Listener am Internet-Rand. Verbindungen werden ausgehend und identitätsbasiert aufgebaut; es gibt keinen offenen Port, der vorab eine Authentifizierung anbietet.
  • Zugriff pro Anwendung statt aufs ganze Netz. Eine Richtlinie wie "Gruppe Wartung darf SPS-Subnetz an Standort B erreichen" ersetzt den flachen Tunnel.
  • Identität, Gerätezustand und Kontext entscheiden über jeden Zugriff, nicht ein einmal validiertes VPN-Login.
  • Vollständiger Audit-Trail: Wer hat wann auf welche Anwendung zugegriffen. Das ist die Grundlage für NIS2-Nachweise.

Was ZTNA genau bedeutet und wie es sich vom klassischen VPN abgrenzt, vertieft unser Wissensartikel Was ist ZTNA?. Wichtig: ZTNA ist kein Produkt eines einzelnen Herstellers, sondern ein Architekturprinzip, umsetzbar mit kommerziellen Clouds (Zscaler, Cloudflare, Twingate) oder mit souveränen, selbst gehosteten Open-Source-Komponenten.

NetBird plus IdP als souveräne Mesh-Alternative

Für DACH-Unternehmen mit Souveränitätsanspruch ist die selbst gehostete Variante besonders attraktiv. NetBird ist eine in Berlin entwickelte, WireGuard-basierte Zero-Trust-Mesh-Plattform unter BSD-3-Lizenz. Management-Server, Signal-Server und Relay (TURN) sind Open Source und vollständig selbst hostbar.

Statt eines exponierten Konzentrators entsteht ein flaches, peer-to-peer verschlüsseltes Overlay: Jeder Knoten erreicht jeden anderen direkt, sofern die Richtlinie es erlaubt. Es gibt keinen zentralen Internet-Listener als Single Point of Failure. Auf das WireGuard-Fundament setzt NetBird eine Management-Ebene mit:

  • SSO-/IdP-Anbindung an Keycloak, Authentik oder Entra ID, die Identität kommt aus dem eigenen Verzeichnis, nicht aus der VPN-Box.
  • Gruppenbasierten Zugriffsrichtlinien (Netzwerk-Segmentierung pro Anwendung).
  • Audit-Trail über alle Verbindungen.

Der Souveränitätsvorteil: Steuerebene und Datenebene laufen auf eigener oder EU-Infrastruktur, der IdP bleibt im Haus, es gibt keine Abhängigkeit von einer US-Cloud. NetBird hat im Januar 2026 eine Series A über 8,5 Mio. Euro abgeschlossen und wird aktiv weiterentwickelt. Eine Einordnung gegenüber Tailscale und reinem WireGuard liefert unser Vergleich NetBird vs. Tailscale vs. WireGuard. Wer ein reines WireGuard-Fundament für die Standortanbindung braucht, findet die Optionen auf unserer WireGuard-Expertiseseite.

In der Praxis betreiben wir genau dieses Modell produktiv: Bei ABCO Water Systems in Australien erfolgt die sichere Fernwartung von Maschinen und Anlagen über ein identitätsbasiertes Mesh statt über einen exponierten VPN-Konzentrator.

Migrationspfad in fünf Schritten

Ein Wechsel muss kein Big-Bang-Cutover sein. Bewährt hat sich der parallele Aufbau:

  1. Bestandsaufnahme und Audit. Welche VPN-Appliances sind internet-exponiert? Welche Versionen, welche offenen CVEs, welche Nutzer- und Maschinenzugänge laufen darüber? Das ist der Kern unseres Security-Audits.
  2. IdP als Single Source of Truth. Identitäten, Gruppen und MFA in Keycloak, Authentik oder Entra ID konsolidieren. Ohne sauberen IdP gibt es kein belastbares ZTNA.
  3. Mesh-Pilot. NetBird-Steuerebene auf eigener oder EU-Infrastruktur aufsetzen, erste Nutzergruppe und ein nicht kritisches Zielsystem per Richtlinie anbinden, Audit-Logging verifizieren.
  4. Schrittweise Migration. Nutzergruppen und Maschinenzugänge nacheinander vom SSL-VPN auf das Mesh umstellen. Die FortiGate bleibt vorerst als Firewall und für Site-to-Site-Tunnel im Einsatz.
  5. Listener abschalten. Sobald keine Endnutzer mehr über den SSL-VPN-Dienst gehen, wird der internet-exponierte Listener deaktiviert, die zentrale Angriffsfläche verschwindet.

