Es war eine Routine-Veroeffentlichung, die binnen Stunden zur Notfalluebung wurde. Am 12. Mai 2026 schloss Fortinet in einem PSIRT-Advisory zwei kritische Schwachstellen in seinen Identity- und Sandbox-Produkten: CVE-2026-44277 in FortiAuthenticator und CVE-2026-26083 in FortiSandbox, beide mit einem CVSS-Score von 9.1. Zwei Wochen spaeter ist die Lage eine andere. Der Sicherheitsforscher samu-delucas hat am Wochenende einen Proof-of-Concept fuer die verwandte Sandbox-Luecke CVE-2026-39808 auf GitHub veroeffentlicht. Ein einziger curl-Befehl genuegt, um eine ungepatchte FortiSandbox-Appliance ohne jegliche Authentifizierung zu kapern und Befehle als root auszufuehren.

Fuer den deutschen Mittelstand bedeutet das: Wer Fortinet-Appliances in Identitaetsmanagement, MFA oder als Detonation-Sandbox fuer E-Mail-Anhaenge einsetzt - und das tun nach Schaetzung der pleXtec-Beobachter mehrere zehntausend Unternehmen in DACH - muss in den naechsten 48 Stunden seine Patch-Pipeline durchziehen. Das BSI-CERT hat bereits eine Warnung mit der Einstufung kritisch veroeffentlicht, die Singapur-Behoerde CSA hat das Advisory AL-2026-054 publiziert, und die CISA-Aufnahme in den KEV-Katalog steht erfahrungsgemaess innerhalb der naechsten 72 Stunden bevor.

Was die drei CVEs technisch wirklich kaputtmachen

CVE-2026-44277 - FortiAuthenticator: Wenn der MFA-Waechter zum Einfallstor wird

FortiAuthenticator ist in vielen mittelstaendischen Netzen das identitaetsstiftende Backbone: RADIUS-Server fuer VPN- und WLAN-Logins, SAML-Provider fuer Cloud-Anwendungen, MFA-Hub fuer TOTP- und Push-Verfahren, oft mit angebundenem Active Directory. Genau dieses Geraet enthaelt in den Versionen 6.5.0 bis 6.5.6, 6.6.0 bis 6.6.8 und 8.0.0 bis 8.0.2 eine Schwachstelle der Klasse CWE-284 (Improper Access Control) in den API-Handlern. Ein nicht authentifizierter Angreifer kann durch speziell praeparierte HTTP-Anfragen Code im Kontext des FortiAuthenticator-Dienstes ausfuehren - und damit faktisch die gesamte Authentifizierungslogik des Unternehmens umschreiben.

Die praktischen Konsequenzen sind drastisch: Wer den Authenticator kontrolliert, kann beliebige Benutzer fuer VPN-Zugaenge anlegen, MFA-Tokens generieren, SAML-Assertions signieren oder Logs manipulieren. Eine Kompromittierung dieses Geraets entwertet jede nachgelagerte Schutzmassnahme - der Authenticator ist die Vertrauenswurzel. Patches stehen in den Versionen 6.5.7, 6.6.9 und 8.0.3 zur Verfuegung. Wer einen Wartungsvertrag mit FortiCare hat, kann die Updates ueber das Standardportal beziehen.

CVE-2026-26083 - FortiSandbox: Luecke im Detonationssystem

FortiSandbox dient als Detonationskammer fuer unbekannte Dateien und URLs, typischerweise vorgeschaltet vor E-Mail-Gateways oder Web-Proxies. Eine missing-authorization-Luecke (CWE-862) in der Web-UI erlaubt einem unauthentifizierten Angreifer, beliebigen Code auf der Sandbox auszufuehren. Der Score: ebenfalls 9.1. Betroffen sind FortiSandbox, FortiSandbox Cloud sowie FortiSandbox PaaS - also auch verwaltete Dienste, bei denen der Kunde keinen Patch-Knopf hat, sondern auf den Anbieter angewiesen ist.

Die paradoxe Konsequenz: Eine Sandbox, die Malware in einer kontrollierten Umgebung sprengen soll, wird selbst zum Sprengsatz. Ein Angreifer mit Kontrolle ueber die FortiSandbox kann nicht nur Logs manipulieren und falsche clean-Verdikte ausstellen, sondern in vielen Architekturen lateral in das Management-Netz wandern - die Sandbox ist regelmaessig mit dem internen Netz verbunden, um detonierte Samples zu beobachten und Verkehrsmuster zu protokollieren.

