Wer Fortinet FortiClient EMS in seinem Netzwerk betreibt, sollte spätestens jetzt alle anderen Aufgaben beiseitelegen: Eine kritische Sicherheitslücke mit einem CVSS-Score von 9.1 wird seit Ende März 2026 aktiv in freier Wildbahn ausgenutzt. Der Patch ist verfügbar – und die Zeitspanne zwischen Bekanntwerden und erstem dokumentierten Angriff war erschreckend kurz. Zu kurz, um gemütlich auf das nächste reguläre Wartungsfenster zu warten.

Was ist passiert?

Am 2. April 2026 veröffentlichte Fortinet einen Notfall-Patch für CVE-2026-35616, eine Schwachstelle in der Enterprise Management Server-Komponente (EMS) der FortiClient-Produktlinie. Entdeckt wurde die Lücke von Simo Kohonen vom finnischen Sicherheitsunternehmen Defused Cyber sowie vom Sicherheitsforscher Nguyen Duc Anh – beide werden offiziell als Finder geführt.

Die Schwachstelle ist unter CWE-284 (Improper Access Control) klassifiziert: Ein fehlerhafter Zugriffsschutz in der API-Schicht ermöglicht es einem nicht authentifizierten Angreifer, Authentifizierungs- und Autorisierungsmechanismen zu umgehen. Was das in der Praxis bedeutet: Ein Angreifer ohne gültige Zugangsdaten kann über speziell konstruierte HTTP-Anfragen an die EMS-API beliebigen Code auf dem betroffenen Server ausführen und anschließend seine Rechte eskalieren. Remote, ohne Login, vollautomatisiert – genau die Kombination, die Angreifer sich wünschen.

Die kritischen Details: CVSS 9.1, Pre-Auth, aktiv exploited

Der CVSS-Score von 9.1 ist keine Marketingaussage, sondern spiegelt eine reale Bedrohungslage wider. Drei Merkmale machen CVE-2026-35616 besonders gefährlich:

Pre-Authentication: Kein gültiger Unternehmens-Account ist erforderlich. Jeder Angreifer mit Netzwerkzugang zum EMS-Server – sei es über das Internet, ein kompromittiertes Gerät im Netzwerk oder eine Phishing-Landung – kann die Schwachstelle direkt ausnutzen.

Remote Code Execution: Der Angriff ist vollständig netzwerkbasiert. Physischer Zugang zum Rechenzentrum oder zum Server ist nicht nötig. Das macht Massenangriffe über automatisierte Scanner und Exploit-Frameworks trivial.

Zero-Day-Ausnutzung seit dem 31. März 2026: Das Sicherheitsunternehmen watchTowr dokumentierte erste Angriffsversuche auf seine Honeypots bereits am 31. März – einen Tag vor der offiziellen Patch-Veröffentlichung. Defused Cyber bestätigte ebenfalls frühe Exploitation-Aktivität. Die Schwachstelle war de facto ein Zero-Day, bevor Fortinet reagieren konnte.

Betroffen sind ausschließlich FortiClient EMS Versionen 7.4.5 und 7.4.6. Fortinet hat für diese Versionen einen Hotfix bereitgestellt und plant die vollständig gepatchte Version 7.4.7. Ältere Versionen außerhalb dieses Bereichs sollten ebenfalls auf Betroffen-Sein geprüft werden – die offizielle Fortinet-Advisory enthält die vollständige Versionsmatrix.

Warum FortiClient EMS ein so attraktives Ziel ist

FortiClient EMS ist die zentrale Verwaltungsplattform für Fortinets Endpoint-Sicherheitslösung. Unternehmen nutzen sie, um Sicherheitsrichtlinien für alle Endgeräte im Netzwerk zentral zu definieren, durchzusetzen und zu überwachen – von Antivirenregeln über Netzwerkzugriffskontrollen bis hin zu VPN-Profilen.

Damit ist der EMS-Server ein hochprivilegierter Nervenknoten in der Unternehmens-IT. Ein Angreifer, der dort Fuß fasst, hat im ungünstigsten Fall Zugriff auf die Konfigurationen aller verwalteten Endpunkte, auf gespeicherte VPN-Zugangsdaten und Verbindungsprofile, auf Compliance-Telemetrie und Endpoint-Inventardaten sowie auf die Richtlinien selbst – die ein Angreifer theoretisch so anpassen kann, dass sein eigenes Tooling als "vertrauenswürdig" gilt.

Das ist nicht hypothetisch. In der Vergangenheit haben APT-Gruppen und kriminelle Ransomware-Operatoren kompromittierte Fortinet-Systeme konsequent als Sprungbrett für die laterale Bewegung durch Unternehmensnetze genutzt – oft über Wochen unentdeckt, bevor die eigentliche Schadroutine ausgelöst wurde.

Fortinet im Fadenkreuz – kein Einzelfall

CVE-2026-35616 steht nicht isoliert. In den vergangenen Jahren haben Schwachstellen in FortiGate-Firewalls, FortiOS und FortiProxy wiederholt für ernsthafte Sicherheitsvorfälle gesorgt. Die CISA-Liste bekannter ausgenutzter Schwachstellen enthält mehr als ein Dutzend Fortinet-CVEs. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Fortinet-Produkte mehrfach in Sicherheitswarnungen adressiert.

