Eine neue Analyse von Amazon Threat Intelligence zeigt, wie stark kommerzielle KI-Dienste inzwischen als Beschleuniger für Cyberangriffe missbraucht werden. Zwischen Januar und Februar 2026 wurden mehr als 600 FortiGate-Firewalls in über 55 Ländern kompromittiert – ohne neue Zero-Day-Lücken, sondern mit erschreckend simplen Methoden.
Keine Hightech-Exploits – sondern offene Admin-Ports
Die Angreifer nutzten laut Untersuchung keine neu entdeckten Schwachstellen. Stattdessen setzten sie auf öffentlich erreichbare Verwaltungsports, schwache Passwörter und fehlende Multi-Faktor-Authentifizierung. Genau jene Versäumnisse also, die seit Jahren als elementare Sicherheitslücken gelten.
Betroffen waren Geräte des Herstellers Fortinet, insbesondere FortiGate-Firewalls, die weltweit in Unternehmen und Behörden im Einsatz sind.
KI automatisiert Planung, Angriff und Auswertung
Nach Einschätzung der Analysten handelte es sich nicht um eine staatlich gesteuerte APT-Gruppe, sondern vermutlich um eine finanziell motivierte Einzelperson oder kleine Gruppierung. Mithilfe mehrerer kommerziell verfügbarer KI-Dienste konnten bekannte Angriffsmuster automatisiert skaliert werden.
Die KI unterstützte bei der Identifikation angreifbarer Systeme, der Generierung und Optimierung von Angriffsskripten und der automatisierten Auswertung kompromittierter Konfigurationen. Damit wurde ein Angriffsmodell, das früher technisches Expertenwissen erforderte, massentauglich gemacht.
Tiefer Zugriff: VPN-Daten, AD-Zugänge und Backups im Visier
Nach erfolgreichem Eindringen exfiltrierten die Täter komplette Gerätekonfigurationen – darunter VPN-Zugangsdaten, Netzwerkarchitekturen und Administrationsinformationen. In mehreren Fällen gelang es, Active-Directory-Umgebungen zu kompromittieren und Anmeldeinformationen auszulesen.
Besonders brisant: Auch Backup-Systeme wurden gezielt identifiziert. Dieses Vorgehen gilt als klassischer Vorbereitungsschritt für Ransomware-Angriffe, bei denen zunächst Wiederherstellungsoptionen ausgeschaltet werden.
Sicherheits-Basics entscheiden – nicht KI
Der Vorfall unterstreicht eine zentrale Erkenntnis: KI ersetzt keine elementaren Schutzmaßnahmen – sie verstärkt nur deren Versäumnisse. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt im IT-Grundschutz ausdrücklich vor, dass Administrations- und Managementschnittstellen nicht aus untrusted Netzwerken erreichbar sein dürfen. Der Zugriff ist auf definierte Quell-IP-Adressen oder -Bereiche zu beschränken.
Experten empfehlen daher: Keine öffentlich erreichbaren Management-Ports, Zugriff ausschließlich über VPN oder dedizierte Jump-Hosts, konsequentes IP-Allowlisting, aktivierte Multi-Faktor-Authentifizierung, regelmäßige Passwortrotation, Netzwerksegmentierung und Monitoring sowie zeitnahe Installation von Sicherheitsupdates.
„Sofortmaßnahme“: Admin-Zugänge absichern
Der Fall zeigt exemplarisch: Erfolgreiche Angriffe scheitern selten an fehlender KI – sondern an fehlender Disziplin bei den Grundlagen. Offene Web-Admin-Oberflächen in Kombination mit schwachen Zugangsdaten reichen aus, um Systeme weltweit zu kompromittieren. KI sorgt lediglich für Geschwindigkeit und Skalierung.
Für IT-Verantwortliche bedeutet das: Wer Management-Zugänge konsequent absichert, verhindert genau diese Angriffsklasse am effektivsten.