Den Architekturhintergrund für einen NIS2-konformen Fernzugriff vertieft unser Wissensartikel NIS2-konformer Fernzugriff.

NIS2 und die Haftungsfrage

Die deutsche NIS2-Umsetzung verpflichtet wesentliche und wichtige Einrichtungen zu dokumentiertem Risikomanagement, explizit inklusive Schwachstellen- und Patch-Management (Art. 21), sowie zu Meldepflichten binnen 24 und 72 Stunden (Art. 23). Hinzu kommt die persönliche Haftung der Geschäftsleitung; Bußgelder reichen bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Eine internet-exponierte VPN-Appliance mit einer bekannten CVSS-9.8-Lücke, die mangels Patch-SLA wochenlang ungepatched läuft, ist im Audit ein klassischer Befund. Die ersten formellen NIS2-Audits laufen ab dem 30. Juni 2026. Wer dagegen einen dokumentierten CVE-Monitoring- und Patch-Prozess sowie eine identitätsbasierte, segmentierte Zugriffsarchitektur mit Audit-Trail nachweisen kann, erfüllt mehrere Anforderungen gleichzeitig.

Dieser Beitrag ist allgemeine Information und keine Rechtsberatung. Wir sind Ingenieure, keine Juristen, die konkrete Bewertung Ihrer NIS2-Pflichten gehört in fachkundige rechtliche Hände.

Unser Vorgehen bei WZ-IT

WZ-IT ist ein deutscher Managed-Service-Provider für souveräne IT und managed Open Source. Bei der Ablösung internet-exponierter VPN-Appliances arbeiten wir so:

  • Security-Audit zuerst. Wir kartieren die Angriffsfläche: exponierte Appliances, Versionsstände, offene CVEs, Zugriffswege. Ergebnis ist ein priorisierter Maßnahmenplan, siehe Security-Audit.
  • Souveräne Mesh-Plattform statt Konzentrator. Wir bauen und betreiben NetBird-basierte Remote-Management-Plattformen auf eigener oder Ihrer EU-Infrastruktur, mit Anbindung an Ihren IdP und gruppenbasierten Richtlinien.
  • CVE-Monitoring und Patch-SLA. Tägliche Prüfung gegen NVD, CISA-KEV, CERT-Bund und BSI, mit dokumentierter Reaktion als Anlage zur NIS2-Risikomanagement-Doku. Mehr unter CVE-Monitoring.
  • Parallelbetrieb und sauberer Cutover. Die bestehende Firewall bleibt im Betrieb, der SSL-VPN-Listener wird erst abgeschaltet, wenn alle Zugänge migriert und verifiziert sind.
  • NIS2-konforme Dokumentation. Architektur, Richtlinien und Audit-Trail werden so dokumentiert, dass sie einem Audit standhalten.

Weiterführende Guides

Sie betreiben eine FortiGate-, Citrix- oder Ivanti-Appliance mit internet-exponiertem SSL-VPN und wollen die Angriffsfläche reduzieren? Wir prüfen Ihren Fernzugriff im Security-Audit und planen den Umstieg auf eine souveräne, identitätsbasierte Mesh-Architektur, ohne Big-Bang-Cutover.

Erstgespräch buchen · Remote-Management-Plattformen · CVE-Monitoring

Quellen

Häufig gestellte Fragen

Antworten auf wichtige Fragen zu diesem Thema

CVE-2026-0847 ist eine Authentication-Bypass-Lücke in der FortiOS-SSL-VPN-Funktion mit CVSS 9.8. Ein nicht authentifizierter Angreifer kann die SSL-VPN-Anmeldung umgehen und Netzzugriff erlangen. Betroffen sind FortiOS 7.0.0-7.0.15, 7.2.0-7.2.9 und 7.4.0-7.4.6; die Fixes liegen in 7.0.16, 7.2.10 und 7.4.7. Rund 47.000 FortiGates waren laut Berichten internet-exponiert. CISA nahm die CVE in den Known-Exploited-Vulnerabilities-Katalog auf und ordnete am 26. Februar 2026 per Binding Operational Directive an, betroffene SSL-VPN-Dienste binnen 72 Stunden zu patchen oder abzuschalten.