CVE-2026-39808 - FortiSandbox: Der PoC, der alles aendert

Waehrend CVE-2026-26083 von Fortinet intern entdeckt wurde, stellt CVE-2026-39808 eine zweite Sandbox-Luecke dar, fuer die seit dem 24. Mai 2026 ein oeffentlicher Proof-of-Concept auf GitHub zur Verfuegung steht. Betroffen sind die Versionen 4.4.0 bis 4.4.8. Der Forscher samu-delucas demonstriert, dass ein einziger HTTP-POST-Request gegen einen verwundbaren API-Endpunkt eine unauthentifizierte Befehlsausfuehrung als root ausloest. Im Klartext: jeder Internetnutzer mit einem verwundbaren Host in seiner Shodan-Trefferliste kann die Appliance uebernehmen.

Die Veroeffentlichung des PoC verkuerzt das Zeitfenster zwischen Entdeckung und Massenausnutzung dramatisch. Historisch zeigen die Daten von Mandiant fuer vergleichbare Fortinet-CVEs: Wo ein PoC oeffentlich verfuegbar ist und keine Authentifizierung noetig ist, beginnen automatisierte Scans nach kompromittierbaren Hosts binnen 24 bis 48 Stunden. CVE-2026-21643 zeigte 2025, dass Angreifer Patches binnen vier Wochen produktiv missbrauchen - mit PoC oft schon binnen Tagen. Wir muessen davon ausgehen, dass die ersten produktiven Angriffe gegen ungepatchte FortiSandbox-Instanzen bereits laufen.

Warum der deutsche Mittelstand jetzt besonders verwundbar ist

Die Verwundbarkeitslage trifft den Mittelstand aus drei Gruenden haerter als Grosskonzerne:

Erstens: Fortinet ist im KMU-Segment ueberproportional vertreten. Waehrend Grosskonzerne typischerweise heterogene Stacks aus Cisco, Palo Alto und Fortinet betreiben, dominiert in mittelstaendischen IT-Umgebungen haeufig ein einzelner Hersteller - mit FortiGate-Firewall, FortiAuthenticator-IAM und FortiSandbox-Detonation aus einem Guss. Diese Homogenitaet war in der Vergangenheit ein Vorteil (einfache Administration, niedrige TCO). In der aktuellen Lage wird sie zum Klumpenrisiko: Eine Hersteller-Schwachstellenkette betrifft die gesamte Sicherheitsarchitektur gleichzeitig.

Zweitens: Die Patch-Latenz im Mittelstand ist strukturell hoch. Der Verizon DBIR 2026, den wir in unserem Wissen-Artikel zum Patch-Management vom 21. Mai 2026 analysiert haben, weist eine durchschnittliche Median-Patch-Zeit fuer Netzwerk-Appliances von 87 Tagen aus. Bei FortiSandbox kommt erschwerend hinzu: Viele Unternehmen behandeln das Geraet als Black Box, die einmal eingerichtet wurde und seither autonom laeuft. Wartungs-Updates werden vergessen oder vom MSP verschoben, weil ein Reboot der Sandbox bedeutet, dass Mail-Detonation fuer 20 Minuten ausfaellt - und niemand will der sein, der die Geschaeftsleitung darueber informiert.

Drittens: Authenticator-Geraete werden in vielen Mittelstandsnetzen ueber das Internet erreichbar gehalten - fuer VPN-Logins von Aussendienstmitarbeitern, fuer SAML-Federation mit Cloud-Diensten oder fuer API-Calls aus mobilen Apps. Damit sind sie aus dem oeffentlichen Internet angreifbar, sobald die richtigen HTTP-Pakete eintreffen. Shodan listete Stand 25. Mai 2026 ueber 4.200 oeffentlich erreichbare FortiAuthenticator-Instanzen weltweit, davon rund 380 mit deutscher Geo-IP.

Konkrete Handlungsempfehlungen fuer die naechsten 48 Stunden

Wir empfehlen Geschaeftsfuehrern und IT-Verantwortlichen folgenden Notfallplan:

Sofort (innerhalb von 24 Stunden):

1. Bestandsaufnahme: Identifizieren Sie alle FortiAuthenticator- und FortiSandbox-Instanzen in Ihrem Netz, inklusive Test- und Backup-Systemen. In vielen Unternehmen existieren vergessene Sandboxen aus PoC-Phasen, die noch produktiv erreichbar sind.

2. Internet-Exposition pruefen: Lassen Sie per externem Scan (z.B. Shadowserver-Report, Shodan-Suche nach Banner-Strings FortiAuthenticator oder FortiSandbox) feststellen, welche Geraete aus dem Internet erreichbar sind. Diese sind die akute Prioritaet.

3. Patches einspielen: Aktualisieren Sie FortiAuthenticator auf 6.5.7, 6.6.9 oder 8.0.3. Bringen Sie FortiSandbox auf eine Version, die sowohl CVE-2026-26083 als auch CVE-2026-39808 schliesst, konkret 4.4.9 oder hoeher in der 4.4-Serie.