Das bedeutet nicht, dass Fortinet-Produkte grundsätzlich schlecht sind – aber es bedeutet, dass Organisationen, die Fortinet einsetzen, einen strukturierten und reaktionsfähigen Patch-Prozess benötigen. Netzwerk-Perimeter-Produkte sind per Definition attraktive Ziele: Sie stehen an der Schnittstelle zwischen innen und außen, sind oft direkt aus dem Internet erreichbar und verfügen über weitreichende Privilegien. Ein unbekannter Exploit in solchen Produkten ist Goldstaub für Angreifer.

Wer Fortinet im Einsatz hat und noch kein Asset-Inventory mit Versions-Tracking und automatisierten Patch-Benachrichtigungen führt, sollte das als dringende Aufgabe in die nächste IT-Planung aufnehmen. Unsere Leistungen im Bereich Informationssicherheit umfassen genau solche strukturellen Maßnahmen.

Was Sie jetzt konkret tun müssen

Schritt 1: Bestandsaufnahme – welche Version läuft bei Ihnen?

Prüfen Sie in Ihrer Fortinet-Verwaltungskonsole oder direkt auf dem EMS-Server, welche Version aktiv ist. Betroffen sind ausschließlich die Versionen 7.4.5 und 7.4.6. Falls Sie nicht sicher sind, welche FortiClient-Versionen in Ihrem Netzwerk laufen: Das ist bereits ein Problem – und ein gutes Argument für ein gepflegtes Software-Inventory.

Schritt 2: Hotfix sofort einspielen

Fortinet stellt einen Hotfix für die betroffenen Versionen über das Fortinet Support Portal bereit. Spielen Sie ihn so schnell wie möglich ein – "nächste Woche" ist angesichts aktiver Exploitation zu spät. Falls ein sofortiges Eingreifen in Produktionssystemen kritisch ist, prüfen Sie als Zwischenmaßnahme die Netzwerksegmentierung (Schritt 3).

Schritt 3: Netzwerkzugang zum EMS-Server einschränken

Ist Ihr EMS-Server aus dem Internet erreichbar? Das sollte er grundsätzlich nicht sein. Falls doch, schränken Sie den Zugriff über Firewall-Regeln auf vertrauenswürdige Quell-IP-Adressen ein oder schalten Sie VPN als Voraussetzung vor. Das ist keine Lösung, aber eine wirksame Risikominderung, bis der Patch eingespielt ist.

Schritt 4: Logs auf Anomalien prüfen

Suchen Sie in den EMS-Server-Logs nach ungewöhnlichen API-Anfragen – insbesondere für den Zeitraum ab dem 28. März 2026. Achten Sie auf Zugriffe ohne valide Authentifizierungs-Token auf eigentlich geschützte Endpunkte, auf neue oder unbekannte Administratorkonten sowie auf ungewöhnliche Konfigurationsänderungen an Endpoint-Richtlinien.

Falls Sie derartige Anomalien finden, gilt: Den betroffenen Server isolieren, Netzwerkverbindungen kappen und Ihren Incident-Response-Prozess aktivieren. Alle über diesen EMS-Server verwalteten Endpunkte sind im Zweifel als potenziell kompromittiert zu betrachten.

Schritt 5: Kommunikationskette intern klären

Stellen Sie sicher, dass Ihr IT-Team, Ihre Geschäftsführung und – wenn NIS2 auf Ihr Unternehmen zutrifft – Ihr Informationssicherheitsbeauftragter über den Vorfall informiert sind. NIS2-pflichtige Unternehmen müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an das BSI melden. Eine aktiv ausgenutzte kritische Schwachstelle in einem zentralen Sicherheitssystem fällt potenziell darunter – auch dann, wenn Sie (noch) keinen Angriff auf sich selbst feststellen.

Mittelstand besonders im Risiko

Gerade im deutschen Mittelstand ist FortiClient eine weit verbreitete Lösung für Endpoint-Schutz und VPN-Management. Gleichzeitig sind hier Patch-Zyklen oft länger als in Großunternehmen: Dedizierte Security-Teams fehlen, Wartungsfenster sind selten, und das IT-Team jongliert ohnehin schon zu viele Baustellen. Genau das wissen professionelle Angreifer – und es ist kein Geheimnis, dass Ransomware-Gruppen und staatlich gesponserte Akteure ihren Exploit-Kalender gezielt nach dem Veröffentlichungsdatum von Patches ausrichten.

Wenn Sie Unterstützung bei der Beurteilung Ihrer aktuellen Sicherheitslage benötigen oder Fragen zur Einrichtung strukturierter Patch-Prozesse haben, stehen wir Ihnen gern zur Verfügung. Sprechen Sie uns über unser Kontaktformular an – wir antworten in der Regel innerhalb eines Werktags.

Fazit

CVE-2026-35616 ist kein theoretisches Risiko und kein Laborszenario – die Ausnutzung läuft bereits, seit mindestens dem 31. März. Mit einem CVSS-Score von 9.1, Pre-Authentication-Zugang und FortiClient EMS als privilegiertem Sicherheits-Hub gehört diese Schwachstelle zu den drängendsten Bedrohungen des laufenden Quartals. Der Hotfix ist verfügbar. Spielen Sie ihn ein – heute.