Die Welle trifft mehrere Hersteller. Citrix NetScaler ADC/Gateway: CVE-2026-3055 (CVSS 9.3, Out-of-Bounds-Read / Memory Overread) plus CVE-2026-4368, im CISA-KEV seit 30. März 2026, betrifft Appliances mit SAML-IdP-Konfiguration. Ivanti Sentry: CVE-2026-10520 (CVSS 10.0, pre-auth OS Command Injection bis Root, Managementport 8443), seit 11. Juni 2026 im CISA-KEV. FortiClient EMS: CVE-2026-35616 (CVSS 9.1, API-Auth-Bypass), seit März 2026 ausgenutzt und genutzt, um einen Infostealer als angeblichen Fortinet-Patch auszuliefern.

Ein klassisches SSL-VPN terminiert auf einer internet-exponierten Appliance und gewährt nach erfolgreicher Anmeldung breiten Netzzugriff (flaches Netz). ZTNA (Zero Trust Network Access) gewährt Zugriff pro Anwendung statt aufs ganze Netz, auf Basis von Identität, Gerätezustand und Kontext. Es gibt keinen offenen Port am Internet-Rand, der als zentrale Angriffsfläche dient; Verbindungen werden identitätsbasiert und richtliniengesteuert aufgebaut. Details im Wissensartikel zu ZTNA.

NetBird ist eine in Berlin entwickelte, WireGuard-basierte Zero-Trust-Mesh-Plattform unter BSD-3-Lizenz. Management-, Signal- und Relay-Server sind Open Source und vollständig selbst hostbar, auf eigener oder EU-Infrastruktur, mit Anbindung an den eigenen Identity Provider (Keycloak, Authentik, Entra ID). Damit bleibt die Datenhoheit im Haus, ohne Abhängigkeit von einer US-Cloud. Statt eines exponierten Konzentrators entsteht ein flaches, peer-to-peer verschlüsseltes Overlay mit gruppenbasierten Richtlinien und Audit-Trail.

Nein. Der pragmatische Weg ist ein paralleler Aufbau. Die FortiGate bleibt zunächst als Firewall und für Site-to-Site-Tunnel im Einsatz, der internet-exponierte SSL-VPN-Dienst für Endnutzer und Fernwartung wird aber durch ein identitätsbasiertes Mesh abgelöst. Schrittweise migrieren Nutzergruppen und Maschinenzugänge auf ZTNA, danach lässt sich der SSL-VPN-Listener am Internet-Rand abschalten. So sinkt die Angriffsfläche, ohne dass ein Big-Bang-Cutover nötig ist.

Die deutsche NIS2-Umsetzung verlangt dokumentiertes Risiko- und Schwachstellenmanagement (Art. 21) sowie Meldepflichten binnen 24 und 72 Stunden (Art. 23), mit persönlicher Haftung der Geschäftsleitung. Eine internet-exponierte VPN-Appliance mit bekannter CVSS-9.8-Lücke, die wochenlang ungepatched läuft, ist ein klassischer Audit-Befund. Die ersten formellen Audits laufen ab dem 30. Juni 2026. Wer einen dokumentierten Patch- und CVE-Monitoring-Prozess sowie eine identitätsbasierte Zugriffsarchitektur nachweisen kann, steht deutlich besser da.

Timo Wevelsiep

Geschrieben von

Timo Wevelsiep

Co-Founder & CEO

Co-Founder von WZ-IT. Spezialisiert auf Cloud-Infrastruktur, Open-Source-Plattformen und Managed Services für KMUs und Enterprise-Kunden weltweit.

LinkedIn

Lassen Sie uns über Ihre Idee sprechen

Ob konkrete IT-Herausforderung oder einfach eine Idee - wir freuen uns auf den Austausch. In einem kurzen Gespräch prüfen wir gemeinsam, ob und wie Ihr Projekt zu WZ-IT passt.

E-Mail
[email protected]

Führende Unternehmen vertrauen WZ-IT

  • Rekorder
  • Keymate
  • Führerscheinmacher
  • SolidProof
  • ARGE
  • Boese VA
  • nextGYM
  • Maho Management
  • Golem.de
  • Millenium
  • Paritel
  • Yonju
  • EVADXB
  • Mr. Clipart
  • Aphy
  • Negosh
  • ABCO Water Systems
Timo Wevelsiep & Robin Zins - CEOs of WZ-IT

Timo Wevelsiep & Robin Zins

Geschäftsführer

1/3 - Themenauswahl33%

Worum geht es bei Ihrer Anfrage?

Wählen Sie einen oder mehrere Bereiche, bei denen wir Sie unterstützen dürfen.