4. Notfall-Mitigation: Falls Patch innerhalb 24 Stunden nicht moeglich ist, schalten Sie die Web-UI der betroffenen Geraete ueber eine Firewall-Regel ab, sodass nur ein Bastion-Host darauf zugreifen kann. Bei FortiSandbox bedeutet das: API-Endpunkt nicht ueber das Internet erreichbar, und auch intern nur fuer das Management-Subnetz freigegeben.

Kurzfristig (innerhalb von 72 Stunden):

1. Forensik-Triage: Pruefen Sie die Logs der betroffenen Geraete auf ungewoehnliche HTTP-Requests, neue Benutzerkonten oder API-Tokens, die zwischen dem 1. April und heute angelegt wurden. Die FortiAuthenticator-Logdatei unter /var/log/httpd/access.log sowie die Sandbox-Audit-Logs sind gute Startpunkte.

2. Credential-Rotation: Rotieren Sie alle Admin-Passwoerter und API-Keys auf den Appliances. Wenn die Geraete Active-Directory-Service-Accounts speichern, rotieren Sie auch diese - besonders die Domain-Join-Accounts und LDAP-Bind-Accounts.

3. MFA-Reset fuer privilegierte Konten: Wo Sie eine Kompromittierung nicht ausschliessen koennen, setzen Sie fuer Administratoren das MFA-Enrollment zurueck, also neue TOTP-Seeds, neue FIDO2-Registrierungen. Eine im Authenticator hinterlegte TOTP-Konfiguration kann nach RCE exfiltriert werden.

Mittelfristig (innerhalb von zwei Wochen):

1. Etablieren Sie einen verbindlichen 14-Tage-Patch-SLA fuer alle Netzwerk-Appliances mit Internet-Exposition. Wer laenger braucht, muss kompensierende Kontrollen implementieren, nicht spaeter patchen.

2. Trennen Sie das Management-Netz der Sicherheitsappliances strikt vom produktiven LAN. Eine kompromittierte Sandbox darf nicht ohne weiteres in Dateifreigaben oder ERP-Systeme wandern.

3. Lassen Sie sich extern attestieren, ob Ihre Architektur dem aktuellen Stand der Technik entspricht. Die Informationssicherheits-Beratung der pleXtec ist hier ein erfahrener Partner fuer mittelstaendische Unternehmen mit Fortinet-Stacks.

Was diese Welle ueber die Sicherheitsarchitektur des Mittelstands verraet

CVE-2026-44277, 26083 und 39808 sind isolierte Schwachstellen, aber das Muster ist es nicht. Die ersten fuenf Monate des Jahres 2026 haben gezeigt: Sicherheitsappliances selbst werden zur primaeren Angriffsflaeche. Wir hatten Microsoft Defender Zero-Days (CVE-2026-41091 / 45498) am 22. Mai, das Microsoft-Authenticator-Token-Leak (CVE-2026-41615) am 19. Mai, die BeyondTrust-Luecke (CVE-2026-1731) am 12. Mai, Ivanti EPMM (CVE-2026-6973) am 18. Mai. Die Geraete, die schuetzen sollen, werden konsequent zur groessten Schwachstelle.

Das verlangt ein Umdenken: Defense in Depth darf nicht bedeuten, dass ein einziger Hersteller alle Schichten liefert. Es bedeutet, dass die Schichten unabhaengig voneinander kompromittiert werden muessen, und das funktioniert nur mit echter Heterogenitaet. Wer FortiAuthenticator als IAM-Hub einsetzt, sollte einen zweiten Faktor ausserhalb des Fortinet-Stacks haben, etwa hardwaregebundene FIDO2-Tokens, die unabhaengig von der zentralen Appliance funktionieren.

Die zweite Lehre: Patch-Hygiene ist Chefsache. Wenn die Median-Patchzeit fuer kritische Appliances bei 87 Tagen liegt, aber PoCs binnen 48 Stunden nach Veroeffentlichung kursieren, klafft eine 85-Tage-Luecke, in der das Unternehmen offen steht. Diese Luecke schliessen Sie nicht mit besseren Tools, sondern mit klaren Verantwortlichkeiten, definierten SLAs und einer Geschaeftsfuehrung, die Patch-Fenster gegen Verfuegbarkeit abwaegt und entscheidet.

Die Leistungen der pleXtec richten sich genau darauf aus: Vulnerability-Management, Patch-Compliance, Architektur-Reviews und Notfall-Triage fuer mittelstaendische Unternehmen, die ihre Schutzlinie nicht zur Schiessscharte machen wollen. Sprechen Sie uns ueber das Kontaktformular an - die naechsten 48 Stunden sind nicht der Moment zum Abwarten.