Stand: 8. Mai 2026. Die ersten Maitage haben den Sicherheitsverantwortlichen im deutschsprachigen Raum eine unbequeme Wahrheit zurueckgespielt: Wer 2026 ein SonicWall-Geraet als Firewall- und VPN-Konzentrator betreibt und immer noch lokale Benutzerkonten ohne starke Multifaktor-Authentifizierung erlaubt, hat keine Lieferantenfrage mehr, sondern ein operatives Notfall-Thema. Die Akira-Ransomware-Affiliates haben sich in den letzten Monaten zur dominierenden Erpresser-Operation entwickelt. Forensik-Teams aus dem DACH-Raum berichten uebereinstimmend, dass im Schnitt rund 86 Prozent aller bestaetigten Akira-Faelle ueber ein SonicWall-SSL-VPN ihren Anfang genommen haben. Parallel hat die juengere Sinobi-Familie eine eigene Spielart aufgelegt: Sie kompromittiert nicht das Geraet, sondern die Zugangsdaten – meist erbeutet bei einem nachgelagerten Managed-Service-Provider, der den Kundenzugang ausserhalb der Hardware-Patch-Zyklen verwaltet.

Was wirklich passiert: Die Anatomie des modernen VPN-Eintritts

Akira ist seit Mitte 2025 die mit Abstand aktivste Ransomware-as-a-Service-Familie. Grosse Incident-Response-Dienstleister wie Arctic Wolf, eSentire und Darktrace fuehren die Gruppe inzwischen als Verursacher von rund 40 Prozent aller Cyber-Versicherungsfaelle in den Jahren 2025 und 2026. Die ueberwaeltigende Mehrheit dieser Faelle laeuft nicht ueber raffinierte Zero-Days, sondern ueber etwas viel Banaleres – funktionierende Zugangsdaten an einem Internet-erreichbaren VPN-Endpunkt. Forensische Auswertungen zeigen, dass die Affiliates im Mittel zwischen Erstanmeldung und Verschluesselung weniger als 60 Minuten benoetigen. Arctic Wolf hat diesen Modus operandi treffend "Smash and Grab" getauft: keine wochenlange Persistenz, kein langes Ausspaehen, sondern ein direkter Sprint vom VPN-Login zum Domain-Controller, gefolgt von der Massen-Verschluesselung.

Die technische Eintrittstuer ist meist eine der folgenden:

1. CVE-2024-40766 – Improper Access Control in SonicOS

Die im August 2024 veroeffentlichte Schwachstelle in der SSL-VPN- und Management-Schnittstelle erlaubt eine Authentifizierungsumgehung. Der Patch ist seit fast zwei Jahren verfuegbar – aber die forensische Realitaet zeigt: Bei Migrationen von Gen-6- auf Gen-7-Geraeten wurden lokale Benutzerpassworte aus der alten Konfiguration uebernommen. Jeder Praktikant, der zwischen 2018 und 2023 einmal "Test123!" als Servicekonto angelegt hatte, ist heute potenziell die Eintrittskarte. Die Akira-Affiliates kaufen Listen mit genau diesen Credential-Kombinationen aus Initial-Access-Broker-Foren.

2. CVE-2024-53704 – Improper Authentication im SSL-VPN-Mechanismus

Diese im Januar 2025 gepatchte Luecke erlaubt es einem Angreifer aus der Ferne, die Authentifizierung am SSL-VPN vollstaendig zu umgehen. Bishop Fox veroeffentlichte einen Proof-of-Concept; binnen Tagen hatten Akira-Affiliates ihn produktiv in ihre Toolchain integriert. Wer im Q1 2025 nicht gepatcht hat, hatte gegen Mitte 2025 in vielen Faellen bereits einen Vorfall.

3. Sinobi-Variante: gestohlene MSP-Credentials

Was im April und Mai 2026 neu hinzugekommen ist: Sinobi-Affiliates greifen nicht mehr die Hardware an, sondern den darueber liegenden Managed Service Provider. eSentire dokumentierte mehrere Faelle, in denen ein MSP-Mitarbeiterkonto kompromittiert wurde – per Vishing, Cookie-Diebstahl oder ueber eine Infostealer-Infektion auf dessen Privatgeraet. Mit diesem MSP-Zugang lassen sich saemtliche Kundennetze betreten, die der MSP betreut. Das besonders Tueckische: Diese Konten haben in der Praxis oft Domain-Administrator-Rechte in den Kundenumgebungen, weil das Onboarding einfacher war als ein sauberes Berechtigungskonzept.

