Obwohl die zugrundeliegende Schwachstelle bereits seit Jahren bekannt ist, sind weltweit noch immer tausende Firewalls mit FortiOS exponiert. Die Sicherheitslücke CVE-2018-13379 erweist sich als besonders beharrlich – und beunruhigend aktuell. Wir analysieren die Ursachen ihrer Langlebigkeit, zeigen die Gefahren für Organisationen auf und geben praxisnahe Empfehlungen zur Risikominderung.
Ein Klassiker der Risiken: CVE-2018-13379 und ihre Geschichte
Die Sicherheitslücke CVE-2018-13379 im SSL-VPN-Modul von Fortinet wurde erstmals im Mai 2019 öffentlich bekannt gemacht. Betroffen ist FortiOS, das Betriebssystem zahlreicher Firewalls des Herstellers Fortinet. Die Schwachstelle erlaubt es Angreifern, über manipulierte HTTP-Requests sensible Systemdateien auszulesen – insbesondere die Datei sslvpn_websession, welche aktive Sessions und Anmeldedaten enthalten kann. So kann die Schwachstelle genutzt werden, um direkten Fernzugriff auf Unternehmensnetzwerke zu erlangen – ein erhebliches Einfallstor für Ransomware oder Spionagekampagnen.
Obwohl Fortinet bereits im Mai 2019 ein offizielles Sicherheits-Update bereitgestellt hat, ist die Schwachstelle weiterhin ein aktives Risiko. Eine Analyse des Sicherheitsunternehmens Bishop Fox (2023) zeigte, dass weltweit über 180.000 Geräte anfällig waren – über Jahre hinweg. Laut einer Erhebung von Assetnote aus Dezember 2022 waren hiervon mindestens 22.500 Geräte weiterhin ungepatcht. Dies wirft weniger Fragen über die Technologie als über IT-Governance auf.
Warum bleiben bekannte Schwachstellen aktiv?
Es ist ein bedauerlich häufiges Muster in der IT-Sicherheit: selbst Jahre nach Bekanntwerden bleiben Schwachstellen ungepatcht. Bei CVE-2018-13379 spielte eine entscheidende Rolle, dass die angreifbaren Geräte sich häufig an den Perimetern von Netzwerken befanden und aus dem Internet erreichbar waren – ein ideales Ziel für automatisierte Scans. Besonders im Fokus: Firewalls kleiner und mittelständischer Unternehmen oder Institutionen mit veralteten Patch-Prozessen.
Ein maßgeblicher Faktor ist zudem die unzureichende Pflege von Assets und fehlende Übersicht über veraltete Firmware. In vielen Organisationen wird der Lifecycle von Netzwerkkomponenten nur lose verwaltet, weil diese als „Infrastructure as Code“-freie Zone gelten. Ohne automatisiertes Patch-Management oder klare Verteilung von Verantwortlichkeiten entsteht ein gefährlicher Blindfleck.
Darüber hinaus blieben viele Fortinet-Kunden in der Vergangenheit skeptisch gegenüber Updates, da sich Patches bisweilen als störanfällig oder leistungslimitierend erwiesen. Einige Administratoren zögerten, FortiOS-Updates einzuspielen, weil sie befürchteten, dass dies VPN-Dienste oder bestehende Konfigurationen beeinflussen könnte. Dieses Sicherheitsparadoxon – Stabilität vor Schutz – hat sich spätestens seit dem Aufstieg von Ransomware als trügerisch erwiesen.
Aktuelle Bedrohungslage und Auswertungen
Security-Analysen zeigen, dass CVE-2018-13379 und verwandte FortiOS-Schwachstellen immer wieder in Kampagnen von Ransomware-Gruppen ausgenutzt werden. So warnte das FBI zusammen mit CISA wiederholt (z. B. im April 2023) vor der Verwendung der Lücke durch Akteure wie APT5, LockBit oder Conti. Laut einem Bericht von Rapid7 (2023) ist CVE-2018-13379 in den Top 5 der am häufigsten ausgenutzten Schwachstellen der letzten vier Jahre.
Ein besonders alarmierendes Beispiel lieferte eine Untersuchung von CyberScoop (Dezember 2023): In einem großflächigen Angriff auf mehrere kommunale IT-Dienstleister in den USA wurde die FortiOS-Schwachstelle gezielt als Einstiegspunkt verwendet. Dabei nahmen Angreifer gezielt Behörden und Versorgungsunternehmen ins Visier, um über privilegierte Zugänge Ransomware zu platzieren.
Der Tenor aus Praxis und Forschung ist klar: Alte Schwachstellen sind keineswegs obsolet, sondern aufgrund ihrer Verbreitung und Versäumnisse im Patch-Management ein nachhaltiges Risiko.