Warum der deutsche Mittelstand besonders verwundbar ist

Dass diese Welle nicht laengst gebrochen ist, hat strukturelle Gruende. SonicWall ist im deutschen und oesterreichischen Mittelstand seit Jahren das Brot-und-Butter-Geraet vieler Systemhaeuser – preislich attraktiv, in vielen GfK-Listen positioniert, oft im Bundle mit einer Lizenz-Verlaengerung verkauft. Der Patch-Pfad sieht im Powerpoint des Herstellers immer einfach aus, in der Realitaet hat aber jede zweite Mittelstands-Firewall noch lokale Benutzerkonten aus der ersten Inbetriebnahme. Multifaktor-Authentifizierung ist haeufig nur "fuer den Admin" aktiv, nicht fuer alle VPN-Nutzer. Und das Logging laeuft entweder gar nicht oder in eine Datei, die nach 30 Tagen rotiert wird.

Hinzu kommt: Wer keine eigene SOC-Mannschaft betreibt, bemerkt die typischen Akira-Indikatoren – ungewoehnliche geographische Logins, Anmeldungen ausserhalb der Geschaeftszeiten, parallele Sitzungen unter dem gleichen Benutzer – schlicht nicht in Echtzeit. Wenn die Datenbank am Montagmorgen verschluesselt ist, hilft das Recovery-Backup, das vor 14 Tagen den letzten erfolgreichen Test absolviert hat – und das ist im Mittelstand keine Selbstverstaendlichkeit. Die durchschnittliche Loesegeldforderung von Akira liegt aktuell bei 1,2 Millionen US-Dollar; die Gesamt-Schadensschwere fuer Unternehmen mit weniger als 25 Millionen US-Dollar Jahresumsatz ist im Vergleich zum Vorjahr um 40 Prozent gestiegen.

Die zehn Dinge, die Sie heute pruefen sollten

Es waere unredlich, an dieser Stelle nur den Verweis "patchen Sie alles" zu setzen. Hier ist eine ehrliche, priorisierte Pruefliste, die wir bei pleXtec im Rahmen unserer Beratung zur Informationssicherheit gerade in jeder zweiten Erstanalyse durchgehen:

1. Patchstand verifizieren, nicht nur abfragen. Login auf der SonicWall, "show version" pruefen, gegen die offizielle Patchlist abgleichen. CVE-2024-40766, CVE-2024-53704 und alle Folgepatches muessen eingespielt sein. Vertrauen Sie keinem MSP-Bericht ohne Verifikation am Geraet.

2. Lokale SSL-VPN-Benutzer komplett ablaufen lassen. Auch wenn das schmerzhaft ist: Bei Gen-7-Geraeten, die per Migration von Gen-6 entstanden sind, sind alle lokalen Benutzerpassworte als kompromittiert zu betrachten. Setzen Sie alle zurueck, dokumentieren Sie das mit Datum.

3. MFA per TOTP oder FIDO2 erzwingen – fuer ALLE VPN-Nutzer, nicht nur fuer Admins. SMS-OTP ist 2026 keine Verteidigung mehr. Die Akira-Affiliates haben dokumentierte Vishing-Playbooks, in denen sie Endnutzer dazu bringen, einen SMS-Code an die "neue Hotline" weiterzugeben.

4. Idle-Disconnect und Concurrent-Logins begrenzen. Eine SonicWall, die parallele Sitzungen unter demselben Benutzernamen erlaubt, signalisiert dem SOC nicht, wenn ein Angreifer parallel zur regulaeren Mitarbeitersitzung aktiv ist. Ein Benutzer, eine aktive Sitzung – das ist kein Komfortverlust, das ist Hygiene.

5. Geo-Filter aktivieren, "Impossible Travel" alarmieren. Anmeldungen aus Russland, Iran, Nordkorea, Belarus haben in 99 von 100 Mittelstandsumgebungen nichts zu suchen. Wer in seinem Logging keinen Alarm fuer "User taucht innerhalb von zwei Stunden in Berlin und in Bratislava auf" konfiguriert hat, hat einen blinden Fleck.

6. Domain-Admin-Konten aus dem VPN-Pool entfernen. Wer ueber das SSL-VPN reinkommt, darf niemals mit einem Domain-Admin laufen. Nutzen Sie tiered access; geben Sie dem VPN-Tunnel nur Standardbenutzerrechte, eskalieren Sie ueber Privileged-Access-Workstations und Just-in-Time-Aktivierung.

7. MSP-Zugaenge auditieren. Falls ein externer Dienstleister Ihre Firewall betreut: Welche Konten hat er? Sind diese Konten an Ihre eigene MFA gebunden oder an die seine? Hat der MSP nachweislich SOC2 oder ISO 27001 plus eine Pflicht zu Endgeraete-Hygiene fuer seine Mitarbeiter? Dokumentieren Sie das schriftlich.

8. Logs lange genug aufbewahren. Die VPN-Logs gehoeren in ein zentrales SIEM oder mindestens in eine getrennte Logmanagement-Loesung mit 90-Tage-Retention. Akira-Faelle werden im Schnitt sechs Wochen nach dem ersten kompromittierten Login bemerkt – wer nur 30 Tage Logs hat, sieht den Eintritt nie.

9. Anwendung von Least-Privilege auf File-Shares. Akira sucht im Netz nach Massen-Lese-Rechten auf Fileservern, weil schnelle Datenexfiltration der Hebel fuer die Doppelerpressung ist. Pruefen Sie, ob "Domain Users" wirklich auf jeder Freigabe Lesezugriff hat. Vermutlich ja. Vermutlich zu Unrecht.

10. Notfallplan testen, nicht nur dokumentieren. Wann haben Sie das letzte Mal eine Wiederherstellung aus dem Backup tatsaechlich durchgespielt? Im Ernstfall haben Sie 60 Minuten – nicht 60 Stunden.

Eine offene Beobachtung zur Lieferkette

Die Sinobi-Welle, die ueber MSP-Konten reinkommt, ist eine Mahnung: Cyberresilienz ist 2026 keine reine Innenpolitik mehr. Wer sich seine IT von einem Externen betreuen laesst, importiert dessen Sicherheitsniveau in das eigene Haus. Das ist kein Argument gegen externe Dienstleister – im Gegenteil, gut gefuehrte MSPs sind oft besser aufgestellt als interne IT. Aber es ist ein Argument fuer eine klare vertragliche Grundlage, die Endgeraete-Hygiene, MFA-Pflicht, Phishing-Schulungen und nachweisbare Logging-Praktiken auf Seiten des Dienstleisters einfordert. Der Cyber Resilience Act und NIS2 verlangen genau diese Lieferketten-Sicht ohnehin – die Akira-Welle macht sie zur betriebswirtschaftlichen Notwendigkeit.

Was pleXtec gerade konkret macht

Wir setzen in den Erstanalysen mit unseren Mittelstands-Kunden seit Mitte April 2026 ein gestrafftes Pruefprotokoll ein, das genau die zehn obigen Punkte in 90 Minuten Telefonat plus Remote-Zugriff abarbeitet. Bei Bedarf haengen wir einen taktischen Pen-Test gegen das eigene SSL-VPN dran – vor allem dort, wo der Patchstand nicht klar dokumentiert ist. Wer Unterstuetzung bei der Bewertung der eigenen Lage braucht oder unsicher ist, ob die Migrationsbenutzer aus 2022 noch auf der Firewall liegen, erreicht uns ueber das Kontaktformular. Eine breitere Uebersicht ueber unsere Sicherheitsleistungen finden Sie unter Leistungen.

Der Mai 2026 ist nicht der Monat, in dem Akira erstmals auftaucht. Aber es ist der Monat, in dem die Kombination aus aktiver Kampagne, hoher Loesegeldforderung und stark ansteigenden MSP-Zugriffen den deutschen Mittelstand zum Massenziel macht. Wer heute noch ein SonicWall-VPN ohne durchgaengige MFA betreibt, hat nicht ein theoretisches Risiko – er hat eine messbare Wahrscheinlichkeit von einigen Prozentpunkten pro Monat, in den naechsten Quartalen verschluesselt zu werden. Das ist keine Panik, das ist Aktuarik.