IT-Sicherheitsstrategien gegen fortbestehende Risiken
Die wiederkehrende Ausnutzung bekannter Schwachstellen ist eine Mahnung an Unternehmen, ihre Verteidigungsstrategie systemisch zu überdenken. Statt reaktiv zu agieren, braucht es robuste, kontinuierliche Sicherheitsprozesse mit klarer Ownership. Sich allein auf Signatur-basierten Schutz (wie herkömmliche Firewalls oder Antivirus-Software) zu verlassen, reicht längst nicht mehr.
Entscheidend ist ein ganzheitlicher Ansatz, der neben technischen Maßnahmen auch eine Sicherheitskultur verankert. Auch Extended Detection and Response (XDR) Lösungen, Zero-Trust-Architekturen und regelmäßige Penetrationstests können hier Teil einer zukunftsfähigen Verteidigungsstrategie sein. Gleichzeitig bleibt ein systematisches Vulnerability Management essenziell – sowohl technisch als auch organisatorisch.
- Patch-Management automatisieren: Setzen Sie auf zentrale Systeme zur Steuerung von Firmware-Updates, auch für Firewalls und Appliances. Open-Source-Tools wie Ansible, aber auch kommerzielle Lösungen wie Qualys oder Ivanti bieten hier umfassende Möglichkeiten.
- Asset-Transparenz schaffen: Erstellen und pflegen Sie ein aktuelles, zentrales IT-Asset-Inventar mit Zustandsinformationen und Patch-Status der Systeme. Das erlaubt gezielte Audits und senkt blindes Vertrauen in manuelle Pflege.
- Sicherheitsschulungen etablieren: Techniker und IT-Verantwortliche müssen periodisch für Themen wie CVE-Response, Exploit-Windows und Social Engineering sensibilisiert werden. Nur so schaffen Sie aktives Risikoverständnis jenseits der Technik.
Fehlender Druck, mangelhafte Strukturen: Wo es hakt
Parallel zu technologischen Aspekten zeigt sich: Ein großes Hindernis ist das fehlende Verantwortungsbewusstsein in Organisationen. In einer Umfrage von Tenable aus dem Jahr 2024 gaben 53 % der befragten IT-Leiter an, kein strukturiertes Verfahren für kritische Schwachstellenbewertung zu haben. Noch gravierender: Mehr als 40 % gaben an, über keine zentrale Asset-Liste zu verfügen.
Diese Erkenntnis erklärt, wie sich veraltete Systeme selbst in sicherheitskritischen Umgebungen halten können. So wurden laut Statistik des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Jahr 2023 über 6.200 öffentlich erreichbare Geräte mit veralteter FortiOS-Version in Netzwerken deutscher Behörden identifiziert. Trotz Warnmeldungen der Behörde erfolgten Patches oft mit mehrwöchiger Verzögerung.
Ein weiteres strukturelles Problem: Viele KMU verfügen weder über internen IT-Betrieb noch über klare SLAs zum Patchen Dritter. Managed Service Provider (MSPs) übernehmen häufig Aufgaben wie Firewall-Wartung, ohne jedoch verbindliche Update-Vorgaben einzuhalten. So entsteht ein gefährlicher Graubereich zwischen Auftraggeber und Dienstleister, in dem Sicherheit verwässert.
Zukunftsfähige Schutzstrategien: Das erfordert mehr als Technik
Technologische Schutzmechanismen sind wichtig – doch ihre Wirksamkeit hängt untrennbar an organisatorischer Reife und Sicherheitskultur. Die Lösung für das „alte CVE-Problem“ liegt daher nicht allein in besseren Tools, sondern in klaren Standards, messbaren Verantwortlichkeiten und kontinuierlichen Prozessen.
Zukunftsweisende Unternehmen setzen etwa auf Sicherheitskennzahlen (KPIs) wie Mean Time to Patch (MTTP), regelmäßige Sicherheits-Posture-Assessments und die Integration von CVE-Risiken in Unternehmensentscheidungen. Auch B2B-Verträge sollten verpflichtende Update-Zeitfenster und Notfallprozesse enthalten.
Nur mit einem ganzheitlichen Verständnis – technisch, organisatorisch und kulturell – lässt sich der Schatten jahrzehntealter Schwachstellen überwinden.
Fazit: Alte Risiken, neue Verantwortung
Die FortiOS-Sicherheitslücke CVE-2018-13379 ist ein warnendes Beispiel dafür, wie jahrealte Schwachstellen in modernen Angriffen eine zentrale Rolle spielen. Die Bedrohung ist real – aber vermeidbar. Wer jetzt in strukturiertes Patch-Management, Verantwortungsmodelle und Sicherheitsbewusstsein investiert, kann künftige Angriffsflächen deutlich reduzieren.
Wie verwalten Sie in Ihrem Unternehmen bekannte CVEs? Welche Lessons Learned haben Sie aus Fortinet-Fällen gezogen? Teilen Sie Ihre Erfahrungen, Strategien und Tools mit unserer Community – denn IT-Sicherheit ist heute kollaborativer denn je.
